Arquitectura de red DMZ y su rol en la seguridad

Lectura de 2 min aprox.

DMZ (DeMilitarized Zone 、非武装地帯) とは、内部ネットワークと外部ネットワーク (インターネット) の間に設置する緩衝地帯です。 Web サーバーやメールサーバーなど、 外部からのアクセスが必要なサーバーを DMZ に配置することで、 万が一これらのサーバーが侵害されても、内部ネットワークへの直接的な 侵入を防ぐことができます。ファイアウォールと組み合わせて 多層防御を実現する基本的なネットワーク設計パターンです。 2025 年現在、クラウド環境では VPC のパブリック/プライベートサブネット構成が DMZ の概念を引き継いでおり、ゼロトラストアーキテクチャとの併用が 推奨されています。

現場での使用例

「 Web サーバーが侵害されましたが、 DMZ と内部ネットワークの間の ファイアウォールが機能し、顧客データベースへのアクセスは阻止できました。 DMZ を設けていなければ、 Web サーバーから直接 DB に到達されていたはずです。」

DMZ ネットワーク構成

DMZ の構成パターン

シングルファイアウォール構成では、 1 台のファイアウォールに 3 つの ネットワークインターフェースを設定し、外部・ DMZ ・内部を分離します。 デュアルファイアウォール構成では、外部ファイアウォールと内部ファイアウォールの 間に DMZ を配置し、より強固な分離を実現します。クラウド環境では、 VPC のパブリックサブネットが DMZ に相当し、セキュリティグループと ネットワーク ACL で通信を制御します。DMZ 設計の書籍 (Amazon)で構成パターンを学べます。

実務での設計シナリオ

EC サイトを運営する企業では、 Web サーバーとリバースプロキシを DMZ に配置し、 アプリケーションサーバーとデータベースサーバーは内部ネットワークに配置します。 DMZ から内部ネットワークへの通信は、特定のポート (例: アプリケーションサーバーの 8080 番ポート) のみを許可し、データベースへの直接アクセスは禁止します。 この設計により、 Web サーバーが侵害されても顧客データベースへの 直接アクセスを防止できます。企業のセキュリティポリシーでは、 DMZ 内のサーバーに対するアクセス制御ルールも定義します。

設計のポイント

DMZ 内のサーバーから内部ネットワークへの通信は最小限に制限し、 内部から DMZ への管理アクセスも踏み台サーバー経由に限定します。 強力なランダムパスワードで DMZ 内の全サーバーと ネットワーク機器を保護し、多要素認証を 管理アクセスに義務化しましょう。ゼロトラストセキュリティの 考え方では、 DMZ の境界防御だけでなく、各サーバー間の通信も 検証する設計が推奨されています。ネットワークセキュリティの書籍 (Amazon)も参考になります。