DMZ【DeMilitarized Zone】非武装地帯/非武装セグメント

概要

内部ネットワークの一部を分離して外部からファイアウォールを通して接続可能にした領域で、外部からのアクセスを受け付ける必要があるWebサーバやDNSサーバ、メールサーバなどを運用するために設定されることが多い。DMZよりも内側へは外部から接続を確立することはできない。

DMZと内部側、外部側の両方のネットワーク境界にファイアウォールなどの通信管理のための機器が設置されており、DMZ内の機器には内外の両方からアクセス可能な一方、DMZ内から内部ネットワークに向けて接続を試みることはできないよう設定される。これにより、外部からの攻撃によりDMZ内のサーバなどが乗っ取りやマルウェア感染などの被害に遭っても、そこを踏み台に内部ネットワークの機器へ被害が拡大することを防ぐことができる。

外部側と内部側、両境界のファイアウォールにそれぞれ別の機器を用いる構成と、単一のファイアウォールを結節点として外部・DMZ・内部の3つを分離する構成がある。また、DMZの奥にさらにファイアウォールで仕切られた領域を設け、手前のDMZ内からの接続しか受け付けない（外部から直接接続できない）よう設定し、バックエンド処理を担当するサーバなどを設置する場合もある。

一方、内部ネットワークのうちファイアウォールなどによって保護されておらず、むき出しの状態で外部に接続されている領域は「バリアセグメント」という。外部からの通信回線を直接接続するルータやネットワークスイッチなどが置かれるが、ここに公開サーバなどを置く場合もある。

簡易DMZ

なお、家庭向けのブロードバンドルータ（ホームルータ）などの製品の中には、内部ネットワーク側の特定の一台に外部からの接続要求を取り次ぐ機能を「簡易DMZ」「DMZホスト」などの名称で提供している場合がある。

本来は外部側から接続を確立できないプライベートネットワーク上の特定のコンピュータの特定のポート番号に外部から接続できるようにする機能で、サーバを運用したり外部側からの接続が必要なオンラインゲームなどを利用するのに必要となる。

外部から接続可能な領域を作り出すという意味ではDMZに似ていなくもないが、接続を許可したコンピュータと他の内部側の機器は隔離されていないため、セキュリティ上はDMZとしての役割を果たすことはできない。