AWS DMZとは？メリット&デメリットと注意点をあわせて紹介

AWS DMZのDMZってなに？

「非武装地帯」を意味するDeMilitarized Zoneを略したDMZは、軍事用語から転用されたものと言われています。

IT業界では、「安全な場所、緩衝地帯」としての役割を担っており、大切なデータ等はDMZ内に格納する等しています。

IT業界における危険な場所には「外部ネットワーク」が挙げられ、開放されたネットワーク上のWeb、メールサーバー等を攻撃対象とするクラッカー（ハッカーとは逆に悪意のあるハッキングを行うもの）などが存在します。

内部の同じネットワーク上に機密データ等を置いておくと外部から攻撃を受け侵入されるリスクがあります。

「DMZ」は、内部ネットワークとは別にアクセス領域を持っているので、外部からの攻撃を防ぐ事が可能です。

DMZの仕組みはどうなっているの？

DMZは、内部ネットワーク環境から外部ネットワーク環境へのアクセスを可能にし、悪意のある攻撃から防衛する役割を担っています。

ネットワークにおいては、ファイアウォールが内外を隔てる境目として機能しています。通信が必要なものかどうかを識別して、必要なもののみを通過させるのが「ファイアウォール」の役割です。

DMZではこのファイアウォールが重要な役割を担っており、外部ネットワークと内部ネットワークの間にファイアウォールが入るよう通信を分けています。

DMZのメリットについて教えて！

DMZのメリットは大きく分けて2つ「標的型攻撃の防衛」「情報漏洩の防止」に長けている所です。

「標的型攻撃」とは、機密情報などを盗み取る攻撃の1種で、特定のアカウントなどを執拗に攻撃する事を指します。

例としては、主に中小企業などがターゲットにされやすく、企業宛にウイルスが添付されたメールやExcelなどを送り付ける事で攻撃が始まります。

このような標的型攻撃から守るためにWebサーバーDMZを設置する事で、外部ネットワークから内部ネットワークに対するアクセスを遮断する事がメリットの1つとして挙げられます。

「情報漏洩の防止」とは、標的型攻撃と同様の仕組みで外部ネットワークから内部ネットワークに対するアクセスを遮断する事です。

最近では、情報漏洩が高い頻度で起きているので、大切な対策になってきます。

DMZのデメリットについて教えて！

魅力的なDMZですが、デメリットもいくつかあるので解説していきます。

DMZはファイアウォールとの併用を基本とするため、DMZ単体でセグメントを設定しても前章で解説したようなメリットを得る事は出来ないようです。

DMZとファイアウォールを組み合わせて構築されたネットワークでは、「内部ネットワーク・外部インターネット環境・DMZセグメント」この3タイプの隔離されたセグメントが存在することになります。

DMZセグメントに設置されたWebサーバーは、接続するポートと外部インターネット環境を開き、内部ネットワーク環境へのポートは遮断しますが、プロキシサーバーでは両方のポートを開きます。

「DMZ」セグメント上に存在するサーバーは、使用用途によって環境設定をする必要があり、設定の複雑さにより人的ミスが生じるケースがあります。

また、公開サーバー（DNSサーバー、Webサーバー、メールサーバー等）に対する攻撃が完全には防げないこともデメリットの1つです。

DMZ設定方法と注意点！

DMZの設定方法と注意点について解説します。

DMZはファイアウォールと併設する事で真の力を発揮し、内部ネットワークを標的型攻撃から守り、情報漏洩を防ぐ事が出来ます。

手順書通りの設定方法や構築を施しても安全・安心が絶対に確保できるとは言い切れませんが、一工夫する事でメリットを最大限に生かす事が出来ます。これから注意点を2つほど紹介・解説します。

対策を多重化する

セキュリティー対策をより強固にする為にシステムを多重化するのも構築する際のポイントです。

外部ネットワークからの攻撃を検知するIPSやIDS（侵入検知システム）を導入する事で多重化を実現できます。侵入検知システムは、外部ネットワークからの攻撃があった際に管理者へ通知が届くシステムです。

重要情報の配置場所について

重要情報の配置場所には、気を付けましょう。

対策としては、重要情報は公開サーバーと同じ場所に置かない事が重要になってきます。

仮に公開サーバーが外部ネットワークからの攻撃に晒されてしまった場合、隣接する内部ネットワークにまで影響が及んでしまう可能性もあります。

ファイアウォールでの防衛は絶対ではないので、重要情報などは安全な場所（内部ネットワーク）に配置する事が望ましいと言えます。

AWSサービスについて少しおさらい

ここまで、AWS DMZについて解説をしてきましたが、そもそものAWSのサービス概要についておさらいをしていきます。

AWS（Amazon Web Services）とは、クラウドコンピューティングサービスの総称で、インターネットを介してストレージ、サーバー、データベース、ソフトウェア等を利用できるサービスの事です。

手元に1台インターネット環境が備わっているパソコンを持っているだけで、大容量ストレージ、サーバーが必要な時に必要な数だけ利用が出来るでしょう。

今までの物理サーバーとの違いはあるの？

結論からいうと「コスト、管理、スペース」などの負担の軽減に繋がります。

従来のオンプレミス型のサーバーだと、機器を設置するにあたってスペースの確保や機器を購入するにあたってのコストなどがかかっていました。

機器の納期などが長期間になると、導入や運用開始までに時間もかかります。

そこで、AWSの様なクラウドコンピューティングでは、機器購入、管理、スペースの確保などがインターネット上で完結します。

必要な時に必要な分だけ確保、管理が出来るので、オンプレミス型に比べるとスピード感があり手軽に利用が出来ます。

AWSのメリット・デメリットについて

AWSのメリット・デメリットについても解説します。

AWSのメリットとして「コスト面、セキュリティー面、スピード感、スペース」等が挙げられます。

機器の購入が不要なので、コスト面やスピード、スペースの確保などに悩まずに済む事が、AWSの特徴でもあります。

コスト面に関しては、使い方により変動があるので月の支払いが予想しづらいというデメリットとしての捉え方もできます。

また、セキュリティー面に関しても豊富な認証システムやセキュリティー環境が管理者の負担なく利用できます。

ですが、デメリットとしてAWSは、約数100個のサービスを展開しているので、ある程度の知識や増えていくAWSのサービスについての知識を常に最新化しておく事が求められます。

AWS DMZを活用して安全に利用しよう！

AWSにおけるDMZは、ファイアウォールと併設する事で初めてメリット（標的型攻撃、情報漏洩を防ぐ）を発揮します。

DMZは、大切なデータなどを外部ネットワークから分離でき、最近では導入している企業も増えているようです。

DMZやファイアウォール機能を施してもセキュリティーの対策が必ずしも万全とは言い切る事は出来ませんので常にセキュリティー対策などは、最新化にしておく事が大切になります。

少し設定が複雑で人的ミスが生じるなどのデメリットも存在しますが、その点などを踏まえしっかりと対策してAWS DMZを利用する事でAWSが安全に利用する事が出来るでしょう。

また、AWSサービス自体もインターネット環境に接続できる機器を持っているだけでいつでも好きなだけサーバーを構築する事が出来るでしょう。

従来の物理サーバーに比べるとコストの削減も見込めるので、すでにAWSを導入している企業も注目のサービスになっているようです。