fbpx

DMZとは?構成する際のポイントや導入するべきセキュリティツールを紹介

DMZとは?

DMZ(DeMilitarized Zone)とは「非武装地帯」を意味し、内部ネットワークを外部からの脅威から保護する緩衝地域のことです。
外部からの不正アクセスやマルウエア感染からメールサーバーやWebサーバなどを守るための役割を果たします。

DMZは、プライベートIPアドレスとグローバルIPアドレスを使い分ける技術であるNAT(Network Address Translation)の制限も可能です。
NATには、プライベートIPアドレスとグローバルIPアドレスを1:1で紐付ける静的NAPTと1つのグローバルIPアドレスを複数のユーザーで使い分ける動的NAPTがあります。

上手く使い分けることで、複数人のユーザーが利用しても外部からの不正アクセスのリスクを大幅に軽減することが可能です。
DMZの機能を活かした身近な例として、PS1や任天堂スイッチなどのオンラインゲームでは、ネットワーク接続の際にDMZが利用されています。

DMZを構成するポイント

ファイアウォール、WAF(Web Application Firewall)、IDS/IPS(不正侵入防止)検知システムをセットで導入しましょう。

ファイアウォールの設置

インターネットと内部ネットワークの間にファイアウォールを設置することで、信頼性の低いアクセスやマルウェアを検知した場合は、ファイアウォールがブロックします。
従来は、ファイアウォールとは隔離された位置にDMZを設けていました。

仮にファイアウォールを突破されても、DMZから内部ネットワークへ通信する際には再びファイアウォールを経由するため、1度目で検知できなかったマルウェアや不正アクセスをブロックすることができます。

ですが、近年のサイバー攻撃の多様化や攻撃者の技術向上により、さらに強固なセキュリティ対策を取る必要が出てきました。
セキュリティレベルを上げるために、ファイアウォールをもう1台追加してDMZをサンドイッチする形での構成も増えています。

WAFの導入

WAFは、Webアプリケーションの脆弱性を狙った不正アクセスやサイバー攻撃を防ぐ、アプリ版のファイアーウォールです。
ファイアウォールとの違いは、IPアドレスやポート番号でアクセスの中身を判別するのではなく、シグネチャでアクセスの中身を判断しています。
つまり、攻撃者に見られるアクセスの特徴やマルウェアに見られるデータの有無を確認して、アクセスの良し悪しを判断しているのです。

WAFを導入することで、検知されにくい不正アクセスやサイバー攻撃を防げます。
例えば、個人情報を打ち込む入力フォームを悪用したクロスサイトスクリプティングやSQLインジェクションといった、サイバー攻撃を防ぐことが可能です。

また、アプリケーションに脆弱性が見つかった場合、修正プログラムが配布されるまでの防御壁としても期待ができます。

IDS/IPSシステムも導入

IDS/IPSシステムを導入することで、ファイアウォールでは検知しきれなかったサイバー攻撃をブロックします。
ファイアウォールは、IPアドレスやポート番号から安全な通信か不正な通信かを判断しています。
そのため、内外部の通信を行うLANやWANなどの接続口に設置されることが多いです。

ただし、ファイアウォールはIPアドレスやポート番号が許可されているサイバー攻撃を防ぐことができません。
偽装されたものでも、ファイアーウォールが正常と判断すれば内部ネットワークへのアクセスを許してしまうからです。
例えば、対象のWebサイトやサーバーになりすますDDos攻撃や他人のPCを利用して攻撃を行う協調分散型DoS攻撃、ワームなどのサイバー攻撃を防ぐことはできません。

その点、IDS/IPSシステムは、OSやソフトウェア、ネットワークを中心に不正アクセスやマルウェアなどの異常を検知し、ブロックします。
ファイアウォールでは防げないDDos攻撃や大量のリクエスト送信でシステムダウンに追い込むフラッド攻撃を防ぐのに有効です。

機密情報の保存場所に注意

外部ネットワークと同じセグメントや隣接されたセグメントに、技術データや顧客情報など重要な情報は保存しないでください。
バッファーオーバーフロー攻撃に備えるためです。

バッファーオーバーフロー攻撃は、ターゲット対象のPCにキャパシティ以上のデータを送りつけてシステムダウンに追い込む場合や、OSやアプリケーションの脆弱性を突いて誤作動を起こして悪用するケースがあります。

