平成30年度 春期 ITパスポート試験 公開問題 問68 解説 DMZとLANの設置場所

この問題は、設置場所のセキュリティレベルを判断する問題です。判断の根拠は「誰がアクセスするか」です。外部からアクセスが必要なものは公開エリア（DMZ）へ、自分たちしか使わないものは内部エリア（企業内LAN）へ配置するという原則に従います。

DMZ（De-Militarized Zone）は、外部ネットワーク（インターネット）と内部ネットワーク（社内LAN）の間に設けられた、セキュリティ上の緩衝地帯です。外部からのアクセスを許可しつつ、万が一攻撃を受けても内部ネットワークに被害が及ぶのを防ぐ役割があります。そのため、社外に公開して広くアクセスさせる必要がある Web サーバやメールサーバなどは、この DMZ に設置します。

一方で、社外秘の機密情報や、業務用のデータベース、社内向けツールなどは、インターネット経由で外部の人からアクセスされる必要がありません。これらを DMZ に置くことは、攻撃者に直接攻撃されるリスクを自ら高める行為であり、極めて危険です。そのため、セキュリティの守りが固い企業内 LAN 内部に配置し、外部との境界にあるファイアウォールでしっかりとアクセス制限を行うのが正しい運用となります。

この考え方はネットワークセキュリティの基本であり、ITパスポートでは「境界型防御」という概念としてよく出題されます。ファイアウォールの内外でどのエリアに何をおくべきか、という整理は、単なる暗記ではなく「情報の機密性（誰に見せていいか）」を考えることで自然と理解できるようになります。

• JPRS：DNSの仕組みとセキュリティについての解説記事