非武装地帯 (DMZ)

ネットワーク セキュリティの世界では、非武装地帯（DMZ：De-Militarized Zone）という言葉がしばしば使われます。これは組織内部のネットワークと外部ネットワークの間に���セキュリティ上の中間領域として設けられるネットワーク領域（サブネットワーク）を意味します。企業システムが置かれている内部ネットワークは、通常はファイアウォール等で外部ネットワークと遮断され、外部からのアクセスができないように設計されます。しかし企業のホームページのように、外部からのアクセスを許可したいサーバーを内部ネットワークに置いてしまうと、その機能を果たすことができません。DMZはこの問題を解決するため、外部ネットワークからアクセス可能な「制限された領域」として設置されます。

DMZの構成方法としては、以前は外部ネットワークと内部ネットワークの間に設置されたファイアウォールから、DMZ用のネットワーク セグメントを分岐させる方法が一般的でした。最近ではより高いセキュリティを確保するため、2つのファイアウォールでDMZを挟み込む形態も増えています。後者の場合のネットワーク構成は、外部ネットワーク～ファイアウォール～DMZ～ファイアウォール～内部ネットワークという形になります。

DMZには一般に、メールサーバーやWebサーバー、DNSサーバー、プロキシ サーバー等、外部ネットワークからのアクセスを前提としたサーバー群が置かれます。最近では社内にVDI（仮想デスクトップ）環境を設置し、社外からアクセスさせるシステムも増えていますが、この場合にはVDIのリモートアクセス用ゲートウェイ サーバーをDMZ内に設置することになります。この種のゲートウェイ サーバーには汎用OS上で稼働するものもありますが、安全なリモート アクセス機能を提供する「F5 BIG-IP Access Policy Manager（APM）」を活用することで、セキュリティをさらに高めることが可能になります。