図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

DMZ(非武装地帯)とは?

投稿日:

DMZとはdemilitalized zoneの略で非武装地帯という意味があります。これは元々は軍事用語として使われており、戦争中もしくは停戦中である国家の間に設けられた地域で、そこでは協定によって軍事活動を行わない事になっています。そのような地帯を非武装地帯と呼んでおり、この用語がIT用語にも利用されるようになりました。

IT用語(ネットワーク用語)でのDMZとはインターネットなどの外部ネットワークと社内ネットワークの間に設置されたネットワークゾーンの事を言い、そのゾーンには外部からのアクセスを許可しますが、そこから社内ネットワークへのアクセスを許可しないようなネットワークゾーンの事を言います。

DMZには公開系のWebサーバやアプリケーションサーバを設置して、外部ユーザもしくは不特定多数のユーザがインターネットからアクセスできるようにしています。一方で、DMZには悪意を持つユーザやサイバー攻撃者もアクセスできてしまいますので、重要なデータやシステムはDMZには設置せずに社内ネットワークなど別のゾーンに設置します。

一般的なDMZ構成の例

ここでは一般的なDMZの構成例を紹介します。

DMZ構成例

この構成では、2つのFirewallを利用してDMZと社内ネットワークを分割しています。社内ネットワークにはユーザ端末や認証システム、データベース、社内用アプリケーションサーバ等が設置されています。このような分け方を行う事によって、万が一攻撃者がDMZにあるWebサーバに侵入したり、Webサーバがマルウェアに感染してDMZにあるシステムに感染が広がったとしても、社内ネットワークにある重要なシステム・データを保護する事ができます。

複数のDMZを設置する例

しなしながら、最近は社内ネットワークが一番危険なゾーンである、とも言われています。それはユーザ端末が一番マルウェアに感染しやすいからです。社内ネットワークでスパムメールや悪意のあるWebサイトへのアクセスによるマルウェア感染が発生すると、一気に同じネットワークの端末に感染する可能性があります。対策としては社内ネットワークにある重要なシステムやデータを別のネットワークゾーンに設置する事です。

DMZとは?

上記の例では、重要なデータを保管しているデータベースなどを社内ネットワークからも分離しています。上記のように1つのFirewallで分離するのも良いですが、社内ネットワークにさらにFirewallを設置して分離する構成もあります。こうする事によって、社内ネットワークのユーザ端末がサイバー攻撃者によって侵入されても、データベースゾーンのデータベースを守る事ができます。

ところで、これらのゾーンの設置に関しての条件は、正しいセキュアなFirewallの設定を行う事です。いくらネットワークゾーンを設置して公開Webサーバと社内ネットワークとデータベースなどを分離しても、Firewallのルールをセキュアに設定していなければ、意味がありません。

広告

広告

-図解サイバーセキュリティ用語

関連記事

水飲み場攻撃 図解サイバーセキュリティ用語

水飲み場攻撃は標的型攻撃の1つですが、「標的」を装わないのが特徴です。通常の標的型攻撃はターゲットに対してしつこくフィッシングメールを送付したり、ターゲットのサーバをスキャンして脆弱性を発見して悪用を …

フォレンジックとは?

フォレンジックとは法医学や科学調査という意味で、コンピュータの世界ではセキュリティ事故・事件やサイバー攻撃の発生後に原因を調査するためにコンピュータのメモリやハードディスクおよび各デバイスのログを解析 …

POPとIMAPの違い。どちらを選べばいいの? 図解サイバーセキュリティ用語

メールの受信・閲覧方法にはPOPとIMAPという2種類があります。皆さんが自宅のパソコンでメールを見ている場合は大体がPOPという方法でメールを受信しています。一方でスマホなどのデバイスでメールを見る …

UEBA(User and Entity Behavior Analytics)とは?

UEBAとはUser and Entity Behavior Analyticsの略で、ユーザやシステムの振る舞いを機械学習する事で、ユーザ/システムの異常な振る舞いや不正な活動を検知する分析技術の事 …

図解:共通鍵暗号方式と公開鍵暗号方式

共通鍵暗号方式 共通鍵暗号方式は、暗号化する鍵と復号する鍵に同じ鍵を使います。つまり、データを暗号化するユーザと暗号化したデータを受け取って復号するユーザは同じ共通鍵を持っている必要があります。 共通 …