DMZ 【DeMilitarized Zone】 非武装地帯 / 非武装セグメント

内部ネットワークの一部を分離して外部からファイアウォールを通して接続可能にした領域で、外部からのアクセスを受け付ける必要があるWebサーバやDNSサーバ、メールサーバなどを運用するために設定されることが多い。DMZよりも内側へは外部から接続を確立することはできない。

DMZと内部側、外部側の両方のネットワーク境界にファイアウォールなどの通信管理のための機器が設置されており、DMZ内の機器には内外の両方からアクセス可能な一方、DMZ内から内部ネットワークに向けて接続を試みることはできないよう設定される。これにより、外部からの攻撃によりDMZ内のサーバなどが乗っ取りやマルウェア感染などの被害に遭っても、そこを踏み台に内部ネットワークの機器へ被害が拡大することを防ぐことができる。

外部側と内部側、両境界のファイアウォールにそれぞれ別の機器を用いる構成と、単一のファイアウォールを結節点として外部・DMZ・内部の3つを分離する構成がある。また、DMZの奥にさらにファイアウォールで仕切られた領域を設け、手前のDMZ内からの接続しか受け付けない（外部から直接接続できない）よう設定し、バックエンド処理を担当するサーバなどを設置する場合もある。

一方、内部ネットワークのうちファイアウォールなどによって保護されておらず、むき出しの状態で外部に接続されている領域は「バリアセグメント」という。外部からの通信回線を直接接続するルータやネットワークスイッチなどが置かれるが、ここに公開サーバなどを置く場合もある。

簡易DMZ

なお、家庭向けのブロードバンドルータ（ホームルータ）などの製品の中には、内部ネットワーク側の特定の一台に外部からの接続要求を取り次ぐ機能を「簡易DMZ」「DMZホスト」などの名称で提供している場合がある。

本来は外部側から接続を確立できないプライベートネットワーク上の特定のコンピュータの特定のポート番号に外部から接続できるようにする機能で、サーバを運用したり外部側からの接続が必要なオンラインゲームなどを利用するのに必要となる。

外部から接続可能な領域を作り出すという意味ではDMZに似ていなくもないが、接続を許可したコンピュータと他の内部側の機器は隔離されていないため、セキュリティ上はDMZとしての役割を果たすことはできない。

関連用語

IPアドレス

【Internet Protocol Address】

NAPT

【Network Address Port Translation】

LAN

【Local Area Network】

Webサーバ

【web server】

インターネット

【Internet】

サーバ

【server】

パソコン

【PC】

ファイアウォール

【firewall】

ルータ

【router】

ポート

【port】

アプリケーションソフト

【application software】

ファイル

【file】

IDS

【Intrusion Detection System】

アクセス

【access】

サイバー攻撃

【cyberattack】

ホスト

【host】

セグメント

【segment】

ネットワーク

【network】

システム

【system】

ツール

【tool】