docomo business | NTT Communications
イメージ

クラウドプロキシーでゼロトラスト時代の第一歩を|仕組み・機能・オンプレミスとの比較

MENU

クラウドサービスの利用やテレワークの浸透など、企業のIT環境は近年大きく変化を遂げました。しかし、社内、社外を区別せずに働くことでユーザーの利便性が増す一方で、マルウェア感染や情報漏洩などの新たな問題も発生しているのが現状です。そこで今回は、近年のIT環境に関するさまざまな課題を解決できる、「クラウドプロキシー」について、その仕組みや機能、活用するためのポイントなどについて、わかりやすく解説します。

お問い合わせはこちら

クラウドプロキシーとは

クラウドプロキシーは、クラウド上で提供されるプロキシーサービスのことです。IT用語としては、主に社内ネットワークから外部のインターネットに接続する際に、中継するサーバーを「プロキシーサーバー」あるいは単に「プロキシー」と呼びます。

クラウドプロキシーは従来型プロキシーに搭載されているURLフィルタリングなどの機能に加え、マルチデバイス環境での通信監視やSSLインスペクションなどの機能を搭載していて、テレワークなど社外からのインターネット接続でも通信の安全性を確保しやすいという点が特徴です。

①クラウドプロキシーの仕組み

クラウドプロキシーはクラウド上にあるプロキシーサーバーが通信を制御します。オンプレミス環境の場合、通信は基本的にデータセンターなどにあるプロキシーサーバーを経由します。テレワークなどで社外からインターネットにアクセスする場合も、VPNによりデータセンター内のプロキシーを経由するのが一般的です。ただし、この場合一度に多くの従業員がインターネットに接続すると、データセンター内にあるネットワーク機器の負荷が増大し、通信速度が落ちるなどの支障がでることもあります。

クラウドプロキシーの概要図
図1

クラウドプロキシーの場合、通信量に応じて柔軟にスケール調整が行われるため、トラフィック増大によるアクセストラブルを減らしつつ、セキュアな通信環境を実現できます。

クラウドプロキシーの基本的な機能や特徴

クラウドプロキシーは従来型のプロキシーにない機能や、クラウドならではの特性を持っています。クラウドプロキシーの基本的な機能や特徴について、7つご紹介します。

①URLフィルタリング/アンチウイルス/サンドボックス

クラウドプロキシーには一般的なプロキシーの機能に加え、URLフィルタリングやアンチウイルス、サンドボックスといったセキュリティ機能が搭載されていて、マルウェア感染やフィッシング詐欺といったセキュリティリスクを低減できます。クラウドで提供されるため、外出先からのインターネット接続も安全に行えます。

②TLS/SSLインスペクション

TLS/SSLインスペクションとは、暗号化されたTLS/SSL通信を復号しチェックすることです。

今やほとんどのインターネット通信がTLS/SSLで暗号化されています。暗号化されることで、通信の盗聴リスクが減る一方、それを悪用してTLS/SSLにマルウェアを忍ばせるサイバー攻撃も存在します。

また、TLS/SSLインスペクションには一定の処理能力が必要で、オンプレミス環境で行うと通信量によっては動作が重くなるといったデメリットもありました。クラウドプロキシーは状況に合わせて柔軟にスケールアップ/スケールアウトが可能なため、TLS/SSLインスペクションにより通信速度が遅くなることもなく、業務を円滑に遂行できます。

③マルチデバイス環境での通信監視

クラウドプロキシーは、マルチデバイス環境でも安全な通信が実現できます。企業が社員にノートPCだけでなくスマートフォン(以下、スマホ)を提供するケースは少なくありません。スマホに対応した各種クラウドサービスも増加するなど、社員がスマホ上で業務データを扱うシーンも増えつつあります。

スマホなど使用するデバイスが複数になることで、セキュリティポリシーがバラバラになってしまえば、情報漏えいなどのリスクが高まります。クラウドプロキシーでは、デバイスを横断して統一したセキュリティ・ポリシーを適用できるため、情報漏えいリスクを最小限に抑えられます。

