IT用語集
多要素認証(MFA)とは? その重要性や3つの認証要素について解説
DMZとは? わかりやすく10分で解説
目次
DMZ(Demilitarized Zone)とは?
DMZ(Demilitarized Zone)は、インターネットに見せるサーバーやサービスを、社内LANから切り分けて置くための領域です。公開サーバーを社内LANと同じ場所に置くと、侵入されたときに社内へ進む足場になりやすいため、外に出す仕組みを別の場所へ分けて守ります。
先に知っておきたい点
- DMZは、外部に見せる仕組みと社内LANを分けるための領域です
- Webサーバー、メール中継、DNS、リバースプロキシなどを置くことが多いです
- DMZを置くだけでは足りず、通す通信をしぼる設定と監視が欠かせません
DMZの基本
DMZは、社内ネットワークとインターネットの間に置く周辺のネットワーク領域です。公開向けのWebサーバー、メール中継、DNS、リバースプロキシなど、外から届くようにする仕組みをここへ置くことがよくあります。
ここで大切なのは、「DMZに置いたから安全」とは言えない点です。通してよい通信だけを残し、社内LANへそのまま進みにくい形にすることが、DMZのねらいです。多くの場合、外部からDMZへ入る通信と、DMZから社内LANへ向かう通信は、ファイアウォールなどで分けて扱います。
DMZという名前の由来
DMZという名前は、もともと軍事や政治の分野で使われる「非武装の地帯」に由来します。ネットワークでは、「外に見せる必要はあるが、社内LANと同じようには信頼しない場所」をたとえて表した言葉です。
企業がWeb公開やメール受信を行うようになると、外とつながる仕組みと社内の業務システムを分けて守る考えが広まりました。DMZは、その分け方を表す言葉として定着しています。
DMZの働き
DMZは、単なる置き場所ではありません。公開する仕組みが侵入された場合でも、被害が社内へ広がりにくくするための区切りです。
公開する仕組みと社内LANを切り分ける
企業のWebサイトは、インターネットから届く必要があります。一方、基幹システムや社内のファイル共有、ID管理の仕組みは、外から直接触れられるべきではありません。
そこでDMZを挟むと、外に見せる仕組みと社内の大事な資産を別の場所へ分けられます。公開側が侵入されても、社内LANへ横に広がる動き(ラテラルムーブメント)を進めにくくできる点が大きな利点です。
通信をしぼり、見張りやすくする
DMZは、ファイアウォール、IPS、IDS、WAF、リバースプロキシなどと組み合わせて使うことがよくあります。外からDMZへ入る通信は、公開に必要なポートや手順だけを許可し、それ以外は止めます。
また、DMZは外とつながるため、攻撃を受けやすい場所でもあります。そのため、アクセス記録や警告を集めて見やすくし、社内へ広がる前に気づけるようにしておくことが大切です。
DMZでは通信をどう分けるか
DMZの基本は、通信の通り道を分け、通してよいものだけを通すことです。ここでは、よくある考え方を順に見ます。
ファイアウォールと組み合わせる
DMZは、ファイアウォールやUTMと一緒に説明されることが多い仕組みです。よくある設定の考え方は次の通りです。
- 外部(インターネット)→DMZ:公開に必要な通信だけを許可する
- DMZ→社内LAN:必要な場合だけ、行き先、ポート、向きを細かくしぼる
- 社内LAN→DMZ:更新、監視、保守などの用途に限り、管理用の経路を強く守る
DMZを便利な中継の場所として使い始めると、例外の通信が増え、分けた意味が薄れます。DMZでは、例外を増やしすぎないことが、そのまま安全性につながります。
インターネット側と社内側の経路を分ける
外部ユーザーがDMZ内のWebサーバーへアクセスするとき、通信は境界の機器を通ってDMZへ届きます。DMZ内のサーバーが社内のDBなどへ接続する必要がある場合も、多くの構成では社内側のファイアウォールや同等の制御を通します。
こうして段階を分けておくと、公開サーバーが侵入されても、攻撃者は次の壁を越えなければなりません。守る側にとっては、止める場所と気づく場所を増やせる形になります。
DMZが使われる場面
DMZは、外に見せる仕組みを持つ組織で広く使われます。ここでは、よくある場面を挙げます。
企業の公開サービス
企業では、Webサイト、問い合わせフォーム、API公開、メール受信、DNSなど、インターネットと接する仕組みが多くあります。これらを社内LANから分けて置くことで、侵入された場合でも社内の大事な資産へ届きにくくできます。
たとえばWeb公開では、アプリ本体をそのまま外へ見せるのではなく、DMZにリバースプロキシやWAFを置き、社内側のアプリやDBへは必要な通信だけを通す形がよく使われます。
大学や自治体など大きな環境
