情報セキュリティにおけるDMZとは何ですか？

DMZは、非武装地帯の略です。これは、組織の内部ネットワークと外部または不適切なネットワークの間の安全な中間ネットワークまたはパスとして機能するホストまたはネットワークを定義します。これは、ネットワーク境界または境界ネットワークと呼ばれます。

DMZは通常、内部ネットワークを外部ノードおよびネットワークとの相互作用、悪用、およびアクセスから保護するために実装されます。 DMZは、論理サブネットワーク、または内部ネットワークと外部ネットワークの間の安全なブリッジとして機能する物理ネットワークにすることができます。

DMZネットワークは、内部ネットワークへのアクセスが制限されており、一部の通信は、内部で共有される前にファイアウォールでスキャンされます。攻撃者が組織のネットワークを侵害または攻撃するように設計した場合、試みが成功すると、DMZネットワークのネゴシエーションのみが発生し、その背後にあるコアネットワークはネゴシエートされません。 DMZはファイアウォールよりも安全で安全に扱われ、プロキシサーバーとしても機能します。

DMZ構成では、LAN上のほとんどのコンピューターは、インターネットなどのパブリックネットワークに関連するファイアウォールの背後で実行されます。いくつかのコンピューターもファイアウォールの外側、DMZで実行されます。外部のコンピューターはトラフィックとブローカーを傍受し、残りのLANを要求し、ファイアウォールの背後にあるコンピューターの防御をさらに強化します。

従来のDMZを使用すると、ファイアウォールの背後にあるコンピューターがDMZへの送信要求を開始できます。次に、DMZ内のコンピューターは、プロキシサーバーと同様に、インターネットまたは一部のパブリックネットワークに応答、転送、または再発行する必要があります。一部のDMZ実装では、DMZ内のコンピューターとしてプロキシサーバーを使用するだけです。

LANファイアウォールは、DMZ内のコンピューターが受信要求を受信できないようにします。 DMZは、家庭用ブロードバンドルーターでよく受け入れられる特性です。ただし、場合によっては、これらの特性は真のDMZではありません。ブロードバンドルーターは通常、より多くのファイアウォールルールを介してのみDMZを実装します。これは、着信要求がファイアウォールに直接表示されることを意味します。

DMZを作成する際に、組織は、システムの要素であるがネットワークに直接接続されていない別のネットワークセグメントまたはサブネットを挿入します。 DMZを挿入すると、ファイアウォールの3番目のインターフェイスポートが使用される可能性があります。この構成により、ファイアウォールは、ネットワークアドレス変換（NAT）を使用して、一般的なネットワークと分離されたデバイスの両方でデータを転送できます。ファイアウォールは通常、隔離されたシステムを保護しないため、インターネットに直接接続できます。

DMZ構成は、外部からの攻撃からのセキュリティをサポートしますが、通常、パケットアナライザを介した通信のスニッフィングや、電子メールのなりすましなどのなりすましなどの内部攻撃とは関係ありません。