リソース > セキュリティ用語集 > リバースプロキシとは

リバースプロキシとは

リバースプロキシの定義

リバースプロキシとは、1つ以上のWebサーバの全面に配置して、外部からのクライアントリクエストを傍受、検査してからWebサーバに転送し、その後サーバの応答をクライアントに返すサーバやアプリ、またはクラウドサービスを指します。これにより、Webサイトやクラウドサービス、そしてコンテンツ配信ネットワーク(CDN)のセキュリティやスケーラビリティ、パフォーマンスが改善されます。

クラウドサービスとしてのリバースプロキシは、クラウドアクセスセキュリティブローカ(CASB)の導入モードの1つであり、クラウドベースのアプリやインフラストラクチャ、およびその他のリソースにインラインのリアルタイムセキュリティを提供するように構築されています。
 

リバースプロキシとフォワードプロキシの違い

これらの2種類のプロキシサーバは混同されがちですので、ここで詳しく解説します。

リバースプロキシはWebサーバの前面に配置され、クライアントがサーバと直接通信しないように機能します。一方、フォワードプロキシ(別のCASBモード)はクライアントエンドポイントの前面に配置され、外部からのリクエストを傍受してサーバがクライアントと直接通信しないようにします。機能的に似ているように聞こえるかもしれませんが、フォワードプロキシは通常、トラフィックを転送するためにエンドポイントにインストールされたソフトウェアエージェントに依存するのに対し、リバースプロキシはそのようには動作しません。
 

リバースプロキシサーバとは

リバースプロキシサーバは、本質的にはリバースプロキシの正式な用語です(フォワードプロキシと「フォワードプロキシサーバ」についても同様です)。現在「サーバ」を抜いて呼称する傾向がありますが、それは物理的な「箱もの」のようなハードウェアを連想させるためです。実際のテクノロジーは、アプリケーションやクラウドサービスの形態をとることがほとんどです。

リバースプロキシ仕組み

トラフィックフローの中に配置されるリバースプロキシは、組織の認証サービス(例:シングルサインオン)と統合されます。サービスとアプリがリバースプロキシと処理を行うように設定されれば、エージェントなしでインラインで動作できます。これにより、管理対象のクラウドアプリなどへの外部からのトラフィックが自動的にリバースプロキシにリダイレクトされ、使いやすさに優れたユーザエクスペリエンスを実現することが可能となります。

このプロセスをもう少し詳しく見てみましょう。

リバースプロキシは、機密データ(例:PCIデータ、PII)が存在するサーバの仲介または代理として機能することで、そのようなデータを保護することができます。クライアントリクエストは、最初にリバースプロキシにルーティングされ、次に該当するファイアウォール内の指定されたポート経てコンテンツサーバへと転送され、最後に再びユーザの方にルーティングされます。クライアントとサーバが直接通信することはありませんが、クライアントから見れば、あたかも直接通信したかのように解釈できる応答を受け取ることになります。基本的な手順は以下の通りです。

  1. クライアントがリクエストを送信し、リバースプロキシが傍受します。
  2. リバースプロキシが外部からのリクエストをファイアウォールに転送します。リバースプロキシは、サーバと通信することなくキャッシュ内のファイルに対するリクエストに直接応答するように設定できます。詳細についてはユースケースを参照してください。
  3. ファイアウォールがリクエストをブロックするかサーバに転送します。
  4. サーバがファイアウォール経由でプロキシに応答を送信します。
  5. リバースプロキシがクライアントに応答を送信します。

リバースプロキシは、ハッカーが保護された内部リソースにリダイレクトしたり、他の脆弱性を利用したりする可能性のある情報について、リバースプロキシがサーバの応答をスクラビングすることもできます。

リバースプロキシのユースケース

CASB展開モードとしてのリバースプロキシはセキュアWebゲートウェイ(SWG)、ゼロトラストネットワークアクセス(ZTNA)、およびその他のクラウド配信型セキュリティサービスと並んで、セキュリティサービスエッジ(SSE)モデルの中核をなします。

