社内ネットワークを守る「DMZ」
※この記事は製品や技術にまつわるお役立ち情報=豆知識を意図しておりますことから、弊社製品以外の製品や市場一般に関する内容を含んでいることがあります
ホームページを公開する際に、社内ネットワークの内部にサーバーを設置するのはセキュリティ上安全とはいえません。こちらでは、社内ネットワークを守る手法の一つである「DMZ」についてお話します。
「DMZ」とは?
「DMZ」とは「Demilitarized Zone」の略であり、日本語では「非武装地帯」を意味します。ネットワークにおいては「内部からも外部からもアクセスできるエリア」という意味です。
例として、サーバーを設置して自社のホームページを公開するケースを想定してみましょう。社内ネットワークの内部にサーバーを置くと、ホームページをインターネット上に公開できます。しかし、この状態は社内ネットワークがインターネットを通して外部からの影響にさらされることになるため、あまり安全ではありません。第三者がサーバーを通して、社内ネットワークに危害を加える可能性があります。
このリスクを回避するために用いられるのがDMZです。社内ネットワークとは別にDMZを設け、そこにホームページのサーバーを設置します。DMZはインターネットとつながっているため、外部のユーザーは問題なくホームページにアクセス可能です。同時に、DMZは社内ネットワークともつながっているため、社内の人もホームページを閲覧できます。
一方で、DMZと社内ネットワークのやり取りは双方向的ではありません。DMZから社内ネットワークにアクセスできないように設定することで、インターネットを介して他のユーザーが危害を加えようとしても、被害をDMZの範囲内のみで食い止めることができます。このようにDMZの役割は、外部公開可能な隔離された領域により社内ネットワークの安全を守ることなのです。社内ネットワークをDMZのアクセスから隔絶する方法としては「ファイアウォール」を使用するのが一般的です。近年ではセキュリティ強化のために、インターネットとDMZとの間にもファイアウォールを挟む手法が一般化してきています。
DMZ構築のポイント
ハッキングの手法は、ネットワークの仕組みの脆弱性に対応して変化しています。DMZは社内ネットワークを守るために重要な手法ですが、近年では「ファイアウォールだけでは十分ではない」という見方が強まっているようです。そこで、不正アクセスの検出に特化した「IDF」などを用いて対策を多重化する取り組みが一般的になっています。
***
DMZは、情報の公開と社内ネットワークの安全性維持を両立できる方法です。DMZを構築する際は、セキュリティ向上を意識し最新の対策を把握した上で実施してください。
