Introduction
ネットワーク構成をDMZにして公開サーバーを設置することで、公開サーバーにサイバー攻撃を受けても、内部ネットワークを守ることが可能です。DMZは具体的に、どのように行えばよいのでしょうか?
この記事では、DMZの基本情報や種類、DMZを導入することで得られるメリットや注意点、導入の流れやポイントについて解説します。
目次
DMZとは?
DMZとは、セキュリティ対策を考えて、ネットワーク構成を行ううえで重要なものです。
ここでは、DMZの定義や必要性について解説します。
外部・内部の両ネットワークの中間に設けられたネットワーク領域のこと
DMZとは「DeMilitarized Zone」の略で、非武装領域と訳されます。ネットワークの外側と内側に囲まれた緩衝領域として機能し、ネットワークの内部を守ることが可能です。
総務省の『自治体の行政手続のオンライン化に係る手順書【第 1.0 版】(案)』によると、次のように定義されています。
DMZ
DMZ とは、インターネットなどに接続されたネットワークで、ファイアウォールなどの機器を用いて外部と内部の両ネットワークの中間に設けられたネットワーク領域のこと。
ネットワークを構成する際は、外部ネットワークと内部ネットワークの間に、ファイアウォールを設置します。しかし、外部に公開するサーバーを内部ネットワークのなかに入れてしまうと、運用が不便になってしまうのです。そこで、DMZという外部ネットワークと内部ネットワークの中間に位置するエリアを確保することで、外部からアクセスしやすく、内部を守れるネットワーク構成にできます。
公開サーバーが外部からアクセスしやすくなり、万が一サイバー攻撃にあっても、内部ネットワークに被害を拡大させにくくなります。そのため、DMZを確保することで利便性を守りつつ、ネットワークの内部を守ることが可能です。
DMZの必要性
DMZを確保することで、外部に公開するサーバー、具体的にはメールサーバーやFTPサーバー、Webサーバーなどを使いやすくなるうえ、社内ネットワークのセキュリティを守ることが可能です。
上記のようなサーバーはその性質上、外部からも内部からもアクセスしやすい構成にする必要があります。しかし、サイバー攻撃を受けやすい環境でもあるため、一度攻撃を受けると、そこを踏み台にして社内ネットワークにウィルス感染などを広げかねません。そこで、外部とアクセスするサーバー類をDMZに配置することで、内部ネットワークを守りつつ、利便性を高めることが可能です。
近年、企業や組織を狙ったサイバー攻撃が頻発しており、ネットワーク構成を検討して、セキュリティ対策を強化していく必要があります。その際にDMZを用意することは、非常に有効です。
DMZネットワークの置き方の例
DMZを確保したネットワーク構成には、シングルファイアウォール型と、デュアルファイアウォール型があります。ここでは、それぞれの構成と、メリット・デメリットについてご説明します。
シングルファイアウォール型
このタイプで使用するファイアウォールは、1台です。このファイアウォールに、内部ネットワーク用、DMZ用、外部ネットワーク用のポートをそれぞれ用意します。すべての通信がファイアウォールを通過するように、設定します。
このタイプだと、ファイアウォールが1台で済むので、コストを抑えられることがメリットです。ただし、1台で複数のネットワークの構成をしなければならないため、設定が複雑になるというデメリットもあります。
デュアルファイアウォール型
このタイプでは、内部ネットワーク側と外部ネット側に2台ファイアウォールを用意し、その間にDMZを構成します。DMZを内部ネットワークと外部ネットワークから、物理的にわけることが可能です。
これにより、セキュリティレベルをより高くできます。ただし、ネットワーク機器が増えるため、購入費用や運用の手間がかかるというデメリットがあります。
DMZのメリット
DMZを用意すると、セキュリティレベルを強化できる、社内ネットワークを守れる、コストを抑えた対策を導入できるなどのメリットがあります。
ここでは、DMZを導入するメリットについてご説明します。
セキュリティレベルが強化される
