★DMZについて★
DMZとは、De-Militarized Zoneの略語で、企業や組織がインターネットへアクセスする際、内部ネットワークにて管理されている機密情報を守るために設置された緩衝地帯のことです。従来のセキュリティ対策として用いられている方法として、外部ネットワークと内部ネットワークの間にファイアウォールを設置して、外部の信頼できないネットワークからのアクセスを遮断することによって、セキュリティの確保を行ってきました。
しかし、この方法ですと、内部ネットワークから外部ネットワークへのアクセスが出来ません。そこで、このDMZの設置によるセキュリティ対策が編み出されたのです。
・DMZの仕組み
下記の図のように、公開サーバーをDMZに配置して、外部ネットワークにアクセスを行っており、一方、内部ネットワークへのアクセスは、万全なセキリュティ対策を施した上で行っています。
(出典元URL:https://milestone-of-se.nesuke.com/nw-basic/fw/dmz/)
・DMZのメリット
1.標的型攻撃による被害を最小限に抑えられる。
DMZを配置する目的は、Webサーバーやメールサーバーなどの公開サーバー経由による、ウィルス感染を防ぐことにあります。Webサーバーなどの公開サーバーは、広範囲での情報の外部公開を行う必要がるため、常に外部からの攻撃に晒されています。Webサーバが乗っ取られた場合、社内ネットワークがWebサーバーに接続されていると、被害の影響が、社内ネットワークに属するPCやサーバーにも及ぶため、企業の個人情報が外部に漏洩する危険性をはらんでいます。このような事態になることを未然に防ぐため、WebサーバーをDMZに設置し、DMZと外部ネットワーク間の通信は許可し、外部ネットワークの内部ネットワークへのアクセスを拒否するという設定をすることによって、万が一Webサーバーがマルウェアの攻撃に晒されても、その影響を防ぐことが出来ます。
・DMZのデメリット
1.設定が煩わしくなる
まず、DMZ構成は、ファイアウォールと組み合わせて構築されます。そのため、外部ネットワーク、内部ネットワーク、DMZの3つの隔離されたセグメントが存在することになります。DMZネットワークに置かれたサーバーがWebサーバーの場合、外部ネットワークと接続するポートは開き、内部ネットワークと接続するポートは遮断するという設定を取ります。
プロキシサーバーの場合は、外部と内部ネットワークに接続するポートを両方とも開くというようにDMZに置かれたサーバーの種類によって、その設定が変わるという煩わしさがります。そのため、この煩わしさが、人為的ミスを発生させ、それがセキュリティに大きな影響を及ぼす可能性があることも否定出来ません。
★まとめ★
DMZによる保護対象は、あくまでもDMZに置かれた公開サーバーではなく、内部ネットワークに置かれたPCやサーバとなっております。そのため、全てのネットワーク領域に存在するサーバーを守ることは出来ないため、万能な機能ではありません。サーバーの用途に応じて設定を変更する必要などもあるため、導入する際は、メリットとデメリットの内容を十分い把握した上で活用することをお勧め致します。
本日は以上です。御覧頂きありがとうございました。