巧妙な手口で被害を拡大させるサイバー攻撃。この対抗手段としてプロキシを活用するという方法があります。
企業の情報システムを安全に管理するためにも、あらためてプロキシの理解を深めたいという担当者も多いのではないでしょうか。本コラムでは、プロキシの仕組みやプロキシの種類といった基礎知識について、プロキシを利用するメリットと注意点を含めて解説します。
サイバー攻撃の種類や対策については「 サイバー攻撃の種類と対策の基本とは?Webサービスを守るために必要なこと 」で詳しく解説しています。
プロキシとは
プロキシとは、主にクライアントからサーバーへアクセスする際に「クライアントの代理」を担うシステムのことを指します。プロキシは英単語で「 Proxy 」と表記し、直訳では「代理」や「代わり」などの意味を持つ用語です。
プロキシは、フォワードプロキシやリバースプロキシ(後述)など、それぞれの目的別に分類されますが、一般的にはHTTP通信を代理するWebプロキシ(フォワードプロキシ)を指すことがほとんどです。
プロキシの役割
では、プロキシはどのような役割を果たすのでしょうか。簡単な役割は上述したとおりですが、ここではもう少し詳しく見ていきましょう。
プロキシの主な役割は、クライアントPCの代わりにサーバーとの通信を行うことです。
身近なものに例えると、荷物を郵送するときに利用する宅配業者の役割に似ています。例えば、AさんがBさんに荷物を送るとき、AさんがBさんに直接荷物を持っていくのではなく、宅配業者に「Bさん宅に発送してください」とお願いします。宅配業者はBさんの住所や名前をAさんから聞いて、Bさんへ届けます。このとき宅配業者はAさんの代理でBさんに荷物を送るわけです。
この宅配業者をプロキシに置き換えて考えるとイメージしやすくなるでしょう。
その場合、AさんがクライアントPC、Bさんが閲覧したいサーバー、宅配業者がプロキシです。クライアントPCは閲覧したいサーバーに直接アクセスするのではなく、閲覧したいサーバーをプロキシに伝え、プロキシがサーバーにアクセスするのです。
もちろん、プロキシは単にアクセスを仲介するだけではありません。プロキシを利用することで匿名性を確保したり、通信の負荷を軽減したりする役割も果たしますが、これらについては、後述する「プロキシを利用するメリット」の章で解説します。
プロキシの仕組み
それでは、プロキシの仕組みについて、クライアントPCからサイトへアクセスする流れを通して見ていきましょう。
ここでは、クライアントPCでYahoo!のサイトを閲覧する想定で、プロキシを使わない通常のアクセスと、プロキシを使ったアクセスの流れを確認します。
通常アクセスの場合
まずは、クライアントPCからYahoo!に通常アクセスする流れです。
- クライアントPCのブラウザからYahoo!のサイトをリクエストする
- リクエストはYahoo!のサーバーに届く
- Yahoo!のサーバーがリクエストに対応したページをクライアントPCへ返す
- クライアントPCのブラウザにYahoo!が表示される
このように、通常はクライアントPCが直接Yahoo!のサーバーにアクセスします。
ここで意識しておきたいのは、Yahoo!のサーバーにはクライアントPCがアクセスしたことがわかるという点です。また、表示されたページにデータ容量の大きな動画や画像があった場合には、Yahoo!のサーバーとクライアントPCとをつなぐ通信経路に、容量と比例した通信負荷がかかります。
プロキシを介したアクセスの場合
次に、プロキシを介したアクセスの流れを見てみましょう。
- クライアント PC のブラウザから Yahoo! のサイトをリクエストする
- リクエストはプロキシが受け取る
- プロキシが Yahoo! サイトにリクエストを送る
- Yahoo! がリクエストに対応したページをプロキシに返す
- プロキシは Yahoo! から返ってきたページをクライアント PC へ渡す
- クライアント PC のブラウザに Yahoo! のページが表示される
このとき、クライアントPCはYahoo!のサーバーへ直接のリクエストは送りません。クライアントPCが最初にリクエストを送る先はプロキシです。
