ネットワークセキュリティ図は、多層型セキュリティアーキテクチャの全体構成を示しています。公開サービス、アプリケーション処理、機密性の高い内部データベースといった各領域を明確に区分しており、セキュアなインフラ設計や構成文書の作成が必要なネットワーク設計者やセキュリティ担当者に最適です。
DMZ(非武装地帯)
このセグメントには、Webサーバーやロードバランサーなど、外部公開が必要なサービスを配置します。インターネットと内部システムの間に設けられた緩衝領域として機能し、ファイアウォールによって外部からのトラフィックを制御し、機密データへの直接アクセスを防ぎます。
- 外部ファイアウォール
- ルーター
- ロードバランサー
- Webサーバー
- HTTP/HTTPSトラフィック制御
セキュリティ監視
このセクションでは、侵入検知・防御システム(IDPS)を用いてネットワークトラフィックを監視します。通過するデータパケットを常時スキャンし、不正なアクティビティやポリシー違反を検出することで、ITインフラ全体における重要な可視化レイヤーを提供します。
- 侵入検知・防御システム(IDPS)
- トラフィック監視リンク
- DMZ監視
- アプリケーション層監視
アプリケーション層
アプリケーション層には、ビジネスロジックを処理する専用サーバーを配置します。専用ファイアウォールの背後に設置されており、DMZからの正規リクエストのみが内部データベースと通信できる仕組みになっています。これにより、不正なデータ抽出や横方向への侵入を効果的に防ぎます。
- 内部ファイアウォール
- アプリケーションサーバー
- データロジック処理
- HTTP/HTTPS接続
内部ネットワーク
最もセキュリティレベルの高いゾーンであり、機密性の高いデータベースサーバーや内部クライアント端末を配置します。災害復旧に備えたデータバックアップシステムも含まれ、SQLやSSHなどの暗号化プロトコルを使用することで、厳格なデータの整合性と機密性を維持します。
- データベースサーバー
- データバックアップストレージ
- 内部クライアント
- SQLおよびHTTPS/SSHプロトコル
