DMZとは、DeMilitarized Zoneの略で、インターネットなどの外部ネットワークと内部ネットワークを区分けすることで、この考えをそのまま反映させたものである。
ファイアウォールなどのセキュリティ層が両者の境界を作ることで、より高い防御力を発揮する。通常、サーバーは外部からのアクセスにさらされるリスクが高いが、DMZにWebサーバーを設置して隔離することで、マルウェアの侵入や機密情報の漏洩の可能性を大幅に低減することができる。
この対策は、特に標的型攻撃(APT)が増加する中、個人情報保護の観点から総務省が強く推奨しています。
2 つの異なるファイアウォールを使用してネットワークの両エリアを保護する方法と、1 つのファイアウォールをノードとして使用し、内部、外部、DMZ セクションを結合する方法の 2 つの構成があります。
DMZの端末にファイアウォールを設け、DMZの外側からの接続のみを受け付ける(外部からは直接接続できない)場合もあり、その場合は後段処理を担当するサーバーなどが構成される。
さらに、内部ネットワークには、ファイアウォールで保護されないまま、外部から見えるようにしたセグメント、バリアセグメントが存在する。外部の通信回線を接続するルーターやスイッチなどが存在し、特にパブリックサーバーはここに置かれることが多い。
