DMZはネットワークのセキュリティ強化にマスト

　インターネットのセキュリティに有効となるDMZの内容と設置方法について紹介しています。DMZは非武装地帯と呼ばれることもあり、インターネットの外部と内部のネットワークの中間地点に作られるネットワークのセグメントです。DMZはファイアウォールと併設して設置する方法が一般的ですが、それ以外にもセキュリティ機能を高める方法も存在します。また、DMZのメリットだけではなくデメリットについても紹介しているので参考にしてください。

DMZとはインターネットの外部と内部をつなぐセグメント

　インターネットに接続する際に、ユーザー情報や端末保護するために設けられるのがDMZという領域です。まずはDMZの概要について解説します。

DMZとは

　DMZは「De Militarized Zone」の略であり、直訳すると「非武装地帯」です。元々は軍事政治的な用語であり、その名の通り「武装しない領域」が非武装地域です。コンピュータやネットワークの世界で使用される場合、外部と内部のネットワークの中間地点に作られるセグメントを指すことが一般的です。なお、セグメントは「断面・分割」という意味です。

　企業内や家庭内ではLANという小さなネットワークが構成され、パソコンやプリンタはLANに接続することで互いに通信ができます。各LANは複雑に絡み合い、インターネットという大きなネットワークを形成します。このLANという限定範囲内のネットワークと、インターネットという大きなネットワークの中間地点に設けられるのがDMZです。

機密情報の漏えいを防止してくれるDMZ

　たとえば自社のウェブサーバーを使い、自社のウェブサイトをインターネット上で公開するとします。このとき、ウェブサイトは世界中のユーザーが閲覧することができます。その中に悪意を持ったユーザーがいれば、ウェブサーバーを乗っ取り、社内のネットワークに侵入して、内部の情報を悪用することもあり得ます。

　しかしDMZを設置すれば、外部のインターネットから内部のLANへの侵入にワンクッションを置くことができます。このようにDMZは、外部のインターネットと内部の社内ネットワークを区切り、社内ネットワークを保護する役割を果たします。業務システムや社内情報を守るのに効果的であるため、企業ネットワークには欠かせないシステムと言えます。

標的型攻撃に強いのはDMZのメリット

　DMZの主なメリットは、「標準攻撃に強いこと」です。標準攻撃とは、特定の企業や団体の情報を狙って行われるサイバー攻撃です。DMZ側から内部ネットワークへのアクセスは不可能であるため、標準攻撃によってウェブサーバーにウイルスが潜伏しても、DMZから内部ネットワークに侵入することはできません。

　このようにDMZを設けることで内部ネットワークを外部ネットワークから切り離し、不正アクセスを遮断できます。これにより、ウイルス被害を最小限に抑え、ネットワーク環境のセキュリティ体制を強固にするほか、内部の機密情報への不正アクセスを防ぐことが可能です。

ネットワークにはDMZと静的IPマスカレードのどちらが適切か

　DMZとよく比較されるシステムに「静的IPマスカレード」があります。ネットワークにおける静的IPマスカレードとDMZの有用性について解説します。

静的IPマスカレードとは

　静的IPマスカレードは、あらかじめ端末やユーザーに固定のポート番号を割り当てる仕組みです。ポートとはネットワークと端末をつなぐ出入口のことです。

　端末とポート番号が1対1で固定化されることにより、インターネット側から指定のパソコンにアクセスすることが可能になります。なお、従来のIPマスカレードではIPアドレスがアクセスごとに変更になる可能性があるため、インターネットから端末へのアクセスはできませんでした。

　静的IPマスカレードは、必要に応じてエントリーしておけば、特定のサイトから特定のパソコンへ直接アクセスすることも可能です。たとえばオンラインゲームや動画のストリーミングなどのアプリで使用されます。パソコンとネットワークをつなぎ合わせるという意味で静的IPマスカレードとDMZは似ていると言えます。

ポート番号が決まっていなければ非武装地帯に

　DMZと静的IPマスカレードの違いは、ポート番号の有無です。外部からのアクセスに対しポート番号が決まっていない場合にはDMZが使用されます。一方、事前にインターネット側に公開するポート番号が決まっている場合には静的IPマスカレードが用いられます。

