DMZとは、コンピュータネットワークや情報セキュリティの文脈では「Demilitarized Zone」の略です。組織の内部ネットワークとインターネットなどの信頼できない外部ネットワークとの間の緩衝材として機能するサブネットワークです。DMZの目的は、セキュリティのレイヤーを追加することであり、攻撃者が外側のネットワーク防御を突破することに成功しても、組織の内部ネットワークにアクセスする前にDMZ内のセキュリティ対策を克服しなければなりません。
一般的なDMZでは、DMZの入口と出口の両方にファイアウォールが設置され、入出力のネットワークトラフィックを制御します。DMZ内に置かれるシステムは、攻撃のリスクを最小限に抑えるために慎重に選択され、設定されます。これらのシステムには、多くの場合、以下のものが含まれます。
一般向けのウェブサイトをホストし、インターネットからアクセスできるサーバーです。DMZに設置することで、内部ネットワークから切り離すことができ、Webサーバーが侵害されても、攻撃者は機密性の高い内部リソースにすぐにアクセスできません。
組織の電子メールの送受信トラフィックを処理するサーバーです。電子メールは一般的な攻撃経路であるため、電子メールサーバーをDMZに置くことで、攻撃者が電子メールサーバーを侵害しても、内部ネットワークに直接到達することを防ぐことができます。
VPNサーバーは、リモートユーザーが組織の内部ネットワークに安全に接続することを可能にします。VPNサーバーをDMZに配置することで、攻撃者がVPN接続を悪用して内部ネットワークにアクセスすることを制限できます。
たとえば、一般向けのウェブサイト、電子メールサーバー、リモート従業員用のVPNサーバーを持つ中小企業を考えてみます。この企業は、これらのサーバーを収容するDMZを設定し、入口と出口の両方にファイアウォールを設置できます。攻撃者がウェブサイトや電子メールサーバーを侵害しても、DMZ内にとどまり、2つ目のファイアウォールを経由して社内ネットワークにアクセスする必要があります。このようにセキュリティを強化することで、機密データやリソースを潜在的な攻撃から保護できます。