DMZとは?非武装地帯の仕組み・構成2タイプと公開サーバーの隔離、クラウド時代の設計を解説
DMZとは、インターネットに公開するサーバーを、社内ネットワークからも外部ネットワークからも切り離した専用エリアに置く、ネットワーク分離の考え方です。Web・メール・DNSといった「外に見せる必要のあるサーバー」だけをここに隔離し、万一そこが乗っ取られても被害を社内へ波及させません。この記事で扱うのは、非武装地帯という名前の由来と通信ルール、DMZに置くサーバー、シングルファイアウォール型とデュアルファイアウォール型という2つの構成、導入のメリットとデメリット、そしてクラウドのパブリックサブネットが果たす論理的なDMZの役割です。最後に、自社の構成でDMZを作るべきか、リバースプロキシやWAFで代替すべきかの判断基準まで踏み込みます。
目次
まとめ|DMZとは外部公開サーバーを隔離する緩衝ネットワーク
DMZ(DeMilitarized Zone=非武装地帯)は、外部に公開するサーバーを社内LANから切り離して置く緩衝エリアです。狙いは1つ、「公開サーバーが侵入されても、そこを踏み台に社内へ入られない」構造を作ることにあります。外部→DMZの通信は許可し、DMZ→社内の通信は原則遮断する。この非対称なルールが、DMZの本質です。
構成は、1台のファイアウォールで3つのエリアを仕切るシングルファイアウォール型と、2台で挟むデュアルファイアウォール型の2系統に整理できます。クラウド中心の構成なら物理的なDMZ機器は不要。パブリックサブネットとセキュリティグループで同じ分離を論理的に実現します。自社のネットワーク分離をどう設計するか、オンプレとクラウドのどちらに寄せるかで迷う場合は、インフラ構築(AWS/GCP/Azure)で構成段階から相談を受け付けています。
DMZ(非武装地帯)とは何か|社内ネットワークを守る緩衝エリアの仕組み
DMZの発想は単純です。外に見せるサーバーと、絶対に見せたくない社内システムを、同じネットワークに同居させない。両者の間に「どちらからも隔てられた中間地帯」を1つ挟むことで、外部からの侵入が社内へ直通するのを断ちます。
DMZの由来と役割|軍事用語「非武装地帯」がネットワークで指すもの
DMZはDeMilitarized Zoneの略で、もとは対立する二国間に設ける非武装の緩衝地帯を指す軍事用語です。ネットワークではこれを転用し、信頼できない外部(インターネット)と、信頼する内部(社内LAN)のどちらにも属さない中立エリアを指します。ここに公開サーバーを置くことで、外部からアクセスできる範囲をDMZ内に限定し、社内ネットワークへの直接の到達を防ぎます。役割を一言で言えば、「攻撃者を招き入れてよい範囲を、あらかじめ区切っておく」構造です。
DMZに置くサーバーと3つの通信ルール(外部・DMZ・内部の許可設計)
DMZに配置するのは、外部と通信する必要のあるサーバーに限られます。代表例はWebサーバー、メールサーバー(送受信の中継)、DNSの外向けサーバー、リバースプロキシ、公開用のFTPサーバーなどです。逆に、データベースサーバーや業務システム、ファイルサーバーといった「社内だけで使うもの」はDMZに置かず、社内ネットワーク側に隔離します。
通信の許可設計は、3つのエリア間で次のように非対称に組みます。
| 通信の向き | 原則の扱い | 典型例 |
|---|---|---|
| 外部 → DMZ | 必要なポートのみ許可 | インターネットから公開Webサーバーの443番へ |
| DMZ → 内部 | 原則遮断(必要時のみ限定許可) | WebサーバーからDBへ、特定ポートだけ許可 |
| 内部 → DMZ/外部 | 用途に応じ許可 | 社内からの管理アクセス、外部サイト閲覧 |
肝はDMZ→内部を絞ることです。公開サーバーが乗っ取られた前提で、そこから社内DBへ自由に入れないよう、必要な1経路だけを穴として開けます。
なぜ公開サーバーをDMZに隔離するのか|侵入時の被害を内部に波及させない
公開サーバーは、24時間インターネットからアクセスを受け続ける以上、攻撃対象になりやすい存在です。仮に社内LANにWebサーバーを直置きすると、そのサーバーが侵害された瞬間、攻撃者は社内ネットワークの内側に立つことになります。DBもファイルサーバーも同じセグメントにあれば、横移動(ラテラルムーブメント)で次々と到達されかねません。DMZに隔離しておけば、被害はDMZ内でいったん止まり、社内への侵入にはもう一段のファイアウォールを越える必要が生じます。この「被害を局所化する一段」が、DMZを設ける最大の理由です。