　ポート番号とは前述のように、インターネットと端末をつなぐ出入口のことです。アプリケーションにポート番号が割り当てられることによって、コンピュータはそのアプリケーションへの到達経路を判別することができます。

専門知識がなければ静的IPマスカレードは難しい

　DMZと静的IPマスカレードのもう1つの大きな違いは、設定の難易度の差です。たとえばルーターを設定する際、DMZの設定は比較的簡単です。対して、IPマスカレードの構築は専門知識がなければ困難です。

　この設定の難易度の差は、セキュリティの精度の差につながります。DMZでは無条件に全通信がDMZ内のサーバーにたどり着きます。一方、静的IPマスカレードは指定したポートのみがルーターを通過するため、DMZよりも高度なセキュリティ対策が可能です。

DMZのデメリットと効果的な設置方法

　DMZにはメリットと同時にデメリットも存在します。しかし設置の方法次第では、デメリットは回避可能です。デメリットのリスクを減らし、DMZの効果を最大限に活用するためのポイントについて解説します。

公開サーバーへの被害を予防できない

　DMZの1つ目のデメリットは、サーバー自体を保護することはできないという点です。DMZは外部ネットワークと内部ネットワークに緩衝地帯を置くことで、内部ネットワークへの不正アクセスを防ぐシステムです。DMZにより内部ネットワークは保護される一方、外部と通信するウェブサーバー自体はDMZの保護対象にはなりません。

　あくまでウェブサーバーを経由する不正アクセスから内部ネットワークを保護することが目的であり、外部と通信するウェブサーバーへの攻撃を完全に防ぐことは不可能です。

　2つ目のデメリットとして、設定の煩雑さが挙げられます。「ファイアウォール」とDMZを組み合わせてネットワークを構成する場合、3つのセグメントがあり、用途に合わせてそれぞれの設定を調整しなければなりません。そのため人為的ミスが起きやすく、DMZを設定したつもりで機能していなかった、というケースが起こり得ます。

基本的なDMZの設置方法

　インターネットへの公開は、社内ネットワークの内部にウェブサーバーを設置しても可能です。しかし内部にサーバーを設置すると、外部からサーバーを経由したウイルスなどが社内ネットワークに侵入しやすくなります。

　リスクを下げるため、社内ネットワークとインターネットを切り離し、その間にワンクッションを設けるのがDMZです。DMZという中間地点にウェブサーバーを設置することで、外部と内部のネットワークを直接つながず、かつ、双方からウェブサイトにアクセスすることが可能になります。このように、外部公開された領域から社内ネットワークを守るのがDMZの特徴です。

ファイアウォールを併設した設置方法

　DMZは外部からの通信を全部サーバーにつなげるという弱点があります。その弱点を補うのが「ファイアウォール」です。ファイアウォールとは通信と通信のパーティションであり、DMZと併設することで、万が一ウェブサーバーがウイルス被害にあっても、内部のネットワークとサーバーを完全に遮断することが可能になります。

IDSやIPSを導入してDMZの弱みを補填

　ファイアウォールとDMZを組み合わせてセキュリティシステムを構築する場合には、IDS（侵入検知システム）とIPS（侵入防止システム）の導入がおすすめです。ファイアウォールはパケットを制御して通信を遮断することは可能ですが、パケットに悪意があるかどうかは判断できないからです。

　IDSは、不正アクセスと思われるパケットを検知すると、すぐにシステム管理者に通知するシステムです。一方、IPSには不正アクセスの検知だけでなく、過去のデータを参照して即座にアクセスを防御する機能があります。つまり、DMZとファイアウォールにIDSとIPSを導入すれば、悪意のあるパケットをすぐに排除することが可能になります。

アプリを使用する場合はWAFの導入が有効

　WAFとはウェブアプリケーションファイアウォールのことで、ウェブサイト内のウェブアプリケーションを狙った攻撃を防ぐシステムです。DMZやファイアウォールと組み合わせることで、よりセキュリティ体制を強化することができます。

DMZは企業のウェブサイトに必須

　インターネットに公開することは、自社のネットワークが外部攻撃にさらされていることでもあります。情報漏えいを防ぐためにも、DMZを設置して自社のネットワークを守らなければなりません。DMZはファイアウォールと併せて用いるのが一般的ですが、完璧な防御ではありません。静的IPSマスカレードなども利用しながら、強固なセキュリティ体制を築きましょう。