図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

DMZ(非武装地帯)とは?

投稿日:

DMZとはdemilitalized zoneの略で非武装地帯という意味があります。これは元々は軍事用語として使われており、戦争中もしくは停戦中である国家の間に設けられた地域で、そこでは協定によって軍事活動を行わない事になっています。そのような地帯を非武装地帯と呼んでおり、この用語がIT用語にも利用されるようになりました。

IT用語(ネットワーク用語)でのDMZとはインターネットなどの外部ネットワークと社内ネットワークの間に設置されたネットワークゾーンの事を言い、そのゾーンには外部からのアクセスを許可しますが、そこから社内ネットワークへのアクセスを許可しないようなネットワークゾーンの事を言います。

DMZには公開系のWebサーバやアプリケーションサーバを設置して、外部ユーザもしくは不特定多数のユーザがインターネットからアクセスできるようにしています。一方で、DMZには悪意を持つユーザやサイバー攻撃者もアクセスできてしまいますので、重要なデータやシステムはDMZには設置せずに社内ネットワークなど別のゾーンに設置します。

一般的なDMZ構成の例

ここでは一般的なDMZの構成例を紹介します。

DMZ構成例

この構成では、2つのFirewallを利用してDMZと社内ネットワークを分割しています。社内ネットワークにはユーザ端末や認証システム、データベース、社内用アプリケーションサーバ等が設置されています。このような分け方を行う事によって、万が一攻撃者がDMZにあるWebサーバに侵入したり、Webサーバがマルウェアに感染してDMZにあるシステムに感染が広がったとしても、社内ネットワークにある重要なシステム・データを保護する事ができます。

複数のDMZを設置する例

しなしながら、最近は社内ネットワークが一番危険なゾーンである、とも言われています。それはユーザ端末が一番マルウェアに感染しやすいからです。社内ネットワークでスパムメールや悪意のあるWebサイトへのアクセスによるマルウェア感染が発生すると、一気に同じネットワークの端末に感染する可能性があります。対策としては社内ネットワークにある重要なシステムやデータを別のネットワークゾーンに設置する事です。

DMZとは?

上記の例では、重要なデータを保管しているデータベースなどを社内ネットワークからも分離しています。上記のように1つのFirewallで分離するのも良いですが、社内ネットワークにさらにFirewallを設置して分離する構成もあります。こうする事によって、社内ネットワークのユーザ端末がサイバー攻撃者によって侵入されても、データベースゾーンのデータベースを守る事ができます。

ところで、これらのゾーンの設置に関しての条件は、正しいセキュアなFirewallの設定を行う事です。いくらネットワークゾーンを設置して公開Webサーバと社内ネットワークとデータベースなどを分離しても、Firewallのルールをセキュアに設定していなければ、意味がありません。

広告

広告

-図解サイバーセキュリティ用語

関連記事

DNSリフレクション攻撃(DNSアンプ攻撃) 図解サイバーセキュリティ用語

DNSリフレクション攻撃もしくはDNSアンプ攻撃はDoS・DDoSの一種で、DNSの2つの特性を悪用した攻撃です。まず一つ目はDNSサーバは問い合わせに対して必ず回答を行う事(リフレクション)。もう一 …

多層防御とは 図解サイバーセキュリティ用語

多層防御とは、複数の連続したセキュリティ対策によって攻撃を途中で食い止めるアプローチの事を言います。つまり、攻撃に対して効果的でないセキュリティ対策があったり、セキュリティ対策をバイパスするような攻撃 …

バックドア(backdoor)とは? 図解サイバーセキュリティ用語

バックドア(backdoor)は日本語では「裏口」という意味がありますが、セキュリティ用語では不正に仕込まれたトロイの木馬などのマルウェアの事で、C2サーバ経由で外部の攻撃者のコマンドを受け入れてパソ …

Pass-the-Hash 図解サイバーセキュリティ用語

Pass-the-Hashは、攻撃者がパスワードを利用して認証するのではなく、パスワードのハッシュを利用して認証を行う攻撃の事を言います。 通常、認証システムはユーザのパスワードを平文で保存しているわ …

Stuxnet(スタックスネット)とは 制御システムを狙った初のマルウェア 図解サイバーセキュリティ用語

Stuxnet(スタックスネット)とは制御システムを狙った初のマルウェアと言われています。20010年9月ごろにイランのナタンスにある核燃料施設のウラン濃縮用遠心分離機に誤作動を起こさせ、約8400台 …