DMZの構成2タイプ|シングルファイアウォール型とデュアルファイアウォール型
DMZの作り方は、使うファイアウォールの台数で大きく2つに分かれます。守りの厚さと運用のしやすさがトレードオフの関係にあり、規模と予算で選び分けます。
シングルファイアウォール型(3インターフェース型)の構成と向く規模
1台のファイアウォールに、外部・DMZ・内部の3つのネットワークをそれぞれ別ポート(インターフェース)で接続する構成です。1台の設定で3エリア間の通信ルールを一括管理でき、機器コストも運用の手間も抑えられます。中小規模の拠点や、公開サーバーが数台程度の環境ではこの型が実務的な選択になります。弱点は、そのファイアウォール1台が突破されると3エリアの仕切りが同時に失われる点です。設定ミスが全体に直結するため、ルールの見直しは慎重に行います。
デュアルファイアウォール型の構成と多段防御で社内を守る設計の考え方
外部とDMZの間に1台目、DMZと内部の間に2台目のファイアウォールを置き、DMZを2台で挟む構成です。社内へ到達するには2台のファイアウォールを続けて越える必要があり、しかもメーカーの異なる機器を組み合わせれば、片方の脆弱性がもう片方に通用しにくくなります。防御は厚くなる一方、機器代と保守費が2台分かかり、ルール設計も2重になります。金融機関や大規模なシステムなど、内部ネットワークの保護を最優先する環境で選ばれる型です。DMZという緩衝地帯を、そもそもファイアウォールの設定で作り出す仕組みは、ファイアウォールとは何か・種類と選び方の記事で仕組みから整理しています。
構成タイプの選び方|規模・予算・保護対象から決める判断軸の整理
2つの型は、優劣ではなく適材適所で選びます。判断軸を絞ると次の通りです。
| 観点 | シングルFW型 | デュアルFW型 |
|---|---|---|
| 機器台数・コスト | 1台・低め | 2台・高め |
| 防御の厚み | 1段 | 2段(多段防御) |
| 運用の手間 | 一括管理で軽い | 2重設計で重い |
| 向く規模 | 中小拠点・公開サーバー少数 | 大規模・高い機密要件 |
公開サーバーが数台で情シスの人手が限られるなら、シングル型で1台に集約するのが合理的です。逆に、内部に守るべき機密が集中し、可用性要件も高い環境では、コストを払ってでもデュアル型で段を増やす価値があります。
DMZ構築のメリットとデメリット|運用コストと防御効果のバランス
DMZは万能の解ではありません。得られる防御効果と、支払う運用コストの両方を見たうえで、自社に見合うかを判断します。
DMZ導入で得られる防御効果と、社内へ波及させない被害の局所化
最大の効果は、公開サーバーが侵害されても社内ネットワークへの直通を断てることです。外部からの攻撃はまずDMZで受け止められ、社内DBや業務システムへ到達するには追加のファイアウォールを越える壁が立ちはだかります。加えて、公開サーバーと社内サーバーの通信ルールを別々に管理できるため、「外向けにはこのポートだけ、社内向けにはこの経路だけ」という細かい制御がしやすくなります。監視やログ取得の対象もDMZに集約でき、外部に接する箇所を1エリアに束ねられる点も運用上の利点です。
見落とされがちなデメリット(構成の複雑化・運用負荷・単体では不十分)
デメリットは主に運用側に出ます。ネットワークが3つ以上のエリアに分かれるぶん構成は複雑になり、ファイアウォールのルールも増えます。ルールの1行が誤っていれば、通すべき通信が止まる、あるいは塞ぐべき穴が開く。設計と定期的な棚卸しの手間は、DMZを持たない構成より確実に増えます。そしてもう1つ、DMZは「通信の経路」を分離する仕組みであって、通信の中身までは検査しません。DMZ内の公開Webサーバーに対する、SQLインジェクションのようなアプリケーション層の攻撃は、経路が正規である以上DMZの仕切りだけでは防げません。ここは後述のとおり、WAFやIPS/IDSと組み合わせて初めて守れる領域です。
