フォワード プロキシとは

フォワード プロキシの仕組み

フォワード プロキシは、単にトラフィックを制御するだけではありません。仲介役として機能することで、ユーザーが悪意のある人物と直接通信しないようにします。また、意図的であるかどうかを問わず、ユーザーがデータや企業資産の侵害を引き起こすことも防止します。フォワード プロキシは「インライン」で動作し、トラフィックの流れの中に直接配置されるため、組織はセキュリティの課題を特定して必要なポリシーをリアルタイムで施行できます。

プロキシはいわば緩衝材のようなもので、ユーザーのミスや悪意のあるデータ流出、マルウェア攻撃など、原因が何であれ、アプリやデータに害が及ばないよう保護する役目を果たします。

フォワード プロキシと従来のファイアウォールの違い

外部の脅威からシステムを保護するファイアウォールと比較すると、フォワード プロキシは次の重要な点において異なります。

1. 従来のファイアウォールは、トラフィックの内容を検査している間に目的の受信者に転送する、パススルー アプローチを採用している。
2. トラフィックが安全でないと判断された場合、ファイアウォールはアラートを送信するがその時点では手遅れとなっている可能性がある。一方、プロキシはトラフィックの内容が認証プロセスを経て安全と判断されるまでトラフィックを転送しない。

プロキシとファイアウォールを直接的に比較することはできませんが、クラウドベースのフォワード プロキシは暗号化されたトラフィックも検査するという点は特筆に値します。トラフィックのほとんどが暗号化されている中で、それを可視化することは非常に重要です。しかし、トラフィックを復号して検査し、再暗号化するプロセスでは大きな計算負荷が発生します。アプライアンスベースのファイアウォールには特有の処理制限があるため、レイテンシーを生じさせずに大量に暗号化することはできません(ただし、クラウド ファイアウォールでは可能です)。

フォワード プロキシに関する議論は、フォワード プロキシ モードで展開可能なクラウド セキュリティ ツールであるクラウド アクセス セキュリティ ブローカー(CASB)へとつながります。CASBでは、ユーザー デバイスにインストールされたソフトウェア エージェントによってトラフィックがクラウドの検査ポイントに転送されます。この検査ポイントではリアルタイムのセキュリティ ポリシーが適用されるため、SaaSアプリやIaaSプラットフォームなどのクラウドベースのリソースと安全に接続できるようになります。

SaaSアプリやリモート ワークを採用する組織が増えていますが、オンプレミスまたはバーチャルに展開されたファイアウォールやプロキシ アプライアンスではなく、CASBのクラウドベースのフォワード プロキシ モードを使用することで、組織の管理対象デバイスを強力に保護できます。

ただし、管理対象外のデバイスであるBYODまたはサード パーティー パートナーのデバイスに関しては、クライアントではなくリクエスターからの送信であるため、フォワード プロキシではトランザクションのセキュリティを完全には保証できません。実は、このユース ケースに対してはフォワード プロキシの同系列であるリバース プロキシの方が適しているのです。

フォワード プロキシとリバース プロキシの違い

フォワード プロキシとリバース プロキシは混同されやすいため、ここで違いを詳しく見ていきましょう。

リバース プロキシ サーバーは、Webサーバーの前に位置することでクライアントがサーバーと直接通信しないようにします。一方、フォワード プロキシは、クライアント エンドポイントの前に置かれ、着信リクエストを傍受し、サーバーがWebブラウザーなどのクライアントと直接通信しないようにします。機能的には似ているように聞こえるかもしれませんが、フォワード プロキシは通常、トラフィックを転送するためにエンドポイントにインストールされたソフトウェア エージェントに依存するのに対し、リバース プロキシにはそのような依存がありません。

もう1つの重要な違いは、リバース プロキシにはロード バランサーが含まれるという点です。ロード バランサーは、1台のサーバーに集中するクライアントのリクエストを最適化し、バックエンド サーバーにかかる負担を取り除くことで、高可用性と読み込み時間の改善を促進します。これは主に次の2つの異なる方法で行われます。

1. リバース プロキシは配信元サーバーからのコンテンツを一時記憶域にキャッシュし、サーバーとそれ以上やりとりすることなく、コンテンツをリクエストしたクライアントに送信する(これはWebアクセラレーションと呼ばれる)。DNSを使用すると、複数のリバース プロキシ間でリクエストを均等にルーティングできる。
2. 大規模なWebサイトやその他のWebサービスが複数の配信元サーバーを使用している場合、リバース プロキシはサーバーの負荷が均等になるように、リクエストをサーバー間で分散する。

なぜ今フォワード プロキシが必要なのか

何十年も前から使われている境界セキュリティ モデルは「城と堀」のセキュリティとも呼ばれ、悪意のあるトラフィックがインターネットから内部ネットワークに侵入するのを防ぐよう設計されています。しかし、アプリはクラウドで稼働し、従来の境界の外にいる多くのユーザーがあらゆる場所からプライベート アプリやSaaS、パブリック クラウドのデータに接続している今、このモデルは時代遅れになりつつあります。

従来型のモデルでは、ユーザーは仮想プライベート ネットワーク(VPN)経由で(支店の従業員の場合はMPLSリンク上で)データ センターに接続します。データ センターはアウトバウンド ゲートウェイ セキュリティ スタックを介してトラフィックをクラウドに送信し、再度戻します。これを行うと攻撃対象領域が広がり、重大なリスクにさらされるだけでなく、ユーザーのデジタル エクスペリエンスの低下にもつながります。

