IT業界では DMZ(意味:非武装地帯)という概念は他の各信頼レベルのネットワークゾーンの間に存在する特別なネットワークセグメントを示しています。よく知られている DMZ はネットワーク・ペリメーターに、すなわちネットワークの堺のところに存在し、中には各ITコンポーネントとサービスが設置されています(外部向けのインターネットウェブサーバー等)。とはいえ、外部と内部ネットワークの堺だけではなく、内部の各ネットワークの間にもDMZのような形式や使用例もあります。
DMZで大切なのはどのような目的の為に、どのようなデザインの元で、そして実際にどのように利用しているかです。そしてそれと同時に、これらがDMZの定義内容になります。あるDMZが信頼できるネットワークゾーンであるか、そうではない危険なゾーンであるかを見分けるには数多くの綿密な工夫と適切な設定が決め手になります。
とはいえ、DMZをネットワークゾーンのみのように理解すると、ネットワークの管理者と少数の専門家だけのものになってしまいます。そのネットワークの中に何があるか、どんな内容とルールで通信が行われているか、どのように管理されているか、等々の多数の詳細部分までを考慮する必要があります。多数細かい設定項目とルールはDMZのセキュリティレベルを決定しています。そのセキュリティレベルが十分であるかは専門家の知識の判断によるものの、結果としてビジネスのセキュリティニーズに大きな影響を及ぼす可能性があるので、IT関連のビジネスの方にも注目してほしいし、危険性を意識もしてほしいです。
2016/11/07 © ACROSEC Inc.
「複数の技術的で、なおかつ細かい部分」だけを説明するのでは不十分です。そのため技術とはいえ、DMZの正体を理解する為に最も大切なのは以下のポイントです:
- DMZの目的:目的は明確にすべきです。例えば、2つの信頼性が異なるネットワークを結びつける際に通信ゲートウェイサービスを導入して、それを新DMZの中に設定します。両方のネットワークは直接通信はせず、通信はいつもこのゲートウェイ経由のみで行われます。通信を目的とするというのを定義として記憶させ、ポリシー化までするのがお勧めです。
- 現在の具体的な設定環境:例えば、仮想化の程度、セグメントの数、レイヤーによる通信の数、ファイアウォールルール、通信開始の方向性、使用されたプロトコルの機能、実際に存在するサービス、プロキシとゲートウェイの存在、他サーバーと他アプリケーションの存在等。
- 実際にどのように利用されているか:DMZにある現在のアプリケーションとサービスとデータの存在によって性質が変わります。その為、DMZの中身を理解する為にその中にあるサービスとそのデータ分類が非常に大切です。
- 期待通りか、そうでないか:DMZの設定とその利用に関わる数多くの関係者の思惑を統一させる必要があります。さもなければセキュリティの問題が発生しやすくなります。DMZの使用期間中にデザインが矛盾することなく全ての関係者の必須条件を現実のDMZ設定上で保護することは極めて難しいです。その為、DMZに関するコンポーネントに厳しいガバナンスとチェンジマネジメントが必要不可欠です。
2016/11/07 © ACROSEC Inc.
DMZの作成に当たって以下の詳細を考慮する必要があります:
- 設計する前に、そのDMZの最大の目的を明確にする
- 設計する際に、デュアルホームDMZ*か、シングルホームDMZ*かというデサインを選択する
- DMZの中の各セグメントに関して、外部用セグメントであるか、内部用セグメントであるか、管理用セグメントであるか等を明確にする
- DMZのインフラストラクチャーコンポーネントとアプリケーションサーバーのシステム管理は専用の管理インタフェースを利用するかどうか等
- スイッチの数を決定する際、どんなセグメントがスイッチを共有するか等(セキュリティ強化の為に外部と内部のセグメントは共有スイッチを利用しないのが一般的)
- DMZの中のコンポーネントのどれを仮想化にするのか、物理的にするのかを決定すること
- DMZ専用ネットワークサービスを作成するか、既存のいずれかのサービスを再利用するか(社内DNSとADをインターネットDMZで再利用するのはリスクを招くことになる等)
- DMZをどのように利用するのか、運用するのか、オーナーの指定等のポリシーの作成が不可欠です
- 運用の為のチェンジマネジメントの作成と監査責任の指定を明確にすること等
- その他
注意点: 上記のリストはあくまでも基本的な提案で、絶対的なリストではありません。
*注意点: デュアルホームDMZが2つのファイアウォールを持ちながら(外部と内部)、2つのネットワークセグメントを持ちます。シングルホームDMZのデサインは一つのファイアウォールだけを持ち、設定を間違えやすいデサインとなりその為リスクが高くなります。
2016/11/07 © ACROSEC Inc.
専用DMZは特定のシナリオの元に作られた実際に存在するDMZの実装です。DMZが作成された時の背景には必ず何らかのニーズがあるが、それを満たす為に、結果的にDMZのデザインはその目的を反映することになります。DMZにはそもそもの目的があるので、それに対応した専用DMZとして意識することは必要です。
しかし、作成後にDMZが長期間存在することにより、作成者以外の他人は本来の目的を理解しないままそのDMZを利用したり、新たなコンポーネントを設置したり、段々とDMZの姿とそのセキュリティ性質が変わっていってしまうことになります。DMZはネットワークセキュリティの中で大切な要素なので、その背景や目的を理解せずに行動すると新たなセキュリティリスクを伴ってしまいます。
このようなリスクを防ぐために、「DMZ」という非常に一般的な概念を利用せず、代わりに「目的の為の専用DMZ」のような具体性を表す適切な概念をDMZに付けて利用すれば有益なリスク対策になります。それだけで、DMZの本来の目的と実際の利害関係者の利用思惑が合致するようになります。
専用DMZのシナリオの必要条件と実際にその中に存在する各アプリケーションとサービスの必要条件は矛盾することなく合致しなければなりません。よいセキュリティを実現する為に、DMZが長期間存在している間に適切な運用管理はもちろんのこと管理者の責任感が問われます。
2016/11/07 ©ACROSEC Inc.