DMZとは?リモートアクセスとの関係とは?
- 2024/04/22
- サイバーセキュリティ
- 全て
- 製品・サービス
コンピュータネットワークにおいて、DMZという言葉をお聞きになったことはないでしょうか?
リモートアクセス製品を探す際、このDMZという言葉に出くわすことがあると思います。今回は、このDMZのことと、リモートアクセスとの関係に関するお話になります。
目次
DMZとは
DMZとはDeMilitarized Zoneの略で、「非武装地帯」という意味になります。
もとになっている軍事用語のDMZでは、紛争や戦争を行っている2カ国以上の国や軍事勢力の間の休戦協定等によって設けられる軍事活動が禁止されている地域のことを指します。
一方、コンピュータ・ネットワークにおけるDMZは外部ネットワーク(インターネット)と内部ネットワーク(社内LAN)の間に設けられるインターネットでも社内LANでもない領域のことを指します。
DMZ上にはインターネットに公開したい例えばWebサーバー配置して運用します。一般的な構成としては、インターネットや社内LANからこのWebサーバーへ接続できますが、DMZのWebサーバーから社内LANへ接続することはできません。こうすることにより、社内LANがインターネットからの脅威に直接晒されることがありません。
DMZの構成の種類
DMZはファイアーウォールを1台で構成する場合と、2台で構成する場合があります。1台で構成するより2台で構成する方がインターネットからの攻撃などには強い構成になります。
DMZの必要性
DMZには先の例のようにWebサーバーの他、メールサーバー、種類にはよりますがリモートアクセスサーバーなどが置かれます。インターネットへ公開する領域であるDMZと社内LANを分けることにより、社内LANをインターネットからの脅威から守ることができます。
DMZにあるサーバーからは直接社内LANへ接続することができませんので、万が一サーバーが乗っ取られたり、マルウェアに感染したとしても、社内LANへ接続できませんし、社内ネットワークにマルウェアが拡散してしまうこともありません。
DMZも完璧ではない
もちろんネットワークセキュリティに100%完璧ということはありません。 ここでは割愛しますが、ファイアーウォールだけでは防げない攻撃は多く存在します。ファイアーウォールに加え、IPS・IDSやWAFを導入してインターネットからの不正侵入や攻撃からDMZ上にあるサーバーを守る施策も必要です。
DMZとリモートアクセスの関係
DMZにはWebサーバー等、外部に公開したいサーバーを配置すると書きましたが、リモートアクセスでよく利用されるリバースプロキシサーバーもDMZに配置されます。
典型的なリバースプロキシの構成
DMZに配置されたリバースプロキシサーバーは社内サーバーへアクセスしたいユーザーからのアクセスを一旦受け付けます。その後ID/PWなどで認証が完了するとユーザーを社内サーバーへ通します。
この時、DMZから社内へ向かう際、ファイアーウォールを通過するので、ファイアーウォールはリバースプロキシからの社内へ向けた通信だけは許可するよう設定されています。
社内サーバーへ到達したユーザーは再度認証を行うか、リバースプロキシ製品によってはシングルサインオン機能により、社内サーバーの認証行為を行う必要がないなど違いがありますが、以降の通信は全てリバースプロキシを経由します。
リバースプロキシの注意点
先に書いたWebサーバーとリバースプロキシの大きな違いは、WebサーバーはWebサーバーから社内へアクセスできる経路がない一方、リバースプロキシではファイアーウォールの設定でリバースプロキシから社内へのアクセスが許可されている点です。
リバースプロキシはそういった性質上、セキュリティパッチを適用しないなど正しく運用が行われず、セキュリティホールをそのままになっていると、攻撃の対象になり、最悪の場合社内への不正アクセスの踏み台にされてしまいます。
インターネットに晒されている部分があるVPNにも同じことが言えます。
VPN構成図
リバースプロキシやVPNが危険というわけではありません。ただ、その運用にはある程度の知見や体制が必要であると言えます。
2023年7月に名古屋港で大規模なシステム障害が起こり復旧まで3日かかったことがありました。これも、VPN機器の脆弱性が狙われたと言われています。
外部リンク(INTERNET Watch):
名古屋港のランサムウェア感染事件、港運協会らが詳細な経緯と今後の対応を報告
DMZを使わないリモートアクセス
では、社外から社内へアクセスするには、必ずDMZにある機器やVPNを経由してリモートアクセスする必要があるのでしょうか。
答えは「NO」です。製品の中には、DMZに機器を運用しなくても、リモートアクセスができるものがあります。
それが今回ご紹介するSWANStor(スワンストア)です。SWANStorであれば、DMZが無い企業でもリモートアクセスができます。インターネットへ直接晒されている部分がないため、知見や体制がない企業でも安全にリモートアクセス環境を構築、運用することができます。
SWANStor構成図