DMZ | IT用語辞典

DMZ（DeMilitarized Zone）とは、コンピュータネットワークにおいて、インターネットなどの外部ネットワークと、社内ネットワークなどの内部ネットワークの中間に置かれる、ネットワーク領域のことを指す言葉である。

軍事用語の「非武装地帯」に由来する用語であり、「バリアセグメント」とも呼ばれる。

英語では、Data Management Zone、Demarcation Zone または Perimeter Network と呼ばれることもある。
 

セキュリティを考える上で、DMZの設置は重要である。

DMZを設けることで、それぞれのネットワーク間の通信を適宜制限しつつ、インターネット等の外部ネットワークと接続する必要があるサーバ等を接続することにより、内部ネットワーク（プライベートネットワーク）のセキュリティを保護しながら外部と接続することが可能となる。

特に、外部に向けてWebサービスを展開している場合、非公開の重要な情報資産（顧客情報など信用に関わるもの）を参照しながらも外部から守る必要が生じる。

そのようなケースで設置されるのがDMZである。

DMZの構成例は大まかに分けて２つある。一つは、多段ファイアウォール型と呼ばれるものである。
多段ファイアウォール型DMZは、ネットワークの内側と外側の間に2つ以上のファイアウォールを設置し、DMZを2つのファイアウォールで挟み込むというものだ。

具体的な構成は、社内ネットワーク環境（イントラネット環境）⇔ファイアウォールの機器⇔「DMZ」セグメント⇔ファイアウォールの機器⇔外部ネットワーク環境となる。

2つ目のDMZの構成例は、シングルファイアウォール型と呼ばれる。

シングルファイアウォール型DMZでは、基本的な構成では1台のファイアウォールに、社内ネットワーク用、DMZ用、外部ネットワーク用の3ポートを用意し、社内ネットワークと外部ネットワーク、DMZと外部ネットワークとを1つのファイアウォールを経由するように配置する。

つまり、DMZ 専用インタフェースを設ける方法である。

一般的には多段型の方がセキュリティ面は優れているが、シングル型の方がコストや手間がかからず、実装が容易であると言う利点もある。

• ファイアウォール