質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

88.80%

プロキシサーバの必要性

解決済

回答 3

投稿

  • 評価
  • クリップ 4
  • VIEW 4,501

zooiiooz

score 170

前提

社内のネットワークを管理しています。

本社内からのインターネット(http、https、ftp)はプロキシサーバを介して出ていきます。
(実際には本社プロキシサーバから更に上位データセンターにあるのファイアウォールを介して出ていきます)

ですが、出先ではプロキシサーバを介さずダイレクトにインターネットに出ていきます。
そのため、社内の(ノート)PCはプロキシを経由する、しないをproxy.pacというプログラムで切り替えています。

PCであればこういった切り替えができるのでまだいいのですが、タブレットなどはプロキシ設定を切り替えるのが難しいといった問題があります。またプロキシを経由すると接続できないサービスもあり、都度対応に苦慮するケースもあります。

実現したいこと

可能であればプロキシサーバを経由しないようにしたいのです。
プロキシサーバはそもそも必要なのかということです。

そこでプロキシサーバの必要性について質問です。

1.キャッシュ
一昔前だと、プロキシサーバにキャッシュすることにより通信を速くするという役割がありましたが、現在のインターネット環境においてキャッシュは必要ないのではないかと思います。

2.セキュリティの観点
プロキシサーバを無くした場合、ダイレクトでインターネットに出ていくわけではなく、データセンターのファイアウォールを介して出ていきます。直接グローバルIPをNATまたはNAPTしているわけではありません。こういった環境において、プロキシサーバのセキュリティの重要度は高くないと考えます。

3.プロキシサーバのログ
社内ネットワークに問題が生じた際、PCがどのサイトに接続したか追跡したい場合があります。プロキシサーバにはログが残るため、追跡が可能です。
社内PCには監視ソフトが常駐しており、そちらでもクライアントレベルで追跡は可能です。

4.その他
プロキシサーバを立てておいたほうが良いというメリットを教えてください。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 3

checkベストアンサー

+3

色々あると思いますし、PROXYが絶対になければだめということもないと思いますが、PROXYでないと難しい要件として以下があると思います。

1.Proxy認証による出口対策
Proxy認証についての記述がないようですが、ProxyにユーザごとのIDとパスワードを割り当てると、その分外部との通信が難しくなります。マルウェア感染を前提とすると、ものすごく安全になるとも思えませんが、教科書的には推奨されているようです。
また、仮に認証が突破された場合でも、Proxyログにはどのアカウントが悪用されたかは残るので、事後の解析の材料にはなるでしょう。

2.80/443ポートでのHTTP/HTTPS以外の通信の遮断
通常のファイアウォールですと、80/443の外部向けの通信は無条件に通す場合が多いかと思いますが、通信の中身が別のプロトコルという場合はありえます。Proxyだと、HTTP/HTTPSプロトコルのみ許可することが容易です。つまり、80番経由でのsshプロトコルなどは遮断できるわけです。
これも、TUNNELされればそれまでだろうなどの反論はあるでしょうが、いずれにせよ決定的な対策はないわけで、攻撃の難易度を上げる施策を積み重ねるしかないという前提では意味はあるでしょう。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/04/15 21:33

    まあ、最近だとデフォルトゲートウェイが基本的にプロキシ(設定が面倒)サーバー・・・・だとおもうけどね

    キャンセル

  • 2019/04/16 09:57

    ご回答ありがとうございます。
    1.プロキシの方で内部からの接続しか許可していないので、プロキシ認証は特に行っていません。マルウェア感染の場合でも、外部に対して何らかの大量の通信が発生した場合、PCの監視ツールでわかるようになっています。
    2.確かにこういったことはプロキシにしかできないですね。参考になります。

    >asahina1979さん
    デフォゲがプロキシですか。弊社では実現が難しそうです…。

    キャンセル

+2

とりあえず、私の分かる範囲だけw
だれか全体への回答よろしくです!

2.セキュリティの観点

80/443 が特定のアドレスからしか外部にアクセスしないというのは強力な制限になります。端末がなんらかのデータを漏らそうとしても、プロキシ経由でなければ漏らすことができなくなりますから。
もっとも、プロキシを経由させることもそれほどハードルは高くないですし、持ち出し PC がダイレクトアクセスを許すのであればあまり意味が無い対応とも言えます。

この施策を有効にするためには、インターネットゲートウェイを制限する必要があるので、持ち出し PC も VPN 接続後にプロキシを通して外部接続させる等の工夫が必須となります。

また、コンテンツフィルタ(アクセス先制限)機能をプロキシの位置に置くこともあります。ポリシーコントロールが集中し容易になるというのは管理者としては嬉しいはずです。
POST の制限を行うものもあるので、掲示板書き込み対策として導入されているケースもあります。

参考まで。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/04/16 10:03

    ご回答ありがとうございます。
    おっしゃる通りで、持ち出しPCについてはダイレクトなので、社内の時と同じレベルのセキュリティにするのはなかなか難しいです。参考になります。

    キャンセル

+1

以下項目以外はご認識に対して間違いはないと思っており、以下についてのみ回答です。

4.その他

端末グループ毎に閲覧可能なコンテンツ、閲覧不可のコンテンツを制御できるというのは大きな利点だと思っています。
例えば、情報漏えい防止を目的とし、クラウドストレージ、チャットシステム、Webメール等への接続を制御するとか。

あと、接続ログもproxyサーバで一括管理という形を取れるのでトレースするのが容易というのもあります。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/04/16 09:47

    ご回答ありがとうございます。
    端末グループ毎のコンテンツ制御ということですが、プロキシサーバではなく、上位のファイアウォールで可能です。プロキシでhttp系の制御は現在行っていません。
    またプロキシ(squid)のログ一括管理ということですが、squidのログからの絞り込みが非常に面倒でして…。PCの監視ソフトが優秀なので、そちらに任せても十分可能と考えています。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 88.80%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る