リソース > セキュリティ用語集 > フォワードプロキシとは

フォワードプロキシとは

フォワードプロキシとは

その名の通り、フォワードプロキシ(別名:プロキシ)は、別のエンティティのタスクを実行するブローカとして機能するもので、より具体的には、ユーザデバイスとインターネットとの間の仲介を行うためのものです。デバイスがWeb上の接続先に直接接続する代わりに、まずプロキシに接続し、プロキシが代理で接続先に接続してアウトバウンドリクエストを評価して所定の対応を行ってから、外部の接続先に中継します。接続先から通信が返ってきたらプロキシはそれを受信し、検査した上で必要に応じた対応を行ってから、場合によっては発信元のデバイスに転送します。

フォワードプロキシは、トラフィックを管理すること以上の機能を持ちます。事実、仲介としてプロキシが持つセキュリティ面での価値は、ユーザを悪意のあるアクターへの直接アクセスやそれらからの直接アクセスから守り、意図的であるかどうかを問わず、ユーザがデータやエンタープライズリソースの侵害を引き起こすことを防ぐ機能にあります。また、インラインで運用されるためにトラフィックの流れの中に直接配置されるので、企業はそれを使ってセキュリティに対する課題を特定し、必要なポリシーをリアルタイムで適用できます。プロキシは、ユーザの不注意によるエラーや悪意のあるデータ流出、そしてマルウェアの結果であるかにかかわらず、アプリやデータを危害から保護する上で役立つ、緩衝材のようなものといえるでしょう。

外部の脅威からシステムを保護する手段としてファイアウォールがより多く連想されますが、フォワードプロキシはいくつかの重要な点でファイアウォールとは異なります。ファイアウォールはパススルーのアプローチを採用しており、内容を検査している間にトラフィックが目的の受信者に転送されます。トラフィックにマルウェアやその他の脅威が含まれていることが判明した場合、ファイアウォールはアラートを送信しますが、受信された時には既に手遅れとなっている場合もあります。これに対し、プロキシはトラフィックの内容を分析し、安全であることが確認されるまでトラフィックを転送しません。

もう1つの重要な相違点は、プロキシが持つ暗号化されたトラフィックを検査する機能です(少なくともそのようなプロキシがアプライアンスとしてではなくクラウド上に導入されている場合)。現在のトラフィックの大半は暗号化されており、そのようなトラフィックを可視化することが重要です。しかし、トラフィックの復号化、検査、再暗号化のプロセスは計算負荷が高く、アプライアンスベースのファイアウォールではこれらの要求を処理しきれません。

現在、フォワードプロキシに関する議論がクラウドアクセスセキュリティブローカCASB)と関連づけられる場合が増えています。CASBはフォワードプロキシモードで導入できるクラウドセキュリティツールで、各ユーザのデバイスにインストールされたソフトウェアがトラフィックをクラウド内の検査ポイントに転送し、ユーザがSaaSアプリケーションやIaaSプラットフォームなどのクラウドベースのリソースと通信する際にリアルタイムでセキュリティポリシーを適用します。SaaSアプリとリモートワークの採用が増加するにつれて、オンプレミスまたは仮想的に導入されたファイアウォールまたはプロキシアプライアンスではなく、CASBのクラウドベースのフォワードプロキシを使用することは、セキュリティと企業全体の生産性の両面においてますます重要になっています。

 

フォワードプロキシが今必要とされる理由

従来型のインターネットゲートウェイは、ファイアウォールなどのツールを使用してネットワークとインターネットの間に障壁を作ることで、悪意のあるものの侵入を防ぐように構築されていました。これは、ネットワークとそこに存在するすべて(アプリケーション、データ、サーバ、PC、その他のデバイス、ユーザ自身)を保護するために作成された「セキュリティ境界」の一部でした。しかし、アプリケーションがクラウドに移行し、ほとんどのユーザがネットワークから離れた現在、ユーザは自宅はもちろん、リモートの拠点やカフェなど、あらゆる場所から接続するようになってきています。その結果、セキュリティ境界モデルは時代遅れになったのです。

では、従業員があらゆる場所からSaaSやプライベートアプリケーション、AWSやAzureなどのパブリッククラウドのデータに接続している場合、企業側はどのように対応すべきでしょうか?従来型のモデルに固執してしまうと、ユーザは仮想プライベートネットワーク(VPN)経由でデータセンタに接続し、データセンタはアウトバウンドのゲートウェイセキュリティスタックを介してクラウドの接続先にトラフィックを送信します。その後、リターントラフィックは同じ経路を逆方向にたどります。このアプローチは、組織にさまざまな潜在的なリスク(詳細はVPN、攻撃対象領域を参照してください)をもたらすだけでなく、ユーザのオンラインエクスペリエンスにも多大な悪影響を与えてしまいます。

支社店で作業する従業員からのトラフィックも、プライベート MPLSリンクを介して中央のデータセンタにバックホールされてからゲートウェイを通過してクラウドに送信されるため、オンラインエクスペリエンスは同じく悪化してしまいます(リターントラフィックも当然より長い経路をたどります)。

クラウドアプリケーションは、最短経路で直接アクセスできるように構築されており、高速かつ生産的なエクスペリエンスを実現します。パススルーが可能なデータセンタ内のアプライアンスは、単純にこのようなタスクに対応できません。高速かつ直接の、安全な接続を確立するには、クラウドのパフォーマンスとスケールを活かしたフォワードプロキシを活用する必要があります。

 

フォワードプロキシの使用目的 

クラウドベースのプロキシアーキテクチャ上に基づいたセキュリティ戦略は、クラウドへの移行を図っている組織にとって必要不可欠です。ここで、フォワードプロキシ(特にCASB)を採用する際に検討すべき主なユースケースをいくつか紹介します。

