- ライター:木村 仁
- クラウドを活用したソリューションのプリセールスを担当。
主に、セキュアインターネットゲートウェイのソリューションを活用したオファーの開発、提案を実施。
目次
はじめに
クラウドの利活用やリモートワークの促進により、セキュリティの在り方が変化しています。その変化に対して、ゼロトラストやSASEといったセキュリティモデルを導入してICTインフラ基盤を整備しようと考える方が多くいらっしゃいます。
その際、検討要素の一つとなるのがデータセンターに置いているプロキシやファイアウォールの増強やクラウドへの移行ではないでしょうか。
特にプロキシにおいては、担うセキュリティ機能が多様化したことによるリソースのひっ迫や、メンテナンス等による運用負荷の増強などボトルネックになってしまっているケースがあるかと思います。
そこで今回のブログでは、プロキシとファイアウォールにフォーカスして、必要性や関係性を整理してみました。
プロキシとは?
プロキシは、会社などの内部にあるネットワークからインターネットへ接続する際に、そのアクセスを代理で行うシステムのことです。
通常インターネットへの接続は、PCのブラウザから直接Webサイトに対して行われます。その接続をプロキシ経由にすることで、PCのブラウザはプロキシへのアクセスとなり、プロキシが代わりにサイトにアクセスしてデータを受信し、そのデータをPCに送信するようになります。
プロキシを挟むことで、会社内のPCが直接外部に接続することがなくなるため、セキュリティを強化できるようになります。
プロキシがあることによるメリットとデメリット
インターネットに接続してサイトにアクセスする際、プロキシを利用することでセキュリティ上のメリットが得られますが、デメリットも発生してしまいます。ここでは、そのメリットとデメリットについて見ていきたいと思います。
【メリット】
①アクセスログの取得
プロキシでは、 Webサイトへのアクセスログなどさまざまなログを残すことができます。そのため、外部からサイバー攻撃を受けた場合でも、ログの解析を行うことで、被害状況の把握や迅速な対応を取ることができます。
②匿名性の確保
プロキシからWebサイトにアクセスすることで、サイト提供者側にはプロキシのIPアドレスのみの公開になるため、匿名性を確保することができます。
③ウイルスのチェック
プロキシでウイルスチェックを行うことで、内部ネットワークへのウイルスの侵入を防止することができることから、個人のPCだけでなく、社内のネットワークの安全性を高めることができます。
④アクセスの高速化
過去にアクセスしたWebサイトやよくアクセスするWebサイトの場合、キャッシュの機能によりWebサイトの表示を高速化することができます。
⑤アクセスの制限
プロキシの持つURLフィルタリングの機能を利用することで、Webサイトへのアクセス制限が可能となり、社内のポリシーに反するWebサイトへのアクセスを制御することができます。
【デメリット】
①通信速度の低下
プロキシは、キャッシュの機能によって過去にアクセスしたWebサイトやよくアクセスするWebサイトの表示は速くなりますが、キャッシュのないWebサイトへのアクセスはPCとWebサイトの間でプロキシを経由する通信になるため、プロセスが増えることになり、通信速度が遅くなることがあります。
また、多数のユーザが同時にインターネットへアクセスする場合や、海外にあるサーバで距離がある場合なども通信速度が低下しやすくなってしまいます。
②アクセスの集中による負荷
①でも記載しましたが、同時に多数のユーザがプロキシにアクセスした場合、サーバの負荷が高まり、通信速度が低下することがあります。また、セキュリティ上重要になるSSL復号化はリソースを圧迫するため、この処理にも負荷がかかります。
プロキシを経由することに起因してサーバが高負荷状態になったり、通信速度が低下することになりますので、通信環境悪化のボトルネックになってしまうことがあります。
③プロキシの運用負荷
プロキシの運用年数やシステムの構成によっては、 PACファイルのメンテナンスなど運用が非常に煩雑になっていることがあります。設定内容によっては、過去の導入経緯がわからなかったり、除外した場合の影響範囲が特定できないことから、運用負荷が高い状態でもプロキシを継続して利用しているということがあるかもしれません。
改めて、プロキシは必要か?
プロキシのメリットを見てみると、ファイアウォールに機能を引き継がせることで、代替できるものがあります。
ファイアウォールに機能を引き継がせることで、通信速度の低下や高負荷状態での運用の継続といったデメリットを回避できるようになります。アクセス集中による負荷の増大はファイアウォールにも当てはまりますが、SaaSを利用することで柔軟に対応できるようになり、設備の維持費や運用費を抑えることもできるようになります。また、プロキシではユーザ単位での料金体系でコストが高額になってしまっていたURLフィルタリングのライセンスも抑えることが可能になります。
ただし、アクセスログの取得に関しては、通常プロキシではL7のログまで参照できますが、ファイアウォールでは基本的にL4までになるため、 HTTP Response codeのエラーコードなどのログが見られなくなります。インシデント発生時のログ分析に影響を及ぼす懸念があるため、運用におけるログの必要性を検討するなど、引き継がせる際に考慮するポイントがあることにも注意が必要です。
なお、プロキシの機能をファイアウォールに引き継がせることで、プロキシのメリットを残しつつ、デメリットを解消することができますが、必ずしもプロキシを無くすことが必要なわけではありません。
プロキシを撤廃することで係るコストやリスクが大きく、現実的には難しいという状況もあるかもしれません。その場合には、最近ではプロキシの機能を持ったファイアウォールも展開されていますので、ファイアウォールにプロキシを兼任することも選択肢としてあげられます。
まとめ
内部のネットワークからインターネットへ接続する際に、アクセスを代理で行うのがプロキシです。プロキシを経由することで、セキュリティを高めることができるメリットもありますが、通信速度の低下などのデメリットも発生してしまいます。
そのデメリットの回避策としてファイアウォールへの引き継ぎがあり、メリットを残しつつ、デメリットを解消することができるようになります。
ただ、プロキシを無くすことが必須なわけではなく、無くすことによってかかるコストやセキュリティのリスクが大きくなることも想定されます。
そのため、引き継がせる場合は十分な検討が必要であり、プロキシの機能を持ったファイアウォールを利用することも選択肢の一つとなります。
今後のセキュリティの在り方やICTインフラ基盤の整備についてお悩みをお持ちでしたら、是非一度弊社にご相談いただけますと幸いです。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
