ネットワークセキュリティの基礎 — ファイアウォール・DMZ・プロキシを図解

公開: 2026年6月 カテゴリ: ネットワーク入門

会社のネットワークは、どうやって外の攻撃から守られているのでしょうか。その主役がファイアウォール・DMZ・プロキシです。名前は聞くけれど役割が曖昧——という人向けに、それぞれが何をしていて、どう組み合わさっているのかを図解で整理します。

登場人物の役割

ファイアウォール(防火壁) … 通してよい通信だけを許可し、それ以外を遮断する「関所」。基本ルールは「既定で拒否(デフォルトDENY)、必要なものだけ許可」
DMZ(非武装地帯) … Webサーバーなど外部に公開するサーバーを置く隔離区画。外側と内側のファイアウォールに挟まれています。
フォワードプロキシ内部の利用者の「代理」で外部へアクセス。フィルタリング・ログ記録・キャッシュを行う。
リバースプロキシ外部からの入口を「代理」で受ける。SSL/TLS終端・負荷分散・内部サーバーの隠蔽・キャッシュを行う。

典型的な境界防御の構成 🌐 外部 インターネット 🧱 外部FW DMZ(隔離区画) 🌐 公開Webサーバー ⇄ リバースプロキシ 🧱 内部FW 内部ネットワーク 💻 社員PC 🗄️ 内部サーバー 外部FWと内部FWの2段構え。公開サーバーはDMZに隔離し、内部本体を守る
図1: 外部→(外部FW)→DMZ→(内部FW)→内部。2段のファイアウォールで多層防御

なぜ公開サーバーをDMZに置くのか

公開Webサーバーは「誰でもアクセスできる」ため、もっとも攻撃を受けやすい場所です。これを内部ネットワークに直接置くと、サーバーが乗っ取られたときに社内の機密情報まで一気に危険になります。そこで外部FWと内部FWの間(DMZ)に隔離して置くことで、万一DMZのサーバーが破られても、内部FWが「DMZから内部への不要な通信」を止め、被害を内部に広げません。これが多層防御の考え方です。1段目が破られても2段目で守る——お城のように、城壁を何重にも設ける発想です。

フォワード と リバース、何が違う?(最重要)

どちらも「代理(プロキシ)」ですが、代理する向きが逆です。ここが試験でも実務でも混同ポイントです。

フォワードプロキシリバースプロキシ
代理する相手内部の利用者(クライアント)外部に公開するサーバー
通信の向き内 → 外外 → 内
主な目的フィルタリング・ログ・キャッシュSSL終端・負荷分散・サーバー隠蔽
隠れるのは社員(クライアント)のIP内部サーバーの存在・IP

覚え方:フォワード=「行き(内→外)の代理」リバース=「逆向き(外→内)の代理」。名前の"reverse(逆)"は「クライアントではなくサーバー側の代理」という意味だと理解すると忘れません。

🛡️ 通信の流れを動かして見るなら:当サイトのネットワーク境界の可視化で、「外部→公開サーバー」「リバースプロキシ経由」「社員→外部(フォワードプロキシ)」「外部からの侵入を遮断」の4シナリオを、パケットが図の上を流れる形で確認できます。リバースプロキシの働きだけを深掘りしたリバースプロキシの可視化もあります。

ファイアウォールの「デフォルト拒否」

ファイアウォールの設計で最も大切なのが「デフォルト拒否(ホワイトリスト方式)」です。つまり「基本はすべて遮断し、必要な通信だけを明示的に許可する」という考え方。逆の「デフォルト許可(ブラックリスト方式)」だと、想定外の通信や新しい攻撃を通してしまいます。「必要なものだけ通す」——これがセキュリティの基本姿勢です。パケットの送信元・宛先IPやポート番号を見て通す/止めるを判断する方式をパケットフィルタリングと呼びます。

そのほかの守りの仕組み

境界防御に加えて、次のような仕組みも組み合わせて使われます。

IDS/IPS … 不正な通信を検知(IDS)・遮断(IPS)する仕組み。
WAF(Web Application Firewall) … Webアプリ特有の攻撃(SQLインジェクション等)を防ぐ。
VPN … 外部から社内へ安全に接続するための暗号化トンネル。
ゼロトラスト … 「社内だから安全」を前提にせず、常に検証する新しい考え方。

基本情報技術者試験ではこう出る

「公開サーバーを設置する区画はどれか(→DMZ)」「内部利用者の代理で外部アクセスしURLフィルタリングを行うのは(→フォワードプロキシ)」「外部からのアクセスを受け内部サーバーを隠蔽するのは(→リバースプロキシ)」といった、役割と名称を結びつける問題が定番です。ファイアウォールの「デフォルト拒否」やパケットフィルタリングの動作も問われます。図と通信の流れで体に入れておくと、用語の暗記がぐっと楽になります。

よくある質問

Q. ファイアウォールが2つあるのはなぜ?
A. 「外部—DMZ」と「DMZ—内部」で守りたいものが違うからです。外部FWは公開サーバー向けの通信だけを通し、内部FWは内部への不要な通信を止めます。2段構えにすることで、1段目が破られても2段目で守れます。1台のファイアウォールを3つの口(外部・DMZ・内部)で分ける構成もあります。

Q. プロキシとファイアウォールは何が違う?
A. ファイアウォールは「通す/止める」を判断する関所、プロキシは「代理でアクセスする」中継役です。役割が異なり、組み合わせて使います。プロキシは通信の中身(URLやHTTPの内容)まで見て制御できるのが特徴です。

まとめ

ネットワークセキュリティの基本は、ファイアウォールで「必要な通信だけ通し」、DMZで「公開サーバーを隔離」し、プロキシで「代理・隠蔽・制御」する——この組み合わせによる多層防御です。フォワードとリバースの「向きの違い」さえ押さえれば、全体像がすっきり見えてきます。

関連ページ: ネットワーク境界の可視化リバースプロキシの可視化HTTPとHTTPSの違いSSL/TLS証明書の可視化記事一覧