[情報セキュリティマネジメント試験]DMZ(非武装地帯)[無料講座・例題付き!]

2021年5月11日

セキュリティ

今回は情報セキュリティマネジメント試験で問われるDMZについて学習します。

モナ
モナ
DMZは日本語で非武装地帯って訳されるニャ
くろん
くろん
かっこいいようなアブないような・・・

DMZ

ファイアウォールを用いてネットワークの制限を厳しくしすぎると、正規の通信も遮断してしまう可能性があります。

そこで危険なインターネット上と安全な社内ネットワークの間にDMZと呼ばれるどちらからのアクセスも可能な領域を用意することで利便性の向上を図っています。

ファイアウォールが1つだと問題が起こる

ファイアウォールが1つだと、DMZをどの位置においても支障が出ます。

位置関係が

[インターネット][ファイアウォール][DMZ][社内ネットワーク]

となっている場合、 社内ネットワーク側にDMZが置かれてしまうため、仮にファイアウォールの設定がしっかりとされていても脆弱性が発生してしまいます。

モナ
モナ
DMZにはアクセスしやすい特性があるから、DMZを踏み台に社内ネットワークにそのまま侵入されるニャ

次に、位置関係が

[インターネット][DMZ][ファイアウォール][社内ネットワーク]

となっている場合、インターネットからDMZへのアクセスは容易にできます。しかしDMZから社内ネットワークへの通信が弾かれてしまい利便性の向上が図れません。

カズ
カズ
要するに、そもそもDMZを置く意味がなくなっちゃうわけだね

ファイアウォールが2つあるとうまくいく

ファイアウォールが2つある場合、その中間にDMZを設置することでうまく行きます。

具体的には

[インターネット][ファイアウォール][DMZ][ファイアウォール][社内ネットワーク]

といった構成です。このようにすることで、ファイアウォールが1つだった時の問題を解決することができます。

通信のルールとしては具体的に

許可する通信 禁止する通信
外側のファイアウォール インターネットDMZ インターネット社内ネットワーク
内側のファイアウォール 社内ネットワークDMZ
DMZ→インターネット
DMZ社内ネットワーク

のようになります。

また、ファイアウォールを2つ用意するとコストが高くなると言った観点から、1つで2役させる形式を取ることもあります。

カズ
カズ
試験では出題されるのは、ほぼこの配置だよ!
スポンサーリンク

DMZ・問題

実際に例題を解いて問題に慣れていきましょう。

問題

問1

企業内ネットワークからも,外部ネットワークからも論理的に隔離されたネットワーク領域であり,そこに設置されたサーバが外部から不正アクセスを受けたとしても,企業内ネットワークには被害が及ばないようにするためのものはどれか。(ITパスポート H.25/秋)

ア DMZ
イ DNS
ウ DoS
エ SSL

問2

1台のファイアウォールによって,外部セグメント,DMZ,内部ネットワークの三つのセグメントに分割されたネットワークがある。このネットワークにおいて,Webサーバと,重要なデータをもつDBサーバから成るシステムを使って,利用者向けのサービスをインターネットに公開する場合,インターネットからの不正アクセスから重要なデータを保護するためのサーバの設置方法のうち,最も適切なものはどれか。ここで,ファイアウォールでは,外部セグメントとDMZ間及びDMZと内部ネットワーク間の通信は特定のプロトコルだけを許可し,外部セグメントと内部ネットワーク問の通信は許可しないものとする。(H.29/春)

ア WebサーバとDBサーバをDMZに設置する。
イ WebサーバとDBサーバを内部ネットワークに設置する。
ウ WebサーバをDMZに,DBサーバを内部ネットワークに設置する。
エ Webサーバを外部セグメントに,DBサーバをDMZに設置する。

解説(クリックで展開)

DMZ・まとめ

今回はDMZについて学習しました。

DMZの役割や置く場所、許可する通信を押さえておきましょう。

カズ
カズ
どのポジションに置くかは非常に大事!

次回はIDS・IPSといった不正侵入検知・防御システムについて学習します。


スポンサーリンク