④許可されていないクラウドサービス利用の可視化や制限

クラウドプロキシーのなかには企業で許可されていないクラウドの利用を制限できるタイプもあります。クラウドサービスには無料で個人アカウントを開設できるものもあります。こうした場合に生じるのが、企業があずかり知らぬところで、未許可のクラウドサービスを使ったデータのやり取りがなされる「シャドーIT」のリスクです。

クラウドプロキシーを活用してユーザーのクラウド利用状況を可視化の上、必要に応じてアクセスを制御することで、シャドーITのリスクを低減できます。
ただし一般的にクラウドサービスの可視化や制御は、「CASB」と呼ばれるセキュリティサービスの方が得意としております。クラウドプロキシーとの使い分けや連携を考慮したり、クラウドプロキシーとCASBが一体化した製品を利用するなど、ニーズや予算に応じた導入計画を立てることが重要です。

⑤柔軟性とスケーラビリティ

クラウドプロキシーはクラウドであるため、通信量に応じて柔軟にスケールできます。トラフィックが増大しても通信速度が落ちる心配はありません。また大手のクラウドプロキシーサービスは世界中に100か所以上の接続拠点を持ちます。そのため、世界中どこにいても、遅延することなくセキュアなインターネット接続の利用が可能です。海外に利用拠点がある場合でもクラウドプロキシーを利用することで、統一されたセキュリティ・ポリシーのもと、円滑に業務を遂行できます。

⑥クラウドプロキシーと従来型プロキシーの比較

クラウドプロキシーと従来型(オンプレミス型)プロキシーの違いを表にまとめました。

クラウドプロキシーと従来型プロキシーの比較
従来のプロキシー クラウドプロキシー
導入・運用コストや費用対効果 導入後、機器に求めるスペックが変わった場合、投資対効果が低くなる。 比較的コストを平準化しやすく、機能のアップデートも随時なされるため、費用対効果が高い。
導入の手間 構成やサイジングなどの検討で工数がかかる 。 比較的容易に導入できる。
運用負荷 死活監視や故障交換、パッチ適用やバージョンアップをユーザー自身で実施する必要がある。 死活監視や故障交換、パッチ適用やバージョンアップが随時、自動的に実施される。
利用できる機能 導入時の機能を運用しつづけることが多い。 常に最新の機能が利用できるため、新しい脅威への対応もしやすい。
リモートワークとの親和性 別途リモートアクセス環境の構築が必要になる。 リモートアクセス環境でも直接クラウドプロキシー経由のインターネット通信(SaaS利用など)が可能。※データセンター内のアプリケーション利用などはリモートアクセス環境が必要。
負荷分散 負荷分散装置やルーターで対応可能。ただし機器導入コストや運用コストがかかる。 クラウドプロキシーの設備内で自動的に実施される。
URLフィルタリング
アンチウイルス/サンドボックス
TLS/SSLインスペクション 可能だが負荷が非常に大きいので、適切にサイジングしないと通信速度が遅くなり業務に支障が出る場合がある。

⑦クラウドプロキシーとCASBの違い

CASB(Cloud Access Security Broker)はその名の通り、クラウドサービス利用を監視するための仕組みです。そのため、クラウドサービス以外の通信は対象外となります。クラウドサービスに特化しているため、ログイン制御以外にも操作ログを監視するなどよりきめ細かな制御が可能です。

一方、クラウドプロキシーはクラウドサービスも含めたインターネット通信全般を監視、制御しますが、CASBと比較するとクラウドサービスの可視化・制御機能に制限があることが多いです。クラウドプロキシーの方がカバー領域は広く、CASBはよりクラウドに特化しているといったイメージです。最近はCASB機能を搭載したクラウドプロキシーや、プロキシー機能を備えたCASBサービスなどもではじめており、境界も狭まりつつあります。

クラウドプロキシーが普及している背景

安全性や利便性といった理由から、クラウドプロキシーの導入は増加しつつあります。では、なぜクラウドプロキシーへの注目が集まっているのでしょうか?

