DMZ (ネットワーキング)

コンピュータネットワークにおいて、DMZ (demilitarized zone) は、境界ネットワークまたはスクリーンされたサブネットワークとしても知られており、内部ローカルエリアネットワーク (LAN) を他の信頼できないネットワーク、通常は公衆インターネットから分離する物理的または論理的サブネットであり、DMZは、ネットワークに接続されている他のネットワークから分離します。 外部向けのサーバー、リソース、サービスは、DMZに配置される。 したがって、これらのサーバーはインターネットからアクセス可能ですが、残りの内部LANはアクセス不能なままです。 これは、ハッカーがインターネットを通じて内部サーバーやデータに直接アクセスすることを制限するため、LAN に追加のセキュリティ層を提供します。

公共インターネット上でユーザーに提供されるサービスはすべて DMZ ネットワークに配置されるべきです。 これらのサービスのうち最も一般的なものは、Web サーバーやプロキシ サーバー、電子メール、ドメイン名システム (DNS)、ファイル転送プロトコル (FTP)、Voice over IP (VoIP) などのサーバーです。

世界中のハッカーやサイバー犯罪者は、これらのサービスを実行しているシステムに DMZ サーバーでアクセスできますが、常に攻撃に耐えるようにハード化される必要があります。 DMZ という用語は、朝鮮戦争の終わりに北朝鮮と韓国の間に設定された地理的緩衝地帯に由来します。

ネットワーク DMZ のアーキテクチャ

DMZ を備えたネットワークを設計するには、さまざまな方法があります。 基本的な方法は、1つまたは2つのファイアウォールを使用することですが、最近のDMZは2つのファイアウォールで設計されているものがほとんどです。 この基本的な方法は、より複雑なアーキテクチャを作成するために拡張することができます。

少なくとも 3 つのネットワークインターフェイスを持つ単一のファイアウォールを使用して、DMZ を含むネットワークアーキテクチャを作成することができます。 外部ネットワークは、インターネットサービスプロバイダ（ISP）接続を介して公衆インターネットを、最初のネットワークインターフェイス上のファイアウォールに接続することで形成されます。 内部ネットワークは第2ネットワーク・インターフェイスから形成され、DMZネットワーク自体は第3ネットワーク・インターフェイスに接続されます。

インターネットと DMZ、LAN と DMZ、LAN とインターネット間のトラフィックを監視する異なるセットのファイアウォール規則が、インターネットから DMZ へのどのポートや種類のトラフィックを許可するか、内部のネットワークの特定のホストへの接続を制限し、要求されていないインターネットや DMZ から内部の LAN への接続はできないように厳密に制御しています。

DMZネットワークを作るより安全なアプローチは、2つのファイアウォールを配備し、その間にDMZネットワークを配置するデュアル・ファイアウォール構成である。 最初のファイアウォール（境界ファイアウォールとも呼ばれる）は、DMZに向けられた外部トラフィックのみを許可するように設定されます。 2つ目のファイアウォール（内部ファイアウォール）は、DMZから内部ネットワークへのトラフィックのみを許可するように設定されている。 攻撃者が内部 LAN にアクセスするには、2 つのデバイスに侵入する必要があるため、この方がより安全であると考えられています。 たとえば、DMZ に配置されたネットワーク侵入検知および防止システムは、TCP ポート 443 への HTTPS 要求以外のすべてのトラフィックをブロックするように設定できます。

DMZ の仕組み

DMZ は、公衆インターネットとプライベート ネットワーク間の一種のバッファゾーンとして機能することが意図されています。 DMZ を 2 つのファイアウォールの間に配置することは、すべての受信ネットワーク・パケットが、組織が DMZ でホストするサーバーに到着する前に、ファイアウォールまたは他のセキュリティ・アプライアンスを使用して選別されることを意味します。

よりよく準備された脅威の行為者が最初のファイアウォールを通過した場合、損害を与える前にそれらのサービスへの不正アクセスを取得しなければなりませんが、それらのシステムはそのような攻撃に対して強化されている可能性が高いのです。 決意の固い攻撃者は、最も安全な DMZ アーキテクチャを突破することができますが、攻撃中の DMZ はアラームを作動させ、セキュリティ専門家に組織への完全侵入を回避するための十分な警告を与える必要があります。 このバッファのセキュリティ上の利点は、次のようないくつかの方法で明らかになります。 組織は、公衆インターネットを通じて、ネットワークの境界の外側にあるサービスへのユーザー アクセスを提供することができます。 DMZ ネットワークは、これらの必要なサービスへのアクセスを提供すると同時に、ネットワークのセグメント化のレベルを導入し、権限のないユーザーが組織のプライベート ネットワークにアクセスする前に迂回しなければならない障害の数を増加させます。 場合によっては、DMZ にはプロキシサーバーが含まれ、内部 (通常は従業員) のインターネットトラフィックの流れを一元化し、そのトラフィックの記録と監視をよりシンプルにします。 DMZ はバッファとして機能するため、攻撃者がネットワーク内の潜在的な標的を探し出すことを防ぎます。 DMZ内のシステムが侵害されたとしても、プライベートネットワークはDMZから分離された内部ファイアウォールによって保護されています。 また、同じ理由で外部からの偵察もより困難になります。 DMZ内のサーバーは一般に公開されているが、別の保護レイヤーでバックアップされている。 DMZが公開されているため、攻撃者は内部のプライベート・ネットワークの内容を見ることができないのだ。 攻撃者が DMZ 内のサーバーを何とか侵害したとしても、DMZ の内部バリアによってプライベート ネットワークから隔離されます。

