
企業の社内ネットワークなどからインターネットに接続する際に、出入り口で中継をしているサーバ、それが「プロキシ」です。
マルウェアや不正アクセスなどセキュリティ上の多くの脅威がインターネット経由でやってきます。こうしたサイバー攻撃を防ぐには、ネットワークの出入り口であるプロキシサーバーのセキュリティ対策が不可欠です。今回は、こうしたプロキシサーバーのセキュリティについて見ていきましょう。
プロキシサーバーとは
「プロキシ」とは、「代理」という意味ですが、Wikipediaによると、「内部ネットワークからインターネット接続を行う際、高速なアクセスや安全な通信などを確保するための中継サーバ」とあります。つまり、内部と外部のネットワークの中継をする役割を持つサーバーで、情報の受け渡しを行なっています。
WEBプロキシサーバーの仕組み
プロキシサーバーは、内部ネットワークからインターネットへの通信を中継する役割を持っています。具体的には、あるサイトを閲覧する場合、以下のような流れでのデータのやり取りが起こります。
- 内部のクライアントからリクエストを送る
- プロキシサーバが中継して、目的のサイトにリクエストを出す
- サイトからの返事をプロキシサーバーが受ける
- プロキシサーバーがクライアントに返事を返す
- サイトが閲覧できる
通信の中継
プロキシサーバーを経由してインターネットにアクセスする際におこなわれるのが、通信の中継です。通信の中継により、普通の通信よりも匿名性を高く保てます。
なぜなら、プロキシを使った通信では、個人のIPアドレスではなくプロキシサーバーのIPアドレスが使用されるからです。そのため、Webサイトにアクセスした端末の匿名性を確保できます。こうした匿名性の高さにより、IPアドレスを追跡したサイバー攻撃の対象になることや悪用を未然に防げるでしょう。
さらに匿名性を高める方法に「多段プロキシ」があります。通常、通信の中継は「クライアント」→「プロキシサーバー」→「Webサイトのサーバー」の1回のみです。しかし、多段プロキシでは中継を複数回おこないます。「プロキシサーバーA」→「プロキシサーバーB」→「プロキシサーバーC」→「Webサイト」と、複数のサーバーを経由するため、身元を隠しやすくなります。
ちなみに、多段プロキシを使ったシステムの1つに、匿名通信システムTor(トーア)があります。
一時的な情報(キャッシュ)の保存
プロキシサーバーには、ローカルディスク上にキャッシュを保存する機能があります。キャッシュとは、Webサイトにアクセスした際のデータを一時的に保存する技術のこと。
プロキシサーバーはクライアントのリクエストに応じてキャッシュを使い、Webサイトの表示高速化やWebサーバーの負荷軽減などを実現しています。
WEBページのフィルタリング
WEBページのコンテンツフィルタリングも、プロキシサーバーの機能の1つ。コンテンツフィルタリングを設定すれば、不正サイトや業務に不要なサイトの閲覧や利用を制限できます。
プロキシサーバーによるフィルタリングの方法は、主に次の2つです。
1 | ホワイトリスト方式 |
|
2 | ブラックリスト方式 |
|
以上の特徴から、より強力にフィルタリングできるのは、ホワイトリスト形式と言えるでしょう。ただし、その分ユーザーに厳しい制限がかかります。頻繁にWebサイトにアクセスする人は、不便さを強く感じるかもしれません。
なので、Webサイトへのアクセス頻度や必要なセキュリティ強度を考慮した上で、フィルタリング機能を活用しましょう。
プロキシサーバーの種類
「プロキシサーバー」と言うと、ほとんどの場合WEBプロキシサーバー(HTTPプロキシ)を意味します。HTTP以外のプロトコルを用いるプロキシも存在しますが、ここではWEBプロキシサーバーに絞ってお話します。プロキシを詳しく理解するために、ぜひ参考にしてみてください。
WEBプロキシサーバーの主な種類は、次の4つです。
- フォワードプロキシ
- キャッシュサーバー
- 透過型プロキシ
- リバースプロキシ
それぞれの特徴をわかりやすく解説します。
フォワードプロキシ
一般的に「プロキシ」と言う場合に意味するのは、フォワードプロキシのことです。プロキシ=フォワードプロキシと考えて良いでしょう。
フォワードプロキシは、クライアント(コンピュータ)とインターネットの間に設置されます。クライアントの代わりにインターネットに接続してくれるので、セキュリティを高めるための有効な手段となるでしょう。
キャッシュサーバー
キャッシュサーバーは、Webサイトなどのコンテンツデータを複製し保存します。クライアントから要求があった際に、該当コンテンツのサーバーに代わってデータを送信するため、コンテンツ表示を高速化できます。
キャッシュサーバーを取り入れた仕組みの1つが、CDN(コンテンツデリバリーネットワーク)です。
透過型プロキシ
フォワードプロキシと似ているものに透過型プロキシ(Transparent Proxy)があります。外部サーバーにアクセスするときの流れはフォワードプロキシと共通です。
