DMZとは何ですか？

内部ネットワークとインターネットの間に設けた「非武装地帯」のネットワーク領域。外部公開サーバを置き、内部ネットワークへの直接アクセスを防ぐ。

DMZのポイントは？

「DeMilitarized Zone（非武装地帯）」の略で、軍事用語から転用された概念。WebサーバやDNSサーバなど外部公開サーバをDMZに配置する。インターネット→DMZは許可、DMZ→内部ネットワークは制限するのが基本設計。ファイアウォールで3つのゾーン（外部・DMZ・内部）を分離して管理する

【でぃーえむぜっと】

DMZ とは？

💡 外向けサーバを置く「バッファゾーン」、内部ネットワークを守るための緩衝地帯

📌 このページのポイント

「DeMilitarized Zone（非武装地帯）」の略で、軍事用語から転用された概念
WebサーバやDNSサーバなど外部公開サーバをDMZに配置する
インターネット→DMZは許可、DMZ→内部ネットワークは制限するのが基本設計
ファイアウォールで3つのゾーン（外部・DMZ・内部）を分離して管理する

外部と内部の間に置く中間的なネットワーク領域

ひよこ

DMZってどんな仕組みなの？

ペンギン先生

外部ネットワーク（インターネット）と内部ネットワーク（社内）の間に設ける「中間地帯」だよ。Webサーバなどの外部公開サーバをここに置くことで、万が一攻撃されても内部ネットワークへの影響を防ぐ。

ひよこ

なんでサーバを内部に置いてはダメなの？

ペンギン先生

外部公開サーバは攻撃リスクが高い。もし侵害されたとき、サーバが内部ネットワークにある状態だと、そこを踏み台に社内の全システムに攻撃される。DMZに隔離すれば被害を限定できる。

ひよこ

ファイアウォールとの関係は？

ペンギン先生

ファイアウォールが3つのゾーンを管理する。「インターネット→DMZのHTTPS(443)はOK」「DMZ→内部ネットワークは原則NG」という設定で守る。高可用性システムでは外側と内側に2台のファイアウォールを配置することもある。

ひよこ

クラウドにもDMZの考え方はあるの？

ペンギン先生

あるよ。AWSならパブリックサブネットがDMZに相当して、ALBやNAT ゲートウェイを置く。プライベートサブネットが内部ネットワーク。Security GroupとNACLでゾーン間のトラフィックを制御する。実はDMZの「2つのファイアウォールで挟む」構成はPCI DSS（クレジットカード業界のセキュリティ基準）で明確に要求されていて、ECサイトを運営するなら避けて通れない知識なんだ。

ひよこ

DMZに置くサーバーの管理で気をつけることはあるの？

ペンギン先生

DMZのサーバーは「攻撃される前提」で設計するのが鉄則。不要なサービスは全部止める、OSとミドルウェアのパッチを最速で当てる、ログを内部のSIEMに転送して監視する。あと意外と見落とされるのが「DMZ→内部への通信」で、侵害されたサーバーからの横展開を防ぐために、アウトバウンドも厳しく制限しておくことが大事だよ。

まとめ：ざっくりこれだけ覚えればOK！

DMZって出てきたら「外部公開サーバを置くバッファゾーン、万が一侵害されても内部ネットワークを守る設計」と思えばOK！

📖 おまけ：英語の意味

「DeMilitarized Zone」＝非武装地帯

💬 朝鮮半島の非武装地帯（DMZ）から転用されたセキュリティ用語。軍事的な「緩衝地帯」の概念をネットワーク設計に適用した

← 用語集にもどる