好きな所から読む
「DMZ」と言う用語を聞いたことがあるでしょうか?「DMZとは」をキーワードにネットサーフィンすると「非武装地帯 (DMZ)(ひぶそうちたい、DeMilitarized Zone)は、元来は軍事用語で、紛争地域の軍事境界線地域に取り決めた軍事活動を禁じられた地域のことを指します。それでは軍事用語がICT用語と関係があるのでしょうか?本記事で分かりやすく解説します。
⇒DMZもゼロトラストなら安全にできる!ゼロトラストの原理・原則に関する資料を今だけ無料プレゼント中!
「非武装地帯(DMZ)」の単語がICT用語にも使用される理由は、企業・団体・その他組織が有する内部のネットワーク環境(イントラネット環境)と外部のインターネット環境を接続するための中間ポイントとなる場所を「非武装地帯(DMZ)」としたようです。軍事用語の「非武装地帯(DMZ)」は両社が自由に往来できる地域と同様に、内部ネットワーク環境(イントラネット環境)と外部インターネット環境との接続を容易にする地点を示しています。「非武装地帯(DMZ)」からICT用語に流用されていますが、機密情報・機密保護・防火壁・防衛などの「セキュリティー」関連用語ではありません。ネットワーク構成一般に通用する用語になっています。
企業・団体・その他組織が有するプライベートのネットワーク環境(イントラネット環境)と外部インターネット環境を、論理的に接続しながら、隔離して内側の安全性を高位に保ちます。さらに、公開Webサーバーなどと外側からのアクセスと内側からの管理の利便性を両立させるなどの目的で、双方の中間ポイントに「非武装地帯(DMZ)」として設けられるネットワーク領域のことを示しています。「DMZ」は企業・団体・その他組織が有する内部ネットワーク環境(イントラネット環境)の一部を分離して外部から「ファイアウォール」を介して接続可能な状態にしたものです。
外部からのアクセスを可能とする必要がある「Webサーバー」「DNSサーバー(DNS(Domain Name System:ドメインネームシステム)は、インターネットなどのIPネットワーク上でドメイン名(ホスト名)とIPアドレスの対応関係を管理するシステムです。)、メールサーバーなどを運用するために設定されることが多いようです。「DMZ」よりも内側のネットワーク(企業・団体・その他組織が有する内部ネットワーク環境(イントラネット環境))へは、外部インターネット環境からの接続することは出来ない仕組みになっています。
また、内部ネットワーク(企業・団体・その他組織が有する内部ネットワーク環境(イントラネット環境))のうち「ファイアウォール」で保護されずに、無防備な状態で外部インターネット環境に接続されている領域を「バリアセグメント」と言います。外部インターネット環境からの通信回線を直接接続するルーターやスイッチングハブなどを設置しますが、公開サーバーなどを設置するケースがあります。
DMZとは
「DMZ」とは何か?紹介します。「DMZ」はDeMilitarized Zoneの略称で、直訳すると「非武装地帯」です。ICT業界の用語として使用されていますが、企業・団体・その他組織が有する内部ネットワーク環境(イントラネット環境)と外部インターネット環境の中間域に設定するネットワーク上の区域(セグメント)を示しています。外部インターネット環境からも内部ネットワーク環境(インターネット環境)からも「ファイアウォール」によって隔離されています。
この隔離された「DMZ」セグメント内にセキュリティー機能を有したサーバーを設置する・「ファイアウォール専用機」を設置する等でセキュリティー強化を図ることができます。また「DMZ」セグメント内に外部公開向けのサーバー機を設置して、社内ネットワーク環境(イントラネット環境)と隔離することで、内部ネットワーク環境(イントラネット環境)への不正アクセス・サイバー攻撃を防御して、コンピューター・ウイルスなどの感染拡大を防ぐことができます。社内の業務システムへの不正侵入を防御して、機密情報の漏洩を阻止するというわけです。
一般的な「DMZ」セグメントへの機器導入の構成は、2台の「ファイアウォール機能有した機器」を設置します。構成は①内部ネットワーク環境(イントラネット環境)⇔②「ファイアウォール機能を有した機器」⇔③「DMZ」セグメント⇔④「ファイアウォール機能を有した機器」⇔⑤外部インターネット環境の接続方法になります。①~⑤の配置・構成で機器を設置することで、セキュリティーの強度が高位になります。前記の構成は費用が掛かりますので、②④「ファイアウォール機能を有した機器」のいずれかを割愛した構成で運用するケースがあります。但し、セキュリティーの強度が劣ります。
⇒DMZもゼロトラストなら安全にできる!ゼロトラストの原理・原則に関する資料を今だけ無料プレゼント中!