クラウド時代のDMZ|パブリックサブネットとセキュリティグループによる論理的分離
システムをクラウドに置く構成が広がり、DMZの作り方も物理機器の設置から論理的な設計へと軸足が移りました。考え方そのものは変わりません。「外に見せるサーバーと社内資産を、同じ区画に置かない」という原則を、クラウドの部品で実現します。
オンプレDMZとクラウドの「パブリックサブネット=論理DMZ」の対応
AWSやAzure、Google Cloudでは、仮想ネットワーク(VPC/VNet)をサブネットに分け、インターネットから直接アクセスできるパブリックサブネットと、外部に露出しないプライベートサブネットを分けます。公開Webサーバーやロードバランサーはパブリックサブネットに、データベースはプライベートサブネットに置く。この配置が、そのままオンプレのDMZと社内LANの関係に対応します。物理的なファイアウォールを2台並べる代わりに、ルーティング設定でどのサブネットが外部と通信できるかを決める。パブリックサブネットは、いわば「論理的なDMZ」です。
セキュリティグループ・ネットワークACLで通信を絞るクラウドの設計
クラウドでは、DMZ内サーバーへの通信制御を、セキュリティグループ(インスタンス単位のファイアウォール)とネットワークACL(サブネット単位のフィルタ)の2層で組みます。たとえば公開Webサーバーには「外部からの443番だけ許可」、そのサーバーからDBへは「特定ポートだけ許可」と、通信の向きごとに最小限の穴を定義します。オンプレのDMZで手で書いていたルールを、クラウドの設定として宣言的に管理できる形です。マネージドのロードバランサーやWAFサービスを前段に置けば、経路の分離と中身の検査を同じ構成の中で両立できます。オンプレからクラウドへネットワーク分離を移す設計は、既存構成の棚卸しから入るのが安全で、インフラ構築(AWS/GCP/Azure)では移行と新規構築の双方に対応しています。
DMZを作るべきか|自社構成での採用判断と、作らない選択の基準
ここからは構成図の説明ではなく、判断の話です。DMZは常に正解ではありません。設けるべき場面と、別の手段で代替したほうがよい場面を、条件付きで言い切ります。
DMZを設けるべき構成と、リバースプロキシ/WAFで代替できる場面
DMZを設ける価値が高いのは、自社で公開サーバーを複数台運用し、その裏に社内DBや業務システムを抱えている構成です。外部接点が多く、内部に守るべき資産が集中しているほど、経路を分離する効果は大きくなります。一方で、公開しているのが小規模なWebサイト1つで、その背後に守るべき社内システムが無い場合、専用のDMZを組む手間は過剰になりがちです。この規模なら、クラウドのマネージドサービス(マネージドWebホスティングやCDN+WAF)に載せ、リバースプロキシで受ける構成のほうが、運用は軽く安全性も確保できます。判断軸はシンプルで、「DMZの奥に守るべき社内資産があるか」「その分離を自前で運用し続けられる人手があるか」の2点です。守る対象が薄いのにエリアだけ増やすのは、複雑さという名のリスクを自ら抱え込む選択になります。
DMZだけでは守れない領域と多層防御(IPS/IDS・WAFとの組み合わせ)
DMZを作っても、それ単体では防げない攻撃があります。DMZは通信の「経路」を仕切る仕組みで、正規のポートを通って届くアプリケーション層の攻撃には無力です。公開Webサーバーを狙うSQLインジェクションやクロスサイトスクリプティングは、443番の正規通信としてDMZに入ってきます。これを止めるにはWAFが要ります(Webアプリ層の防御はWAFの仕組みとファイアウォール・IPS/IDSとの違いで扱っています)。また、DMZ内サーバーへの侵入の兆候を検知し自動遮断するには、通信の中身の振る舞いを監視するIDS・IPSを重ねます。DMZは境界を区切る土台であり、その上にWAF・IPS/IDS・端末側の対策を積む多層防御が前提です。DMZ内の公開サーバーが受け取った不審なファイルそのものを、隔離環境で実行して検査する仕組みはサンドボックスとは何かで解説しています。DMZを1つ作れば安全、という理解で止まると、正規経路をすり抜ける攻撃をそのまま社内の入口まで通してしまいます。
よくある質問
DMZの検討でよく挙がる質問に回答します。
DMZとは何の略ですか?
