プロキシサーバーとは？役割、メリットとデメリット

組織は、内部IPアドレスの匿名化、データ転送速度の向上と帯域幅の使用量を減らすためのコンテンツのキャッシュなど、サイバーセキュリティとパフォーマンス上の理由からプロキシサーバー（Webプロキシ）を使用します。また、プロキシサーバーを使用する企業は、企業ネットワーク上でダウンロードすべきでないコンテンツをフィルタリングするために使用することもあります。これらのサーバーは、ウェブとクライアントデバイスの間の仲介役として機能します。主に企業環境で使用されますが、一部のクラウドホスティングサービスでは、より高速なオンライン転送速度へのアクセスを必要とする帯域幅の制限が小さい個人向けにもプロキシサーバーを提供しています。

プロキシサーバーには、サイバーセキュリティとパフォーマンスという2つの主な目的があります。Webプロキシを統合した組織は、サーバーが画像やメディアなどの大きなファイルをキャッシュする場合、帯域幅を節約することができます。Webプロキシを構築するコストは一般的に低いので、コスト削減の効果があるITの一部として安価に導入することができます。

送信元IPアドレスの匿名化

従業員のインターネットアクセスは、今日の企業社会では必須ですが、オープンで自由なインターネットアクセスを提供することは、企業をいくつかの脅威にさらすことになります。従業員が攻撃者の管理するサーバーに接続すると、送信元IPアドレスがサーバーに記録されます。通常、これはルーターのIPアドレスですが、攻撃者はこのIPを利用してサービス拒否攻撃（DoS攻撃）を行うことができます。また、従業員がサイトを閲覧していることを攻撃者に伝えることができ、攻撃者はフィッシングなどのより標的を絞った攻撃を仕掛けることができるようになります。

プロキシサーバーでは、Webログに表示されるIPはWebプロキシのものであり、攻撃者が社内ルーターの送信元IPアドレスにアクセスすることはできません。攻撃者はプロキシサーバーに対してDoS攻撃を仕掛けることは可能ですが、この脅威は社内ルーターが狙われるよりもはるかに管理しやすいと言えます。

送信元IPアドレスの匿名化は、オンラインで機密性の高い行為を行う場合にも重要です。例えば、あるサイトで捜査を行う法執行機関は、捜査当局につながる内部IPアドレスを公開することを望まないでしょう。サードパーティのWebプロキシは、調査やその他の匿名化すべきインターネットトラフィックに役立ちます。

キャッシュとパフォーマンス

ユーザーがブラウザでウェブサイトにアクセスすると、ブラウザはローカルストレージにファイルをキャッシュします。次にユーザーがウェブサイトを開いたとき、ブラウザはまずキャッシュからファイルを探し、それを使ってコンテンツを表示します。ウェブサイトの所有者とユーザーは、キャッシュを許可しないことを選択できますが、ユーザーは通常、サイト訪問のたびにファイルをダウンロードするのではなく、キャッシュデータを表示するようにブラウザを設定しています。キャッシュされたコンテンツを使用することで、ウェブブラウジングのパフォーマンスを向上させることができます。

企業ネットワーク上で同じウェブサイトを頻繁に利用する1000人のユーザーを想像してみてください。すべてのユーザーがサイトを閲覧し、キャッシュされたファイルをダウンロードするために帯域幅を使用しなければなりません。しかし、もしコンテンツを1回だけダウンロードして、1000人のユーザーデバイスすべてに配布できるとしたらどうでしょう？1000人の従業員全員がプロキシサーバーに接続した場合、プロキシサーバーはファイルをダウンロードしてローカルにキャッシュし、頻繁に閲覧するWebサイトにアクセスするユーザーデバイスにキャッシュされたコンテンツを配信することができます。

Webプロキシを利用したキャッシュコンテンツのメリットとして、まず挙げられるのがパフォーマンスです。キャッシュされたコンテンツはプロキシサーバーからデバイスに送信されるため、ユーザーはファイルを再度ダウンロードする必要がありません。2つ目のメリットは、コスト削減です。ほとんどのビジネス向けインターネット接続は、毎月使用した帯域幅の量に応じて料金が発生します。キャッシュされたコンテンツをダウンロードする場合、ユーザーはオリジンサーバーからファイルを取り出した場合に使用される帯域幅を使用することがなくなります。

コンテンツのブロック

企業は従業員にインターネットアクセスを提供する必要がありますが、フィッシングやマルウェアはデータの完全性を脅かします。ユーザーデバイスのコンテンツを制御する方法はいくつかありますが、プロキシサーバーはその1つです。Webプロキシは、特定のIPアドレスやドメインからのコンテンツをブロックするように設定することができます。

