/ フォワード プロキシとは
フォワード プロキシとは
フォワード プロキシの仕組み
フォワード プロキシは、単にトラフィックを制御するだけではありません。仲介役として機能することで、ユーザーが悪意のある人物と直接通信しないようにします。また、意図的であるかどうかを問わず、ユーザーがデータや企業資産の侵害を引き起こすことも防止します。フォワード プロキシは「インライン」で動作し、トラフィックの流れの中に直接配置されるため、組織はセキュリティの課題を特定して必要なポリシーをリアルタイムで施行できます。
プロキシはいわば緩衝材のようなもので、ユーザーのミスや悪意のあるデータ流出、マルウェア攻撃など、原因が何であれ、アプリやデータに害が及ばないよう保護する役目を果たします。
フォワード プロキシと従来のファイアウォールの違い
外部の脅威からシステムを保護するファイアウォールと比較すると、フォワード プロキシは次の2つの点で異なります。
- 従来のファイアウォールは、トラフィックの内容を検査している間に目的の受信者に転送する、パススルー アプローチを採用している。
- トラフィックが安全でないと判断された場合、ファイアウォールはアラートを送信するがその時点では手遅れとなっている可能性がある。一方、プロキシはトラフィックの内容が認証プロセスを経て安全と判定されるまでトラフィックを転送しない。
プロキシとファイアウォールを一概に比較することはできませんが、クラウドベースのフォワード プロキシは暗号化されたトラフィックも検査するという点は大きな違いといえます。トラフィックのほとんどが暗号化されている中で、それを可視化することは非常に重要です。しかし、トラフィックを復号して検査し、再暗号化するプロセスでは大きな計算負荷が発生します。アプライアンスベースのファイアウォールには特有の処理制限があるため、遅延を発生させずに大量に暗号化することはできません(ただし、クラウド ファイアウォールでは可能)。
フォワード プロキシに関する議論は、フォワード プロキシ モードで展開可能なクラウド セキュリティ ツールであるクラウド アクセス セキュリティ ブローカー(CASB)へとつながります。CASBでは、ユーザー デバイスにインストールされたソフトウェア エージェントによってトラフィックがクラウドの検査ポイントに転送されます。この検査ポイントではリアルタイムのセキュリティ ポリシーが適用されるため、SaaSアプリやIaaSプラットフォームなどのクラウドベースのリソースと安全に接続できるようになります。
SaaSアプリやリモート ワークを採用する組織が増えていますが、オンプレミスまたはバーチャルに展開されたファイアウォールやプロキシ アプライアンスではなく、CASBのクラウドベースのフォワード プロキシ モードを使用することで、組織の管理対象デバイスを強力に保護できます。
ただし、管理対象外のデバイスであるBYODまたはサードパーティー パートナーのデバイスに関しては、クライアントではなくリクエスターからの送信であるため、フォワード プロキシではトランザクションのセキュリティを完全には保証できません。実は、このユース ケースに対してはフォワード プロキシの同系列であるリバース プロキシの方が適しているのです。
フォワード プロキシとリバース プロキシの違い
フォワード プロキシとリバース プロキシは混同されやすいため、ここで違いを詳しく見ていきましょう。
リバース プロキシ サーバーは、Webサーバーの前面に配置され、クライアントがサーバーと直接通信しないように機能します。一方、フォワード プロキシは、クライアント エンドポイントの前面に配置され、外部からのリクエストを傍受して、サーバーがWebブラウザーなどのクライアントと直接通信しないようにします。この2つのサーバーは同じ機能を持っているようにみえますが、フォワード プロキシは通常、トラフィックを転送するために、エンドポイントにインストールされたソフトウェア エージェントを利用するのに対し、リバース プロキシは利用しないという違いがあります。
もう一つの重要な違いは、リバース プロキシにはロード バランサーが含まれるという点です。ロード バランサーは、1台のサーバーに集中するクライアントのリクエストを最適化し、バックエンド サーバーの負荷を軽減することで、高可用性を確保するとともに読込時間を短縮します。これは、主に次の2つの方法で行われます。
- リバース プロキシは配信元サーバーからのコンテンツを一時記憶域にキャッシュし、サーバーとそれ以上やりとりすることなく、そのコンテンツをリクエストしたクライアントに送信する(これはWebアクセラレーションと呼ばれる)。DNSを使用すると、複数のリバース プロキシ間でリクエストを均等にルーティングできる。
- 大規模なWebサイトやその他のWebサービスが複数の配信元サーバーを使用している場合、リバース プロキシはサーバーの負荷が均等になるように、リクエストをサーバー間で分散させる。
なぜ今フォワード プロキシが必要なのか
何十年も前から使われている境界セキュリティ モデルは「城と堀」のセキュリティとも呼ばれ、悪意のあるトラフィックがインターネットから内部ネットワークに侵入するのを防ぐよう設計されています。しかし現在では、アプリはクラウドで稼働し、従来の境界の外にいる多くのユーザーがあらゆる場所からプライベート アプリやSaaS、パブリック クラウドのデータに接続しているため、このモデルは時代遅れになりつつあります。
従来型のモデルでは、ユーザーは仮想プライベート ネットワーク(VPN)経由で(支店の従業員の場合はMPLSリンク上で)データ センターに接続されます。データ センターはアウトバウンド ゲートウェイ経由でトラフィックをクラウドに送信し、再度戻します。これは攻撃対象領域を拡大させるため、組織を重大なリスクにさらします。また、ユーザーのデジタル エクスペリエンスを低下させる原因にもなります。