DMZを設置し、そこにインターネットにアクセスする公開サーバーを置くことで、万が一サイバー攻撃にあっても、内部ネットワークへの影響を抑えることが可能です。これにより、公開サーバーを用いる際のセキュリティレベルを強化できます。
外部からのアクセスを受ける公開サーバーを設置すると、どうしてもセキュリティの脅威が高まってしまいます。そこで、DMZを用意することにより、セキュリティレベルを強化することが可能です。
社内ネットワークへの影響を防げる
社内ネットワークは、ネットワークの内部に設置しますが、公開サーバーが同じエリアにあると、セキュリティの脅威レベルが高まってしまいます。公開サーバーは、外部ネットワークからのアクセスが頻繁なので、サイバー攻撃にあう危険性が高いです。
そこで、公開サーバーをDMZに設置することにより、社内ネットワークと公開サーバーを隔離できます。万が一、公開サーバーが不正アクセスやマルウェア感染などの被害にあっても、内部ネットワークとは隔離されているため、社内ネットワークなどに被害を広げることを防げます。DMZに公開サーバーを隔離することで、社内ネットワークへの影響を最小限に抑えることが可能です。
簡単に実装できる
DMZによるセキュリティ対策は設定がシンプルなため、簡単に実装できるというメリットがあります。ファイアウォールを設置して、ネットワーク構成を行うだけなので、簡単に環境設定ができます。
ほかの対策を導入する際は、高機能なセキュリティツールを導入してむずかしい設定を行ったり、ほかのツールと連携させたりする必要があるかもしれません。しかし、DMZを活用する方法なら、ネットワーク設定を行うだけなので、技術的にも簡単です。
導入の手間が省けるだけでなく、運用方法も簡単なのは大きなメリットです。
コスト削減につながる
DMZを導入するセキュリティ対策は、上記でご説明したとおり、むずかしくありません。特殊な機器を導入する必要もなく、必要なのはファイアウォールとネットワーク構成の検討、設定の手間だけです。そのため、ファイアウォールなどのネットワーク機器の費用はかかりますが、導入時のコストの削減にもつながります。
また、運用時のコストも抑えることが可能です。複雑な設定の機器を導入したわけではなく、ファイアウォールを通常どおり管理するだけなので、運用コストがそこまで増えることもないでしょう。
コストをかけることなく、ネットワークのセキュリティレベルを高めることが可能です。
DMZのデメリット・注意点
DMZを導入すると、多くのメリットを得られる一方で、デメリットもあります。ここでは、内部からの不正の問題、初期費用の問題、ネットワーク構成の問題など、DMZを導入することによるデメリットや注意点について解説します。これからDMZの導入を検討している場合は、事前に確認しておくのがおすすめです。
内部からの攻撃・不正アクセスには対処できない
DMZは、設置した公開サーバーなどへの外部からの攻撃や、不正アクセスには対処可能です。外部からのアクセスが多い公開サーバーをDMZに置くことで、万が一サイバー攻撃を受けても、内部ネットワークを守れます。
しかし、内部からの攻撃や不正アクセスには対処できません。従業員による内部犯行で情報漏えいが起こる、一度入り込んでしまったマルウェアによる被害などには対処不可です。
初期費用がかかる
DMZによる対策は複雑なものではなく、運用コストが大きく膨らむことはほとんどありません。しかし、ファイアウォールを設置していなかった場合は、新たにファイアウォールを購入する必要があります。また、ファイアウォールがすでに導入済みでも、デュアルファイアウォール型のDMZを設置する場合も同様です。
ファイアウォールを購入して、社内ネットワークにあったネットワーク構成にし、設定なども行う必要があります。そのため、ネットワーク機器購入費用やネットワーク環境の検討、構築にかかる費用などが高額になるでしょう。
そのため、DMZを用意する際は、必要な予算を見積もっておく必要があります。
ネットワーク構成が複雑になる
DMZを用意すると、ネットワーク構成が複雑になります。従来の内部ネットワークが外部と接続する箇所に、ファイアウォールを設置しただけのシンプルなネットワーク構成ではなく、間にDMZを置く構成になります。公開サーバーと社内ネットワークがネットワーク構成的にわかれるので、別々に管理する必要もあるでしょう。