組織は、報告されたドメインのリストをダウンロードするか、サードパーティプロバイダを使用してコンテンツをブロックする必要があります。ユーザーがブロックされたドメインにアクセスしようとすると、プロキシサーバーは、コンテンツがブロックされていることをユーザーに通知します。また、管理者がよくブロックされるコンテンツを特定できるように、アクセス要求のログが作成されます。

プロキシサーバーのデメリットは少ないですが、誰でも利用できる公共サービスにはリスクがあります。このようなリスクは、組織がネットワーク制御を使用して、承認されたプロキシサーバーのみを使用するようにユーザーに強制することで排除されます。ネットワーク管理者は、Active Directoryなどのドメイン制御を使用して、Webブラウザの設定をロックすることができます。

無料のプロキシサーバーは最大のリスクです。攻撃者は、プロキシサーバーをホストして、ユーザーを騙して接続させ、機密データを開示させます。Webプロキシを経由して移動するすべてのトラフィックは、サーバー管理者が利用できます。このトラフィックが暗号化されていない場合、個人情報の盗難やアカウントの乗っ取りにつながる可能性があります。ユーザーは匿名化されたIPアドレスを取得しますが、その代償としてプロキシサーバーにデータが記録されます。

Webプロキシを使用する代表的な理由としてプライバシーが挙げられますが、サーバーを中間体として利用するデータは、いずれもプライベートなものではありません。ユーザーは、無料のプロキシサーバーを機密性のないトラフィックにのみ使用し、攻撃者がブラウジングの習慣を読んでいる可能性があることを理解する必要があります。ブラウジングの習慣は、フィッシングなどの他の攻撃でユーザーをターゲットにするために使用される可能性があります。

ほとんどの公共の無料プロキシサーバーは、暗号化を使用していません。これは、すべてのトラフィックがサーバー上とインターネットを通過するときの両方で、平文で読み取ることができることを意味します。この問題は、単純なブラウジングや機密性のないトラフィックにとっては脅威ではありませんが、ユーザーは、銀行口座や支払い方法を保存したECアカウントなどの機密データを含むサイトに認証する際に、公共の無料Webプロキシに接続することは絶対に避けなければなりません。

企業は、内部ユーザーを保護するためにあらゆるタイプのサーバーを設定することができますが、公共のプロキシサーバーは、異なるプライバシーレベルを提供します。WebサイトホストサーバーとWebプロキシの所有者がどのようなデータにアクセスできるかを知るために、プロキシサーバーの種類を理解することが重要です。すべてのプロキシサーバーがIPアドレスの匿名化を提供しているわけではないので、これらのプロキシサーバーに接続してもプライバシーはほとんど守られません。

透過型プロキシ

透過型プロキシサーバーは、最低限のプライバシーを提供します。透過型プロキシ接続では、ユーザーのIPアドレスが対象のWebサイトに渡されます。透過型プロキシの唯一のメリットは、コンテンツをキャッシュし、パフォーマンスを高速化することです。また、不要なコンテンツをブロックするために使用することもできます。図書館や学校などの公共インターネットプロバイダーは、透過型プロキシを使用しています。

Webプロキシは、いくつかのリクエストヘッダを使用して、元のIPを対象のWebホストに渡します。最も一般的なものは、「Forwarded」と 「X-Forwarded-For」の2つです。透過型プロキシでウェブサイトを閲覧する前にテストを行い、元のIPが転送されているかどうかを確認してください。

匿名プロキシ

インターネット閲覧中に匿名性を求めるユーザーは多く、匿名プロキシは重要でないトラフィックに最適です。匿名プロキシは、対象となるウェブサイトの管理者によって識別可能ですが、ユーザーの元のIPアドレスをホストに渡すことはありません。このサーバーは、ユーザーのウェブブラウジングを完全に匿名化します。

歪曲プロキシ

歪曲プロキシは、匿名プロキシをさらに一歩進めて、対象となるWebサイトに偽のIPアドレスを送信します。このサーバーは、ユーザーが別の場所から来たかのような印象を与え、ウェブサイト管理者から位置情報を隠します。

高度な匿名プロキシ

匿名性の高いWebプロキシの中で最も優れているのは、高度な匿名プロキシです。Torネットワークは、匿名性の高いプロキシサーバーを使用しています。これらのプロキシサーバーは、暗号化を提供し、対象となるウェブサイト管理者からユーザーのIPを保護し、送信元IPを定期的に変更します。つまり、ユーザーは位置情報の保護を含む完全なプライバシーを維持することができます。

• Apache
• HAProxy
• Internet Information Services (IIS) (WindowsサーバーOSに付属)
• Nginx
• Privoxy
• Squid

• Varnish
• WinGate
• Ziproxy
• Tinyproxy
• RabbIT
• Polipo