ネットワークセキュリティの基礎 — ファイアウォール・DMZ・プロキシを図解
会社のネットワークは、どうやって外の攻撃から守られているのでしょうか。その主役がファイアウォール・DMZ・プロキシです。名前は聞くけれど役割が曖昧——という人向けに、それぞれが何をしていて、どう組み合わさっているのかを図解で整理します。
登場人物の役割
ファイアウォール(防火壁) … 通してよい通信だけを許可し、それ以外を遮断する「関所」。基本ルールは「既定で拒否(デフォルトDENY)、必要なものだけ許可」。
DMZ(非武装地帯) … Webサーバーなど外部に公開するサーバーを置く隔離区画。外側と内側のファイアウォールに挟まれています。
フォワードプロキシ … 内部の利用者の「代理」で外部へアクセス。フィルタリング・ログ記録・キャッシュを行う。
リバースプロキシ … 外部からの入口を「代理」で受ける。SSL/TLS終端・負荷分散・内部サーバーの隠蔽・キャッシュを行う。
なぜ公開サーバーをDMZに置くのか
公開Webサーバーは「誰でもアクセスできる」ため、もっとも攻撃を受けやすい場所です。これを内部ネットワークに直接置くと、サーバーが乗っ取られたときに社内の機密情報まで一気に危険になります。そこで外部FWと内部FWの間(DMZ)に隔離して置くことで、万一DMZのサーバーが破られても、内部FWが「DMZから内部への不要な通信」を止め、被害を内部に広げません。これが多層防御の考え方です。1段目が破られても2段目で守る——お城のように、城壁を何重にも設ける発想です。
フォワード と リバース、何が違う?(最重要)
どちらも「代理(プロキシ)」ですが、代理する向きが逆です。ここが試験でも実務でも混同ポイントです。
| フォワードプロキシ | リバースプロキシ | |
|---|---|---|
| 代理する相手 | 内部の利用者(クライアント) | 外部に公開するサーバー |
| 通信の向き | 内 → 外 | 外 → 内 |
| 主な目的 | フィルタリング・ログ・キャッシュ | SSL終端・負荷分散・サーバー隠蔽 |
| 隠れるのは | 社員(クライアント)のIP | 内部サーバーの存在・IP |
覚え方:フォワード=「行き(内→外)の代理」、リバース=「逆向き(外→内)の代理」。名前の"reverse(逆)"は「クライアントではなくサーバー側の代理」という意味だと理解すると忘れません。
🛡️ 通信の流れを動かして見るなら:当サイトのネットワーク境界の可視化で、「外部→公開サーバー」「リバースプロキシ経由」「社員→外部(フォワードプロキシ)」「外部からの侵入を遮断」の4シナリオを、パケットが図の上を流れる形で確認できます。リバースプロキシの働きだけを深掘りしたリバースプロキシの可視化もあります。
ファイアウォールの「デフォルト拒否」
ファイアウォールの設計で最も大切なのが「デフォルト拒否(ホワイトリスト方式)」です。つまり「基本はすべて遮断し、必要な通信だけを明示的に許可する」という考え方。逆の「デフォルト許可(ブラックリスト方式)」だと、想定外の通信や新しい攻撃を通してしまいます。「必要なものだけ通す」——これがセキュリティの基本姿勢です。パケットの送信元・宛先IPやポート番号を見て通す/止めるを判断する方式をパケットフィルタリングと呼びます。
そのほかの守りの仕組み
境界防御に加えて、次のような仕組みも組み合わせて使われます。
IDS/IPS … 不正な通信を検知(IDS)・遮断(IPS)する仕組み。
WAF(Web Application Firewall) … Webアプリ特有の攻撃(SQLインジェクション等)を防ぐ。
VPN … 外部から社内へ安全に接続するための暗号化トンネル。
ゼロトラスト … 「社内だから安全」を前提にせず、常に検証する新しい考え方。
基本情報技術者試験ではこう出る
「公開サーバーを設置する区画はどれか(→DMZ)」「内部利用者の代理で外部アクセスしURLフィルタリングを行うのは(→フォワードプロキシ)」「外部からのアクセスを受け内部サーバーを隠蔽するのは(→リバースプロキシ)」といった、役割と名称を結びつける問題が定番です。ファイアウォールの「デフォルト拒否」やパケットフィルタリングの動作も問われます。図と通信の流れで体に入れておくと、用語の暗記がぐっと楽になります。
よくある質問
Q. ファイアウォールが2つあるのはなぜ?
A. 「外部—DMZ」と「DMZ—内部」で守りたいものが違うからです。外部FWは公開サーバー向けの通信だけを通し、内部FWは内部への不要な通信を止めます。2段構えにすることで、1段目が破られても2段目で守れます。1台のファイアウォールを3つの口(外部・DMZ・内部)で分ける構成もあります。
Q. プロキシとファイアウォールは何が違う?
A. ファイアウォールは「通す/止める」を判断する関所、プロキシは「代理でアクセスする」中継役です。役割が異なり、組み合わせて使います。プロキシは通信の中身(URLやHTTPの内容)まで見て制御できるのが特徴です。
まとめ
ネットワークセキュリティの基本は、ファイアウォールで「必要な通信だけ通し」、DMZで「公開サーバーを隔離」し、プロキシで「代理・隠蔽・制御」する——この組み合わせによる多層防御です。フォワードとリバースの「向きの違い」さえ押さえれば、全体像がすっきり見えてきます。
関連ページ: ネットワーク境界の可視化 / リバースプロキシの可視化 / HTTPとHTTPSの違い / SSL/TLS証明書の可視化 / 記事一覧