ネットワーク構成が複雑になるため、ネットワーク機器のメンテナンスが必要です。
公開サーバーがクラウド環境にある場合は効果がない
DMZの構成上、クラウド上の公開サーバーを使っている場合には、DMZを用意しても意味がありません。DMZは、社内環境に公開サーバーを置く場合に効果がある方法なので、クラウド上の公開サーバーを利用している場合は不要です。クラウドサーバー上の公開サーバーを活用している場合は、クラウド側で対策が行われているはずなので、確認してみてください。
DMZを用意することで効果を発揮するのは、公開サーバーなどをオンプレミス環境で用意する場合です。社内環境に公開サーバーを設置する場合に、効果を発揮するでしょう。
DMZを設置する流れ
DMZを設置する場合、どのような流れで作業を進めればよいのでしょうか。ここでは、DMZを設置する流れをご説明します。これからDMZを設置する場合は、参考にしてみてください。
1.どのタイプにするか決める
DMZには、シングルファイアウォール型とデュアルファイアウォール型があるため、どちらのタイプにするかを決めます。シングルファイアウォール型はコストを抑えて対応でき、デュアルファイアウォール型なら、よりセキュリティレベルを高めることが可能です。
2.DMZに置くサーバーを決める
DMZに、どのサーバーを置くかを決定します。外部からアクセスするメールサーバーや、Webサーバーなどを選定します。
3.ネットワーク構成を決める
DMZに置く公開サーバーを決めたら、ネットワーク構成を決めます。内部ネットワークにあった公開サーバーをDMZに設置する構成に変え、どのようなネットワーク構成にするかを決めていきます。
4.組み合わせて使うほかの対策を決める
DMZを設置するだけでは、内部からの不正に対応できない、公開サーバーへのサイバー攻撃は防げないなどのセキュリティ対策の漏れが残ります。そのため、DMZによる対策以外にも、ほかの対策を講じていく必要があります。
5.ファイアウォールを導入してネットワーク構成を変更する
ファイアウォールを導入し、ネットワーク構成を変更します。
6.動作テストを行う
想定したネットワーク設定になっているか、実際に疎通確認を行って動作テストをします。
7.運用をはじめる
変更したネットワーク構成で、運用をはじめます。
DMZを設置する際のポイント
DMZを設置する際のポイントについて、ご説明します。
ほかのセキュリティソリューションと併用する
DMZだけでは防げないセキュリティの脅威も多いため、IDS、IPS、WAFなどのほかのセキュリティソリューションも併用します。
IDS(Intrusion Detection System:不正侵入検知システム)を導入してネットワークを監視し、不正アクセスなどの脅威を検知します。また、IPS(Intrusion Prevention System)により、外部からのサイバー攻撃などの侵入を防御することが可能です。さらに、WAF(Web Application Firewall)により、脆弱性を悪用した攻撃からWebサイトを守れます。
情報管理のルールを規定する
DMZを導入する場合、ネットワーク構成を大幅に変更するため、情報の配置や権限などのルールを明確に規定する必要があります。
具体的には、DMZにどのサーバーを置くか、ファイルをどこに配置するか、公開設定をどうするかなどです。明確にルールを規定することで運用しやすくなり、機密情報なども守れます。
まとめ
この記事では、DMZの基本情報や種類、DMZを導入することで得られるメリットや注意点、導入の流れやポイントについて解説しました。DMZの導入により、公開サーバーのネットワーク構成を適切に行うことで、社内ネットワークを守ることが可能です。
SHIFTでは、企業や組織のネットワーク構成を適切に行うなどにより、セキュリティソリューションの導入支援を行います。ネットワーク構成に不安がある場合は、お気軽にご相談ください。
>>SHIFTのセキュリティソリューションのページへ
>>お問い合わせページへ
>>料金についてページへ