DMZとは何？DMZを導入するメリット3つや構築する際のポイントを解説

テクノロジー
ネットワーク

公開日時: 2020-07-21 　更新日時: 2022-06-28

この記事でわかること

DMZ（非武装地帯）とはどんなネットワーク領域？

DMZ（非武装地帯）とは、外部に公開するために隔離した内部ネットワークのことです。英語では「Data Management Zone」「Demarcation Zone」「Perimeter Network」「demilitarized zone」などと呼ばれており、「demilitarized」の意味は「非武装」で、「zone」の意味は「地域・区域」です。日本語では「非武装地帯」となります。

またDMZの特徴は、外部ネットワークから内部ネットワークに不法な接続を試みたとしても、DMZ内のホストからは、内部におけるネットワークに接続することができないことです。

メールサーバ、ウェブサーバ、DNSコンテンツサーバ、Proxyサーバなど、外部ネットワークといった外部ネットワークからアクセスしやすいサーバのために使われます。

DMZの一般的な公開サーバ3つ

ここでは、DMZの一般的な公開サーバの種類を3つご紹介します。DMZの主な公開サーバには、「Web サーバ」「DNS サーバ」「メールサーバ」の3種類があります。それぞれのサーバの特徴について詳しく説明しますので、ぜひ参考にしてみてください。

1：Web サーバ

DMZの一般的な公開サーバの種類1つ目は、「Web サーバ」です。

「Web サーバ」のセキュリティには「Web サーバソフトセキュリティ」「Webアプリケーションセキュリティ」「OSセキュリティ」の3つで構成されています。OSのセキュリティは基本的なマシンのセキュリティだといえます。

また、Webアプリケーションのセキュリティでは、アプリケーションの脆弱性においてのセキュリティを考える必要があります。

2：DNS サーバ

DMZの一般的な公開サーバの種類2つ目は、「DNS サーバ」です。

「DNS サーバ」とは、「Domain Name System」の略で、ドメイン名からIPアドレスなどを得る「解決」を行うシステムが「Domain Name System」です。

また、ネットワーク上で情報を提供する仕組みが「Domain Name System」で、それを担う各サーバが「DNSサーバ」です。「DNSサーバ」には「DNSコンテンツサーバ」「DNSキャッシュサーバ」といった2種類があります。

3：メールサーバ

DMZの一般的な公開サーバの種類3つ目は、「メールサーバ」です。

外部からのメールを受信するためにはDMZに外部メールサーバを設置する必要があります。外部メールサーバしかない場合ですと、自社に送られたメールが攻撃されるリスクがあるからです。

しかし、内部メールサーバを設置し、送られてきたメールを内部に保存するとそれを防ぐことができます。メールの機密性を高めるメリットもあり、内部メールサーバと外部メールサーバを分けるのはこのためです。

DMZを導入するメリット3つ

ここでは、DMZを導入するメリットを3つご紹介します。DMZを導入するメリットには「攻撃被害を最小限にすること」「標的型攻撃に強いこと」「情報漏えい対策になること」の3つがあります。

1：攻撃被害を最小限にする

DMZを導入するメリット1つ目は、「攻撃被害を最小限にすること」です。

組織外からアクセス可能で外部から攻撃を受けやすいのは、「外部向けメールサーバ」「Webサーバ」「DNSサーバ」です。また、外部向けメールサーバは設定を改ざんされ、SPAMメールの温床にされる恐れもあります。

しかし、DMZを導入することにより被害を最小限に抑えることができます。

2：標的型攻撃に強い

DMZを導入するメリット2つ目は、「標的型攻撃に強いこと」です。

ITの技術が発展し便利な時代になりましたが、ITの技術を悪用し犯罪に利用する人も増えています。その代表的なものがサイバー攻撃です。

これはインターネットなどのネットワークを通してネットワーク機器を攻撃し、ダメージを与えたり、保管されている情報を盗み出したりすることです。

また、このような標的型攻撃は特に危険性が高く検知しにくいものです。しかし、DMZを導入することで、このような標的型攻撃から免れることができます。

3：情報漏洩対策になる

DMZを導入するメリット3つ目は、「情報漏洩対策になること」です。

個人情報や機密情報が集約されたサーバは、攻撃者にとっては金のなる木といってもよいでしょう。そのため、データベースサーバに対するセキュリティが強化されるようになりました。

