DMZとは何か？

DMZの基本的な役割は、企業が信頼されていないネットワークへアクセスする際に、LANが危険に晒されないようにすることです。多くの企業では、DMZ内に外部のサーバや資源を配置しており、これにはVoIP、メール、DNS、FTP、その他のウェブサービスが含まれます。

通常、これらのサービスや資源は分離され、LANへのアクセスは制限されています。つまり、ウェブからはアクセスできても、内部ネットワークには厳しい制約が設けられています。この仕組みにより、企業の内部ネットワークやサービスへ外部攻撃者が直接アクセスするのを難しくしています。

‍

DMZはどのように機能する？

公開サイトを運営する企業は、利用者向けにいくつかのウェブサービスを提供する必要があります。一見、利用者に多くのアクセス権を与えるのは良さそうですが、これでは内部ネットワーク全体が危険にさらされる恐れがあります。こうしたリスクを避けるため、企業は専門業者と協力し、サイトや公開サービスを安全なファイアウォールの背後に配置することができます。しかし、ファイアウォールを追加するとパフォーマンスに影響が出る場合もあり、結果として公開サービスは内部データとは別のネットワーク上で運用されます。

企業の内部ネットワークとウェブとの間には、DMZが中継の役割を果たします。ファイアウォールなどのセキュリティシステムを使い、DMZは内部ネットワークから隔離されています。このファイアウォールは、LANとDMZ間の通信を仲介し、さらにDMZは外部からの全ての通信を厳重に検査する別のセキュリティゲートによって守られています。

DMZは二つのファイアウォールの間に配置され、通過する通信が十分に検査されるよう設計されています。これにより、攻撃者が内部ネットワークに侵入しても、DMZ内の追加のセキュリティ対策を突破しなければ悪事を働くことはできません。

もし攻撃者が外部ファイアウォールを突破しDMZに侵入した場合でも、内部ファイアウォールを越えなければ企業の内部情報にアクセスできません。熟練の攻撃者であっても、DMZ内の仕組みにより不正アクセスが発生した際にはすぐに警告が発せられます。

HIPAAなど厳しい規制を受ける企業は、通常、DMZ内のシステムに中間サーバを導入しています。この中間サーバは、ログの監視・記録、ウェブコンテンツの分離、サービスがネットワーク上で正しく動作しているかの確認を行います。

DMZが重要な理由

多くの家庭用ネットワークでは、ルーターからの強固なインターネット接続を前提としたデバイスが使用されています。ルーターはネットワークの中心であり、ファイアウォールを通して安全な通信だけを流す仕組みとなっています。実際、家庭用ネットワークでもDMZ構築は可能で、必要なのはルーターとファイアウォールの間にDMZを設け、内部機器を外部攻撃から守ることです。

DMZは個人ユーザーや大企業のネットワークセキュリティにおいて、欠かせない追加防御層を提供します。内部機器や機密情報へのリモートアクセスを防ぎ、攻撃を未然に防ぐ役割を果たしています。

ファイアウォールの登場以降、DMZは大企業や政府機関のセキュリティ確保に重要な役割を担ってきました。内部システムを分離し、敏感な情報や資源への不正アクセスを防止するとともに、企業がネットワークアクセスを柔軟に管理できるよう支援しています。

さらに、企業はコンテナや仮想マシンを利用して、ネットワークや大規模アプリを既存システムから切り離す動きを進めています。クラウド技術の発展により、内部システムへの多額の投資が不要となり、多くの企業がSaaSなどクラウド上でサービスを運用するようになっています。

DMZは、オンプレミスからVPNへの移行前に動的なトラフィックを検査するなど、内部ネットワークと外部ネットワーク間の通信管理にも有用です。また、IoTや産業用システム（OT）といった新たなリスクに対しても、DMZがネットワークを分割することで被害拡大を防止します。

‍

DMZの設計とアーキテクチャ

DMZのネットワーク構築には様々な方法がありますが、基本的にはシングルファイアウォール（3本脚モデル）とダブルファイアウォールの2種類があります。これらの構成は、企業のネットワークニーズに合わせてさらに複雑なシステムに発展させることも可能です。

シングルファイアウォール

DMZを構築する一般的な方法は、少なくとも3つのインタフェースを備えた単一のファイアウォールを使用することです。通常、DMZはこのファイアウォール内に配置され、外部ネットワークはISPを通じて、内部ネットワークは別のデバイス経由で接続され、DMZ内の通信はさらに専用の機器で制御されます。

ダブルファイアウォール

DMZをより堅牢にするための方法は、2つのファイアウォールを設置することです。まず、フロントエンドファイアウォールはDMZへの通信のみを許可し、次にバックエンドファイアウォールがDMZから内部ネットワークへ戻る通信を検査します。異なるベンダーのファイアウォールを組み合わせることで、それぞれの特性や弱点を相殺し、全体のセキュリティを強化できます。この構成は非常に効果的ですが、大規模なネットワーク環境ではコストが高くなる点に注意が必要です。

