ファイアウォールとDMZについて

ファイアウォールとDMZは、ネットワークセキュリティの基本概念でありながら、用語だけが独り歩きしやすい分野です。

「とりあえず置いてある」「何となく安全そう」という理解のままでは、設計上の弱点や誤った期待を生みやすくなります。

本稿では、定義・役割・設計思想を整理し、なぜ必要なのか、何を守り、何を守らないのかを明確にします。

ファイアウォールとは何か

ファイアウォールの定義

ファイアウォールとは、ネットワークの境界に配置され、通信を制御する仕組みです。

すべての通信を通すのではなく、あらかじめ定義されたルールに基づいて「許可された通信のみ」を通過させます。

重要なのは、ファイアウォールが守るのは「通信経路」であり、「アプリケーションの安全性そのもの」ではないという点です。

ファイアウォールが判断する主な要素

ファイアウォールは、以下の情報をもとに通信の可否を判断します。

• 送信元IPアドレス
• 宛先IPアドレス
• ポート番号
• プロトコル
• 通信の状態（新規接続・既存接続）

これにより、

• 外部からの不要なポートアクセスを遮断する
• 内部ネットワークへの直接侵入を防ぐ
  といった境界防御を実現します。

ファイアウォールの主な種類（整理）

• パケットフィルタ型
  IPアドレスやポート番号単位で通信を制御する、最も基本的な方式。
• ステートフルインスペクション型
  通信の状態を追跡し、不正な接続をより正確に遮断する方式。
• L7プロキシ型ファイアウォール
  アプリケーション単位で通信を制御できる方式。
• 次世代ファイアウォール（NGFW）
  アプリケーション識別や侵入防止機能などを統合した高機能型。

※ WAF（Web Application Firewall）は、一般的なネットワークファイアウォールとは役割が異なり、Webアプリケーション層の攻撃を対象とします。

DMZとは何か

DMZの定義

DMZ（DeMilitarized Zone）とは、インターネットと内部ネットワークの間に設ける中間的なネットワーク領域です。

外部からアクセスされるサーバーを、内部ネットワークから直接切り離すことを目的としています。

DMZが必要とされる理由

Webサーバーやメールサーバーなどの公開サーバーは、常に外部からアクセスされ、攻撃を受ける可能性があります。

これらを内部ネットワークに直接配置すると、侵害された際に内部システム全体へ被害が拡大するリスクがあります。

DMZを設けることで、

• 公開サーバーが侵害されても
• 内部ネットワークへ直接侵入される可能性を大幅に下げる

という構造を作ることができます。

DMZに配置される代表的なシステム

• Webサーバー（企業サイト、LPなど）
• メールサーバー
• 公開APIサーバー
• リバースプロキシ
• 外部公開用のファイル転送サーバー

原則として、社内業務システムや内部向けデータベースはDMZに配置しません。

ファイアウォールとDMZの関係

基本構造の考え方

DMZは単独で安全を確保するものではなく、ファイアウォールによる通信制御と組み合わさって初めて意味を持ちます。

一般的には、

• インターネットとDMZの間
• DMZと内部ネットワークの間

それぞれで通信ルールを厳密に分け、内部ネットワークへの影響を最小限に抑えます。

通信設計の原則

DMZ設計で最も重要なのは「必要最小限の通信のみ許可する」ことです。

• インターネット → DMZ
  公開サービスに必要な通信のみ許可
• DMZ → 内部ネットワーク
  業務上不可欠な通信のみ、限定的に許可
• 内部ネットワーク → DMZ
  管理・運用目的に限定

この原則を破ると、DMZを設けていても意味を失います。

「ファイアウォールがあれば安全」という誤解

ファイアウォールは万能ではありません。

一般的なネットワークファイアウォールは、通信経路の制御には強い一方で、

• SQLインジェクション
• クロスサイトスクリプティング（XSS）
• アプリケーションの設計不備

といった、Webアプリケーション層の問題には直接対応できない場合が多くあります。

これらは、

• WAF
• アプリケーション側の実装対策
• 適切な認証・認可設計

と組み合わせて対処する必要があります。

DMZは「安全な場所」ではない

DMZは守られた特別なエリアではありません。

むしろ、外部に公開されている分、攻撃対象になりやすい領域です。

そのため、

• 侵害される可能性を前提に設計する
• 内部ネットワークへ被害が波及しないよう制御する

という考え方が重要になります。

クラウド環境におけるDMZの考え方

クラウドでは「DMZ」という名称を使わないこともありますが、考え方は同じです。

• 外部公開用のネットワーク領域
• 内部専用のネットワーク領域
• それらを分離し、通信を厳密に制御する仕組み

物理構成が見えなくなっても、境界防御と分離の思想は変わりません。

まとめ

• ファイアウォールは通信の可否を制御する境界防御の仕組み
• DMZは外部公開サーバーを内部ネットワークから隔離するためのネットワーク領域
• 目的は「侵入を完全に防ぐこと」ではなく、「被害を最小化すること」
• 設計で重要なのは、構成そのものよりも侵害を前提とした考え方

以上、ファイアウォールとDMZについてでした。

最後までお読みいただき、ありがとうございました。