大学、研究所、自治体などでは、公開Webや学外との連携が必要な一方で、学内だけで使う仕組みや研究データなど、守る対象も多くあります。こうした環境では、DMZを外部との窓口として使うと、公開部分と社内側を分けて運用しやすくなります。
ただし、規模が大きいほど例外の通信も増えやすくなります。DMZだけに頼らず、社内側でもセグメント分割、端末ごとの認証、アクセス制限を組み合わせることが大切です。
DMZで得られる主な利点
DMZのよさは、境界があること自体よりも、被害が広がりにくい形を作りやすい点にあります。
通信の許可する範囲をしぼりやすい
DMZでは、公開に必要な通信だけを通す前提でルールを決めやすくなります。たとえば、外からのHTTP/HTTPSは許可し、管理用のポートは止める、といった考え方です。社内からDMZへ入る管理用の通信も、踏み台を経由するなど条件を細かく付けられます。
こうしたルールがはっきりしていると、設定の不足や余計な許可を見つけやすくなり、見直しもしやすくなります。
社内の様子を探られにくくする
攻撃者は侵入後に社内の構成を調べ、届く先を広げようとします。DMZで公開する仕組みを切り出しておけば、外から見える範囲を絞りやすくなり、社内LANの情報も出にくくなります。
さらに、DMZから社内LANへ向かう通信をしぼっておくと、たとえDMZ内のサーバーが侵入されても、社内へ進みにくくできます。ここで狙うのは「絶対に侵入されない」ことではなく、「侵入されても広がりにくい」ことです。
DMZを保つための運用
DMZは作って終わりではありません。運用のルールがゆるむと、分けた意味が薄れ、かえって危険が増えることもあります。
設定の進め方
機器や構成によって細かな実装は変わりますが、考え方は共通しています。
- DMZ用のネットワークやVLANを用意し、社内LANと分ける
- 境界の機器で、外部→DMZ、DMZ→社内LAN、社内LAN→DMZの許可ルールを決める
- DMZに置くサーバーはしぼり、公開に必要なポートだけを開ける
- 更新や保守の経路は分けて、認証を強くし、記録を残す
特に気を付けたいのは、DMZから社内LANへの通信を「必要だから」と広げすぎないことです。どうしても必要な場合でも、行き先、ポート、向き、送信元を細かくしぼり、別の方法がないかを先に考えます。
続けて見直す項目
DMZは、攻撃を受ける前提で運用する必要があります。現実には、次のような見直しを続けます。
- OSやミドルウェアの更新とパッチ適用
- ルール追加や外に見せる範囲の変更に対する申請と見直し
- アクセス記録、WAFの記録、FWの記録の監視
- 不要なサービスの停止、権限の絞り込み、鍵や証明書の管理
「DMZに置いたから安全」ではなく、「DMZに置く以上は狙われる」と考え、更新、監視、復旧まで含めて続けることが欠かせません。
DMZを入れるときの注意
DMZは有効な考え方ですが、作り方を誤ると「便利な中継ネットワーク」になり、分けた価値が落ちます。導入時に見ておきたい点をまとめます。
機器と構成の選び方
DMZの構成にはいくつかの型があります。たとえば、ファイアウォール1台で外部、社内、DMZの三つを分ける形や、外側と内側で別のファイアウォールを使う形があります。どれを選ぶかは、組織の規模、運用の体制、どこまで分けたいか、監査で何を求められるかで決まります。
また、公開する仕組みの内容によっては、WAF、リバースプロキシ、メールゲートウェイなどの役目の分け方も大切です。DMZはネットワークだけで決まるものではなく、アプリ側の要件や運用の条件と合わせて考える必要があります。
定期的な点検を前提にする
DMZでは、設定が少しずつゆるむことがよくあります。たとえば、障害への対応で一時的に開けたポートが残る、運用の都合で例外ルールが増える、といった形です。
そのため、次の点を定期的に確認します。
- ファイアウォールルールの見直しと、不要な許可の削除
- 公開している資産の弱い点の確認
- 管理アカウントと認証の条件の確認
- 記録が取れているか、検知と通知が動くかの確認
DMZは「作る」よりも「保つ」ほうが難しい領域です。崩れにくい運用を最初から組み込むことが、安全性を上げる近道になります。
まとめ
DMZは、外に見せる仕組みを社内LANから切り分け、侵入された場合でも被害が広がりにくい形を作るための考え方です。公開する仕組みと社内の資産を同じ場所に置かず、通信の許可、監視、日々の運用を組み合わせることで、現実的な守りを強くできます。
DMZは今も有効か
サイバー攻撃の手口は増え続けており、公開サービスは常に狙われる前提で考える必要があります。そうした中でDMZは、社内LANを守るための一つの区切りとして今も有効です。
一方で、近年はクラウド利用やゼロトラストの考え方が広がり、「境界だけでは守り切れない」場面も増えました。だからこそ、DMZを単独の対策と見るのではなく、端末、ID、監視、復旧の仕組みと組み合わせ、守り全体の中で位置づけることが大切です。
Q.DMZとは何ですか?
