質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
HTTP

HTTP(Hypertext Transfer Protocol)とはweb上でHTML等のコンテンツを交換するために使われるアプリケーション層の通信プロトコルです。

ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

proxy

proxy(プロキシー)は、企業などの内部コンピュータとインターネットの中間に位置し、例えば直接インターネットに接続できない内部コンピュータの代理としてインターネットに接続する等をするシステム、もしくは代理として機能を実行するソフトウェアです。内部ネットワークへのアクセスを一元管理し、内部からの特定の種類の接続以外を遮断すること、外部からの不正アクセスを拒否することなどに用いられます。

Q&A

解決済

3回答

11090閲覧

プロキシサーバの必要性

zooiiooz

総合スコア176

HTTP

HTTP(Hypertext Transfer Protocol)とはweb上でHTML等のコンテンツを交換するために使われるアプリケーション層の通信プロトコルです。

ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

proxy

proxy(プロキシー)は、企業などの内部コンピュータとインターネットの中間に位置し、例えば直接インターネットに接続できない内部コンピュータの代理としてインターネットに接続する等をするシステム、もしくは代理として機能を実行するソフトウェアです。内部ネットワークへのアクセスを一元管理し、内部からの特定の種類の接続以外を遮断すること、外部からの不正アクセスを拒否することなどに用いられます。

1グッド

4クリップ

投稿2019/04/15 11:07

前提

社内のネットワークを管理しています。

本社内からのインターネット(http、https、ftp)はプロキシサーバを介して出ていきます。
(実際には本社プロキシサーバから更に上位データセンターにあるのファイアウォールを介して出ていきます)

ですが、出先ではプロキシサーバを介さずダイレクトにインターネットに出ていきます。
そのため、社内の(ノート)PCはプロキシを経由する、しないをproxy.pacというプログラムで切り替えています。

PCであればこういった切り替えができるのでまだいいのですが、タブレットなどはプロキシ設定を切り替えるのが難しいといった問題があります。またプロキシを経由すると接続できないサービスもあり、都度対応に苦慮するケースもあります。

実現したいこと

可能であればプロキシサーバを経由しないようにしたいのです。
プロキシサーバはそもそも必要なのかということです。

そこでプロキシサーバの必要性について質問です。

1.キャッシュ
一昔前だと、プロキシサーバにキャッシュすることにより通信を速くするという役割がありましたが、現在のインターネット環境においてキャッシュは必要ないのではないかと思います。

2.セキュリティの観点
プロキシサーバを無くした場合、ダイレクトでインターネットに出ていくわけではなく、データセンターのファイアウォールを介して出ていきます。直接グローバルIPをNATまたはNAPTしているわけではありません。こういった環境において、プロキシサーバのセキュリティの重要度は高くないと考えます。

3.プロキシサーバのログ
社内ネットワークに問題が生じた際、PCがどのサイトに接続したか追跡したい場合があります。プロキシサーバにはログが残るため、追跡が可能です。
社内PCには監視ソフトが常駐しており、そちらでもクライアントレベルで追跡は可能です。

4.その他
プロキシサーバを立てておいたほうが良いというメリットを教えてください。

chartreuxx👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答3

0

ベストアンサー

色々あると思いますし、PROXYが絶対になければだめということもないと思いますが、PROXYでないと難しい要件として以下があると思います。

1.Proxy認証による出口対策
Proxy認証についての記述がないようですが、ProxyにユーザごとのIDとパスワードを割り当てると、その分外部との通信が難しくなります。マルウェア感染を前提とすると、ものすごく安全になるとも思えませんが、教科書的には推奨されているようです。
また、仮に認証が突破された場合でも、Proxyログにはどのアカウントが悪用されたかは残るので、事後の解析の材料にはなるでしょう。

2.80/443ポートでのHTTP/HTTPS以外の通信の遮断
通常のファイアウォールですと、80/443の外部向けの通信は無条件に通す場合が多いかと思いますが、通信の中身が別のプロトコルという場合はありえます。Proxyだと、HTTP/HTTPSプロトコルのみ許可することが容易です。つまり、80番経由でのsshプロトコルなどは遮断できるわけです。
これも、TUNNELされればそれまでだろうなどの反論はあるでしょうが、いずれにせよ決定的な対策はないわけで、攻撃の難易度を上げる施策を積み重ねるしかないという前提では意味はあるでしょう。

投稿2019/04/15 12:25

ockeghem

総合スコア11701

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2019/04/15 12:33

まあ、最近だとデフォルトゲートウェイが基本的にプロキシ(設定が面倒)サーバー・・・・だとおもうけどね
zooiiooz

2019/04/16 00:57

ご回答ありがとうございます。 1.プロキシの方で内部からの接続しか許可していないので、プロキシ認証は特に行っていません。マルウェア感染の場合でも、外部に対して何らかの大量の通信が発生した場合、PCの監視ツールでわかるようになっています。 2.確かにこういったことはプロキシにしかできないですね。参考になります。 >asahina1979さん デフォゲがプロキシですか。弊社では実現が難しそうです…。
guest

0

とりあえず、私の分かる範囲だけw
だれか全体への回答よろしくです!

2.セキュリティの観点

80/443 が特定のアドレスからしか外部にアクセスしないというのは強力な制限になります。端末がなんらかのデータを漏らそうとしても、プロキシ経由でなければ漏らすことができなくなりますから。
もっとも、プロキシを経由させることもそれほどハードルは高くないですし、持ち出し PC がダイレクトアクセスを許すのであればあまり意味が無い対応とも言えます。

この施策を有効にするためには、インターネットゲートウェイを制限する必要があるので、持ち出し PC も VPN 接続後にプロキシを通して外部接続させる等の工夫が必須となります。

また、コンテンツフィルタ(アクセス先制限)機能をプロキシの位置に置くこともあります。ポリシーコントロールが集中し容易になるというのは管理者としては嬉しいはずです。
POST の制限を行うものもあるので、掲示板書き込み対策として導入されているケースもあります。

参考まで。

投稿2019/04/15 11:53

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

zooiiooz

2019/04/16 01:03

ご回答ありがとうございます。 おっしゃる通りで、持ち出しPCについてはダイレクトなので、社内の時と同じレベルのセキュリティにするのはなかなか難しいです。参考になります。
guest

0

以下項目以外はご認識に対して間違いはないと思っており、以下についてのみ回答です。

4.その他

端末グループ毎に閲覧可能なコンテンツ、閲覧不可のコンテンツを制御できるというのは大きな利点だと思っています。
例えば、情報漏えい防止を目的とし、クラウドストレージ、チャットシステム、Webメール等への接続を制御するとか。

あと、接続ログもproxyサーバで一括管理という形を取れるのでトレースするのが容易というのもあります。

投稿2019/04/16 00:06

over

総合スコア4309

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

zooiiooz

2019/04/16 00:47

ご回答ありがとうございます。 端末グループ毎のコンテンツ制御ということですが、プロキシサーバではなく、上位のファイアウォールで可能です。プロキシでhttp系の制御は現在行っていません。 またプロキシ(squid)のログ一括管理ということですが、squidのログからの絞り込みが非常に面倒でして…。PCの監視ソフトが優秀なので、そちらに任せても十分可能と考えています。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問