①増加する企業のSaaS利用

クラウドプロキシーに注目が集まる理由の1つに、Microsoft 365やG Suite、boxといったSaaS=クラウドサービスの業務利用の増加があります。従来まではソフトウェアとして利用していたメールや文書作成も、クラウドサービスを利用することが一般化しました。

クラウドサービスの利用状況
図2 (出典)総務省「通信利用動向調査」

総務省の令和2年版情報通信白書によると、企業のクラウド利用率は64.7%。2015年の44.6%から約1.5倍に増加している計算になります。クラウドは社内、社外を問わず使える利点があり、ユーザーの利便性が高まる一方で、インターネットトラフィックの増大や、情報漏えいなど新たな問題も生じているのが現状です。

引用:

②クラウドサービス利用における課題

クラウドサービス利用が増加したことで、企業は下記のような課題に直面することになりました。

(1)トラフィックの増大

今までのように、クラウドサービスの利用が限定的な場合は、それほどトラフィックの影響を考える必要はありませんでした。しかし、Microsoft 365などのWebアプリケーション利用が増加することで、インターネットトラフィックは大きく増加しています。さらに、新型コロナウイルス感染症拡大の影響で、テレワークが一般化し、VPNをはじめとした企業のネットワークに対する負荷はさらに高まっています。

(2)シャドーITなどのセキュリティリスク

クラウドサービスは個人でも無料でアカウントを開設できたり、安価に利用できたりします。そのため、企業が認めていない、あるいは知らないクラウドサービスが個人的に業務に利用される可能性があります。個人アカウントでクラウドサービスを利用する場合、企業のセキュリティポリシーが遵守されるとは限りません。

こうしたリスクは、いわゆるシャドーITと呼ばれ、放置しておくと機密情報の漏えいなど会社としての重大な損害につながる恐れがあります。

(3)暗号化によるセキュリティリスク

近年、インターネットの暗号化が進み、ほとんどの通信はSSL/TLSで暗号化されるようになりました。一方で暗号化通信を逆手に取り、ユーザーの端末をマルウェアなどに感染させた後、その端末と不正コマンドを遠隔送信するサーバー(C&Cサーバー)との通信を隠すといった手法も増えています。

こうした暗号化リスクに対応するためには、上で紹介したSSL/TLSインスペクションが有効です。しかしSSL/TLSインスペクションには一定の処理能力が必要なので、サーバー環境によっては通信速度が落ちて業務に支障がでるケースもあります。

(4)機器導入・運用コストの増加

Webアプリケーションやテレワークによる、インターネットのトラフィック増加に対応するには、サーバーやゲートウェイ機器などを増設する必要があります。また、クラウド用の回線を別に設ける場合も、同様にコストが必要になるでしょう。結果的に導入費用や運用コストが大きく膨らんでしまうことになります。

(5)運用負荷の増加

ネットワーク機器などを増強する場合、サーバーの設定や構成の変更などで運用者の業務負荷が増加します。また、オンプレミス環境ではネットワーク機器の障害監視や対応、OSやミドルウェアなどのバージョン管理も必要です。これらは情報システム部門の大きな課題となっています。

③高まるゼロトラスト・セキュリティの重要性

ゼロトラストとは、「無条件に信頼せず、都度検証してから通信する」という考え方です。

従来までの企業におけるセキュリティは「境界型」と呼ばれ、社内と社外をネットワーク機器やソフトウェアで切り分けることがメインでした。つまり、「社内ネットワークは安全」という前提に立ち、社外からのさまざまな脅威に対しファイアウォールやゲートウェイを設置することで、セキュリティを確保する考え方です。

しかし、標的型攻撃やソーシャルエンジニアリング、フィッシング詐欺など近年のサイバー攻撃は巧妙さを増しています。さらにテレワークやクラウドの普及によって、「社外から情報にアクセスすること」が一般化しました。IPA(独立行政法人 情報処理推進機構)が2021年1月に発表した「情報セキュリティ10大脅威 2021」ではランサムウェアや標的型攻撃についで、「テレワークなどのニューノーマルな働き方を狙った攻撃」が上位に挙げられています。

