DMZとは？リモートアクセスとの関係とは？

ファイアーウォール2台でのDMZ

DMZの必要性

DMZには先の例のようにWebサーバーの他、メールサーバー、種類にはよりますがリモートアクセスサーバーなどが置かれます。インターネットへ公開する領域であるDMZと社内LANを分けることにより、社内LANをインターネットからの脅威から守ることができます。

DMZにあるサーバーからは直接社内LANへ接続することができませんので、万が一サーバーが乗っ取られたり、マルウェアに感染したとしても、社内LANへ接続できませんし、社内ネットワークにマルウェアが拡散してしまうこともありません。

DMZも完璧ではない

もちろんネットワークセキュリティに100%完璧ということはありません。 ここでは割愛しますが、ファイアーウォールだけでは防げない攻撃は多く存在します。ファイアーウォールに加え、IPS・IDSやWAFを導入してインターネットからの不正侵入や攻撃からDMZ上にあるサーバーを守る施策も必要です。

DMZとリモートアクセスの関係

DMZにはWebサーバー等、外部に公開したいサーバーを配置すると書きましたが、リモートアクセスでよく利用されるリバースプロキシサーバーもDMZに配置されます。

典型的なリバースプロキシの構成

DMZに配置されたリバースプロキシサーバーは社内サーバーへアクセスしたいユーザーからのアクセスを一旦受け付けます。その後ID/PWなどで認証が完了するとユーザーを社内サーバーへ通します。

この時、DMZから社内へ向かう際、ファイアーウォールを通過するので、ファイアーウォールはリバースプロキシからの社内へ向けた通信だけは許可するよう設定されています。

社内サーバーへ到達したユーザーは再度認証を行うか、リバースプロキシ製品によってはシングルサインオン機能により、社内サーバーの認証行為を行う必要がないなど違いがありますが、以降の通信は全てリバースプロキシを経由します。

リバースプロキシの注意点

先に書いたWebサーバーとリバースプロキシの大きな違いは、WebサーバーはWebサーバーから社内へアクセスできる経路がない一方、リバースプロキシではファイアーウォールの設定でリバースプロキシから社内へのアクセスが許可されている点です。

リバースプロキシはそういった性質上、セキュリティパッチを適用しないなど正しく運用が行われず、セキュリティホールをそのままになっていると、攻撃の対象になり、最悪の場合社内への不正アクセスの踏み台にされてしまいます。

インターネットに晒されている部分があるVPNにも同じことが言えます。

VPN構成図

リバースプロキシやVPNが危険というわけではありません。ただ、その運用にはある程度の知見や体制が必要であると言えます。

２０２３年７月に名古屋港で大規模なシステム障害が起こり復旧まで３日かかったことがありました。これも、VPN機器の脆弱性が狙われたと言われています。

外部リンク（INTERNET Watch）：
名古屋港のランサムウェア感染事件、港運協会らが詳細な経緯と今後の対応を報告

DMZを使わないリモートアクセス

では、社外から社内へアクセスするには、必ずDMZにある機器やVPNを経由してリモートアクセスする必要があるのでしょうか。

答えは「NO」です。製品の中には、DMZに機器を運用しなくても、リモートアクセスができるものがあります。

それが今回ご紹介するSWANStor（スワンストア）です。SWANStorであれば、DMZが無い企業でもリモートアクセスができます。インターネットへ直接晒されている部分がないため、知見や体制がない企業でも安全にリモートアクセス環境を構築、運用することができます。

SWANStor構成図