インターネットと内部ネットワーク間の直接の通信は危険だ。要件1.4.1では,DMZを設置することを義務づけており,インターネットと内部ネットワーク間の直接の通信を禁止している。 1.4.1 すべてのトラフィックをフィルタリングおよびモニターし,インターネットからの,またはインターネットへの直接のトラフィックを禁止するため,DMZ を導入する 組織には一般的にWeb,メール,DNSなど外部に公開するサービスがある。外部に公開するサービスを内部ネットワークに配置すると,万が一,そのサービスが悪意を持った者により不正侵入を受け乗っ取られると,そこを踏み台にしてして内部ネットワークの他のサーバーに侵入されてしまうことになる。このような侵入を防止するため,外部と内部の中間的なセキュリティ領域を設ける。その領域をDMZ(DeMilitarized Zone,非武装地帯)と呼ぶ。(図4,図5)
![DMZを設置しないといけない](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)