sg sg-security-measures network_security firewall access_control
まず結論
DMZとは、外部に公開するサーバを、内部ネットワークから分離して置くための中間的なネットワーク領域です。
SG試験では、DMZ単体ではなく、ファイアウォールと組み合わせて公開サーバを守る構成として問われやすいです。
ポイントは、次の整理です。
公開サーバは外部からアクセスされる必要がある。
でも、内部ネットワークに直接置くと危険。
だから、DMZに分離して配置する。
直感的な説明
DMZは、会社の建物でいうと受付エリアのようなものです。
外部の人が会社に来たとき、いきなり執務室まで入れるのは危険です。
そのため、受付や応接室のような場所で対応します。
ネットワークでも同じです。
Webサーバやメールサーバなどは、外部からアクセスされる必要があります。
しかし、それらを社内ネットワークの中に直接置くと、攻撃されたときに社内システムまで被害が広がりやすくなります。
そこで、外部にも内部にも直接つながりすぎない中間領域としてDMZを用意します。
定義・仕組み
DMZは、DeMilitarized Zone の略です。
日本語では、非武装地帯と訳されることがあります。
情報セキュリティでは、DMZは次のような役割を持ちます。
- 外部公開サーバを置く
- 内部ネットワークと公開サーバを分離する
- 外部から内部ネットワークへの直接アクセスを防ぎやすくする
- 公開サーバが攻撃された場合の被害拡大を抑える
代表的には、次のようなサーバをDMZに配置します。
| DMZに置くことが多いサーバ | 理由 |
|---|---|
| Webサーバ | 外部利用者からアクセスされるため |
| メールサーバ | 外部とのメール送受信が必要なため |
| DNSサーバ | 外部から名前解決される場合があるため |
| プロキシサーバ | 外部との通信を中継する場合があるため |
ファイアウォールとの関係
DMZは、ファイアウォールと組み合わせて使います。
ファイアウォールは、ネットワーク間の通信を許可・拒否する仕組みです。
DMZは、そのファイアウォールによって区切られたネットワーク領域の一つと考えると分かりやすいです。
代表的な構成は、次のように整理できます。
インターネット
│
▼
ファイアウォール
│
├── DMZ(公開Webサーバ・メールサーバなど)
│
└── 内部ネットワーク(社内PC・業務サーバなど)
この構成では、通信ルールを次のように分けて考えます。
| 通信 | 基本的な考え方 |
|---|---|
| インターネット → DMZ | 必要な公開サービスだけ許可 |
| インターネット → 内部ネットワーク | 原則として拒否 |
| DMZ → 内部ネットワーク | 必要最小限だけ許可 |
| 内部ネットワーク → DMZ | 管理や連携に必要な範囲で許可 |
つまり、DMZは単にサーバを置く場所ではなく、通信ルールを分けて管理するための領域です。
なぜ公開サーバを内部ネットワークに置かないのか
公開サーバは、インターネットからアクセスされるため、攻撃を受ける可能性があります。
もし公開サーバを内部ネットワークに直接置いていると、公開サーバが侵害されたときに、次のようなリスクがあります。
- 社内PCへ攻撃が広がる
- 業務サーバへ不正アクセスされる
- 内部ネットワークの情報を調査される
- 機密情報が漏えいする
DMZに公開サーバを置いておくと、公開サーバが攻撃された場合でも、内部ネットワークとの間にファイアウォールの制御を置けます。
そのため、被害が内部へ広がるリスクを下げられます。
どんな場面で使う?