DMZはDeMilitarized Zone(非武装地帯)の略です。もとは対立する二国間に設ける緩衝地帯を指す軍事用語で、ネットワークでは外部(インターネット)と内部(社内LAN)のどちらにも属さない中間エリアを意味します。ここに公開サーバーを置き、外部からのアクセスをこのエリアに閉じ込めることで、社内ネットワークへの直接の到達を防ぎます。
DMZにはどんなサーバーを置きますか?
外部と通信する必要があるサーバーを置きます。具体的にはWebサーバー、メールの中継サーバー、外向けのDNSサーバー、リバースプロキシ、公開用FTPサーバーなどです。逆に、データベースサーバーや業務システム、ファイルサーバーといった社内だけで使うものはDMZに置かず、社内ネットワーク側に隔離します。判断基準は「インターネットから直接アクセスされる必要があるか」です。
シングルファイアウォール型とデュアルファイアウォール型の違いは何ですか?
使うファイアウォールの台数が違います。シングル型は1台のファイアウォールに外部・DMZ・内部を別ポートで接続し、1台で3エリアを仕切る形です。コストと運用は軽い一方、その1台が突破されると仕切りが同時に失われます。デュアル型は2台でDMZを挟み、社内へ入るには2台を続けて越える必要があるため防御は厚くなりますが、機器代と設計の手間が2倍になります。中小規模はシングル型、高い機密要件の大規模環境はデュアル型が目安です。
クラウド環境でもDMZは必要ですか?
考え方は必要で、実装の形が変わります。クラウドでは物理的なDMZ機器を置く代わりに、VPCをパブリックサブネットとプライベートサブネットに分け、公開サーバーはパブリック側、DBはプライベート側に置く構成です。通信の制御はセキュリティグループとネットワークACLで行います。パブリックサブネットが論理的なDMZの役割を果たすため、「外に見せるものと社内資産を同じ区画に置かない」という原則はクラウドでも変わりません。
DMZとファイアウォールの違いは何ですか?
DMZは「ネットワークの区画(エリア)」の名前で、ファイアウォールは「通信を許可・遮断する装置」です。両者は対立する概念ではなく、DMZという緩衝エリアはファイアウォールの通信ルールによって作り出されます。1台または2台のファイアウォールで、外部・DMZ・内部の3エリア間の通信を非対称に制御することで、DMZが成立します。DMZは構造、ファイアウォールはその構造を実現する道具、という関係です。
関連記事
- ファイアウォールとは?仕組み・種類とWAF・UTMとの違い、企業の選び方を解説:DMZという緩衝エリアを作り出すファイアウォール本体の仕組みと種類を整理しています。
- WAFとは?仕組み・ファイアウォール/IPS・IDSとの違いと企業の選び方を解説:DMZの経路分離では防げない、Webアプリ層への攻撃を止める仕組みを解説しています。
- IDS・IPSとは?違い・仕組み・種類とファイアウォール/WAFとの使い分けを解説:DMZ内サーバーへの侵入の兆候を検知・自動遮断する二段目の防御を扱っています。
- VPNとは?仕組み・種類・メリットとデメリット、企業導入の判断基準:社外から社内へ安全に接続する経路を、DMZに穴を開けずに確保する方法を解説しています。