IP スプーフィングに対する保護。 場合によっては、攻撃者は、許可された IP アドレスを偽装して、ネットワーク上の別のデバイスになりすますことで、アクセス制御の制限を回避しようとすることがあります。 DMZ は、ネットワーク上の別のサービスが IP アドレスが到達可能かどうかをテストしてその正当性を検証する間、潜在的な IP スプーファーを足止めできます。

いずれの場合も、DMZ は、トラフィックを整理できる空間を作り、公共サービスをプライベート ネットワークから安全に離れた場所でアクセスできるように、ネットワークのセグメント化のレベルを提供します。

DMZ の用途

DMZ ネットワークは、ファイアウォールが使用されているのとほぼ同じ期間、企業ネットワーク セキュリティの重要な一部であり、大部分は同様の理由で展開されています：組織の機密システムおよびリソースを保護するためです。 DMZネットワークは、潜在的な標的型システムを内部ネットワークから分離して保持し、組織外のこれらのシステムへのアクセスを削減・制御するために使用することができます。 DMZ の使用は、企業リソースをホスティングして、少なくともその一部を許可された外部ユーザーが利用できるようにするためのアプローチとして長い間使用されてきました。

より最近では、企業は仮想マシン (VM) またはコンテナーを使用して、ネットワークの一部または特定のアプリケーションを企業環境の残りの部分から分離することを選択するようになっています。 クラウド テクノロジーにより、多くの企業が社内に Web サーバーを持つ必要性はほとんどなくなりました。 かつて企業のDMZに置かれていた外部向けのインフラの多くは、現在ではSaaS（Software-as-a-Service）アプリケーションなど、クラウドに移行しています。

DMZ の例

Microsoft Azure などの一部のクラウド サービスは、組織のオンプレミス ネットワークと仮想ネットワークの間に DMZ を実装するハイブリッド セキュリティ アプローチを実装しています。 このハイブリッドアプローチは、通常、組織のアプリケーションの一部がオンプレミス、一部が仮想ネットワークで実行されるような状況で使用されます。 また、送信トラフィックを監査する必要がある場合や、仮想ネットワークとオンプレミス データ センターの間できめ細かいトラフィック制御が必要な場合にも使用されます。

DMZ は、コンピュータやその他のデバイスがブロードバンド ルーターを使用してインターネットに接続し、ローカル エリア ネットワークに構成されるホーム ネットワークにも役立ちます。 一部の家庭用ルーターには DMZ ホスト機能があり、家庭よりも多くのデバイスがある組織でより一般的に実装されている DMZ サブネットワークと対比させることができます。 DMZホスト機能は、ホームネットワーク上の1つのデバイスをファイアウォールの外側で機能するように指定し、それがDMZとして機能し、ホームネットワークの残りの部分はファイアウォールの内側にある。 ファイアウォールがゲームの邪魔にならないように、ゲーム機をDMZホストとして選択するケースもあります。

家庭やクラウドでの選択的な使用は別として、DMZ は IT と OT (運用技術) の融合が進むにつれて生じるセキュリティ リスクに対する潜在的な解決策を提供します。 タービン・エンジンや産業用制御システムなどの産業機器は、IT技術と融合され、生産環境をよりスマートかつ効率的にしていますが、同時に脅威の表面も大きくなっています。 インターネットに接続している多くの OT 機器は、IT 機器と同じように攻撃に対処できるようには設計されていません。

危険にさらされた OT は、IT 侵害よりもさらに危険である可能性があります。 IT 部門の侵害が情報の漏洩につながるのに対し、OT 部門の侵害は重要なインフラの破壊や貴重な生産時間の遅延につながり、人体の安全さえ脅かす可能性があります。 IT インフラは通常、簡単なバックアップでサイバー攻撃から回復できますが、OT インフラは多くの場合、失われた生産時間や物理的な損害を回復する方法がありません。

たとえば、2016 年に米国に拠点を置く電力会社がランサムウェアの攻撃を受け、OT デバイスが影響を受け、多くの顧客が電力を受け取れない状態になりました。 同社はIT機器とOT機器の間にDMZを確立しておらず、OT機器にはランサムウェアが到達した際に対処するための十分な設備がありませんでした。 この侵害は、電力会社のインフラストラクチャとそのサービスに依存している多数の顧客に深い影響を与えました。

DMZ があれば、ネットワークのセグメント化 (OT ネットワーク自体および OT と IT ネットワーク間の両方) が進み、ランサムウェアが産業環境に与えた波及被害を抑制できた可能性がありました。