ファイアウォールだけでは対応できず、内部ネットワークに影響する可能性が十分あるため、企業の機密情報が入ったデータサーバーは、外部とアクセスする公開サーバーと近づけないでください。

DMZの注意点

ファイアーウォールやIDS/IPSシステムを導入してもできないことがあるので、注意してください。

内部ネットワーク感染対応に弱点

ファイアーウォールやIDS/IPSシステムは、外部からの脅威を防ぐために有効なセキュリティツールです。
ただし、内部感染した場合の対応には弱点を抱えており、システムの導入段階でマルウェア感染していた場合や未知の脆弱性を突かれてマルウェア感染した場合などは、DMZにも影響が及んでしまいます。

内部感染した後に対処する機能はファイアウォールやDMZでは不十分であるため、セキュリティレベルを上げるためには複数のセキュリティツールを併用すべきです。

連携サーバーの通信制御

公開サーバーと非公開サーバーが連携している場合、どちらかのサーバーに異変があった場合に、臨機応変に対応してアクセスをブロックするといった対応は取れません。
TCP/UDPポートと呼ばれる通信プロトコルを使用すると、外部から内部ネットワークの侵入ができるからです。

上記の現象を防ぐには、アンチウイルスソフトを導入して被害を食い止めましょう。

DMZ導入で得られる3つのメリット

ファイアーウォールやWAF,IDS/IPSシステムの導入で、どのようなメリットが期待できるのでしょうか。
DMZを導入することで得られるメリットをまとめました。

不正アクセスのリスク軽減

外部に公開されているWebサーバーやメールサーバー、プロキシサーバーなどは外部からの攻撃を受けやすい状況にあります。
インターネット上に公開されているため、技術データや顧客データといった重要な情報がサーバー上に保存されている場合は、攻撃者にとって格好のターゲットになるからです。

ファイアーウォールやIDS/IPSシステムを導入したDMZを設置することで、不正な外部アクセスやマルウェアの侵入リスクを軽減するため、内部ネットワークを外部からの脅威から防げます。

標的型攻撃への対策

攻撃者が企業の情報資産を盗むために特定のターゲットを対象に何度も攻撃を仕掛けることを標的型攻撃と呼びます。
標的型攻撃には取引先を装った社員への偽装メール、システムやPCを使用不可能な状態に追い込むランサムウェアなど、企業に深刻な被害をもたらす攻撃ばかりが揃っています。

WebサーバーをDMZに置いて内部ネットワークと隔離することで、仮に攻撃を受けた場合でも被害を最小化することが可能です。

標的型攻撃の一例

種類 攻撃内容 想定される被害 事例
ビジネスメール攻撃
  • 取引先や経営層を装ったメール
  • 送信元を偽装したメール
  • エクセルやワードなど、添付ファイルへマルウェアを忍ばせたメール
  • アカウントを乗っ取った悪用メール
  • 個人情報流出
  • 企業の機密情報流出
  • 金銭的盗取
  • 日本航空
  • トヨタ紡績
  • キャタピラー
ランサムウェア
  • システムやPCを動作不能な状態に追い込み、復旧させる代わりに多額の身代金を要求
  • 金銭的盗取
  • システム復旧による業務の停滞
  • ビジネス機会の損失
  • WannaCry
  • TeslaCrypt
  • Bad Rabbit
サプライチェーン攻撃
  • ターゲット企業を直接狙わずに、セキュリティレベルの低い企業を起点にターゲット企業の情報資産を盗取
  • ソフトウェアやシステムを開発している企業に不正侵入し、マルウェアを感染
  • 経済的損失
  • 社会的信用損失
  • 個人情報の流出
  • 企業の機密情報流出
  • 三菱電機
  • ぴあ
  • スウェーデン交通局

情報漏洩対策

企業の機密情報をDMZに置き、内外部のネットワークからアクセスを遮断することで、情報漏洩を防ぎます。
仮に社内のネットワークがサイバー攻撃やマルウェア感染したとしても、最小限の被害に抑えることが可能です。

また、悪事を働くような社員がいた場合でも、内部ネットワークから離れているため、容易に機密情報や顧客データを盗み出すことはできません。

DMZが抱える2つのデメリット

人為的ミスの増加やサイバー攻撃への対処には限定的といったデメリットを抱えています。

人為的ミスの増加

内部ネットワーク、DMZ、外部ネットワークの3つのセグメント構成となることから、設定・運用・管理が複雑になります。
外部のネットワークは維持しつつ、内部からDMZのアクセスは遮断する必要があるため、セキュリティ分野への知識や経験が豊富な社員でないと、管理が務まりません。