非武装地帯とも言う
「DMZ」は「非武装地帯」とも言います。元来「DMZ」とは「非武装地帯」と言う軍事用語です。前章で説明しましたが、「非武装地帯」とは、紛争地域の軍事境界線地域に取り決めた軍事活動の禁じられた地域のことを指します。「DMZ」は「Demilitarized Zone =デミリタライズド・ゾーン」が正式名称です。上記の下線部分の3文字をとり「DMZ」になりました。Demilitarized(デミリタライズド)の和訳の意味は「非武装」で、Zone(ゾーン)和訳の意味は「地域」または「区域」になります。
例えば、隣国の大韓民国と朝鮮民主主義人民共和国の国境地帯である軍事境界線(北緯38度線)は「非武装地帯」です。ところで、ICT用語の「DMZ(非武装地帯)」とはネットワーク環境上の共有スペース的な区域を言います。企業・団体・その他組織が有する内部ネットワーク環境(イントラネット環境)と外部インターネット環境の接続中間地点で、内部からまたは外部から覗けるようにした区域を言います。
ネットワーク上に存在する
「DMZ」はセグメント設定をするので、ネットワーク上に存在します。内部ネットワーク環境(イントラネット環境)は「ファイアウォール」を経由して、外部インターネット環境に接続します。「ファイアウォール」と外部のインターネット環境の中間地点に、「DMZ(非武装地帯)」を設けることで、外部インターネット環境へのアクセスを可能にします。さらに、内部ネットワーク環境(イントラネット環境)を保護・防御する仕組みです。
ファイアウォールとの関係
「DMZ」と「ファイアウォール」との関係を紹介します。従来のネットワーク構築する方法として、内部ネットワーク環境(イントラネット環境)⇔「ファイアウォール」⇔「DMZ」⇔外部のインターネット環境の接続形態が一般的でした。現在・今後は、内部ネットワーク環境(イントラネット環境)⇔「ファイアウォール」⇔「DMZ」⇔「ファイアウォール」⇔外部のインターネット環境の形態に移行して、セキュリティー対策を高める構成になっています。
DMZの仕組み
「DMZ」の仕組みを紹介します。内部ネットワーク環境(イントラネット環境)から外部ネットワークのアクセスを可能にして、内部ネットワーク(イントラネット環境)への不正アクセス・サイバー攻撃を防御する役割を「DMZ」が担います。
今までの構成は、内部ネットワーク環境(イントラネット環境)と外部インターネット環境の中間ポイントにある「ファイアウォール」から、ネットワーク・セグメントを分岐させて「DMZ」セグメントを設ける方法が一般的でした。前章で紹介しましたが、より強固なセキュリティー対策を講じるために、内部ネットワーク環境(インターネット環境)と外部インターネット環境の間に2つの「ファイアウォール」を設けて「DMZ」セグメントを挟み込む構成が主流になっています。
⇒DMZもゼロトラストなら安全にできる!ゼロトラストの原理・原則に関する資料を今だけ無料プレゼント中!
DMZのメリット
「DMZのメリット」を紹介します。「DMZ」を設定することで、内部ネットワーク環境(イントラネット環境)・外部インターネット環境および「DMZ」セグメントは、それぞれが隔離されたネットワークになります。
それぞれが隔離させたことでのメリットは、①標的型攻撃に強いことです。②情報漏洩を防げることです。これから前記のメリットを紹介します。
標的型攻撃に強い
「DMZのメリット」第1は「標的型攻撃に強いこと」です。「標的型攻撃」とは、Targeted threat または Targeted attackの英語表記です。「標的型攻撃」は、特定の企業・団体・その他組織内の情報を狙って行われるサイバー攻撃の一種類です。その攻撃対象先の構成員宛てにコンピューター・ウイルスが添付された電子メールを送ることで、攻撃が開始されます。該当のコンピューター・ウイルスは感染した機器に潜伏して、標的型攻撃を継続して行う恐ろしい行為です。この「標的型攻撃」を防御するためにWebサーバーを「DMZ」セグメントに設置して、外部インターネット環境からのアクセスを容認して、企業・団体・その他組織の内部ネットワーク環境(イントラネット環境)へのアクセスを遮断します。不正アクセス・サイバー攻撃の被害を最小限に抑えて、ネットワーク環境のセキュリティー耐性を強固にします。
情報漏えいが防げる
