DMZ_二重の壁で守る仕組み

もし、あなたの組織がえっと堅固な、お城だとして、お城の中に誰でも利用できるような、まぁ、売店を置く必要があったらどうしますか？ いきなりお城の奥まで案内するっていうのは、ちょっと不用心ですよね。そうですね。 今回はですね、このアクセスはさせたい、でも大事な場所は守りたい、っていうこの課題を解決するネットワークの中庭、 DMZについて、お役立ちした資料から深く探っていきましょう。 はい、これはウェブサイトとかメールサーバーみたいに、外部との窓口を持つ組織にとっては、もう避けては通れない非常に重要なテーマですね。 この構造を理解すると、情報の守り方がぐっと立体的にお見え、見えてきますよ。 では、早速なんですが、資料に出てくるこのDMZ、日本語だと非武装地帯となりますけど、 この言葉って、そもそもどこから来てるんでしょうか？えぇ、ここで面白いのがこの言葉の由来なんですよ。 由来ですか？元々は、軍事用語でして、敵と味方のどちらにも属さない干渉地帯っていうものを指すんですね。 へぇー、軍事用語。それがネットワークの世界だと、 信頼できない外部、つまりインターネットと、信頼できる内部である社内ネットワーク、この間に設けられた確立された特別なエリアを意味するんです。 なるほど、だから非武装地帯なんですね。ちょっと物騒に聞こえましたけど、由来を知るとすごく納得です。 その中庭に当たるDMZには、具体的にはどういったものを置くことになるんでしょう？まさに、お城の例でいうところの売店ですね。 あぁ、売店。はい、会社のウェブサイトを動かすウェブサーバーとか、 メールを送信、受信するメールサーバーとか、そういう外部の人がアクセスする必要があるものだけをこのDMZに設置すると。 その中庭っていう例えすごく分かりやすいですね。でも、中庭といえお城の一部じゃないですか。 そこに入り込んだ攻撃者が、なんかさらに奥の部屋の鍵を探し始めるみたいな、危険はないんでしょうか？ あぁ、いい質問ですね。そこがこの仕組みの最も巧妙な部分なんです。ほう。 実はですね、壁は一つじゃないんですよ。一つじゃない。 えぇ、まずインターネットとDMZの間に、第一の壁となるファイアウォールを置きます。はい、まず一つ目。 そして、それだけじゃなくて、今度はDMZと内部の社内ネットワークの間、 ここにも第二の壁を設置するんです。二重の壁ですか？ ということは、仮に中庭が突破されたとしても、お城の本体にはもう一つこう頑丈な門があるみたいな。 まさにその通りです。万が一DMZにある公開サーバーが乗っ取られたとしても、 その攻撃者が内部の重要データに手を出す前に、第二の壁がそれを食い止める。なるほど。 被害をDMZっていうその限定されたエリアに封じ込めるための防波堤、そういう役割を果たすわけです。 ということは、DMZっていうのは単に壁を高くして敵を遠ざけるっていう単純な発想じゃないんですね。 攻撃される可能性を特定の場所に閉じ込めて管理するっていう、すごくクレーバーな設計思想に感じます。 えぇ、おっしゃる通りです。ただひたすら壁を高くするだけだと、外部とのやり取り自体が難しくなってしまいますから。確かに。 DMZの考え方っていうのは、外部との接触は必要だと認めた上で、いかに賢くリスクを封じ込めるかに焦点を当ててるんですね。 なので、お預かりした資料の核心は、えー3点です。 第一に、DMZには外部に公開するものだけを置く。はい。 第二に、DMZは内部ネットワークからしっかり隔離する。えぇ。 そして第三に、万が一の際の防波堤として機能させる。この発想が非常に重要なんです。なるほど。 この干渉地帯を設けてリスクを管理するという考え方、これってネットワークセキュリティ以外にも結構応用できそうですよね。 そうですね、色々な場面で使える考え方だと思います。 あなたの仕事や生活の中で、完全に分離はできないけれど、賢く距離を置きたいリスクに対して、このようなDMZ的なアプローチを取れる領域はどこにあるでしょうか？