インターネットに見せるサーバーを社内LANから切り分けて置くための領域です。
Q.DMZに置く代表的なシステムは何ですか?
Webサーバー、メール中継、DNS、リバースプロキシ、公開向けのアプリ前段などが代表例です。
Q.DMZを作れば内部は安全になりますか?
安全性は上がりますが、端末への侵入、認証の突破、設定ミスなどには別の対策も必要です。
Q.DMZとファイアウォールの関係は何ですか?
DMZはファイアウォールなどで通信を分け、外部、DMZ、社内LANの届く範囲を切り分けて守ります。
Q.DMZから内部への通信は許可してもよいですか?
必要な場合だけ、行き先、ポート、向きを細かくしぼって許可します。
Q.DMZは「中継の場所」として使ってもよいですか?
便利さを優先して中継に使うと例外ルールが増えやすく、分けた意味が薄れます。
Q.DMZ構成にはどんな型がありますか?
1台のファイアウォールで三つの領域を分ける形や、外側と内側で別々に分ける形などがあります。
Q.DMZで重要な運用ポイントは何ですか?
パッチ適用、例外ルールの見直し、記録の監視、管理用の経路の保護、不要サービスの停止です。
Q.DMZとゼロトラストは矛盾しますか?
矛盾しません。DMZは分ける手段の一つで、ゼロトラストは認証や権限まで含めて考える枠組みです。
Q.DMZ導入でよくある失敗は何ですか?
例外の通信が増えること、管理ポートが外に見えること、記録が不足すること、更新が遅れることです。
ピックアップ Pick up
-
インタビュー顧客ごとに最適なSASEを見極め、提供するリコージャパンの取り組み ― Soliton OneGateの認証を組み合わせ、更に安心して使える環境に ―
-
インタビュー情報資産の確実な保全に向けて ― バッファロー、ソリトン、パトライトの3メーカーで取り組む、危機を「見える」「聞こえる」形で捉えるソリューション ―
-
インタビューBUFFALO「AirStation Pro」のセキュリティはなぜ強固?JC-STARとデジタル証明書認証
-
インタビューFNETSが描く次世代セキュリティ像「セキュアアクセス+」とは?その認証で果たすソリトンの役割
-
インタビュー消防DXで命を守るNEC、 その信頼を支えるソリトンセキュリティ
-
インタビュー手軽で高機能な無線ネットワーク「Cisco Meraki」と認証で果たすSoliton OneGateの役割
タグ Tag
金融
流通・小売
医療
エネルギー
運輸
サービス
情報通信
中央省庁・独法
自治体・地方公共団体
教育・文教
認証
エンドポイント
ネットワーク
ゼロトラスト
販売店インタビュー
メーカーインタビュー
セミナーレポート
展示会・フェアレポート
サイバーセキュリティ
リモートアクセス
テレワーク
社内LAN
無線LAN
プロダクト検証
サプリカント設定
技術解説記事
調査報告
Windows
iOS
macOS
Android
ChromeOS
DHCP/DNS
Soliton OneGate
NetAttest EPS
NetAttest D3
SmartOn ID
InfoTrace 360
Soliton SecureBrowser
Soliton SecureDesktop
WrappingBox
FileZen S
VVAULT
コラム
調査レポート目次
Soliton SecureWorkspace
HiQZen
外部リンク
VVAULT AUDIT
サイバー攻撃
SASE
