DMZ(Demilitarized Zone=非武装地帯)は、社内LAN(内部ネットワーク)と外部のネットワーク(インターネット)の間に設置される中間のネットワークエリア(セグメント)のことです。これは、セキュリティを強化するためのネットワーク設計であり、重要な情報システムを保護する役割を持ちます。この記事では、DMZについて解説いたします。
目次
外部からの攻撃の緩和:企業のネットワーク内にはインターネットに公開するサーバーがあります。企業サイトやWebアプリを格納したWebサーバーや、取引先からのメールを受け取るメールサーバー、企業に割り当てられたIPアドレスとURLの関連を管理するDNSサーバーなどです。こういったサーバーは外部に公開されている以上、インターネットからの攻撃を受けやすいので、内部ネットワークから隔離された場所であるDMZに設置します。これにより、インターネットからDMZへサイバー攻撃が行われたとしても、内部ネットワークへの影響を抑えることができるようになります。
セキュリティ構造の階層化:インターネットとDMZの間、DMZと内部ネットワークの間に、それぞれファイアウォールを設置することで、アクセスの制御を強化することができます。具体的には、「インターネットから内部ネットワークへの通信」を、「インターネットからDMZへの通信」と「DMZから内部ネットワークへの通信」という2つの階層に分けることで、個々の通信の制限を行いやすくなります。
内部ネットワークからの攻撃も緩和:内部ネットワークをDMZと別にする理由としては、内部ネットワークからDMZ内の各サーバーへの不正な通信をブロックする目的もあります。このような通信が発生する要因としては、内部ネットワーク内のPCがマルウェアに感染した場合や、不正行為を行う人間が内部ネットワーク内のPCを操作した場合が挙げられます。このような場合でも、内部ネットワークとDMZが分割されているおかげで、不正な通信がブロックできるのです。
dmzの構成方法としては、ファイアウォールでネットワークの流れを分割する方法が挙げられます。「インターネット -> 内部ネットワーク」というネットワークの流れの途中にファイアウォールを設置することで、DMZを構築し、「インターネット -> ファイアウォール -> DMZ-> 内部のファイアウォール -> 内部ネットワーク」というような構成にするのが一般的です。
• インターネット -> ファイアウォール -> DMZ
外部からのアクセスを受けるサーバーをDMZに配置します。これにより、外部からの不特定多数のアクセスをDMZで受け止めることができるようになります。ファイアウォールの設定としては、インターネットからDMZ内にある各サーバー宛へのアクセスの可否を設定しておきます。
• DMZ -> 内部のファイアウォール -> 内部ネットワーク
内部ネットワークへのアクセスにさらなるセキュリティ対策を講じます。DMZと内部ネットワークの間にファイアウォールを設置することで、DMZ内に設置された各サーバーと内部ネットワーク間の通信を制限することができます。
一つのファイアウォールだけでDMZを構成する場合もありますが、どのような構成でもファイアウォールの設置は必須です。その上で、企業に求められるセキュリティ要件を満たせるように各種セキュリティ機器を組み合わせていく必要があります。
リスク管理:DMZの設置により、どのような情報セキュリティのリスクを軽減できるのかを把握しておく必要があります。DMZの設置とファイアウォールの設定より、内部ネットワークへのサイバー攻撃を緩和できるだけでなく、内部ネットワーク内からDMZ内の各サーバーへの不正な通信も防げます。
アクセス制御:ファイアウォールの設定、パケットフィルタリング、アクセスリストなどを管理しておく必要があります。インターネットからDMZ、内部ネットワークへアクセスできる通信と権限、内部ネットワークからDMZにアクセスできる通信と権限などを、しっかりと設定しておく必要があります。DMZはネットワークを分割するので、個々のエリアでのアクセス制御も柔軟に行えます。
監視と監査:DMZ内のサーバーのログ管理や監視ツールなど、アクセスの監視と保存ができる機能も必要になります。保存されたログは、不正アクセスやサイバー攻撃の特定に用いられるだけでなく、情報セキュリティの運用が適切に行われているかを監査する際にも重要な根拠となります。
脅威の予測:DMZが内部ネットワークをどのように保護するか、侵害時の影響の制限方法を把握しておく必要があります。これを把握しておくことで、内部ネットワークへ行われる可能性のあるサイバー攻撃を予測することができるようになります。
セキュリティポリシー:DMZ運用におけるベストプラクティスと運用手順などを把握しておく必要があります。ベストプラクティスを参考にしつつ、企業ごとに求められるセキュリティ要件に応じた運用が求められます。
企業のインターネット活用と、社内LANの構築が当たり前となった現代においては、DMZの構築も必要不可欠なものとなっています。DMZを構築する際は、ファイアウォールの設置はもちろんのこと、企業に求められたセキュリティ要件に応じてWAFやIPSといった各種セキュリティ機器や、ログを保存できる環境も備えておきます。DMZによってどのようなリスクを防げるのかを把握しておけば、保存されたログと合わせてインシデント発生時の原因が絞りやすくなるでしょう。