 

シャドーITの検出

クラウドは、多様なSaaSアプリケーションやユーザグループ、そしてさまざまな場所で利用されています。承認されていないアプリ(シャドー IT)は数多く存在し、ユーザがアクセスできる内容について可視性を維持することは、適切なソリューションがなければ困難です。幸いフォワードプロキシは、ユーザデバイスから発生するすべてのトラフィックを検査することで、シャドーITの検出などのCASB機能を有効にし、承認されていないアプリを特定し、個別またはカテゴリ別に当該アプリへのアクセスを管理できます。

 

データの保護

SaaSアプリケーションは迅速かつ簡単に共有できるように構築されているため、IT部門が不適切と判断するロケーションに、ユーザが重要なビジネスデータを不注意に、または誤ってアップロードしてしまうことはよくあります。クラウドベースのフォワードプロキシは、インラインで動作してすべてのトラフィックを検査できるスケールを備えているため、不注意によるものか意図的なアップロードであるかを問わず、ユーザが機密情報を危険なクラウドの接続先にアップロードするのを防止できる最適な方法です。

 

脅威の防止

SaaSアプリケーションはデータ流出を狙える魅力的な経路としての性質を持つだけでなく、確認を怠るとマルウェアの伝播経路にもなりかねません。迅速に共有できる機能がハイジャックされれば、感染したファイルが組織内または組織間に分散されてしまうことにもなるためです。フォワードプロキシは、高度な脅威保護ATP)やクラウドサンドボックスなどのテクノロジをインラインで動作させ、転送中の脅威を妨害できるようにすることで、感染したファイルがクラウドリソースにアップロードされることを防ぎます。

 

フォワードプロキシの選び方 

フォワードプロキシの評判は、ともすると良いものばかりではありませんでした。その理由は、設定や管理が非常に複雑でコストもかかるためです。レイテンシが増大することで、ユーザエクスペリエンスが低下する場合もあります。さらに、プロキシにダウンタイムが発生すると、事業運営に大きな問題をきたす可能性があります。ただし、これはプロキシが歴史的に物理アプライアンスまたは仮想アプライアンスとして導入されてきたことが原因です。

アプライアンスベースのものが抱えるような欠点を持たないクラウドで提供された場合、フォワードプロキシはセキュリティの面で非常に大きな利点を持つことになります。クラウドベースのプロキシアーキテクチャにより、アプライアンスの購入と保守にかかる費用が排除され、増大するトラフィックの需要に応じて拡張させることも可能です。これまでにないスケーラビリティを提供するこの機能は、前述したように非常に計算負荷の高い作業である、暗号化されたトラフィックの検査で脅威やデータ流出を検出するという重要な課題も解決できます。適切なフォワードプロキシを用いることで、以下のことが可能になります。

  • シンプルな単一のポリシーによって、すべてのクラウドデータチャネルにわたって一貫したデータの保護と脅威からの保護を実現すること。
  • SASEの一部としての統合セキュリティにより、クラウドアプリケーション、Web、および内部リソースへのアクセスを保護すること。このSASEは、CASB、セキュアWebゲートウェイ(SWG)ゼロトラストネットワークアクセス(ZTNA)に関連する幅広いユースケースをサポートします。
  • アプライアンスの使用を解消し、プロキシチェーンなどの複雑な設定を必要とせずに上記の要素を提供する、シングルパスのクラウドベースのアーキテクチャによるシンプルなITエコシステムを実現すること。

Zscalerの特長

フォワードプロキシ、特にCASBを選ぶ際には、実績のあるインラインソリューションを持ち、セキュリティ分野のリーダーとして信頼できるベンダーを選ぶことが重要です。Zscalerはクラウドネイティブのプロキシアーキテクチャ上に構築されており、上記すべての利点を提供します。当社は世界最大のインラインセキュリティクラウドを有しており、6大陸150か所のデータセンタを持ち、185か国のお客様にサービスを提供し、毎日1,600億件を超えるトランザクションを処理しています。

Zscalerはパフォーマンスを念頭に置いて構築されており、トラフィックを最寄りのデータセンタにルーティングするための高度なシステムを持ち、Microsoft 365やZoom、Salesforceなどを含む多くの主要なアプリケーションとピアリングさせ、ユーザとアプリケーションを最短距離で接続します。このように強化されたパフォーマンスは、企業の生産性の向上とユーザエクスペリエンスの改善につながります。

Zscalerは、企業のクラウドアプリをリスクから保護するため、データ損失防止(DLP)用のExact Data Matching (EDM)や高度な脅威保護(ATP)用のクラウドサンドボックスなどの最先端のCASB機能を提供しています。同時に、最先端の統合されたSWGおよびZTNA製品を提供し、単一プラットフォームで真の包括的なセキュリティを実現しており、これはGartnerのSASEに対するビジョンとも一致しています。

Zscalerは、ITエコシステムやユーザが接続する場所を問わず、一貫したセキュリティを提供します。これにより、何千もの組織に対し、デジタルトランスフォーメーションをはじめ、リモートおよびハイブリッドな働き方をする従業員が、あらゆる場所から安全に仕事ができる環境を可能にしています。

クラウドプロキシとは

詳細を見る(英語)
クラウドプロキシとは

プロキシベースのセキュリティ:クラウドファーストアーキテクチャの柱

ブログを読む(英語)
プロキシベースのセキュリティ:クラウドファーストアーキテクチャの柱

CASBの主なユースケース

eBookを読む(英語)
CASBの主なユースケース

次世代ファイアウォールとプロキシの根本的な違い:適切なアーキテクチャの重要性

ブログを読む
次世代ファイアウォールとプロキシの根本的な違い:適切なアーキテクチャの重要性