DMZを導入することにより、設定およびデータファイルを保護することで、データが盗まれるといった攻撃を防ぐことができます。また、サーバ管理者の不正を最小限に抑えたり、ログによる監査を行ったりすることができます。

DMZを導入するデメリット2つ

ここでは、DMZを導入するデメリットを2つご紹介します。DMZを導入するデメリットには「公開サーバへの攻撃は防御できない」「設定が複雑」の2つがあります。

それではDMZを導入する際のデメリットを見てみましょう。

1：公開サーバへの攻撃は防御できない

DMZを導入するデメリット1つ目は、「公開サーバへの攻撃は防御できない」です。DMZセグメント内に公開サーバを設置すれば内部ネットワークへの攻撃を防ぐことができますが、公開サーバ自体は攻撃を防ぐ手段を持っていません。

2：設定が複雑

DMZを導入するデメリット2つ目は、「設定が複雑」です。DMZはファイアウォールを組み合わせてネットワークを構築するため、3つのセグメントが存在することになります。そのため設定が難しく、ヒューマンエラーの原因になります。

DMZの仕組みとは？

DMZは内部ネットワークとインターネットとを繋ぐ仕組みですが、その間にファイアウォールを挟んでいます。ここではDMZにおける「公開サーバを設置する意味」と「ステートフルインスペクション」についてご紹介します。

公開サーバを設置する意味

DMZセグメントに公開サーバを設置しておくことで、サイバー攻撃などを防御して、内部ネットワークへの被害を防ぐことができます。しかし公開サーバ自体は攻撃を防げないため、IDSやWAFなどの多重の対策を行うことが大切です。

ステートフルインスペクションとは？

ステートフルインスペクションとは、パケットフィルタリング型ファイアウォールの機能で、通信内容から通信の通過可否を判断するものです。ステートフルインスペクションによって、ファイアウォールに到達したパケットの不正なやりとりを排除することができます。

DMZの構成例

DMZの構成例には、FW1台の場合とFW2台の場合という2つのパターンがあります。ここではそれぞれの場合のメリットとデメリットを詳しく説明しますので、ぜひ参考にしてみてください。

FW1台の場合

FW1台の場合は、インターネットと内部ネットワークの間にファイアウォールを設け、DMZ専用インターフェイスを設置します。FW1台の場合のメリットとデメリットについて例を挙げて説明します。

DMZ専用インターフェイスを設けるメリットは、購入・管理すべきファイアウォールが１台ですむことと、容易に実装が可能なことです。

一方、DMZ専用インターフェイスを設けるデメリットは、データベースサーバがWebサーバと分かれていないことや、ネットワークアダプタを2つまでしか装着できない製品があるということです。

FW2台の場合

FW2台の場合は、DMZセグメントをファイアウォールで挟み込むことになり、データセンターなどWANを挟む際に構成されることが多い形です。FW2台の場合のメリットとデメリットについて例を挙げて説明します。

FW2台のメリットは、データベースサーバとWebサーバが分かれることと、Webサーバが他のネットワークから分離されているということです。

一方、FW2台のデメリットは、ファイアウォールを2台用意しなければならない点と、内部におけるネットワークが、Webサイト環境の稼働状況による影響を受ける可能性があるということです。

DMZを構築する際のポイント3つ

ここでは、DMZを構築する際のポイントを3つご紹介します。DMZを構築する際のポイントは「TCP・UDPポートからの脅威を防ぐ手立ても考える」「影響を受けにくいネットワーク構成を考える」「同じセグメントに重要データサーバを置かない」の3つです。

1：TCP・UDPポートからの脅威を防ぐ手立ても考える

DMZを構築する際のポイント1つ目は、「TCP・UDPポートからの脅威を防ぐ手立ても考えること」です。

TCP・IPの世界では、HTTPは80番、SMTPは25番とサーバの待ち受けポートがあらかじめ決まっているため、これらのポートを閉じて通信を遮断してしまえば、外部からの攻撃を防ぐだけではなく、内部の不正利用も止めることができます。