これにより、上述した通常アクセスの場合と比べて以下のような違いが出てきます。
- プロキシを介しているので、 Yahoo! のサーバーはクライアント PC の情報がわからない
- わかるのは、プロキシの情報のみ
つまり、クライアントPCは、Yahoo!サーバーへのアクセスをプロキシに代行してもらっているのです。
プロキシを利用するメリット
それでは、プロキシを利用することでどのようなメリットがあるのでしょうか。ここでは5つのメリットを見ていきましょう。
メリット1:匿名性の向上
上述したプロキシの役割や流れを見てもわかるように、プロキシを利用することで匿名性を高めることができます。つまり、サーバーに対してアクセス元を隠せるということです。
業務に必要な情報を収集するために、インターネット検索は欠かせません。しかし、検索結果に出てくるサイトのなかには、詐欺や情報収集を目的としたサイトも含まれている可能性があります。うっかりアクセスをしてしまうと、悪意のあるサイトにアクセス元の企業が把握されてしまう可能性があるのです。
このとき、プロキシを介したアクセスをすることで匿名性を高め、情報の搾取を防止できるというメリットがあります。
メリット2:サーバーや通信の負荷軽減
プロキシには、通信負荷を軽減するためのロードバランサーという機能を搭載させることもできます。
ロードバランサーが機能しているプロキシを利用すると、アクセスが殺到するサーバーや通信の負荷を軽減できるというメリットにつながります。
メリット3:キャッシュの保存でサイトの表示を高速化
プロキシには、閲覧したサイトの情報(ページ要素)を一時的に保管しておくキャッシュという機能があり、それを活用することで同じサイトへのアクセスが2回目以降から速くなります。
通常は、クライアント PC がサイトへアクセスすると、表示するページに含まれる動画や画像データをその都度送受信するため、時間がかかります。しかし、プロキシのキャッシュ機能でページを保存しておけば、わざわざ目的のサイトにアクセスして情報をやりとりすることなく、プロキシが情報をクライアントPCに返せます。
つまり、「クライアント PC →プロキシ→サイト」のやりとりをするのではなく、「クライアント PC →プロキシ」のように通信が短縮できるため、サイトの表示が高速化するのです。
メリット4:アクセスログの確認が容易になる
プロキシを介することで、クライアント PC がいつ、どこから、どのサイトにアクセスしたのかを確認しやすくなります。なぜなら、プロキシにアクセスログが残るからです。
アクセスログの確認は、主に企業の IT 管理者が行う作業ですので、 IT 管理者の作業負担が軽減されるメリットとも言えるでしょう。
例えば、企業のPCで悪意のあるサイトへ間違ってアクセスした場合の調査にも役立ちます。プロキシを介さない通常アクセスでは、どのクライアントPCが悪意あるサイトにアクセスしたのかを知るために、各PCのブラウザ履歴などを確認しなければなりません。しかし、プロキシを介したアクセスであれば、確認するログはプロキシだけでよいのです。
メリット5:セキュリティの向上
プロキシを利用するメリットとして期待されるのが、セキュリティの向上です。
セキュリティの向上については、メリット1の「匿名性の向上」やメリット4の「アクセスログの確認が容易になる」も該当しますが、これらのほかにもプロキシ上でウイルスチェック機能を利用してセキュリティ対策をする方法もあります。
クライアントPCにセキュリティソフトをインストールしてウイルスチェックを行うことは一般的なセキュリティ対策として認知されています。しかし、脅威がクライアントPCに到達するよりも前に、プロキシで事前にウイルスチェックをすることで、クライアントPCが接続されている社内ネットワークに脅威が侵入することを防げます。
プロキシを利用する際の注意点
プロキシを利用するメリットはさまざまですが、その注意点についても理解しておきましょう。
プロキシには、非公開プロキシと公開プロキシがあります。非公開プロキシとは、社内に自前で構築するプロキシのように、よそからはアクセスできないプロキシです。一方、公開プロキシとは、インターネット上に公開されているプロキシで、誰もが匿名性の高いプロキシとして利用できます。
