まず結論

• DMZとは、インターネットと社内ネットワークの間に設ける中間領域であり、公開サーバを安全に運用するための仕組みで、SG試験では「内部ネットワークを直接守る構成か」が問われる。

直感的な説明

• 社内ネットワークを「本丸」とすると、DMZは「外との間にある前線基地」です。
• 外部に公開するサーバ（Webサーバなど）を、社内の中ではなく「一段外」に置くイメージです。

こうすることで：

• 外部からアクセスはできる
• でも社内ネットワークには直接入れない

という状態を作れます。

定義・仕組み

DMZ（DeMilitarized Zone）は、外部ネットワーク（インターネット）と内部ネットワーク（社内LAN）の間に設ける中間領域です。

主な目的

• 公開サーバを安全に配置する
• 万が一侵入されても内部ネットワークへの影響を防ぐ

構成のポイント

一般的にはファイアーウォールで分離します：

• インターネット ⇔ DMZ
• DMZ ⇔ 社内ネットワーク

このように「2段階」で通信を制御します。

配置されるもの

• Webサーバ
• メールサーバ
• DNSサーバ

→ 外部公開が必要なものだけを置く

どんな場面で使う？

使うべき場面

• 外部公開するサーバがある場合
• 社内ネットワークを直接インターネットにさらしたくない場合
• セキュリティレベルを分けて管理したい場合

使うと誤解しやすい場面

• DMZに置けば安全になると考える場合

理由：

• DMZは「隔離する仕組み」であり
• 攻撃を防ぐ仕組みそのものではない（防御は別途必要）

よくある誤解・混同

❌ よくある誤解

• DMZは攻撃を防ぐ装置
• DMZに置けばセキュリティ対策は不要

⭕ 正しい理解

• DMZは「配置場所（ネットワーク構成）の考え方」
• 防御はファイアーウォールやIPSなどが担当

SG試験でのひっかけポイント

• 「外部公開サーバを社内LANに直接置く」
  → 不適切（DMZを使うべき）

• 「DMZに置けば侵入されない」
  → 誤り（侵入はあり得るが影響を限定する）

• 「内部ネットワークを直接守る構成」
  → DMZを介して分離しているかが重要

SG試験では
「どこにサーバを置くべきか」
を判断させる問題がよく出ます。

確認問題（SG試験対策）

次のうち、最も適切なものはどれか。

A. DMZは、社内の機密データベースを外部公開するために内部ネットワーク内へ直接配置する構成である。
B. DMZは、公開サーバを内部ネットワークから分離して配置し、侵入時の影響を内部に広げにくくするための中間領域である。
C. DMZを設置すれば、ファイアーウォールによる通信制御は不要になる。
D. DMZは、マルウェアを安全に実行して挙動分析するための隔離環境を指す。

答えと解説を見る

正解：B

解説

• A：誤り。DMZの目的は内部ネットワークと分離することであり、内部へ直接配置する説明は不適切です。
• B：正しい。公開サーバを中間領域に置き、内部への波及を抑えるのがDMZの役割です。
• C：誤り。DMZでも通信制御は必須で、通常はファイアーウォールと組み合わせて運用します。
• D：誤り。これはサンドボックスの説明で、DMZとは用途が異なります。

👉 判断ポイント
「公開が必要なサーバを内部から分離する構成か」でDMZを判断する。

まとめ（試験直前用）

• DMZ＝外部と内部の間の中間領域
• 公開サーバを社内から切り離して配置
• 目的は「侵入されても被害を限定する」
• 防御そのものではない（FWやIPSとセット）
• 「内部に置くかDMZに置くか」で判断する

🔗 関連記事

• アクセス制御モデルとは？RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
• ブラックリストとホワイトリストの違いとは？判断基準を整理【情報セキュリティマネジメント】
• 証明書失効（CRL / OCSP）とは？無効な証明書の見分け方【情報セキュリティマネジメント】
• クライアントサーバーシステムとは？役割分担の考え方を理解する【情報セキュリティマネジメント】
• よく出るポート番号とは？試験での見分け方を整理【SG試験】

---

🏠 情報セキュリティマネジメントトップに戻る

← パケットフィルタリングとは？通信を制御する基本技術【情報セキュリティマネジメント】 VPNとは？安全な通信を実現する仕組み【情報セキュリティマネジメント】 →