>
>
最終更新日
企業の情シス・IT管理者向けに、ネットワークセキュリティの中核を担う「DMZ(非武装地帯)」の基礎から構築手法までを解説します。DMZは、外部の脅威から内部セグメントを保護するための緩衝領域です。本記事では、DMZの構成パターンやゼロトラストとの関係、実務での設計ポイントを解説します。
### この記事でわかること
DMZの定義と、社内LANを守るための役割
シングルファイアウォール型・デュアルファイアウォール型の違いと選び方
DMZに配置すべきサーバーと、絶対に置いてはいけないサーバーの区別
ゼロトラスト時代におけるDMZの現代的な位置づけとハイブリッド運用の考え方
DMZネットワークとは
結論:DMZとは、外部ネットワークと内部セグメントの中間に設ける緩衝領域です。
DMZ(非武装地帯)の定義と役割
DMZは「DeMilitarized Zone」の略称であり、直訳すると「非武装地帯」を意味します。IT・ネットワークの分野においては、インターネットなどの「外部ネットワーク(信頼できない領域)」と、社内LANなどの「内部セグメント(信頼できる領域)」の中間に構築された、アクセスが部分的に許可されるネットワークセグメントを指します。
情シス部門では一般的に、外部からのアクセスが必要なWebサーバー、DNSサーバー、メールサーバーなどをこのDMZ環境に配置します。これにより、外部からの不正アクセスによって公開サーバーが侵害された場合でも、ファイアウォールによる適切な制御によって被害の拡大を防ぎ、社内LANの安全を確保することができます。
なお、海外の技術文書やベンダーの仕様書では、「DMZ network」や「DMZ firewall」といった表現で記載されることも多く、グローバルなネットワーク・セキュリティ構築においても共通の重要概念として扱われています。
DMZの仕組みとネットワーク構成
シングルファイアウォール型構成
シングルファイアウォール型は、1台のファイアウォール(FW)に3つ以上のネットワークインターフェース(ポート)を持たせ、「外部ネットワーク」「内部セグメント」「DMZセグメント」をそれぞれ接続する手法です。1台の機器で全てのルーティングとアクセス制御リスト(ACL)を管理するため、構築の手間や機器コストを抑えられる点が最大のメリットです。
導入費用は採用する製品・ベンダーや構成規模によって大きく異なるため、事前に複数ベンダーへの見積もり取得を推奨します。一方で、このFWそのものに設定ミスや脆弱性があった場合、内部ネットワークまで一気に突破される単一障害点(SPOF)となるリスクを孕んでいます。
デュアルファイアウォール型構成
デュアルファイアウォール型は、外部ネットワークとDMZの間に1台目、DMZと内部セグメントの間に2台目のFWを設置し、DMZ領域を物理的・論理的に挟み込む構成です。2台のFWに異なるベンダーの製品を採用することで、特定の脆弱性を突かれた際のリスクを分散する「多層防御」を実現できます。高いセキュリティが求められる大企業や、金融機関のネットワーク構成で広く採用されています。推奨する企業規模の目安はシステム要件や取り扱うデータの機密性によって異なるため、自社のセキュリティポリシーと照らし合わせて判断してください。
【比較表】シングル型とデュアル型の違い
比較項目 | シングルファイアウォール型 | デュアルファイアウォール型 |
|---|---|---|
機器コスト | 低い(FW1台で完結) | 高い(FW2台+保守費用が必要) |
運用負荷 | 低い(ポリシー管理が一元化) | 高い(2台分のポリシー管理・同期が必要) |
セキュリティレベル | 中(単一障害点のリスクあり) | 高(多層防御による強固な隔離) |
推奨される企業規模 | 中小・中堅企業向け | 大企業・高い機密性を扱う組織向け |
ネットワークのDMZが必要なケースと注意点
結論:インターネットとの接点を持つ公開サーバーのみをDMZに置き、内部のDBサーバーとは完全に分離しましょう。
DMZに配置すべき代表的な公開サーバー
インターネットを経由して不特定多数のユーザーや外部システムからのアクセスを受け付けるサーバーは、サイバー攻撃の標的になりやすいためDMZへの配置が必須です。
具体的には、自社サイトを公開する「Webサーバー」、外部とのメール送受信を行う「メールサーバー」、外部からのドメイン名解決要求に応答する「DNSサーバー」などが該当します。
IPAが毎年公開している「情報セキュリティ10大脅威」では、近年も「ランサムウェアによる被害」が組織の脅威として上位に位置しています(最新の統計はIPA公式サイトでご確認ください)。公開サーバーをDMZに隔離していれば、万が一Webサーバーがランサムウェアに感染しても、社内LANのファイルサーバーや端末への被害拡大を防ぐことが可能です。
【アンチパターン】DMZでやってはいけない失敗例
DMZ構成の構築時によくある重大な失敗パターンが、「顧客情報や機密データを持つデータベース(DB)サーバーまでDMZに配置してしまう」ことです。DMZは外部からアクセス可能な領域であるため、ここに機密データを置くことは情報漏洩の直接的な原因となります。