SSE以外にも、リバースプロキシには以下のようなユースケースが一般的です。
 

非管理対象のデバイスの保護

従業員の多くは、自身が所有するデバイスを含む複数のデバイスを仕事に使用している可能性があります。また、多くのサプライヤーやパートナー、顧客が自身の非管理対象のデバイスで内部アプリケーションにアクセスする必要がある場合もあり、セキュリティ上のリスクが生じる恐れがあります。

エージェントをインストールすることで組織が所有するデバイスを管理できますが、非管理対象のエンドポイントに関してはこの限りではありません。サードパーティのエンドポイントにエージェントをインストールすることは不可能でしょうし、大半の従業員も個人所有のデバイスにエージェントを組み込むことは望んでいません。そこで、クラウドアプリケーションやリソースにアクセスする非管理対象のデバイスからのデータ漏洩やマルウェアに対して、リバースプロキシはエージェント不要の保護を提供します。

More browsing, less worry

データ保護

リバースプロキシは情報漏洩防止のポリシーを適用し、承認されたクラウドアプリへの、またはそれらからの機密情報の偶発的、意図的なアップロードやダウンロードを防ぐことが可能です。また、インラインで動作して暗号化されたトラフィック(特にクラウドベースのリバースプロキシ)を検査するため、アップロードまたはダウンロードされたデータのポリシー準拠を徹底できます。
 

脅威対策

クラウドサービス内の感染ファイルは、接続されているアプリやデバイス、特に非管理対象のデバイスに広がる可能性があります。リバースプロキシは、クラウドリソースへの、またはそれらからの感染ファイルのアップロード、ダウンロードをエージェントを用いずに防止し、マルウェアやランサムウェアに対する高度な脅威保護を提供します。

またその性質上、リバースプロキシはサーバとそのIPアドレスをクライアントから隠すため、分散型サービス拒否(DDoS攻撃)などの脅威からWebリソースを保護することも可能です。
 

負荷分散

リバースプロキシを使用すると、単一サーバを圧倒しかねない高需要のクライアントリクエストを代わりに処理し、バックエンドサーバへの圧力を取り除くことで高い可用性を実現するとともに読込時間を短縮できます。これらを達成する方法には以下の2つがあります。

  1. リバースプロキシは、配信元サーバからのコンテンツを一時記憶域にキャッシュし、サーバとの処理をそれ以上行うことなく当該コンテンツをリクエストしたクライアントに送信することができます(Webアクセラレーションと呼ばれます)。DNSを使用すると、複数のリバースプロキシ間でリクエストを均等にルーティングできます。
  2. 大規模なWebサイトやその他のWebサービスが複数の配信元サーバを使用している場合、リバースプロキシはそれらの間でリクエストを分散してサーバの負荷を均一に保つことができます。

リバースプロキシを使用する利点

これらのユースケースを念頭に置くと、リバースプロキシを使用する利点は主に以下の3つの領域に分類できます。

  • データセキュリティと脅威防止:リバースプロキシは、管理対象と非管理対象のエンドポイントとWebサーバ間のトラフィック(暗号化されたトラフィックを含む)に対するモニタリングとフィルター処理を行い、SQLインジェクションやクロスサイトスクリプティングなどから保護することにより、Webアプリケーションファイアウォール(WAF)機能を提供します。
  • スケーラビリティとリソース管理:これは2つの部分からなる利点です。リバースプロキシは、すべてのユーザエンドポイントにエージェントをインストールすることなく、管理対象のリソースへの安全なアクセスを提供でき、業務のスケーラビリティをサポートできます。また、需要の高いリソースにかかる負荷を分散させる機能を通じて、インフラストラクチャのスケーラビリティもサポートします。
  • パフォーマンスと生産性:クラウドベースのリバースプロキシは、リモートユーザのトラフィックを含むトラフィックをデータセンタにバックホールすることなく、セキュリティポリシーを分析してトラフィックに適用することができます。また、現在のトラフィックの大部分を占めるTLS/SSLトラフィックを検査できる事実上無制限のスケーラビリティを有しており、多くのアプライアンスベースのファイアウォールとプロキシのようにパフォーマンスの大幅な低下を招くこともありません。