2：影響を受けにくいネットワーク構成を考える

DMZを構築する際のポイント2つ目は、「影響を受けにくいネットワーク構成を考えること」です。公開サーバを攻撃から守るためには多重化した対策を行う必要があります。以下にその例を挙げておきます。

まず、IDS（侵入検知システム）とDMZを併用：既知の攻撃パターンを登録して対比することで、不正アクセスを検出することができます。

そして、WAF（Webアプリケーション・ファイアウォール）とDMZを併用：Webシステムの保護に特化しているWAFとDMZを併用しセキュリティを高めましょう。

3：同じセグメントに重要データサーバを置かない

DMZを構築する際のポイント3つ目は、「同じセグメントに重要データサーバを置かないこと」です。

近年、Webアプリケーションやミドルウェアの脆弱性を狙い、不正プログラムを大量に送り込む「バッファ・オーバーフロー攻撃」が増加しています。公開サーバがバッファ・オーバーフロー攻撃された場合、ファイアウォールではこれを防ぎきれません。

そのため、DMZ内のサーバは大きな被害を受ける可能性が大きいでしょう。

DMZを導入しよう

今回は、DMZ（非武装地帯）とはどんなネットワーク領域なのかについてや、DMZ を導入するメリットについて詳しくご紹介しました。

ファイアウォールとDMZだけでは防げないアクセスもありますが、DMZを内部ネットワークと外部ネットワークの間に構築することにより、内部ネットワークへの侵入を防ぐことができます。

Webセキュリティ対策を考える際には、いろいろな層からのアクセスを考え、必要なシステムを導入するようにしましょう。

FEnetを運営しているネプラス株式会社はサービス開始から10年以上
『エンジニアの生涯価値の向上』をミッションに掲げ、
多くのインフラエンジニア・ネットワークエンジニアの就業を支援してきました。

ネプラス株式会社はこんな会社です

秋葉原オフィスにはネプラス株式会社をはじめグループのIT企業が集結！
数多くのエンジニアが集まります。

インフラ業界に特化

ネットワーク・サーバー・データベース等、ITインフラ業界に特化。Cisco Systemsプレミアパートナーをはじめ各種ベンダーのパートナー企業です。

業界を知り尽くしているからこそ大手の取引先企業、経験豊富なエンジニアに選ばれています。
正社員なのにフリーランスのような働き方

正社員の方でも希望を聞いたうえでプロジェクトをアサインさせていただいており、フリーランスのような働き方が可能。帰社日もありません。

プロジェクト終了後もすぐに次の案件をご紹介させていただきますのでご安心ください。
大手直取引の高額案件

案件のほとんどが大手SIerやエンドユーザーからの直取引のためエンジニアの皆様へに高く還元できています。

Ciscoをはじめ、Juniper、Azure、Linux、AWS等インフラに特化した常時300件以上の案件があります。
スキルアップ支援

不要なコストを削減し、その分エンジニアの方へのスキルアップ支援(ネットワーク機器貸出、合格時の受験費用支給など)や給与で還元しています。

受験費用例）CCNP,CCIE:6-20万円、JNCIS:3-4万円、AWS:1-3万円など

※業務に関連する一定の資格のみ。各種条件がありますので詳しくは担当者へにお尋ねください。
現給与を保証します！※

前職の給与保証しており、昨年度は100%の方が給与アップを実現。収入面の不安がある方でも安心して入社していただけます。

※適用にはインフラエンジニアの業務経験1年以上、等一定の条件がございます。
インセンティブ制度

ネットワーク機器の販売・レンタル事業等、売上に貢献いただいた方にはインセンティブをお支払いしています。

取引先企業とエンジニア側、双方にメリットがあり大変好評をいただいています。
社会保険・福利厚生

社員の方は、社会保険を完備。健康保険は業界内で最も評価の高い「関東ITソフトウェア健康保険組合」です。

さらに様々なサービスをお得に利用できるベネフィットステーションにも加入いただきます。
東証プライム上場企業グループ

ネプラスは東証プライム上場「株式会社夢真ビーネックスグループ」のグループ企業です。

安定した経営基盤とグループ間のスムーズな連携でコロナ禍でも安定した雇用を実現させています。