対象試験と出題頻度
DMZ(非武装地帯)は、ITパスポートから応用情報技術者まで全試験区分で出題される超重要キーワードです。
ネットワークセキュリティの基本中の基本であり、ファイアウォールとセットで問われることが非常に多いです。絶対に覚えておきましょう。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★★
ランクS(超重要)絶対に覚える必要あり
用語の定義
DMZ(DeMilitarized Zone:非武装地帯)とは、一言で言うと「インターネット(外部ネットワーク)と社内ネットワーク(内部ネットワーク)の間に設置される、外部公開用サーバーを配置するための緩衝地帯」のことです。
イメージとしては、「城の外堀と内堀の間にある『出城』」のようなものです。外部からの来訪者(インターネットからのアクセス)は出城(DMZ)までは入れますが、本丸(内部ネットワーク)には直接入れません。万が一、出城が攻め落とされても、本丸はまだ内堀で守られています。
情報処理試験を勉強していると、「DMZって、なんで『非武装地帯』なんて物騒な名前なの?」と疑問に思う方もいるでしょう。これは、朝鮮半島の軍事境界線にある「非武装地帯(DMZ)」に由来しています。両軍が直接対峙しないための緩衝地帯という意味で、ネットワークセキュリティでも同じ概念が使われています。
📊 DMZの基本構成
| ゾーン | 配置するもの | 特徴 |
|---|---|---|
| 外部(インターネット) | 外部の利用者、攻撃者 | 信頼できないネットワーク |
| DMZ | Webサーバー、メールサーバー、DNSサーバーなど | 外部に公開するサーバーを配置 |
| 内部(社内LAN) | 業務PC、ファイルサーバー、DBサーバーなど | 最も守るべき領域 |
解説
DMZ(DeMilitarized Zone)は、ネットワークセキュリティにおける「境界防御」の基本的な考え方です。インターネットに公開する必要があるサーバー(Webサーバーなど)を、内部ネットワークから分離して配置することで、万が一そのサーバーが攻撃を受けても、内部ネットワークへの被害を最小限に抑えることができます。
なぜDMZが必要なのか
企業がWebサイトを公開したり、メールを受信したりするためには、インターネットからアクセス可能なサーバーが必要です。しかし、そのサーバーを社内ネットワークに直接置いてしまうと、サーバーが攻撃者に乗っ取られた場合、社内ネットワーク全体が危険にさらされます。
そこで、「外部公開サーバーは内部ネットワークとは別の場所に置く」という発想が生まれました。これがDMZです。DMZと内部ネットワークの間にもファイアウォールを設置することで、DMZ内のサーバーが侵害されても、内部ネットワークへの侵入を防ぐことができます。
💡 DMZに配置する代表的なサーバー
Webサーバー:企業のホームページやECサイトを公開
メールサーバー(MTA):外部とのメール送受信を行う
DNSサーバー(外部向け):外部からの名前解決要求に応答
プロキシサーバー(リバースプロキシ):外部からの要求を内部サーバーに中継
VPN装置:外部から社内への安全な接続を提供
DMZの構成パターン
DMZの構成には主に2つのパターンがあります。試験では両方の構成が出題されることがあるので、違いを理解しておきましょう。
シングルファイアウォール構成(三本足構成)は、1台のファイアウォールに3つのネットワークインターフェース(外部・DMZ・内部)を持たせる構成です。コストを抑えられますが、ファイアウォールが単一障害点になるリスクがあります。
デュアルファイアウォール構成は、外部とDMZの間に1台目のファイアウォール、DMZと内部の間に2台目のファイアウォールを設置する構成です。より強固なセキュリティを実現できますが、コストと管理の手間が増えます。
📊 DMZ構成パターンの比較
| 項目 | シングルFW構成 | デュアルFW構成 |
|---|---|---|
| ファイアウォール数 | 1台(3ポート) | 2台 |
| コスト | 低い | 高い |
| セキュリティ強度 | 標準的 | より強固 |
| 管理の手間 | 少ない | 増える |
| 採用例 | 中小企業 | 大企業、金融機関 |
DMZの通信制御ルール
DMZを効果的に機能させるためには、ファイアウォールで適切な通信制御を行う必要があります。基本的なルールは以下のとおりです。
外部→DMZ:必要な通信のみ許可(例:80番ポート(HTTP)、443番ポート(HTTPS)へのアクセス)
DMZ→内部:原則禁止。必要最小限の通信のみ許可(例:WebサーバーからDBサーバーへの接続)
外部→内部:原則禁止(DMZを経由させる)
内部→DMZ:管理目的の通信は許可(例:サーバー管理用のSSH接続)
内部→外部:業務に必要な通信は許可(プロキシサーバー経由が望ましい)
⚠️ よくある間違い
「DMZにあるから安全」ではありません。DMZは「内部ネットワークを守るための緩衝地帯」であり、DMZ自体が安全というわけではありません。
DMZ内のサーバーも、OSのパッチ適用、不要なサービスの停止、ログ監視など、通常のセキュリティ対策が必要です。DMZに置いたサーバーを放置すると、そこを踏み台にされて内部ネットワークへの侵入を許すことになります。
試験ではこう出る!