企業は特定の状況に対応するため、侵入検知システム（IDS）や侵入防止システム（IPS）をDMZに追加し、HTTPS以外の通信による不正アクセスを阻止することも可能です。

‍

DMZを使用する利点

DMZの主な目的は、内部ネットワークに追加のセキュリティ層を設け、機密情報への不正アクセスを防ぐことにあります。DMZは利用者に必要なサービスを提供しながら、内部ネットワークとは明確に分離して運用されるため、以下のようなセキュリティ上の利点があります。

アクセス制御の確保: 企業は公開ネットワーク上ではアクセスできない内部サービスへの利用権を、必要に応じて提供する場合があります。DMZはこれらのサービスへのアクセスを可能にしつつ、重要な資源への不正侵入を防ぐために明確な隔離を実現します。また、中間サーバーを配置して内部通信の監視や記録を行うこともできます。

ネットワーク偵察の防止: DMZを介在させることで、攻撃者が企業内部の構成を把握しにくくなります。攻撃前に標的の調査を行う攻撃者に対し、DMZ内での追加セキュリティが内部ネットワークへの侵入を阻みます。万が一DMZが突破された場合でも、内部ファイアウォールが更なる検査を行うため、外部からの侵入は非常に困難です。

IPスプーフィングの防止: 攻撃者が自らのIPアドレスを偽装し、正規の端末になりすますケースがあります。DMZはこのような偽装を検知し、送信元IPアドレスの正当性を厳しくチェックする仕組みにより、不正アクセスを防止します。

‍

DMZの事例

DMZが適用される一般的なケースは以下の通りです。

クラウドサービス: Microsoft Azureなどのクラウド事業者は、オンプレミスと仮想ネットワークの間にDMZを設け、交差するセキュリティシステムを採用しています。オンプレミスと仮想環境の両方を運用する際、また動的なトラフィック管理が必要な場合に有用です。

家庭用ネットワーク: PCや各種デバイスが基本ルーターを通じて接続される家庭用ネットワークでもDMZは重要です。例えば、ゲーム機など一部の機器をDMZに配置し、その他の機器はファイアウォールで保護することで、セキュリティと利便性のバランスを取ります。

産業用制御システム: DMZはアクセス制御の課題に対する有力な解決策です。タービンなどの産業機器はネットワーク接続により効率が向上する一方、十分なセキュリティ対策が施されていない場合が多いです。DMZを用いることで、システムを分割し、ランサムウェアやその他の脅威から守ることが可能となります。

‍

DMZ内でのAPIゲートウェイの配置

DMZまたは境界ネットワークに配置された場合、APIゲートウェイはネットワークファイアウォールの背後に設置されます。ネットワークアドレス変換（NAT）機能を持つファイアウォールによって、APIゲートウェイにDMZ内でルーティング可能なアドレス空間が割り当てられ、近傍のIPアドレスレンジにトラフィックを転送できます。APIゲートウェイは、DMZと内部ネットワーク間で通信を行うためにダブル配置することも可能です。APIセキュリティを確保してください。

APIゲートウェイは、入ってくるトラフィックに対してセキュリティポリシーを適用します。具体的には、以下の対策が含まれます:

• 既知の攻撃パターンの検出
• リクエストの正当性や異常な増加の確認
• DoS攻撃を示すトラフィックパターンの検出

DMZ内でのAPIゲートウェイ配置

この構成は比較的一般的です。設計上、APIゲートウェイはDMZ内に配置され、内部システムとの通信にはLANが利用されます。仕組みは非常にシンプルです。

メリット

DMZ内にAPIゲートウェイを配置するメリットは以下の通りです。

• 利用者が外部の有害な脅威から守られる
• コスト面で合理的である

デメリット

DMZ内にAPIゲートウェイを配置する際のデメリットは以下の通りです。

• 各アプリごとに、DMZからLANへの2つの接続ポイントが必要となる
• 内部システムへDMZからアクセスできるため、多くの企業のセキュリティポリシーに反する可能性がある

‍

‍

DMZ外に配置するAPIゲートウェイ

この構成では、DMZとLANの間にさらに厳格なセキュリティチェックを行うため、2つのAPIゲートウェイを配置します。つまり、DMZ内とLAN内でそれぞれ異なる検証が実施されます。

メリット

DMZ外にAPIゲートウェイを配置するメリットは以下の通りです。

• 最も堅牢なネットワーク構成である
• 内部・外部トラフィックのアクセス制御により脅威が分離され、セキュリティポリシーの管理が容易になる