フォワードプロキシとは

詳細はこちら
フォワードプロキシとは

クラウドプロキシとは

詳細はこちら(英語)
クラウドプロキシとは

Zscaler Cloud Browser Isolation

データシートを読む
Zscaler Cloud Browser Isolation

リバースプロキシが抱える課題

リバースプロキシは、非管理対象のデバイスやエンタープライズアプリケーションの保護に関して大きなセキュリティ上の利点をもたらしますが、以下のような欠点も顕著です。

  • 非管理対象のリソースを保護できない点:SSOと統合されていないアプリやリソースへの安全なアクセスが必要となる場合、それらのアプリはリバースプロキシの対応範囲外となります。リバースプロキシは、すべてのトラフィックではなく、承認済みのリソース宛てのトラフィックしかモニタリングできず、承認されていないリソースを同じ方法で保護するにはフォワードプロキシが必要です。
  • 頻繁に破損するリスクがある点:リバースプロキシは通常、特定バージョンのアプリケーションで動作するようにハードコードされているため、アプリケーションが更新され新しいコードがプロキシに送信されるたびに、破損してしまう可能性があります。これにより、プロキシを再コード化できるようになるまで更新されたアプリケーションが使用できなくなり、ユーザの不満や生産性の低下につながります。

優れたソリューションであるクラウドブラウザ分離

現在、リバースプロキシの制限や破損のリスクを回避しながら、エンドポイントエージェントなしで管理対象のデバイスを安全に使用できる、クラウドブラウザ分離を利用する組織が増えています。

ユーザが管理対象のクラウドアプリケーションにアクセスすると、Zscaler Cloud Browser Isolation(CBI)はセッションを仮想化し、クラウド内の分離された環境でコンテンツをレンダリングし、セッションをピクセルストリームとしてユーザに送信します。ユーザエクスペリエンスはクラウドアプリのネイティブなエクスペリエンスと同等である一方、CBIが非管理対象のデバイスがアプリ内で見つかった機密データをダウンロード、コピー、貼り付け、印刷するのを防ぎます。

このためCBIは、非管理対象のデバイスを介した偶発的な漏洩や悪意のある流出、そしてマルウェアの拡散を防ぎながら、より幅広いユーザベースの柔軟性と生産性を支えられる理想的な方法と言えます。

Zscaler Cloud Browser Isolation

Zscaler Cloud Browser Isolationは業界最先端のゼロトラストWeb分離を活用し、Webベースのデータ漏洩や脅威に対して卓越した防御を提供します。

卓越したユーザエクスペリエンスを実現
独自のピクセルストリーミングテクノロジとクラウド直接接続のプロキシアーキテクチャにより、アプリやWebサイトへの高速な接続を実現します。ユーザはブラウザで高性能なピクセルストリームを受け取れるため、生産性を低下させずにセキュリティを確保できます。

あらゆる場所のユーザを一貫して保護
本社、モバイルまたはリモートの拠点、そしてターゲットとなりやすい部門や部署にゼロトラストの分離ポリシーをくまなく適用して、デバイスやロケーションにかかわらずユーザを保護します。

管理の手間を削減
Zscaler Client Connectorまたはエージェント不要のオプションを活用しつつ、Cloud Browser Isolationをネイティブに統合したZscaler Zero Trust Exchange™を介してトラフィックをルーティングし、わずか数秒で導入と管理を行うことができます。

ユニバーサルな互換性を提供
ユーザのニーズに合わせ、すべての主要なWebブラウザを網羅します。分離されたセッションのCookieが保たれることで、ユーザの重要な設定、基本設定、およびサインオン情報が維持されます。

More browsing, less worry