プロキシとは、インターネットを接続する際のアクセスを代理で行うシステムのことです。企業のセキュリティ対策として重要な役割を担い、セキュリティを強化できることから注目が集まっています。
プロキシは様々な用途に利用されており、クライアントのインターネットアクセスログを集約する用途でも使いますし、URL フィルタリング、サンドボックスなどより高度なセキュリティ対策を強化したプロキシもあります。
本記事では、プロキシの仕組みや種類、利用するメリット、設定時に気をつけたいポイントなどをセキュリティ対策を目的としたプロキシを中心に解説していきます。セキュリティシステムの強化を検討しているなら、ぜひ参考にしてください。
同じ名称で、個人向けの IP アドレスやアクセス元を隠すプロキシサービスがありますが、ここでは法人がセキュリティを目的に導入するプロキシを扱います。
プロキシとは?
「プロキシ」とは、インターネットを接続する際に、ネットワークの内部から外部へのアクセスを代理で行うシステムのことです。プロキシサーバーとも呼ばれ、企業がサイバー攻撃などに対抗し、自社の情報システムを安全に管理する手段として利用されています。
インターネットへの接続は、通常は PC やモバイルなどの端末のブラウザを経由して、直接 Web サイトにアクセスします。プロキシを使用すると、端末はプロキシにアクセスを行い、プロキシが代わりに目的のサイトにアクセスしてデータを受け取ってブラウザに表示させます。
プロキシが中継することで、企業の端末が直接外部と接触しないので、セキュリティを強化できるのです。
最近では、セキュリティを目的としたプロキシ製品やクラウドサービスをセキュア web ゲートウェイ(SWG)と呼んだりします。
セキュアインターネットゲートウェイ「Zscaler Internet Access」のサービス詳細はこちら
クラウド型 Web ゲートウェイ監視サービス「MSS for Secure Gateway」のサービス詳細はこちら
クラウド型 Web ゲートウェイ監視サービス「MSS for iboss Cloud Security」のサービス詳細はこちら
プロキシの仕組み
続いて、プロキシの仕組みを詳しく解説しましょう。プロキシ(=代理)という意味の通りクライアント PC の代わりにインターネットアクセスを行います。
1.クライアント PC のブラウザからリクエストを送る
最初に、クライアント(利用者)が外部に「このサイトを見たい」などの要望を送ります。このリクエストをプロキシがキャッチします。
2.リクエストをプロキシが受け取り、目的のサイトにリクエストを出す
受け取ったリクエストをプロキシが中継して、Web サーバーへ送信します。IP アドレスを NAT 変換するだけのファイアウォールと違ってここでセッションを終端し、新たにアクセス先へプロキシサーバーからセッションを張ります。IP アドレス以外も見ているため、URL をフィルタリングしたりすることができます。
3.サイトからの返事をプロキシが受ける
プロキシからリクエストを受けた Web サーバーが、プロキシへ対象のリクエストに対するレスポンスを送信します。ここで、Web サーバーからの応答を一度終端することで、プロキシサーバーは web サーバーからファイルを取得することで、パケットではなくファイルレベルでのウイルス検査やサンドボックスでの解析、他のセキュリティ機器との連携を行って、クライアントへデータを送信する前に様々なセキュリティ対策が行えます。
4.プロキシがクライアントに返事を行う
次にプロキシが、クライアントに対して Web サーバーからのレスポンスを送信し、クライアントの Web ブラウザ上に返事を表示します。
5.クライアントがサイトを閲覧できるようになる
プロキシを中継して Web サイトとやりとりをするので、クライアントは安全な環境でサイトを閲覧できるようになるのです。UTM や次世代ファイアウォール製品もプロキシの機能を実装しているものも多く、明確な区分が難しくなってきていますが、基本的なプロキシの動作は以上になります。
セキュアインターネットゲートウェイ「Zscaler Internet Access」のサービス詳細はこちら
クラウド型 Web ゲートウェイ監視サービス「MSS for Secure Gateway」のサービス詳細はこちら
クラウド型 Web ゲートウェイ監視サービス「MSS for iboss Cloud Security」のサービス詳細はこちら
プロキシの4つの種類
プロキシには、4つの種類があります。目的に合わせて使い分けるようにしましょう。
フォワードプロキシ
一般的に、プロキシやプロキシサーバーと呼ばれているのは、この「フォワードプロキシ」のことです。主にクライアント側に設置され、クライアント側の要求を中継してインターネットに接続します。クライアントの代わりとなるので、セキュリティを高めるための有効な手段となります。
リバースプロキシ
「リバースプロキシ」は、フォワードプロキシとは反対に、サーバー側に設置するプロキシのことです。複数の Web サーバーにリクエストを負荷分散するロードバランサーや Web アプリケーションを保護する WAF(Web アプリケーションファイアウォール)、キャッシュ応答による Web サーバーの負荷低減など、主に、自社の Web サーバーにアクセスしてくる通信を、制御するために利用します。分散型キャッシュサービスである CDN も基本的にはこのリバースプロキシの仕組みを利用しています。セキュリティ機能を持つリバースプロキシ製品の導入をすれば、不正アクセスから自社サーバーを守れることになります。
透過型プロキシ
