【でぃーえむぜっと】

DMZ とは?

最終更新:
💡 外向けサーバを置く「バッファゾーン」、内部ネットワークを守るための緩衝地帯
📌 このページのポイント
インター ネット 外部 ファイアウォール OK NG DMZ Webサーバー メールサーバー 公開サービスを配置 ファイアウォール 制限あり 内部ネットワーク PC DBサーバー DMZで公開サーバと内部ネットワークを隔離する
外部と内部の間に置く中間的なネットワーク領域
ひよこ ひよこ
DMZってどんな仕組みなの?
ペンギン先生 ペンギン先生
外部ネットワーク(インターネット)と内部ネットワーク(社内)の間に設ける「中間地帯」だよ。Webサーバなどの外部公開サーバをここに置くことで、万が一攻撃されても内部ネットワークへの影響を防ぐ。
ひよこ ひよこ
なんでサーバを内部に置いてはダメなの?
ペンギン先生 ペンギン先生
外部公開サーバは攻撃リスクが高い。もし侵害されたとき、サーバが内部ネットワークにある状態だと、そこを踏み台に社内の全システムに攻撃される。DMZに隔離すれば被害を限定できる。
ひよこ ひよこ
ファイアウォールとの関係は?
ペンギン先生 ペンギン先生
ファイアウォールが3つのゾーンを管理する。「インターネット→DMZのHTTPS(443)はOK」「DMZ→内部ネットワークは原則NG」という設定で守る。高可用性システムでは外側と内側に2台のファイアウォールを配置することもある。
ひよこ ひよこ
クラウドにもDMZの考え方はあるの?
ペンギン先生 ペンギン先生
あるよ。AWSならパブリックサブネットがDMZに相当して、ALBやNATゲートウェイを置く。プライベートサブネットが内部ネットワーク。Security GroupとNACLでゾーン間のトラフィックを制御する。実はDMZの「2つのファイアウォールで挟む」構成はPCI DSS(クレジットカード業界のセキュリティ基準)で明確に要求されていて、ECサイトを運営するなら避けて通れない知識なんだ。
ひよこ ひよこ
DMZに置くサーバーの管理で気をつけることはあるの?
ペンギン先生 ペンギン先生
DMZのサーバーは「攻撃される前提」で設計するのが鉄則。不要なサービスは全部止める、OSとミドルウェアのパッチを最速で当てる、ログを内部のSIEMに転送して監視する。あと意外と見落とされるのが「DMZ→内部への通信」で、侵害されたサーバーからの横展開を防ぐために、アウトバウンドも厳しく制限しておくことが大事だよ。
ペンギン
まとめ:ざっくりこれだけ覚えればOK!
DMZって出てきたら「外部公開サーバを置くバッファゾーン、万が一侵害されても内部ネットワークを守る設計」と思えばOK!
📖 おまけ:英語の意味
「DeMilitarized Zone」 = 非武装地帯
💬 朝鮮半島の非武装地帯(DMZ)から転用されたセキュリティ用語。軍事的な「緩衝地帯」の概念をネットワーク設計に適用した
← 用語集にもどる