インターネットと内部ネットワーク間の直接の通信は危険だ。要件1.4.1では，DMZを設置することを義務づけており，インターネットと内部ネットワーク間の直接の通信を禁止している。

　組織には一般的にWeb，メール，DNSなど外部に公開するサービスがある。外部に公開するサービスを内部ネットワークに配置すると，万が一，そのサービスが悪意を持った者により不正侵入を受け乗っ取られると，そこを踏み台にしてして内部ネットワークの他のサーバーに侵入されてしまうことになる。このような侵入を防止するため，外部と内部の中間的なセキュリティ領域を設ける。その領域をDMZ(DeMilitarized Zone，非武装地帯)と呼ぶ。(図4，図5)

図4●DMZを設けない場合に発生するセキュリティ侵害

図5●DMZによる防御

データベース・サーバーは内部ネットワークに配置する

　要件1.3.4は，データベース・サーバーは，内部ネットワークに配置しなければならないと定めている。

　現在のWebアプリケーションは，一般にWebサーバー，アプリケーション・サーバー，データベース・サーバーの三つで構成される。データベースにはカード会員データが格納されている。Webサーバーを踏み台にした不正侵入をDMZによって防御するためには，WebサーバーのみをDMZに配置し，アプリケーション・サーバーとデータベース・サーバーは内部ネットワークに配置しなければならない。

　Webサーバーの攻撃防御方法には，Webアプリケーションを安全に開発することや，Webへの攻撃防御に特化したファイアウオールであるWAF（Webアプリケーション・ファイアウオール，表6）の利用などがある，これらについては，要件6で規定している。