注意しなければならないのは、公開プロキシの利用です。プロキシを介した通信は、どのような PC がいつどこにアクセスしたかといった、通信のさまざまな情報が簡単に確認できます。このような特性を利用して、 ID をはじめとした個人情報を抜き取るために設置されている「悪意あるプロキシ」が数多く存在するのです。
プロキシを利用する際には、自社で構築したものやサービス提供事業者が運営する安全な非公開プロキシを利用することを心がけ、誰でも簡単に使える公開プロキシの利用は避けましょう。
プロキシの種類
それでは最後に、プロキシの種類を確認していきましょう。プロキシは目的ごとにさまざまな種類があります。
フォワードプロキシ
フォワードプロキシは、一般的な Web プロキシと同じものを指しており、「プロキシ」と呼ばれることもあります。クライアント PC の代理としてサーバーへアクセスするもので、主にクライアント側に設置され、クライアント PC からのアクセスを仲介します。
リバースプロキシ
リバースプロキシは、フォワードプロキシとは異なり、サーバー側に設置されます。主に、 Web サーバーにアクセスしてくる通信を制御するためのプロキシで、 Web サーバーにアクセスする際に通る「受付」というイメージです。
例えば、自社の Web サイトにリバースプロキシを設置すれば、 IP 制限で不正アクセスからサーバーを守るといった役割を果たします。
キャッシュサーバー
プロキシ上にキャッシュを持たせることで、上述したメリット 3 でも述べたように表示の高速化が実現します。
キャッシュサーバーには Web サイトに設置されている動画や画像などのコンテンツを保持しておき、 2 回目以降に同じサイトへアクセスする際には、キャッシュサーバーからクライアント PC へサイト情報を返します。
例えば同じ動画を繰り返し見る場合に、配信サイトから毎回ダウンロードすると時間がかかります。しかし、キャッシュサーバーに動画を保管しておけば、動画をダウンロードする時間が短縮できるわけです。
透過型プロキシ
フォワードプロキシやリバースプロキシは「プロキシの機能の違い」を軸とした分類ですが、透過型プロキシについては「プロキシ設定をする場所(機器)」を軸に分類したものとなります。上述してきたプロキシの種類とは違った角度からの分類となりますが、用語として「透過型プロキシ」を覚えておくとプロキシに対する理解が深まります。
透過型プロキシとは、ネットワーク側で設定をしておくプロキシです。
プロキシを利用する場合には、一般的にクライアント PC のブラウザでプロキシのアドレスを設定します。この方法でプロキシを利用することを「非透過型プロキシ」と呼びますが、透過型プロキシは、社内ネットワークの出入り口にプロキシのアドレスを設定してプロキシを利用するものです。
- 透過型プロキシ:ネットワークの出入り口にプロキシのアドレスを設定する
- 非透過型プロキシ:クライアント PC のブラウザにプロキシのアドレスを設定する
透過型プロキシの利点は、各クライアント PC のブラウザにプロキシ設定を行う必要がないことです。企業のネットワーク内では、何十台、何百台といった機器が利用されていることが多いでしょう。それらすべてにプロキシの設定をするよりも、ネットワークの出入り口に 1 つだけ設定した方が管理コストの削減につながります。
まとめ:各機能の違いを理解して最適なプロキシを選択しよう!
プロキシはクライアントとサーバーの間に設置され、その通信を代理で行うシステムです。プロキシには匿名性を向上させたりセキュリティを強化させたりするメリットがあります。ただし、プロキシの種類や注意点を押さえておかなければ、セキュリティの低下につながる危険性もあります。プロキシを導入する前に基本的な知識をしっかりと身につけて、適したプロキシの選択をすることが大切です。
例えば、 Web フィルタリングはもちろん、 DNS フィルタリングやデータ漏洩防止、アンチウイルス機能を搭載するなど高度な脅威保護が可能な FortiProxy などがあります。
FortiProxy については「 FortiProxy 」のページで詳しく紹介していますので参考にしてください。
