最終更新日:2026年5月20日
sg sg-technology network system_architecture
まず結論
- DMZとは、インターネットと社内ネットワークの間に設ける中間領域であり、公開サーバを安全に運用するための仕組みで、SG試験では「内部ネットワークを直接守る構成か」が問われる。
直感的な説明
- 社内ネットワークを「本丸」とすると、DMZは「外との間にある前線基地」です。
- 外部に公開するサーバ(Webサーバなど)を、社内の中ではなく「一段外」に置くイメージです。
こうすることで:
- 外部からアクセスはできる
- でも社内ネットワークには直接入れない
という状態を作れます。
定義・仕組み
DMZ(DeMilitarized Zone)は、外部ネットワーク(インターネット)と内部ネットワーク(社内LAN)の間に設ける中間領域です。
主な目的
- 公開サーバを安全に配置する
- 万が一侵入されても内部ネットワークへの影響を防ぐ
構成のポイント
一般的にはファイアーウォールで分離します:
- インターネット ⇔ DMZ
- DMZ ⇔ 社内ネットワーク
このように「2段階」で通信を制御します。
配置されるもの
- Webサーバ
- メールサーバ
- DNSサーバ
→ 外部公開が必要なものだけを置く
どんな場面で使う?
使うべき場面
- 外部公開するサーバがある場合
- 社内ネットワークを直接インターネットにさらしたくない場合
- セキュリティレベルを分けて管理したい場合
使うと誤解しやすい場面
- DMZに置けば安全になると考える場合
理由:
- DMZは「隔離する仕組み」であり
- 攻撃を防ぐ仕組みそのものではない(防御は別途必要)
構成判断のポイント(運用観点)
- 公開サーバ(Web/DNS/メール)と社内業務サーバを同居させない
- DMZから内部LANへの通信は最小限に絞る(必要最小の許可)
- 「公開範囲」と「社内限定範囲」を分けて事故時の影響を限定する
よくある誤解・混同
❌ よくある誤解
- DMZは攻撃を防ぐ装置
- DMZに置けばセキュリティ対策は不要
⭕ 正しい理解
- DMZは「配置場所(ネットワーク構成)の考え方」
- 防御はファイアーウォールやIPSなどが担当
混同を防ぐ切り分け軸
- DMZ:公開系を隔離配置する「構成」
- FW/IPS/WAF:通信を制御・検知・遮断する「対策機能」
- 「どこに置く話か(構成)」と「どう防ぐ話か(機能)」を分けて考える
SG試験でのひっかけポイント
-
「外部公開サーバを社内LANに直接置く」
→ 不適切(DMZを使うべき) -
「DMZに置けば侵入されない」
→ 誤り(侵入はあり得るが影響を限定する) -
「内部ネットワークを直接守る構成」
→ DMZを介して分離しているかが重要
SG試験では
「どこにサーバを置くべきか」
を判断させる問題がよく出ます。
確認問題(SG試験対策)
DMZについての説明として、次のうち、最も適切なものはどれか。
- ア. DMZは、社内の機密データベースを外部公開するために内部ネットワーク内へ直接配置する構成である。
- イ. DMZは、公開サーバを内部ネットワークから分離して配置し、侵入時の影響を内部に広げにくくするための中間領域である。
- ウ. DMZを設置すれば、ファイアーウォールによる通信制御は不要になる。
- エ. DMZは、マルウェアを安全に実行して挙動分析するための隔離環境を指す。
答えと解説を見る
正解:イ
解説
- ア:誤り。DMZの目的は内部ネットワークと分離することであり、内部へ直接配置する説明は不適切です。
- イ:正しい。公開サーバを中間領域に置き、内部への波及を抑えるのがDMZの役割です。
- ウ:誤り。DMZでも通信制御は必須で、通常はファイアーウォールと組み合わせて運用します。
- エ:誤り。これはサンドボックスの説明で、DMZとは用途が異なります。
👉 判断ポイント
「公開が必要なサーバを内部から分離する構成か」でDMZを判断する。
まとめ(試験直前用)
- DMZ=外部と内部の間の中間領域
- 公開サーバを社内から切り離して配置
- 目的は「侵入されても被害を限定する」
- 防御そのものではない(FWやIPSとセット)
- 「内部に置くかDMZに置くか」で判断する