平成21年度 秋期 ITパスポート試験 問79 解説 DMZの定義

この問題は、キーワードである「インターネットからもイントラネットからもアクセス可能」かつ「イントラネット（内部）へのアクセスは禁止」という条件が、どのネットワーク領域の特性を指しているかを特定することで解けます。この条件を満たすのは非武装地帯であるDMZです。

非武装地帯（DMZ）という概念

DMZはDeMilitarized Zoneの略で、直訳すると非武装地帯です。ネットワークセキュリティにおいて、信頼できる内部ネットワーク（イントラネット）と、信頼できない外部ネットワーク（インターネット）の間に設置される中間領域を指します。

この領域の最大の特徴は、インターネットからWebサイトやメールサーバーなどにアクセスさせる必要がある一方で、そのサーバーが万が一乗っ取られても、背後にある重要なイントラネットへ直接侵入させないように隔離している点です。ファイアウォールを適切に設定することで、このDMZとイントラネットの間の通信を遮断し、安全を確保します。

選択肢を絞り込む思考プロセス

問題文の「アクセスを禁止している領域」という条件から、ネットワーク上の領域そのものを指している選択肢を選別します。

まず、DHCP（ア）はIPアドレスを自動的に割り当てるためのプロトコル、DNS（ウ）はドメイン名とIPアドレスを変換するシステム、DoS（エ）は特定のサーバーに過度な負荷をかけてサービスを停止させる攻撃手法です。これらはネットワークの仕組みや攻撃の呼び名であり、ネットワーク内の「領域」を指すものではありません。

一方、DMZ（イ）はネットワークの構成上の領域そのものです。この消去法的な判断と、DMZの定義である「外部公開サーバーを置くための安全な隔離エリア」という知識を組み合わせることで、正解を導き出すことができます。

実務におけるネットワーク設計の考え方

DMZの考え方は、企業におけるサーバー公開の現場で必須の知識です。もしWebサーバーをイントラネットの中に直接設置してしまうと、外部からの攻撃を受けた際に社内の機密情報が含まれるサーバーやクライアントPCまで危険にさらされてしまいます。

そのため、実務では「公開したいサーバーはDMZに置く」「DMZとイントラネットの間には強力なセキュリティポリシーを設定する」という分離の原則が徹底されます。この問題は、単なる用語の暗記ではなく、境界型防御というセキュリティの基本概念を理解しているかを問うています。試験対策としては、それぞれの選択肢がプロトコルなのか、攻撃なのか、ネットワークの領域なのかを分類できるようになると、他の類似問題にも強くなれます。

参考リンク

• 【ITパスポート】DMZ（非武装地帯）とは？わかりやすく解説
• DMZを構築して自宅サーバーを公開しよう！ネットワーク構成の基本
• 総務省｜国民のための情報セキュリティサイト｜ネットワークの分離とDMZ