No262 プロキシサーバは何を代理するのか？

プロキシサーバ（プロクシーサーバとも）という言葉をご存知でしょうか？

大きな組織であれば、内部にプロキシサーバがあり、よくわからないけれど指示通りにプロキシ設定をすることになっているという方はおられませんか？

また、「プロキシサーバを経由すれば、他国では（本来）見られないコンテンツが見られる」といった話を聞いた方もおられるかもしれません。

プロキシサーバとは一体何をしてくれるサーバなのでしょうか？

今回はプロキシサーバの仕組みについて解説をします。

1. プロキシサーバ

プロキシ（プロクシとも）は proxy という英単語で、「代理」といった意味です。
代理というからには、何かを本人に代わってくれるんだろうとは思いますが、わかりにくいですよね。

特に次の二つがよくわかりません。
　・何を代わるのか？
　・何でそんなのが必要なのか？

以下ではこの二点について詳しく説明します。

2. プロキシサーバが代わってくれるサービス

一般的には、プロキシサーバはWebページ（ホームページ）の取得代行に使われます。

中でも良く使われるのは、会社などの組織内から組織外のページを見る場合です。

調べものをしたりサービス利用するには、インターネットアクセスが必要です。
だからといって、インターネット（社外）から組織内の情報を覗かれるのは困ります。

ここに大きな矛盾があるのにお気付きでしょうか？

自分達は自由にWeb上のインターネットサービスを利用したい。でも、組織外の人が社内に勝手に入ってこられるのは困る、というわけです。

この矛盾を解消するために、プロキシサーバを活用するのです。

プロキシサーバは、以下のように社内からインターネットサービスを利用したい場合だけ利用されます。

１）社内のメンバが社内のサーバを利用したい場合
　　直接、社内のサーバに接続します。
２）社内のメンバが社外のインターネットサービスを利用したい場合
　　プロキシサーバに接続して、転送をお願いします。
３）社外（組織メンバ以外）から社内のサーバにアクセスする場合
　　ファイアウォールによってアクセスが拒絶されます。
４）社外（組織メンバ以外）がその組織の公開ページを利用する場合
　　直接、公開サーバに接続します。（拒絶されません）
　　
上記の２）の場合、プロキシサーバは依頼を受けて目的のサーバにアクセスをし、結果
を受け取ります。プロキシサーバはその結果をそのまま依頼元に転送します。

ですので、普通に使っている限り、利用者はプロキシサーバを経由していることには気付かず、直接インターネットサービスを使っているかのように見えます。

プロキシサーバというのは、Web上のインターネットアクセスに関する全てを引き受けてくれる有能な秘書さんのようなものです。

この秘書さんであるプロキシサーバを通さずにインターネット（組織外）にアクセスしようとしても、「許可されていません」だとか「サーバが見つかりません」といったエラーが出て目的のサイトに辿り着けません。

インターネット（組織外）向けの通信を代行してくれるからプロキシサーバと呼ぶわけです。

3. でもファイアウォールってのがあるのでは？

でも、外部から勝手に侵入されないために、ファイアウォールという仕組みがあるはずです。実際、ほとんど全ての組織でファイアウォールは導入されています。

それでも、プロキシサーバなんてのを使う必要があるのでしょうか？

純粋に技術的に言えば、ファイアウォールだけでプロキシサーバなしでサービスを行うことは可能です。実際小さな組織ではわざわざプロキシサーバを使っていないところもたくさんあります。

では、どんな場合にプロキシサーバが有用なのでしょうか？

ものすごく雑に言えば、大きな組織ほどプロキサーバの導入が有用となります。

ファイアウォールという装置はやらないといけない仕事が山ほどあります。
ファイアウォールは、組織内から出ていく通信と入ってくる通信の全てを見ます。そして、「これはＯＫ」「これはＮＧ」を判断するわけです。しかも遅延はできるだけなくしたいのです。

それなら、組織外向けのインターネットアクセスを全てプロキシサーバに委譲できれば、ずいぶんと作業を減らすことができます。
プロキシサーバと協力することで、ファイアウォールの負荷分散が可能になるのです。

だから、組織が大きくなりメンバが多くなればなるほど、プロキシサーバ導入の有用性は上がるのです。

もし、皆さんの組織にプロキシサーバがなくても、それは他の仕組みで運用できているということです。
セキュリティ的にたち遅れているという意味にはなりません。

4. それ以外にもいろいろできるプロキシサーバ

実はプロキシサーバには、代理アクセスをしてもらう秘書さん機能以外にも付加機能があります。（このあたりはプロキシサーバの運用の仕方によっても違いがあります）

代表的なのはキャッシュ機能と呼ばれるもので、みんなが依頼したURLと返されたページ内容を覚えておき、同じURLの依頼があった時にはホントの依頼先には依頼せず、手元にあるページ内容をそのまま返すというものです。

余談
　ここでのキャッシュはcash（現金）ではなく、cache（貯臓所）の意味です。

また、アクセスしようとしているページが詐欺ページや業務に関係のないページ（例えばカジノサイト）だったりしないか？というのをチェックする機能、時間帯によってアクセスできるページが異なる（例えばお昼休みはYoutubeにアクセスできる）機能などもあります。

どの機能をどのように利用するかは運用する方が自由に決めることができます。

5. まとめ

プロキシサーバというサーバがあります。

これは大企業でよく利用されるサーバで、社内から社外へのアクセスを一手に引き受ける秘書さんのようなものです。

秘書さんは全ての社内からの依頼を受けて、実際のサーバに通信をして、その結果を依頼元に返します。利用者から見ると、あたかも手元のパソコンから直接アクセスしているかのように見える仕組みです。

これが大企業でよく使われるのは、社内外の通信をファイアウォールと分担して処理できるからです。
プロキシサーバがあるからといって、ファイアウォールが不要になるわけではありません。

なお、プロキシサーバにはキャッシュ機能やアクセス制限機能などのオマケ機能もありますので、秘書さんとしての代理アクセス以外の目的で導入される場合もあります。

今回はプロキシサーバの役割を中心に解説をしました。

次回もお楽しみに。

（本稿は 2022年6月に作成しました）

本Noteはメルマガ「がんばりすぎないセキュリティ」からの転載です。
当所はセミナーなどを通して皆さんが楽しく笑顔でITを利用いただくために、 難しいセキュリティ技術をやさしく語ります。
公式サイトは https://www.egao-it.com/ です。