DMZの解説
DMZとは外部ネットワークと内部ネットワークの中間に置かれたネットワークのことです。DMZは内部ネットワークから切り離されているのでDMZ上のサーバやPCが攻撃を受けたとしても内部ネットワークには影響を受けません。DMZには「非武装地帯」という意味があります。非武装地帯は戦争において危険地帯と安全地帯の間に置かれた武装を解除する地帯のことで、ITの世界でも同じ意味を持ちます。具体的にどういうことか見てみましょう。
例えば、会社でネット通販を始めるためにWebサーバを設置することになったとします。ネット通販なのでインターネットを通じて世界中の人たちがWebサーバにアクセスしてきます。
仮に社内ネットワークにWebサーバを置いたとしたら世界中の人が社内ネットワークにアクセスすることになります。もし悪意を持った人間がWebサーバを乗っ取ってしまったら、Webサーバを踏み台にして社内ネットワークに存在するあらゆるPCやサーバも攻撃されてしまう可能性があります。
なので、インターネットと社内ネットワークの間のDMZにWebサーバを置いてみることにします。そして、社内ネットワークからWebサーバへのアクセスは出来ますが、Webサーバから社内ネットワークへはアクセス出来ないように切り離します。そうすると、仮にWebサーバが悪意を持った人から乗っ取られても社内ネットワークへの攻撃は防ぐことが出来ます。これがDMZの役割です。
基本情報技術者試験での出題例
令和元年度秋期問42、平成29年度春期問43
基本情報技術者 午前試験
令和元年度秋期問42、平成29年度春期問43
1台のファイアウォールによって,外部セグメント,DMZ,内部セグメントの三つのセグメントに分割されたネットワークがあり,このネットワークにおいて,Webサーバと,重要なデータをもつデータベースサーバから成るシステムを使って,利用者向けのWebサービスをインターネットに公開する。インターネットからの不正アクセスから重要なデータを保護するためのサーバの設置方法のうち,最も適切なものはどれか。ここで,Webサーバでは,データベースサーバのフロントエンド処理を行い,ファイアウォールでは,外部セグメントとDMZとの間,及びDMZと内部セグメントとの間の通信は特定のプロトコルだけを許可し,外部セグメントと内部セグメントとの間の直接の通信は許可しないものとする。
ア WebサーバとデータベースサーバをDMZに設置する。
イ Webサーバとデータベースサーバを内部セグメントに設置する。
ウ WebサーバをDMZに,データベースサーバを内部セグメントに設置する。
エ Webサーバを外部セグメントに,データベースサーバをDMZに設置する。
正解は”ウ”
この問題では外部に公開するWebサーバと重要なデータを持つデータベースサーバがあります。
【Webサーバ】
・インターネットに公開し、不特定多数の人にさらすサーバ
【データベースサーバ】
・重要なデータを保存しているので、外部の人にはさらしたくないサーバ
なので、Webサーバは外部にも内部にも見えるDMZに置いて、データベースサーバは内部だけがアクセス出来るように内部セグメントに置く必要があります。
