ネット君 ネットワークセキュリティーの用語で「非武装地帯」ってあるじゃないですか。略して「DMZ▼」。何で非武装地帯って呼ぶんですかね。
インター博士 随分と唐突だな。
ネット君 だってほら。「非武装」っていうと、なんか守られていない感じじゃないですか。非武装地帯って、守られている地帯なのか、それとも守られていない地帯なのか。どっちなんでしょうか。
もともと非武装地帯とは、紛争状態にある2つ以上の勢力の間に設けられる、軍事活動が許されない地域のことである。停戦や休戦時に境界線付近に設定される。
そこから転じて、インターネットと内部ネットワークとの間に設けられるネットワークエリアを非武装地帯あるいはDMZと呼ぶ。バリアセグメントと呼ばれる場合もある。
公開サーバーはどこに置く?
組織によってはインターネットからのアクセスを許可する「公開サーバー」を自分たちで運用している。近年はクラウドサービスを利用するケースが増えているが、自組織で運営している組織も多い。
この公開サーバーを自組織のネットワークのどこに置くかが問題になる。ファイアウオールの外側、つまりインターネット側に配置すれば、ユーザーは自由に公開サーバーにアクセスできる。内部ネットワークの設定などを変更する必要もない。
だが、そのように配置した公開サーバーはインターネットからのアクセスを無条件で受け付けるためセキュリティー上問題が多い(図1上)。攻撃者は不正アクセスを際限なく試みることができるからだ。公開サーバーはサイバー攻撃にさらされ続けることになる。
一方、ファイアウオールの内側に配置する方法もある。ファイアウオールのフィルタリング設定などで、公開サーバー宛ての特定のプロトコルの通信のみを内部ネットワークに通すようにする(図1下)。このようにすれば、公開サーバーへの不要なアクセスを遮断できる。また、内部ネットワークへの不正アクセスも防げる。
