ネットワークにおける区域
ネットワークはいくつかの区域(セグメント)に分けて考えることができます。
大きく分けると、外部ネットワークと内部ネットワーク(LAN・WAN内)に分けられます。
内部ネットワーク内の情報を守るために、ファイアウォールを設置して外部ネットワークからの不正・危険な侵入を防ぎます。
このように、セキュリティを考える際は、ファイアウォールを境にネットワークを区域(セグメント)分けします。
DMZとは
DMZとは、外部ネットワークと内部ネットワークの間に存在し、どちらからもアクセスできるネットワーク区域のことです。
「非武装地帯」とも呼ばれます。
外部ネットワーク、DMZ、内部ネットワークの間にはそれぞれファイアウォールを設置します。
DMZは外部ネットワークから内部ネットワークへのアクセスを回避するための区域です。
・外部ネットワークとDMZは双方向のアクセスが可能
・内部ネットワークとDMZは内部ネットワーク側からのアクセスのみ可能
<ネットワークの区域分け>
↑↓ ⇐ファイアウォール
↑ ⇐ファイアウォール
DMZの目的
DMZの目的は、どうしても外部からのアクセスを受け入れる必要があるサーバと外部からのアクセスを必要としないサーバを分けることにあります。
外部からのアクセスを受け入れる必要があるサーバの方が外部との通信頻度が高い為、不正・危険な侵入を許してしまう可能性が高いです。
外部からのアクセスを受け入れる必要があるサーバと外部からのアクセスを必要としないサーバを同じセキュリティレベルにしてしまうと、不正・危険な侵入をされた際の被害が大きくなってしまいます。
外部からのアクセスがあるサーバはDMZに、外部からのアクセスが必要ないサーバは内部ネットワークに置くことで、内部ネットワーク内の情報を守りやすくなります。
銀行口座を生活用口座と貯金用口座に分けるようなイメージです。
生活用口座は普段お金の引き出しや預け入れが多く発生し、キャッシュカードを持ち歩いている為、貯金用口座と比べてキャッシュカードを盗まれてしまったり、PWを知られてしまうリスクが高いです。
生活用口座と貯金用口座を分けておけば、生活用口座の情報が盗まれてしまい、お金を不正に引き出されてしまったとしても、貯金用口座のお金は引き出されず被害を最小限に抑えることができます。
生活用口座にあたるのがDMZ、貯金用口座にあたるのが内部ネットワークのイメージです。
DMZの使用例
外部からのアクセスを受け入れる必要があるサーバの例としてイメージしやすいものをご紹介します。
①ホームページを設置しているサーバ
最もイメージしやすいのは、ホームページを設置しているサーバです。
会社のホームページは社外の人にも見てもらうために作っています。社外の人(外部ネットワーク)がアクセスできない状態ではホームページの意味がありません。
ホームページを設置しているサーバはDMZに配置するべきです。
②プロキシサーバ
プロキシサーバもDMZに置くべきサーバの代表例です。
プロキシサーバは社内のパソコンが外部のWebサイトにアクセスする際に、社内パソコンとWebサイトが直接通信すること(不正・危険の侵入リスク)を回避し、身代わりとなる為にあります。
外部のWebサイトとの通信を社内パソコンの代わりに行うサーバなので、当然、外部からのアクセスを受け入れる必要があります。
