社内ネットワークを守る「DMZ」
※この記事は製品や技術にまつわるお役立ち情報=豆知識を意図しておりますことから、弊社製品以外の製品や市場一般に関する内容を含んでいることがあります
ホームページを公開する際に、社内ネットワークの内部にサーバーを設置するのはセキュリティ上安全とは言えません。こちらでは、社内ネットワークを守る手法のひとつである「DMZ」についてお話します。
「DMZ」とは?
「DMZ」とは「Demilitarized Zone」の略であり、日本語では「非武装地帯」を意味します。ネットワークにおいては「内部からも外部からもアクセスできるエリア」という意味です。
例として、サーバーを設置して自社のホームページを公開するケースを想定してみましょう。社内ネットワークの内部にサーバーを置けば、ホームページをインターネット上に公開できます。しかし、この状態は社内ネットワークがインターネットを通して外部からの影響にさらされることになるため、あまり安全ではありません。第三者がサーバーをとおして社内ネットワークに危害を加える可能性があります。
このリスクを回避するために用いられるのがDMZです。社内ネットワークとは別にDMZを設け、そこにホームページのサーバーを設置します。DMZはインターネットとつながっているため、外部のユーザーは問題なくホームページにアクセス可能です。同時にDMZは社内ネットワークともつながっているため、社内の人もホームページを閲覧できます。
一方で、DMZと社内ネットワークのやり取りは双方向的ではありません。DMZからは社内ネットワークにアクセスできないように設定すれば、インターネットを介して他のユーザーが危害を加えようとしても被害をDMZの範囲内のみで食い止めることができます。このように、外部公開可能な隔離された領域により社内ネットワークの安全を守るのが、DMZの役割です。社内ネットワークをDMZのアクセスから隔絶する方法としては「ファイアウォール」を使用するのが一般的です。近年ではセキュリティ強化のためにインターネットとDMZとの間にもファイアウォールをはさむ手法が一般化してきています。
DMZ構築のポイント
ハッキングの手法は、ネットワークの仕組みの脆弱性に対応して変化しています。DMZは社内ネットワークを守るために重要な手法ですが、近年では「ファイアウォールだけでは十分ではない」という見方が強まっているようです。不正アクセスの検出に特化した「IDF」などを用い、対策を多重化する取り組みが一般的になっています。
***
DMZは情報の公開と社内ネットワークの安全性維持を両立できる方法です。DMZを構築する際は、セキュリティ向上を意識し最新の対策を把握したうえで実施してください。