正しいWebシステムの構成(3層クライアント・サーバーモデル)では、WebサーバーのみをDMZに置き、DBサーバーはより安全な「内部セグメント」に配置します。そして、FWの設定により「DMZのWebサーバーから、内部セグメントのDBサーバーの特定ポート(例: MySQLのデフォルトポートである3306番)へのみ通信を許可する」という最小特権の原則を適用するのが鉄則です。
【実用部品】DMZ構築時のセキュリティ設定・判断フロー
情シス部門がネットワーク構成を見直す際は、以下の手順(タイムライン)で設定の検証を行ってください。
現状把握(STEP1):現在のネットワーク構成図とFWのACL(アクセス制御リスト)を棚卸しする
サーバーの仕分け(STEP2):外部公開が必要なサーバーのみをDMZに残し、内部DBを社内セグメントへ移動する
ルールの厳格化(STEP3):DMZから内部セグメントへの通信ルールを「原則すべて遮断(Deny All)」に変更し、連携に必要な特定ポートのみをピンポイントで許可する
多層防御の追加(STEP4):DMZ上の公開サーバーに対して、WAF(Web Application Firewall)やIPS/IDS(不正侵入防御システム)を導入する
ゼロトラスト時代におけるDMZの役割
結論:SaaS管理やゼロトラストが進む現代でも、オンプレミス環境の保護においてDMZは必須の多層防御要素です。
「境界型防御」から「ゼロトラスト」への移行
DMZは、社内ネットワークとインターネットの間に明確な「境界」を引き、水際で脅威を食い止める「境界型防御(ペリメタモデル)」に基づく古くからある概念です。
しかし、近年は業務システムのクラウド移行やSaaS利用が当たり前となり、従業員が社外から直接クラウドへアクセスするようになりました。これにより「境界の内側(社内LAN)なら安全である」という前提が崩壊し、全てのアクセスを疑い都度認証・認可を行う「ゼロトラストアーキテクチャ」がセキュリティの主流となっています(参考:内閣サイバーセキュリティセンター「政府機関等におけるゼロトラストアーキテクチャ適用に向けた考え方」※2021年公開。最新のガイドライン動向はNISC公式サイトでご確認ください)。
クラウド環境とDMZのハイブリッド運用
「ゼロトラスト時代においてDMZ環境は不要になるのか?」という疑問を持たれることがありますが、オンプレミスにレガシーな公開システムが残っている限り、DMZの概念は依然として重要です。
また、クラウド上に自社のシステムを構築する際も、AWS公式ドキュメント(VPC サブネット)等で推奨されている通り、外部アクセスを受け付ける「パブリックサブネット(クラウド上のDMZ)」と、DBなどを置く「プライベートサブネット(内部セグメント)」を分ける設計が基本となります。SaaS管理やID統制によるゼロトラストの取り組みを進めながら、公開システムについてはWAFやDMZを活用した境界型防御を併用する「ハイブリッドな多層防御」が、現代のIT管理者に求められるアプローチです。
よくある質問
LANとDMZの違いは何ですか?
LAN(社内ネットワーク)は、従業員のPCや機密データを扱うファイルサーバーを配置する「外部からアクセスできない安全な領域」です。対してDMZは、Webサーバーなど「外部からのアクセスを前提とし、隔離された緩衝領域」という明確な違いがあります。
DMZにDBサーバーを置いてはいけない理由は?
DMZは外部ネットワークからアクセス可能な領域であるため、ここに顧客情報や認証情報を持つDBサーバーを配置すると、公開サーバーが侵害された際に機密データへ直接アクセスされるリスクが生じます。DBサーバーは必ず内部セグメントに置き、DMZのWebサーバーから必要な特定ポートのみ通信を許可する構成が正しい設計です。
ゼロトラストを導入したらDMZは不要になりますか?
オンプレミスに公開サーバーが残っている限り、DMZは引き続き必要です。ゼロトラストは「全アクセスを都度認証・認可する」考え方であり、DMZが担うネットワーク分離の役割とは補完関係にあります。クラウド移行が完了していない環境では、ゼロトラストとDMZを併用するハイブリッドな多層防御が現実的な選択です。
まとめ
本記事では、企業のIT管理者向けにDMZ(非武装地帯)の仕組みやネットワーク構成、ゼロトラスト時代における位置づけについて解説しました。公開サーバーへの攻撃が巧妙化する中、内部セグメントを守るためのネットワーク分離はセキュリティの基本中の基本です。
「自社のWebサーバーが社内LANと同じセグメントに置かれていないか」「DMZから内部DBへの不要な通信が許可されていないか」、まずは現状のネットワーク構成図とファイアウォールのACL(アクセス制御リスト)を見直すところから始めてください。
設計見直しのチェックリスト
✅ 自社のWebサーバーが社内LANと同一セグメントにないか確認する
✅ FWのACLでDMZ→内部セグメントのDeny Allが設定されているか確認する
✅ DBサーバーが内部セグメントに配置されており、DMZから直接アクセスできない構成になっているか確認する
✅ 単一障害点(SPOF)のリスクを踏まえ、シングル型/デュアル型のどちらが自社要件に合うか検討する
✅ クラウド環境ではパブリックサブネットとプライベートサブネットが適切に分離されているか確認する
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
