MENU

DMZとは?安全なネットワーク分離のための基本設計と構成例

NW(CCNA)
  • URLをコピーしました!

企業ネットワークでは、インターネット公開サーバーを安全に配置するために「DMZ(DeMilitarized Zone:非武装地帯)」という仕組みが利用されます。DMZ は外部からの攻撃を内部ネットワークへ到達させないための重要なセキュリティレイヤです。この記事では、DMZ の仕組みと基本設計、代表的な構成例、実務での注意点について解説します。

目次

DMZとは?基本概念をわかりやすく解説

DMZ とは、外部公開サーバーを内部ネットワークと切り離して配置するための中間ネットワーク領域のことです。外部から直接アクセスさせたくない内部ネットワークを保護する目的で設計されます。

DMZ を導入する理由は次の通りです。

  • 外部公開サーバーの乗っ取りがあっても内部 LAN に侵入させない
  • 内部ネットワークへの攻撃範囲を限定する
  • インターネット向けサービスを安全に提供する
  • ファイアウォールで通信を細かく制御できる

具体的には、Web サーバー、DNS サーバー、メールゲートウェイなどが DMZ に配置されることが多いです。

DMZ の基本構成

DMZ の典型的な構成は次のようになります。

[インターネット]
       |
     (FW1)
       |
     [DMZ]
       |
     (FW2)
       |
   [内部ネットワーク]

2 つのファイアウォール(FW1, FW2)で DMZ を挟み込むことで、外部と内部の両方から分離された安全な領域を実現します。

DMZ に配置される主なサーバー

  • Web サーバー(HTTP/HTTPS)
  • DNS サーバー(外部公開用)
  • メールゲートウェイ(SMTP)
  • VPN ゲートウェイ
  • リバースプロキシ

これらのサーバーは外部公開が前提となるため、万が一侵害されても内部ネットワークが守られる構造が大切です。

DMZ設計のベストプラクティス

1. インバウンド通信は必要最小限にする

インターネットから DMZ に許可する通信は最小限に絞ることが重要です。

  • 80 / 443(Web)
  • 25(SMTP)
  • 53(DNS)

“必要なポートだけ” 開けることで攻撃面を最小化できます。

2. DMZ から内部へのアクセスは厳格に制御する

DMZ のサーバーが内部 LAN のデータベースへアクセスするケースでは、通信の方向を慎重に設計する必要があります。

推奨は「内部 → DMZ」の一方向通信であり、DMZ → 内部の直接通信は極力避けるべきです。

どうしても必要な場合は次を必須とします。

  • 通信元 IP 制限
  • ポート制限
  • IPS/IDS による検査

3. ファイアウォールは“2台構成”が基本

DMZ の安全性を最大化するには、FW を 1 台だけで構成しないことが推奨されています。

理由は次の通りです。

  • FW が侵害された際のリスク分散
  • 外部と内部のセキュリティポリシーを完全に分離できる
  • 運用上のルールを明確に管理しやすい

FW1 は「外部→DMZ」 FW2 は「DMZ→内部」 を制御する役割を持たせると効果的です。

4. DMZ を VLAN で分割してマイクロセグメンテーション化する

最近のセキュリティ設計では、DMZ 内でも役割ごとに VLAN 分割することが多いです。

  • Web サーバー VLAN
  • メールゲートウェイ VLAN
  • DNS VLAN

DMZ 内で横移動(Lateral Movement)されるリスクを最小限にできます。

5. リバースプロキシや WAF を DMZ に配置する

Web サービスを提供する環境では、リバースプロキシや WAF(Web Application Firewall)の設置が効果的です。

メリットは次の通りです。

  • Web アプリケーション攻撃の遮断
  • SSL 終端のオフロード
  • 内部サーバーの IP を隠蔽する

セキュリティレイヤを強化することで内部資産の保護力が大幅に向上します。

実務でよくある DMZ 構成例

構成例1:Web サーバー(単一 DMZ)

Internet
   │
  FW1
   │80/443
  DMZ
   │内部API
  FW2
   │
Internal LAN

構成例2:複数サービスを VLAN 分離したマルチ DMZ

            DMZ-VLAN1(Web)
Internet ─ FW1 ─ DMZ-VLAN2(Mail) ─ FW2 ─ Internal LAN
            DMZ-VLAN3(DNS)

攻撃の水平移動リスクを抑える構成です。

構成例3:WAF + 逆プロキシを利用したセキュア DMZ

Internet
   │
  WAF(DMZ)
   │
 Reverse Proxy(DMZ)
   │
 Web Server(Internal)

公開サーバーを内部に置きつつ DMZ 側で攻撃をブロックする設計です。

DMZ 設計時の注意点

  • ログを DMZ 内に保存せず内部サーバーへ転送する
  • パッチ更新・バックアップ用の通信も最小化する
  • DMZ サーバーのサービスは最小構成にする(不要サービス削除)
  • SNMP や管理用アクセスは内部→DMZ のみ許可する

DMZ は攻撃対象になりやすいため、堅牢性と最小機能の原則が重要です。

まとめ

DMZ はインターネット公開サービスを安全に運用するための重要なネットワーク領域です。外部と内部を適切に分離し、通信の方向性や VLAN 分割、WAF の利用など複数のセキュリティレイヤを組み合わせることで、安全なネットワーク環境を構築できます。

NW(CCNA)
目次