クラウド アプリケーションは最短経路で直接アクセスできるように構築されており、高速で生産的なエクスペリエンスを提供します。パススルーを許可するデータ センター内のアプライアンスではこれを実現できないため、高速かつセキュアな直接接続を確立するには、クラウドのパフォーマンスと規模を活用するフォワード プロキシが必要になります。

フォワード プロキシのユース ケース

クラウド化には、クラウドベースのプロキシ アーキテクチャー上に構築されたセキュリティ戦略が必要です。ここでは、フォワード プロキシ(特にCASB)の採用を検討している組織向けに主なユース ケースをいくつか紹介します。

シャドーITの検出

クラウドは、あらゆるSaaSアプリケーションやユーザー グループ、場所で利用されています。認可されていないアプリ(シャドーIT)は数多く存在しますが、適切なソリューションがなければ、ユーザーがアクセスする対象を可視化することはほぼ不可能です。CASBへのフォワード プロキシにより、認可されたユーザー デバイスからのすべてのトラフィックの監視とログ記録が可能になるため、IT部門は認可されていないアプリを識別し、個別またはカテゴリー別にアプリへのアクセスを管理できます。

データ保護

SaaSアプリは高速かつ簡単に共有できるよう構築されているため、ユーザーが重要なビジネス データを不適切な場所にアップロードしてしまう場合も少なくありません。クラウドベースのフォワード プロキシはインラインで動作し、すべてのトラフィックを検査する規模を備えているだけでなく、IPアドレスを隠すこともできるため、ユーザーがクラウドの危険な宛先に機密情報をアップロードするのを防ぐ最良の方法といえます。

脅威対策

SaaSアプリはデータの抜き取りを狙える格好の対象であると同時に、マルウェアを拡散させる手段にもなり得ます。その理由は、高速の共有機能が乗っ取られた場合、感染したファイルが組織内または組織間に分散されてしまうからです。フォワード プロキシは、高度な脅威対策(ATP)やCloud Sandboxなどのテクノロジーをインラインで実行し、転送中の脅威を遮断することで、感染したファイルがクラウド リソースにアップロードされるのを防ぎます。

フォワード プロキシの選び方

フォワード プロキシ サーバーにはデメリットも存在します。コストがかかり、構成と管理が複雑であることはよく知られていますが、他にもレイテンシーの増加やユーザー エクスペリエンスの低下も挙げられます。また、プロキシにダウンタイムが発生すると、オペレーションに大きな支障をきたす可能性もあります。これはすべて、歴史的にプロキシが物理アプライアンスまたは仮想アプライアンスとして導入されてきたことが原因です。

クラウドからインラインで提供されるフォワード プロキシの場合、アプライアンスベースのプロキシが持つ課題が一掃されるため、セキュリティ面で大きなメリットを得られます。クラウドベースのプロキシ アーキテクチャーでは、アプライアンスの購入やメンテナンスにかかる費用が一切不要になり、需要に合わせて拡張することもできます。従来のプロキシで脅威やデータ漏洩を検出するためにTLS/SSLで暗号化されたトラフィックを検査しようとすると、計算負荷が非常に高くなりますが、これまでなかった拡張性がこうした重要な問題も解消します。

適切なクラウドベースのフォワード プロキシにより、以下が可能になります。

• 1つのシンプルなポリシーで、クラウド データ チャネル全体に一貫したデータ保護および脅威対策を実施する。
• クラウドアプリやAPI、Web、内部リソースへのアクセスをそれぞれ保護するCASB、セキュアWebゲートウェイ、ZTNAに関連するユース ケースをサポートするSASE製品の一部として、包括的なセキュリティを提供する。
• アプライアンスを廃止し、プロキシ チェーンなどの複雑なプロキシ構成なしで高度な機能を提供するシングルパス アーキテクチャーで、ITエコシステムを簡素化する。

Zscalerの特長

フォワード プロキシ、特にCASBを選択する際は、実績のあるインライン ソリューションを持ち、信頼できるセキュリティ リーダーのベンダーを選択することが重要です。Zscalerは、クラウド ネイティブ プロキシ アーキテクチャー上に構築されており、ここまで説明したすべてのメリットを提供します。世界最大のインライン セキュリティ クラウドを運用し、6大陸に150か所を超えるデータ センターを持ち、185か国のお客様にサービスを提供しながら毎日数千億件のトランザクションを処理しています。

パフォーマンスを重視して設計されたZscalerは、トラフィックを最寄りのデータ センターにルーティングし、Microsoft 365、Zoom、Salesforceなどの主要なアプリケーションとピアリングして、ユーザーとアプリ間の最短距離を確保します。こうして強化されたパフォーマンスが、企業の生産性の向上とユーザー エクスペリエンスの改善を可能にします。

Zscalerは、以下のような主要なCASB機能を提供します。

• 情報漏洩防止(DLP)のための完全データ一致(EDM)
• 高度な脅威対策(ATP)のためのクラウド サンドボックス
• 統合されたセキュアWebゲートウェイ(SWG)
• Gartnerが提唱するSASEと一致するゼロトラスト アーキテクチャー(ZTA)

ZscalerはITエコシステムとユーザーが接続する場所すべてにわたって一貫したセキュリティを適用することで、多くの組織がデジタル トランスフォーメーションや場所を問わない働き方を安全に実現できるようサポートします。