DMZは、ITパスポートから応用情報技術者まで全試験区分で出題される超頻出キーワードです。「DMZとは何か」「DMZに配置するサーバーは何か」「ファイアウォールとの関係」が定番の出題パターンです。
【試験で狙われるポイント】
- DMZ = インターネットと内部ネットワークの間の緩衝地帯
- 外部公開サーバー(Webサーバー、メールサーバー等)を配置
- DMZ内のサーバーが侵害されても、内部ネットワークを守ることが目的
- ファイアウォールで通信を制御(外部→DMZ→内部の流れを管理)
- 「外部→内部」の直接通信は原則禁止
試験問題で「インターネットと内部ネットワークの間に設置し、外部に公開するサーバーを配置するセグメント」という記述があれば、それは「DMZ」に関する記述です。
試験ではここまで押さえておけばOKです。DMZの具体的なファイアウォール設定コマンドや、詳細なネットワーク設計までは問われないので、「なぜDMZが必要なのか」「何を配置するのか」という基本を確実に理解しておきましょう。
📊 ネットワークセグメントの整理(試験対策)
| セグメント | 信頼度 | 配置例 |
|---|---|---|
| 外部(インターネット) | 低(信頼できない) | 外部利用者、攻撃者 |
| DMZ | 中 | Webサーバー、メールサーバー |
| 内部(社内LAN) | 高(信頼できる) | 業務PC、DBサーバー、機密情報 |
📝 IPA試験での出題ポイント
DMZは「非武装地帯」という日本語訳で出題されることもあります。また、ネットワーク構成図を見て「DMZに配置すべきサーバーはどれか」を選ばせる問題も頻出です。「外部に公開する必要があるサーバー」→「DMZ」、「公開の必要がない重要データ」→「内部ネットワーク」という判断基準を持っておきましょう。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. DMZ(非武装地帯)に関する説明として、最も適切なものはどれでしょうか?
- A. 社内の重要な機密情報を保管するため、外部から完全に遮断されたネットワーク領域
- B. ファイアウォール、IDS/IPS、アンチウイルスなど複数のセキュリティ機能を1台に統合した機器
- C. インターネットと内部ネットワークの間に設置し、Webサーバーなど外部に公開するサーバーを配置する緩衝地帯
正解と解説を見る
正解:C
解説:
DMZ(DeMilitarized Zone:非武装地帯)は、インターネット(外部ネットワーク)と社内ネットワーク(内部ネットワーク)の間に設置される緩衝地帯です。Webサーバー、メールサーバー、DNSサーバーなど、外部に公開する必要があるサーバーを配置します。DMZ内のサーバーが攻撃を受けても、ファイアウォールによって内部ネットワークへの侵入を防ぐことができます。
選択肢Aは「内部ネットワーク」の説明に近いですが、DMZは外部からアクセス可能な領域です。選択肢Bは「UTM(統合脅威管理)」の説明であり、DMZとは異なります。DMZはネットワーク上の「領域・セグメント」を指す用語です。
