[情報セキュリティマネジメント試験]DMZ(非武装地帯)[無料講座・例題付き!]
今回は情報セキュリティマネジメント試験で問われるDMZについて学習します。
DMZ
ファイアウォールを用いてネットワークの制限を厳しくしすぎると、正規の通信も遮断してしまう可能性があります。
そこで危険なインターネット上と安全な社内ネットワークの間にDMZと呼ばれるどちらからのアクセスも可能な領域を用意することで利便性の向上を図っています。
ファイアウォールが1つだと問題が起こる
ファイアウォールが1つだと、DMZをどの位置においても支障が出ます。
位置関係が
![[インターネット][ファイアウォール][DMZ][社内ネットワーク]](https://www.sikaku-no-iroha.co.jp/wp-content/uploads/2021/05/DMZ1.png)
となっている場合、 社内ネットワーク側にDMZが置かれてしまうため、仮にファイアウォールの設定がしっかりとされていても脆弱性が発生してしまいます。
次に、位置関係が
![[インターネット][DMZ][ファイアウォール][社内ネットワーク]](https://www.sikaku-no-iroha.co.jp/wp-content/uploads/2021/05/DMZ2.png)
となっている場合、インターネットからDMZへのアクセスは容易にできます。しかしDMZから社内ネットワークへの通信が弾かれてしまい利便性の向上が図れません。
ファイアウォールが2つあるとうまくいく
ファイアウォールが2つある場合、その中間にDMZを設置することでうまく行きます。
具体的には
![[インターネット][ファイアウォール][DMZ][ファイアウォール][社内ネットワーク]](https://www.sikaku-no-iroha.co.jp/wp-content/uploads/2021/05/DMZ3.png)
といった構成です。このようにすることで、ファイアウォールが1つだった時の問題を解決することができます。
通信のルールとしては具体的に
| 許可する通信 | 禁止する通信 | |
| 外側のファイアウォール | インターネット→DMZ | インターネット→社内ネットワーク |
| 内側のファイアウォール | 社内ネットワーク→DMZ DMZ→インターネット |
DMZ→社内ネットワーク |
のようになります。
また、ファイアウォールを2つ用意するとコストが高くなると言った観点から、1つで2役させる形式を取ることもあります。
DMZ・問題
実際に例題を解いて問題に慣れていきましょう。
問題
問1
企業内ネットワークからも,外部ネットワークからも論理的に隔離されたネットワーク領域であり,そこに設置されたサーバが外部から不正アクセスを受けたとしても,企業内ネットワークには被害が及ばないようにするためのものはどれか。(ITパスポート H.25/秋)
ア DMZ
イ DNS
ウ DoS
エ SSL
問2
1台のファイアウォールによって,外部セグメント,DMZ,内部ネットワークの三つのセグメントに分割されたネットワークがある。このネットワークにおいて,Webサーバと,重要なデータをもつDBサーバから成るシステムを使って,利用者向けのサービスをインターネットに公開する場合,インターネットからの不正アクセスから重要なデータを保護するためのサーバの設置方法のうち,最も適切なものはどれか。ここで,ファイアウォールでは,外部セグメントとDMZ間及びDMZと内部ネットワーク間の通信は特定のプロトコルだけを許可し,外部セグメントと内部ネットワーク問の通信は許可しないものとする。(H.29/春)
ア WebサーバとDBサーバをDMZに設置する。
イ WebサーバとDBサーバを内部ネットワークに設置する。
ウ WebサーバをDMZに,DBサーバを内部ネットワークに設置する。
エ Webサーバを外部セグメントに,DBサーバをDMZに設置する。
解説(クリックで展開)
DMZ・まとめ
今回はDMZについて学習しました。
DMZの役割や置く場所、許可する通信を押さえておきましょう。
次回はIDS・IPSといった不正侵入検知・防御システムについて学習します。
福井県産。北海道に行ったり新潟に行ったりと、雪国を旅してます。
経理4年/インフラエンジニア7年(内4年は兼務)/ライター5年(副業)
簿記2級/FP2級/応用情報技術者/情報処理安全確保支援士/中小企業診断修得者 など
