DMZ(DeMilitarized Zone)とは、インターネットなどの信頼できないネットワークと、社内ネットワークなどの信頼できるネットワークの中間に置かれる、ネットワーク領域のことだ。
DMZ(DeMilitarized Zone)とは、インターネットなどの信頼できないネットワークと、社内ネットワークなどの信頼できるネットワークの中間に置かれる、ネットワーク領域のことだ。直訳して「非武装地帯」とも呼ばれる。
インターネットに公開するWebサーバなどは、外部からのアクセスを許可しているため攻撃されやすく、常に不正アクセスの危険をはらんでいる。このようなサーバと同じネットワーク内に顧客情報のような非公開の情報資産を置いておくことは大変危険である。
重要な情報資産を参照しながら外部に向けてサービスを展開しなければならない場合には、インターネットと内部ネットワークをファイアウォールによって分離し、さらにその中間に確保した「外部との通信を直接行うコンピュータを設置するネットワーク領域」(DMZ)を、緩衝領域として設けることが一般的である。
DMZを含むネットワークを構成する場合、一般的には、ファイアウォールによって「インターネット→DMZ」「内部ネットワーク→DMZ」「DMZ→インターネット」の通信は許可されているが、「DMZ→内部ネットワーク」の通信は制限される。「内部ネットワーク→インターネット」の通信は、以前は直接通信させることもあったが、最近はDMZにProxyサーバを設置し、内部ネットワークに設置されたコンピュータをインターネットと直接通信させないような構成を採用することが多い。
【2004/1/1】初版公開。
【2018/7/2】最新情報に合わせて内容を書き直しました(セキュリティ・キャンプ実施協議会 著)。
Copyright © ITmedia, Inc. All Rights Reserved.