「DMZのメリット」第2は「情報漏洩を防げること」です。前章で説明したように、機密情報を保護するために、Webサーバーを「DMZ」セグメントに設置して、外部インターネット環境からのアクセスを容認して、企業・団体・その他組織の内部ネットワーク環境(イントラネット環境)へのアクセスを遮断します。強固に隔離・分離された「DMZ」セグメントが構築されて、情報漏洩を抑止します。また、この設定により、外部インターネット環境からの攻撃防御以外に、ウイルス感染したパーソナルコンピューターが内部ネットワーク(イントラネット環境)に接続した場合、アクセスを遮断する効果があります。
DMZのデメリット
「DMZのデメリット」を紹介します。「DMZ」は「ファイアウォール」と併設して構築することが基本構成です。単体で「DMZ」セグメントを設定してもメリットはありません。外部インターネット環境と内部ネットワーク環境(イントラネット環境)を「ファイアウォール」で隔離したとき、「DMZ」セグメントを設定したデメリットがあります。デメリットは、①設定が煩雑になりやすいことです。②公開サーバーへの攻撃は防げないことです。これから前記デメリットを紹介します。
設定が煩雑になりやすい
「DMZのデメリット」①「設定が煩雑になりやすいこと」を紹介します。「ファイアウォール」と「DMZ」を組み合わせて構築されたネットワークは、内部ネットワーク(イントラネット環境)・外部インターネット環境・DMZセグメントの3タイプの隔離されたセグメントが存在します。「DMZ」セグメントに置かれたWebサーバーは、外部インターネット環境と接続するポート(入出力口)を開きます。内部ネットワーク環境へのポートは遮断します。プロキシサーバー(内部ネットワークの公開代理サーバー)は両方のポートを開きます。「DMZ」セグメント上に存在するサーバーは、用途による環境設定をする必要があります。設定の煩雑さが人的ミスを生じるケースがあり得ます。
公開サーバーへの攻撃が防げない
「DMZのデメリット」②「公開サーバーへの攻撃は防げないこと」を紹介します。外部のインターネット環境は信頼性が脆弱で、セキュリティー面で危険な領域です。「DMZ」セグメント上に公開サーバーを設置することで、不正アクセス・サイバー攻撃を防御して内部ネットワーク(イントラネット環境)への被害を防ぐことができます。しかし、公開サーバーは攻撃を完全に防御する方法がありません。公開サーバーは内部ネットワーク環境(イントラネット環境)を防御する楯として運用することになるようです。
DMZの設定方法・構築するポイント
「DMZの設定方法と構築するポイント」を紹介します。「DMZ」は「ファイアウォール」と併設することで、内部ネットワーク環境(イントラネット環境)を標的型攻撃から保護して、情報漏洩を防ぐ効果があります。テキスト通りの設定方法・構築方法を施したケースでも完全に安心・安全と言い切れないようです。しかし、工夫をすることで、強固なセキュリティー・システムを構築することができます。これからポイントを紹介していきます。
対策を多重化する
「セキュリティー対策を多重化する」ことで防御する機能を強固にしていきます。第1に不正アクセス・サイバー攻撃を検知する侵入検知システム(IPS・IDS)を導入することです。検知した情報は管理者に通報される仕組みです。第2にWebシステムの保護に特化したWebアプリケーション・ファイアウォール(WAF)を、「DMZ」と併用して適用することで、セキュリティー機能を多重化することができます。
重要情報は公開サーバーと同じセグメントに置かない
「重要情報は公開サーバーと同じセグメントに置かないこと」を紹介します。公開サーバーがサイバー攻撃されたとき、「ファイアウォール」では防御する限界があり得ます。そのため、隣接する内部ネットワーク(イントラネット環境)に影響がないと言い切れません。「DMZ」セグメント内のサーバーは大きな被害を受けると覚悟が必要です。外部インターネット環境とアクセスを行う公開サーバーと同じセグメント上に、重要情報サーバーを配置せずに、安全な内部ネットワーク環境(イントラネット環境)に配置することが重要です。
まとめ
「DMZ」セグメントの設置が必須ですが、過信はNGです。「DMZ」セグメントには公開サーバーを配置しますが、同一のセグメントに社内サーバーを配置してはいけません。とくに機密情報・顧客情報は比較的安全な内部ネットワーク環境(イントラネット環境)に配置しましょう。不正アクセス・サイバー攻撃は日々進化しています。テキスト通りにセキュリティー対策を施しても絶対に安全とは言い切れません。リスクを最小限にするために「DMZ」を含む、セキュリティー機能の最新化を施しましょう。
⇒DMZもゼロトラストなら安全にできる!ゼロトラストの原理・原則に関する資料を今だけ無料プレゼント中!