DMZは、外部に公開するサーバがある場面で使います。
企業のWebサイトを公開する
企業のWebサイトは、外部利用者からアクセスされます。
そのWebサーバを内部ネットワークに直接置くのではなく、DMZに配置します。
これにより、Webサーバは外部公開しつつ、社内ネットワークとは分離できます。
メールサーバを外部と接続する
メールサーバは、外部のメールサーバと通信する必要があります。
そのため、メールサーバをDMZに配置し、外部との通信と内部との通信をファイアウォールで制御します。
内部システムとの接続を最小限にする
公開Webサーバが内部のデータベースと連携する場合でも、無制限に通信できるようにするのは危険です。
必要な通信だけを許可し、それ以外は遮断します。
SG試験では、ここで最小権限の考え方と結びつけると理解しやすいです。
よくある誤解・混同
誤解1:DMZに置けば安全なので、ファイアウォールは不要である
これは誤りです。
DMZは、ファイアウォールなどで通信を制御して初めて意味を持ちます。
DMZに置くだけで安全になるのではなく、外部・DMZ・内部ネットワークの間の通信ルールを適切に設定することが重要です。
誤解2:DMZは内部ネットワークの一部である
DMZは、内部ネットワークそのものではありません。
内部ネットワークと外部ネットワークの間に置く、中間的な領域です。
| 領域 | 役割 |
|---|---|
| 外部ネットワーク | インターネットなど |
| DMZ | 公開サーバを置く中間領域 |
| 内部ネットワーク | 社内PCや業務サーバを置く領域 |
誤解3:公開サーバは内部ネットワークに置く方が管理しやすいのでよい
管理しやすく見えても、セキュリティ上は危険です。
公開サーバは外部から攻撃されやすいため、内部ネットワークとは分離して配置するのが基本です。
SG試験では、外部公開サーバを内部ネットワークに直接置くという選択肢は危険な構成として判断します。
誤解4:DMZは通信を暗号化する仕組みである
これは誤りです。
DMZはネットワーク上の配置・領域の考え方です。
通信を暗号化する仕組みではありません。
暗号化はTLSやVPNなどの役割として整理します。
ファイアウォールのルールで見るDMZ
DMZを理解するときは、通信の向きごとに考えると分かりやすいです。
インターネットからDMZへ
公開サービスに必要な通信だけを許可します。
たとえば、WebサーバならHTTPやHTTPSなど、必要なポートだけを許可します。
インターネットから内部ネットワークへ
原則として拒否します。
外部から社内PCや業務サーバへ直接アクセスできる構成は危険です。
DMZから内部ネットワークへ
必要最小限だけ許可します。
たとえば、Webサーバが内部のデータベースに接続する必要がある場合でも、必要な宛先・ポートだけに絞ります。
内部ネットワークからDMZへ
管理や運用に必要な通信だけ許可します。
ただし、管理用通信も強い認証やアクセス制限を行う必要があります。
試験での判断ポイント
SG試験では、次のような表現が出たらDMZを疑います。
- 外部公開サーバを置く領域
- 内部ネットワークと分離する
- インターネットと内部ネットワークの中間に置く
- 公開サーバが侵害された場合の被害拡大を抑える
- ファイアウォールで外部・DMZ・内部の通信を制御する
反対に、次の表現は別の用語と切り分けます。
| 説明 | 該当しやすい用語 |
|---|---|
| 通信を許可・拒否する装置・仕組み | ファイアウォール |
| IPアドレスやポート番号で通過可否を判断 | パケットフィルタリング |
| 通信状態を見て判断 | ステートフルインスペクション |
| IPアドレスやポート番号を変換 | NAPT |
| 通信を暗号化する | TLS、VPN |
| 不正通信を検知する | IDS |
| 不正通信を検知して遮断する | IPS |
まとめ(試験直前用)
DMZは、外部公開サーバを内部ネットワークから分離して配置するための中間的なネットワーク領域です。
試験直前は、次の3点を押さえておきましょう。
-
公開サーバを置く場所
Webサーバ、メールサーバ、DNSサーバなどを配置する。 -
内部ネットワークとは分離する
公開サーバが攻撃されても、社内ネットワークへ被害が広がりにくくする。 -
ファイアウォールで通信を制御する
外部・DMZ・内部ネットワークの間で、必要な通信だけを許可する。
SG試験では、「公開サーバ」「内部ネットワークから分離」「ファイアウォールで通信制御」という表現を手がかりにすると、DMZを判断しやすくなります。
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- 入退室管理とは?物理アクセス制御の基本【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- 入退室管理とは?物理アクセス制御の基本【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】