通常プロキシのアドレスは、クライアント PC のブラウザで設定します。一方の「透過型プロキシ」では、社内ネットワークの出入口にプロキシのアドレスを設定します。ネットワークの出入口に1つだけ設定するので、クライアント側の設定の手間が省け、管理コストの削減につながります。
セキュアインターネットゲートウェイ「Zscaler Internet Access」のサービス詳細はこちら
クラウド型 Web ゲートウェイ監視サービス「MSS for Secure Gateway」のサービス詳細はこちら
クラウド型 Web ゲートウェイ監視サービス「MSS for iboss Cloud Security」のサービス詳細はこちら
プロキシを利用するメリット
ここからは、プロキシを利用することで得られるメリットを解説します。
匿名性を確保できる
プロキシを利用することで、ブラウザから直接 Web サイトにアクセスしないので、Web サイト運営者に対して匿名性を担保できます。アクセス元のクライアント PC を特定されにくくすることで、悪意のあるサイト運営者による情報の搾取を防止できます。
プロキシ上にアクセスログを残せる
プロキシを利用すると、さまざまなアクセスログをサーバーに残すことができます。クライアント PC の閲覧状況を把握できるので、社員が業務に関係ない Web サイトにアクセスしていないかなどのチェックも可能です。また、サイバー攻撃が発生した場合も、ログを解析すれば、被害状況や不正アクセスを特定できます。インシデントレスポンス時には外部との通信が発生している=攻撃を受けている、ということになるためこの通信の分析は特に重要です。
アクセスの制限ができる
プロキシの利用で、Web サイトへのアクセス制限をする URL フィルタリングが可能となります。企業では、社員による業務に不要な Web サイトや公序良俗に反するサイト、不正サイトなどへのアクセスを阻止できます。
サイトの画面表示の高速化が期待できる
プロキシには、過去にアクセスしたことがあるサイトや、頻繁に訪れるサイトのキャッシュ機能があります。そのため、同じサイトにアクセスする際の高速化を期待できます。
プロキシ上でウイルスチェックができる
プロキシ上でウイルスチェック機能を利用することで、セキュリティ対策を強化できます。クライアント PC が接続しているネットワークへの、脅威の侵入を妨げます。
セキュアインターネットゲートウェイ「Zscaler Internet Access」のサービス詳細はこちら
クラウド型 Web ゲートウェイ監視サービス「MSS for Secure Gateway」のサービス詳細はこちら
クラウド型 Web ゲートウェイ監視サービス「MSS for iboss Cloud Security」のサービス詳細はこちら
プロキシを利用するデメリット
プロキシを利用する際に、通信速度が低下する可能性もあります。
プロキシでは、キャッシュ機能で2回目以降訪れる Web サイトの表示の高速化を期待できます。一方、本来は直接アクセスする Web サイトの間にプロキシが入って中継するので、通信速度が遅くなることもあります。プロキシの性能によるものの、同時に多くのユーザーが利用してアクセスが殺到する場合は、速度が低下するので注意しましょう。
セキュアインターネットゲートウェイ「Zscaler Internet Access」のサービス詳細はこちら
クラウド型 Web ゲートウェイ監視サービス「MSS for Secure Gateway」のサービス詳細はこちら
クラウド型 Web ゲートウェイ監視サービス「MSS for iboss Cloud Security」のサービス詳細はこちら
クラウド型プロキシサービス
近年ではクラウドサービスの利用増により物理的なプロキシ負荷が増えてきているため、通信速度が低下するオンプレミスのプロキシサーバーよりは、通信速度が低下しにくいクラウド型のプロキシサービスを利用する企業が増えてきています。
また、クラウド型プロキシサービスを利用することで、小規模拠点や海外拠点のセキュリティも本社と同等のセキュリティを確保することができるようになっているため、そうした用途での利用も多くなってきています。
セキュアインターネットゲートウェイ「Zscaler Internet Access」のサービス詳細はこちら
クラウド型 Web ゲートウェイ監視サービス「MSS for Secure Gateway」のサービス詳細はこちら
クラウド型 Web ゲートウェイ監視サービス「MSS for iboss Cloud Security」のサービス詳細はこちら
まとめ
プロキシとは、インターネットを接続する際に仲介役となってアクセスの代理を行うシステムです。「フォワードプロキシ」「リバースプロキシ」「キャッシュサーバー」「通過型プロキシ」の4種類があり、目的に合わせて選ぶことが重要です。
SBテクノロジーは、プロキシ対策も含め、企業のセキュリティ対策強化を実現するソリューションを各種ご用意しております。様々な業種の豊富な導入実績を誇り、御社の状況や目的に合わせた支援が可能で、社内にセキュリティ専門の人材や設備が不足していても安心してご利用いただけます。
あわせて、弊社のマネージドセキュリティサービス(MSS)の活用により、コストや運用負担をかけずに、最大限のセキュリティ対策が実現します。リモートワークの定着やクラウド化などでセキュリティ強化を検討しているなら、SBテクノロジーの活用をぜひご検討ください。
セキュアインターネットゲートウェイ「Zscaler Internet Access」のサービス詳細はこちら
クラウド型 Web ゲートウェイ監視サービス「MSS for Secure Gateway」のサービス詳細はこちら
クラウド型 Web ゲートウェイ監視サービス「MSS for iboss Cloud Security」のサービス詳細はこちら