DMZ(非武装地帯) でぃーえむぜっと
簡単に言うとこんな感じ!
会社のビルで例えると、「受付ロビー」みたいなゾーンだよ!外から来たお客さん(インターネット)は受付までは入れるけど、社員フロア(社内ネットワーク)には絶対入れない。その「中間の安全地帯」がDMZなんだ!
DMZとは
DMZ(DeMilitarized Zone/非武装地帯) とは、インターネットなどの外部ネットワークと、社内の内部ネットワークの「あいだ」に設ける、独立したネットワークセグメントのことです。外部からもアクセスを許可しつつ、万が一攻撃を受けても社内の重要システムへの被害を食い止めるための「緩衝地帯」として機能します。
名前の由来は軍事用語の「非武装地帯(DeMilitarized Zone)」。朝鮮半島の南北境界線にある緩衝ゾーンになぞらえて、ネットワークの世界でも使われるようになりました。ネット上に公開するWebサーバーやメールサーバーをDMZに置くのが定番の構成です。
社内システムへの不正侵入を防ぐ上で、境界防御の要となる概念であり、ファイアウォールと組み合わせてネットワーク設計の基本として広く普及しています。
DMZの仕組みと役割
DMZは、外部・DMZ・内部 の3つのゾーンをファイアウォールで仕切ることで成立します。通信の許可・拒否をゾーン単位で制御することが核心です。
| ゾーン | 接続元 | 主に置くもの | 信頼度 |
|---|---|---|---|
| 外部(インターネット) | 誰でもアクセス可 | — | 低 |
| DMZ | 外部からアクセス可 | WebサーバーPublic API、DNSサーバー、メールサーバー | 中 |
| 内部(イントラネット) | 社内のみ | 業務システム、DBサーバー、ファイルサーバー | 高 |
通信の流れのルールはシンプルです:
外部 → DMZ : ○ 許可(Webサイト閲覧など)
DMZ → 内部 : △ 限定的に許可(必要な通信だけ)
外部 → 内部 : × 原則禁止
内部 → DMZ : ○ 許可(管理作業など)
内部 → 外部 : △ フィルタリングして許可覚え方:「受付ロビー」モデル
🏢 外部 = 街 / DMZ = 受付ロビー / 内部 = 社員フロア
- お客さん(外部)は受付(DMZ)まで来られる
- 社員フロア(内部)には入れない
- 受付係(WebサーバーやDNS)が窓口として対応する
この「受付ロビー」のイメージさえ掴めればDMZの役割はバッチリです!
ファイアウォールの構成パターン
パターン①:ファイアウォール2台構成(最もセキュア)
インターネット
│
[FW1:外部用]
│
[DMZ]
(Web/DNS/Mail)
│
[FW2:内部用]
│
[内部LAN]
(DB/ファイルサーバー等)パターン②:ファイアウォール1台+マルチポート構成(コスト重視)
インターネット
│
[FW:3ポート]
┌──┴──┐
[DMZ] [内部LAN]1台のファイアウォールに「外部用ポート」「DMZ用ポート」「内部用ポート」を持たせ、3つのゾーンを管理する方法。コストを抑えられる反面、FWが単一障害点になるリスクがあります。
歴史と背景
- 1980年代後半〜1990年代前半 — インターネットの商用化が進み、企業がWebサーバーを外部公開するニーズが急増。同時に外部からの不正アクセスも増加し始める
- 1990年代中頃 — ファイアウォール製品が普及。外部と内部を2分する「境界防御」の考え方が定着
- 1990年代後半 — Webサーバーへの攻撃が頻発し、「公開サーバーを内部ネットワークに直置き」する危険性が広く認識される。「あいだにバッファゾーンを作ろう」という発想からDMZ構成が標準化
- 2000年代 — ECサイト・ネットバンキングの普及でDMZは「公開サービスを安全に運用するための必須構成」として業界標準に。FW製品もDMZポートを標準装備
- 2010年代〜現在 — クラウド移行が進み、オンプレミスのDMZ構成は減少傾向。ただしクラウドでもパブリックサブネット(DMZ相当)とプライベートサブネット(内部相当)を分ける設計は変わらず踏襲されている
クラウド時代のDMZとの対応関係
クラウド(AWSやAzureなど)でも「DMZの考え方」はそのまま生きています。名前が変わっただけで、概念はほぼ同じです。
| オンプレミス用語 | クラウド(AWS)対応 | 役割 |
|---|---|---|
| インターネット | インターネットゲートウェイ(IGW) | 外部との接続口 |
| DMZゾーン | パブリックサブネット | 外部公開サービスを置く場所 |
| 内部LAN | プライベートサブネット | DBや内部アプリを置く場所 |
| ファイアウォール | セキュリティグループ / ネットワークACL | 通信の許可・拒否ルール |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 2827 | ネットワーク侵入防止のためのISPにおけるフィルタリング(ingress filtering)のベストプラクティス |
| NIST SP 800-41 | ファイアウォールのガイドライン。DMZ構成を含むネットワーク境界防御の指針 |
| ISO/IEC 27033 | ネットワークセキュリティに関する国際標準。DMZを含む境界設計を定義 |
関連用語
- ファイアウォール — 通信を許可・拒否するネットワークの門番。DMZを実現する中核装置
- VPN(仮想プライベートネットワーク) — 外部から安全に内部ネットワークへ接続する仕組み。DMZとは別の