また、DMZセグメント内のサーバーに変更を加える場合も用途別によって変更する必要があるため、設定の複雑さが原因で人為的ミスを招くリスクが高まります。

サイバー攻撃を完全に防げるわけではない

インターネット上に公開しているWebサーバーやファイルサーバーといった公開用サーバーにDMZセグメントを設けることで、被害の拡散を防げます。
内部ネットワークへのアクセスが遮断されているからです。

ですが、サイバー攻撃そのものを完全に避けれるわけではありません。
もちろん、ファイアーウォールやIDS/IPSシステムは不正アクセスや信頼性の低いアクセスをブロックし、外部からのマルウェア感染のリスクを軽減できます。

ただし、近年ではWindowsのPowershell機能を利用したファイルレス・マルウェアやシステムの脆弱性を狙ったDDos攻撃など攻撃の種類も多様化しています。

DMZのみを利用すればセキュリティ対策が万全というわけではないので、別のセキュリティツールと併用してセキュリティレベルを高めてください。

複数のセキュリティツールの導入を検討するべき

個々のデバイス機器のセキュリティ監視や効率的なセキュリティ運用を実現するセキュリティツールの紹介をします。

EDR

EDR(Endpoint Detection and Response)は、社員の利用するノートPCやスマートフォンなどのデバイス機器をエンドポイントと位置づけ、端末内のセキュリティ監視を行うセキュリティソリューションです。

マルウェアや異常を検知した場合はすぐに管理者に知らせるだけでなく、被害を拡大させないために感染源を隔離する能力も持ち合わせています。
また、感染経路の把握・分析をすることで、自社システム内における脆弱性を発見し、さらなるサイバー攻撃による二次災害を防ぐことが可能です。

サイバー攻撃やアプリやネットワーク上の脆弱性発見といったセキュリティインシデントは、初動対応が非常に重要です。
初動対応を適切に行わないと被害が拡大します。
EDRは、セキュリティインシデントを最小化するために優れたセキュリティツールだと言えます。

SOC

SOC(Security Operation Center)は、企業のシステムやネットワーク上におけるセキュリティ監視を24時間365日行います。
セキュリティ分野の知識や経験に長けた人材確保に悩む企業やコストや人材に余裕のない中小企業におすすめののセキュリティツールです。

SOCは企業が使用しているファイアーウォールや侵入検知システムなどの監視やログ分析を行い、異変やマルウェアの有無を確認します。
また、デバイス機器やネットワーク機器などを一元管理できるシステムを保有しているため、セキュリティインシデントが起きた場合には、素早く対処を行うことが可能です。

SOCはセキュリティ知識や経験豊富な人材から構成されているプロフェッショナル集団であるため、自社のセキュリティ管理を一任できます。
企業にとっては効率的な運用を行えるだけでなく、高いレベルでのセキュリティ対策を実現することが可能です。

組織全体でセキュリティ意識を向上することが大切

今回の記事ではDMZの特徴について紹介してきました。
DMZをはじめとしたセキュリティツールは、不正アクセスやマルウェアといった外部からのサイバー攻撃を軽減し、効率的なセキュリティ運用も可能にしてくれます。
つまり、企業の情報資産を守るために必要不可欠なものです。

ですが、企業全体で情報資産を守る意識やセキュリティインシデントを防ぐ意識を高めないと、情報流出のリスクは軽減されません。
些細なきっかけからでも情報漏洩は起きるからです。

例えば、社員が所属している企業の許可を得ずに自分の私物であるスマートフォンやノートPC,クラウドサービスを業務に持ち込んで、情報漏洩のリスクが高まるシャドーITが、現在問題となっています。

セキュリティ保護が不十分な場所で私物を利用した場合、PC内のデータをハッキングされる場合やIDやパスワードを乗っ取られて悪用されるリスクが、考えられます。

仮に許可されていない私物の持ち込みが原因で情報漏洩につながった場合、企業を解雇されるだけでなく、莫大な損害賠償を求められる可能性があります。
損害賠償額は個人が簡単に賠償できる額ではありません。

全ての社員に可能性があることなので、組織全体で情報資産を守る意識を高める取り組みが必要です。

 

 

SNSでもご購読できます。