目次
よくある多段プロキシ構成
自治体情報セキュリティクラウド(以下「SC」)では、多段プロキシの構成がとられていることが多いです。
多段プロキシ構成概要
- SC側にプロキシを設置(上位プロキシ)
- 都道府県下の市町村側にプロキシを設置(下位プロキシ)
- 市町村側のPCは、プロキシとして「下位プロキシ」を指定
- 下位プロキシは、プロキシとして「上位プロキシ」を指定
それぞれの大まかな役割ですが、市町村ごとにセキュリティポリシーが異なるため、下位プロキシで市町村ごとの詳細な制御を行ってもらい、上位プロキシでは全体に共通する最低限のアクセスコントロールをURL単位で実施する、という構成が多いと思います。
プロキシはいらないって本当ですか?
このような構成に対して、上位プロキシっていらないんじゃない?という考え方があります。
そのプロキシ不要論の論拠を簡単にご紹介します。
プロキシ不要論
- Webプロキシ経由では使えないアプリケーションが存在する
(Web会議などのリアルタイム系アプリなど) - SSL復号時に、Webプロキシの性能がボトルネックになりユーザビリティが低下する
- Webプロキシ製品のURLフィルタリングのライセンス体系は、ユーザー数単位での計算になるものが多いため、コストが増大する一因となっている
- IPAがプロキシを推奨(※)しているのは、プロキシを意識しないマルウェアによるC&C通信の防御を考慮してのことだが、市町村側の下位プロキシがその役割を果たしているため、上位プロキシの必要性はない
※参考リンク:
IPA「高度標的型攻撃」対策に向けたシステム設計ガイド
https://www.ipa.go.jp/files/000046236.pdf
上位プロキシを撤廃する場合、どんな懸念点があるでしょうか?
上位プロキシではおもに通信の制御とアクセスログの取得をしています。
上位プロキシが無くなる場合は、この役割はファイアウォールに引き継がれることになります。
プロキシは、その仕組み上、レイヤー7の情報まで見ることができますが、ファイアウォールは基本的にはレイヤー4までしか通信を認識できません。
ということは、ファイアウォールでは、たとえばHTTP Response codeのエラーコードなどのログが見れない、ということになります。
なんらかのインシデント発生によりログを分析する、となった際、HTTP Response codeが見れないことで分析や状況把握がしづらくなるという懸念があります。
次回につづきます
今回は、多段プロキシ構成のご紹介と、プロキシ不要論について紹介しました。
次回は、結局プロキシは必要なのかどうか、また、プロキシを選ぶ際のポイントはなんなのか、といったことを書いていこうと思います。
ご要望やご不明点などがございましたら、お問い合わせフォームか、弊社の担当営業までご連絡ください。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
