ルーター DMZ は必要か

2020年4月11日 2021年8月27日

DMZ の意味は非武装地帯（DeMilitarized Zone）で、本来は軍事用語です。これをネットワーク用語として用いると、外部からのアクセスが容易にできてしまうできるネットワーク（にあるマシン）という意味になります。

DMZ 入門

ホームネットワークにあるルーターは、着信接続要求を受けつけない設定になっているのが普通です。インターネットからの接続さえ受け付けなければ、潜在的な攻撃の影響を受けることもないため、非常に安全志向の設定になります。しかし、ウェブサーバーやゲームサーバーを自前で構築する、自宅の監視カメラを外出先からからチェックするなど、インターネットからの接続が必要な場合は、これが問題になります。そのときは、外部のアクセスを特定のデバイスに転送する設定（ポート転送）をします。
ポート転送の場合は、一部の着信接続要求のみを通過させることができます。

しかし、ゲームサーバー等を構築する場合は、ポート転送では役不足になります。そこで登場するのは、DMZの設定です。DMZを設定する場合はすべての外部からの接続を転送します。このようにネットワークで、ルーターDMZは、単一のデバイスをホームネットワークの外部に配置するの方法が安全です。

DMZ の実用的な利用としては、次のようなケースがあります。

ゲームサーバーをたてる場合
防犯カメラを設定して、インターネット側からアクセスする場合
ビデオサーバーを設置して、外出先で録画番組を見る場合

DMZが必要になる理由

外部（インターネット）から内部のネットワークへアクセスさせる場合は、ポート転送をまず考えるべきです。ポート転送の場合は、開くポートの数が有限であるため、監視や管理が行いやすくなります。ただし、次の理由によりポート転送が機能しない場合があります。

使うアプリで使うポートが指定されていない場合
ルーターのスペック不足で、大量のポート転送を迅速に処理できない場合
アプリが接続するポートを、頻繁に変える、不規則に変える場合

このような状況では、大半はルーターのDMZ機能が役立ちます。しかもその場しのぎの解決策ではなく、永続的な解決になります。

DMZ の危険性を考えてみる

ルーターにDMZを設定する場合で、特定のPCをDMZに入れる（設定する）場合、そのPCに適切な設定をされたファイアウォールが実行されていなければ、ネットワークが危険にさらされる場合があります（Windows 7 以降には、潜在的に危険な外部からの接続を防ぐファイアウォールが組み込まれています。）

ルータに DMZ を安全に設定できる場合

ここでの安全に設定できるというのは、DMZ 内にファイアウォールが適切に設定されて実行されている PC を設置できるという意味です。

比較的セキュリティを問題にせず、ルーターにDMZを設定できるのは、ウェブカメラ、ビデオサーバー、Xbox、プレイステーションなどのデバイスです。このケースではポートフォワードとセキュリティ的には大差ありません。
というのも、これらのデバイスはインターネットから接続されることを前提に設計されているため、はじめからセキュリティ設定がまとまっているからです。そのため、侵入そのものが難しく、されたとしても被害は最小になる設計になっています。ビデオレコーダーや Web カメラは、不正アクセスされることはあるにしても、パスワード管理がしっかり行われていれば、そのリスクは十分に抑えられます。

そのため、パスワード管理以外は、DMZ の設定をいったん終えれば、DMZ 絡みのリスクは少なくなります。ゲームデバイス（XboxやPlaystation）に関しては、さらに DMZ 設定のリスクは考える必要はありません。

具体的に DMZ をセットアップしてみる

ここでは、ルーターの DMZ 機能を利用して設定する方法をみていきます。

ステップ１：内部IPアドレスを見つける

まず、ルーターに DMZ を設定する場合は、その DMZ に入れる（設定する）デバイスのIPアドレスを知る必要があります。Windows を使用している場合は、ルーター検出ソフトウェアを使用できます。DMZ をゲームコンソールに向ける場合は、ゲームコンソールのメニューから内部IPアドレスを見つける必要があります。