クラウド アプリケーションは最短経路で直接アクセスできるように構築されており、高速で生産的なエクスペリエンスを提供します。パススルーを許可するデータ センター内のアプライアンスではこれを実現できないため、高速かつセキュアな直接接続を確立するには、クラウドのパフォーマンスと規模を活用するフォワード プロキシが必要になります。
フォワード プロキシのユース ケース
クラウド化には、クラウドベースのプロキシ アーキテクチャー上に構築されたセキュリティ戦略が必要です。ここでは、フォワード プロキシ(特にCASB)の採用を検討している組織向けに主なユース ケースをいくつか紹介します。
シャドーITの検出
クラウドは、あらゆるSaaSアプリケーションやユーザー グループ、場所で利用されています。認可されていないアプリ(シャドーIT)は数多く存在しますが、適切なソリューションがなければ、ユーザーのアクセス先を可視化することはできません。CASBへのフォワード プロキシにより、認可されたユーザー デバイスからのすべてのトラフィックの監視とログ記録が可能になるため、IT部門は認可されていないアプリを識別し、個別またはカテゴリー別にアプリへのアクセスを管理できます。
データ保護
SaaSアプリは高速かつ簡単に共有できるよう構築されているため、ユーザーが重要なビジネス データを不適切な場所にアップロードしてしまう場合も少なくありません。クラウドベースのフォワード プロキシはインラインで動作し、すべてのトラフィックを検査する規模を備えているだけでなく、IPアドレスを隠すこともできるため、ユーザーがクラウドの危険な宛先に機密情報をアップロードするのを防ぐ最良の方法といえます。
脅威対策
SaaSアプリはデータの抜き取りを狙える格好の対象であると同時に、マルウェアを拡散させる手段にもなり得ます。その理由は、高速の共有機能が乗っ取られた場合、感染したファイルが組織内または組織間に分散されてしまうからです。フォワード プロキシは、高度な脅威対策(ATP)やクラウド サンドボックスなどのテクノロジーをインラインで実行し、転送中の脅威を遮断することで、感染したファイルがクラウド リソースにアップロードされるのを防ぎます。
フォワード プロキシの選び方
フォワード プロキシ サーバーにはデメリットも存在します。コストがかかり、構成と管理が複雑であることは周知のとおりですが、他にも遅延やユーザー エクスペリエンスの問題が指摘されています。また、プロキシにダウンタイムが発生すると、オペレーションに大きな支障をきたす可能性もあります。これはすべて、歴史的にプロキシが物理アプライアンスまたは仮想アプライアンスとして導入されてきたことが原因です。
クラウドからインラインで提供されるフォワード プロキシの場合、アプライアンスベースのプロキシが持つ課題が一掃されるため、セキュリティ面で大きなメリットを得られます。クラウドベースのプロキシ アーキテクチャーでは、アプライアンスの購入やメンテナンスにかかる費用が一切不要になり、需要に合わせて拡張することもできます。従来のプロキシで脅威やデータ漏洩を検出するためにTLS/SSLで暗号化されたトラフィックを検査しようとすると、計算負荷が非常に高くなりますが、これまでなかった拡張性がこうした重要な問題も解消します。
クラウドベースの適切なフォワード プロキシを使用することで、以下が可能になります。
- 1つのシンプルなポリシーで、クラウド データ チャネル全体に一貫したデータ保護および脅威対策を実施する。
- クラウド アプリやAPI、Web、内部リソースへのアクセスをそれぞれ保護するCASB、セキュアWebゲートウェイ、ZTNAに関連するユース ケースをサポートするSASE製品の一部として、包括的なセキュリティを提供する。
- アプライアンスを廃止し、プロキシ チェーンなどの複雑なプロキシ構成なしで高度な機能を提供するシングルパス アーキテクチャーで、ITエコシステムを簡素化する。
Zscalerの特長
フォワード プロキシ、特にCASBを選択する際は、実績のあるインライン ソリューションを持ち、信頼できるセキュリティ リーダーのベンダーを選択することが重要です。Zscalerは、クラウド ネイティブ プロキシ アーキテクチャー上に構築されており、ここまで説明したすべてのメリットを提供します。世界最大のインライン セキュリティ クラウドを運用し、6大陸に150か所を超えるデータ センターを持ち、185か国のお客様にサービスを提供しながら毎日数千億件のトランザクションを処理しています。
パフォーマンスを重視して設計されたZscalerは、トラフィックを最寄りのデータ センターにルーティングし、Microsoft 365、Zoom、Salesforceなどの主要なアプリケーションとピアリングして、ユーザーとアプリ間の最短距離を確保します。こうして強化されたパフォーマンスが、企業の生産性の向上とユーザー エクスペリエンスの改善を可能にします。
Zscalerは次のような優れたCASB機能を提供します。
- 情報漏洩防止(DLP)のための完全データ一致(EDM)
- 高度な脅威対策(ATP)のためのクラウド サンドボックス
- 統合されたセキュアWebゲートウェイ(SWG)
- Gartnerが提唱するSASEと一致するゼロトラスト アーキテクチャー(ZTA)
ZscalerはITエコシステム全体とユーザーが接続する場所すべてに一貫したセキュリティを適用することで、デジタル トランスフォーメーションや場所を問わない働き方を安全に実現できるようサポートします。