異なる点は、透過型プロキシはクライアント側の設定が不要であること。必要な手間は、透過型プロキシを設定したプロキシサーバーを設置するのみです。フォワードプロキシとは違い、クライアント側からはインターネットに直接アクセスしているように見えています。ただし、透過型プロキシを設定するには、事前にPBR(ポリシーベースルーティング)の設計を必要とします。
リバースプロキシ
リバースプロキシは、WebサイトのWebサーバーとインターネットの間に設置されます。フォワードプロキシはクライアントの代わりに通信しますが、リバースプロキシはWebサイトへのリクエストを代理で受信する仕組みです。
ここで一度、フォワードプロキシとリバースプロキシの位置関係を整理しましょう。
- フォワードプロキシを経由する通信
「クライアント」→「フォワードプロキシ」→「インターネット」→「Webサーバー」
- リバースプロキシを経由する通信
「クライアント」→「インターネット」→「リバースプロキシ」→「Webサーバー」
ユーザーがWebサイトにアクセスする際に経由するのが、フォワードプロキシ。ユーザー側が、通信の安全性を確保するために設置します。
対して、アクセスされるWebサイト側が設置するのは、リバースプロキシです。リバースプロキシは、外部からのアクセスを一旦受け付けるため、不正アクセスの防止が可能です。さらに、リバースプロキシはキャッシュを保持し、Webサイトの表示速度の高速化や負荷軽減にもつながります。
このように、フォワードプロキシと反対の役割を持つので、逆プロキシとも呼ばれます。
プロキシサーバーを利用するセキュリティ上のメリット
インターネット経由で、サイトを閲覧する場合は、プロキシサーバーを経由せずに直接接続することも可能です。それにも関わらず、プロキシを使う理由の一つにセキュリティ上のメリットがあります。具体的にどんなメリットがあるのでしょうか。
プロキシサーバー上にログが残る
一つ目は、プロキシサーバー上にサイトへのアクセスなど、さまざまなログが残ることです。誰がどういったサイトを見ているのか、どういったところから不正なアクセスが試みられているのか、などさまざまな記録が残ります。
もし、実際にサイバー攻撃による被害が発生した場合もログの解析を行うことで、適切な対応を行うことができます。
プロキシサーバー上でウイルスチェックができる
二つ目は、実際に利用者が使うパソコンなどの端末ではなく、プロキシ上でウィルスチェックを行うことができるという点です。プロキシ上でチェックをしてウィルスなどの侵入を防ぐことで、社内ネットワークへの侵入自体を防ぐことができるので、社内ネットワークの安全性が向上すると同時に、ウィルスチェックがプロキシ上での管理となるので、運用が楽になります。
匿名性の確保
「匿名性の確保」ということも、プロキシサーバーを使う上でのメリットです。
パソコンやスマホなど、ネットワークに接続される機器にはすべて固有のIPアドレスが割り振られています。固有の番号なので、もし、直接Webサイトなどに接続すると、相手から接続している機器がどれなのかわかってしまいます。悪意を持つ者が、この情報を悪用する可能性もあります。
プロキシサーバーを経由して接続すると、相手には端末のIPアドレスがわからなくなるので、こうしたことを防ぐことができます。
負荷分散・軽減
プロキシサーバーには、インターネット接続の際のデータをキャッシュとして保持しておく機能があります。また、特定のサイトへのアクセスを集中させないように、複数サーバーに振り分ける「ロードバランシング」機能を持たせることもできます。
こうした機能により、ネットワークやサーバの負荷を分散したり、軽減させたりすることができるようになっています。
サイト表示の高速化が期待できる
キャッシュの保持機能には、サイト表示の高速化につながる一面もあります。プロキシサーバーにキャッシュが残っていれば、Webサーバーにリクエストを転送せずにコンテンツを送信してくれます。Webサーバーへのリクエスト転送とコンテンツの受信が省略できるため、それだけ表示スピードが早くなるわけです。
キャッシュ機能はプロキシサーバーに限らず、Webブラウザにも設けられています。なので、「プロキシサーバーのメリットではないんじゃない?」と思う人もいるかもしれません。ですが、Webブラウザと違って、プロキシサーバーは全ての利用者のキャッシュを保存します。つまり、あなたが初めて訪れるWebサイトでも、他のユーザーのキャッシュが残っていれば高速で表示可能です。
ただし、キャッシュが残っていなければ高速化はされません。プロキシサーバーはあくまで通信の中継地点です。通信速度に直接干渉するわけではないので、「プロキシサーバーを導入したらいつでも通信速度が速くなる!」と誤解しないようにしましょう。
プロキシサーバーを利用するセキュリティ上のデメリット