ビジネス環境が劇的に変化する今、侵入されるリスクや情報漏えいするリスクに対し、企業はあらゆる手段を講じて、セキュリティを担保する必要性が生じているのです。

クラウドプロキシーのメリット

上述した課題の多くは、クラウドプロキシーを導入することで解決できます。

①ネットワーク機器の負荷軽減

クラウドプロキシーをうまく活用することで、ネットワーク機器の負荷軽減が可能です。オンプレミス環境で接続する場合とは違い、社内ネットワーク(リモートアクセス環境)を経由せず、直接インターネット接続でクラウドプロキシーを利用できるため、テレワーク時やWebアプリケーション利用時に、通信速度が落ちるといったトラブルを回避できます。

②運用コストや負荷の軽減

クラウドプロキシーはクラウドサービスであるため、トラフィックが増加した際にも、サーバーやネットワーク機器を新たに増設する必要がありません。そのため、導入前の検討期間も含めて機器導入に要するコストや、システム構成を変更するなどの業務負荷を下げられます。障害監視やバージョン管理なども、クラウド側ですべて行うため、情報システム部門の業務効率化にもつながります。

③セキュリティの向上

クラウドプロキシーは従来型プロキシーが搭載しているセキュリティ機能に加え、マルチデバイス環境でのセキュリティ機能を備えています。スマホやタブレットなどにも統一されたセキュリティポリシーを適用することで、テレワークなど社外で業務を行う際のセキュリティを高めることが可能です。さらにCASB機能を搭載したクラウドプロキシーなら、クラウドサービス上でのユーザーの「振る舞い」を検知でき、情報漏えいのリスクを低減できます。

クラウドプロキシー導入で知っておくべき留意点

通信を遅延させることなく、どこにいてもセキュアな通信環境を実現できるクラウドプロキシーですが、注意点もあります。

①送信元グローバルIPが変更される

クラウドプロキシーを利用することで、送信元IPアドレスがすべてクラウドプロキシーサービスのグローバルIPアドレスになる、という点には注意が必要です。たとえば、クラウドサービスの利用をIPアドレスで制御している場合、アクセスできなくなるリスクがあります。さらに、ほかのユーザー企業と共通のIPアドレスになってしまう場合もあります。

最近では、対応策を用意しているベンダーも増加しつつあるので、クラウドプロキシーを検討する際には、固定IPアドレスを設定できるかどうか確認しておくとよいでしょう。また、この場合の固定IPアドレスが、従来自社で使っているものをそのまま利用するのか、あるいはクラウドサービス側で提供するものなのかも、合わせて確認しておくことをおすすめします。

②基本的には対象がhttp/httpsのみ

クラウドプロキシーを導入したからといって、すべての通信を制御できるわけではありません。クラウドプロキシーでは基本的に「http」もしくは「https」プロトコルが対象となります。https以外の通信がある場合は対象外となるので、注意する必要があります。ただし最近のクラウドプロキシーは、https以外の通信にも対応している製品がありますので、導入検討時にチェックしておくとよいでしょう。

③バージョンアップに伴う操作方法が変更になる可能性がある

自動でバージョンアップされることはクラウドプロキシーの大きなメリットですが、注意点もあります。バージョンアップされるたびに新しい機能が追加されたり、管理画面に修正が入ったりするので、従来利用していた操作マニュアルをそのまま利用できなくなる可能性があります。クラウドプロキシーがバージョンアップされる場合はかならず事前にユーザーに周知されますので、事前にリリースノートを読み、運用手順に修正がないか確認することが重要です。

④サービス提供ベンダーの障害やセキュリティ侵害のリスク

クラウドプロキシーベンダーのシステムに障害が生じたり、セキュリティ侵害が起こるリスクはゼロではありません。大手クラウドサービスベンダーであっても、過去にトラブルも起きているのが実情です。また、特定のベンダーに依存しすぎてしまうことで、ほかのサービスやシステムへの乗り換えが困難になる「ベンダーロックイン」にも留意しておく必要があります。

まとめ

クラウドプロキシーを導入することで、テレワーク時の通信の遅延やセキュリティに関する課題を解決できます。しかし、エンドポイント対策はどうするのか、インシデントが起こった際の対応はどうするかといった、セキュリティのすべてをカバーできるわけではありません。包括的な視点から、自社のネットワークとセキュリティを考える必要があります。

詳しく質問したい方はこちら!

お問い合わせはこちら

このページのトップへ