メリットも多いプロキシサーバの利用ですが、逆にデメリットもあります。今度はデメリットについて見ていきましょう。
不正なページへ転送させられる可能性がある
まずは、不正なプロキシサーバにある例です。プロキシサーバは、Webサイトへのアクセス要求を受け取り、相手のサイトへ導きます。この時に、正しいサイトではなく、不正なサイトに誘導してしまうといった事例があります。
接続履歴を閲覧されてしまう可能性がある
プロキシサーバでは、利用している端末からのアクセス要求をすべて管理しています。「どの端末がどのサイトへアクセスしたか」、接続履歴をすべて閲覧されてしまう可能性があることも覚えておきましょう。
情報が抜き取られる可能性がある(パスワードなど)
Webサイトへの接続をすべて中継しているプロキシサーバは、利用者の接続IDやパスワードなどの機密情報を含むデータも中継します。もし、プロキシサーバが悪意を持つ第三者によって設置された者である場合などは、こうしたパスワードなどの情報が抜き取られてしまう恐れがあります。
プロキシサーバーを利用する際の注意点
メリットもあればデメリットもあるプロキシサーバですが、利用する時にはいろいろと注意すべきことがあります。具体的にどういった点に気をつけると良いのでしょうか。
設定を確認する
プロキシサーバーを安全に利用するためには、適切な設定を行うことが不可欠です。これができていないと、情報の漏えいなどのリスクにもつながる可能性があります。たとえば、正しいアドレスを入力しないと、別のプロキシサーバーを経由しようとします。情報漏洩につながるリスクもあるので、こうしたことがないように設定はしっかりと確認しましょう。
公開プロキシサーバーの利用は控える
Web上では、無料で利用できる公開プロキシサーバーがありますが、その中には情報を抜き取る悪意のあるものも多くあります。公開プロキシサーバーの利用はできるだけ控え、利用する場合もくれぐれも注意を怠らないようにしましょう。
自分でプロキシサーバーを構築する際は認証を有効化しておく
プロキシサーバーを導入する際、外注せず自分で構築する人もいるでしょう。その際に重要となる点は、認証を有効化しておくことです。
ID・パスワードによる認証を有効化していないと、公開プロキシサーバーとして誰でもアクセス可能になってしまいます。不特定多数の人に利用されればセキュリティリスクが高まり、ウイルス感染や個人情報の流出といった被害に遭うかもしれません。他にも、犯罪経路に利用される可能性もあります。
プロキシサーバーを公開していると、こうした危険性があるので必ず認証設定をおこないましょう。
通信速度が低下する可能性がある
プロキシサーバーはキャッシュを保持するため、キャッシュが残っているサイトにアクセスする場合は通信速度の高速化を期待できます。一方、キャッシュがないサイトにアクセスする場合は、通信速度が遅くなる可能性があります。
プロキシサーバーを経由してWebサイトに接続するのは、遠回りをしているのと同じことです。Webサイトに直接アクセスする普通の通信と比べると、速度は遅くなることがあるでしょう。
どのくらい速度が低下するかは、プロキシサーバーの性能に依存します。また、多段プロキシを利用していたり、同時接続数に制限があったりすると、速度の低下につながるでしょう。
とはいえ、通信速度が速いブロードバンド回線の普及により、昔よりもプロキシサーバーの速度は改善されています。ですので、必ずしもプロキシサーバー=遅いというわけではありません。
必要な時のみ使用する
プロキシサーバーは、常に使用するものではありません。一般的には、社内ネットワークから外部サイトにアクセスするといった、高度なセキュリティを必要とするときに用いられます。個人のパソコンでWebサイトを見るときに、常時使用する必要はあまり無いでしょう。
キャッシュによる高速化を求めて利用しても、プロキシサーバーの性能によっては逆に遅くなることもあり得ます。また、悪質な公開プロキシサーバーにアクセスして、個人情報を盗まれるかもしれません。
なので、管理者がわかる安全なプロキシサーバーを、必要なときにだけ使うことをおすすめします。
よくある質問
無料のプロキシサーバーはありますか?
無料で公開されているプロキシサーバーもあります。しかし、悪意のある公開プロシキを使用すると、情報が抜き取られてしまうので、注意が必要です。
ネットワークセキュリティソフトを導入するにはどうしたら良いですか?
まずは、複数の会社を比べて、どこが自分に合っているのか見当するのをおすすめします。
まとめ
内部ネットワークとインターネットの間を中継しているプロキシサーバーは、「ウィルスチェックができる」「匿名性の確保」など、多くのメリットがある反面、悪意のある公開プロキシによる情報抜き取りなど注意すべき点もあります。
しかし、上手に使うことでこうしたリスクを回避しながらプロキシサーバーのメリットを享受することは十分可能です。プロキシサーバーを使う場合は、今回説明したようなことに注意をしながら、安全に使いましょう。