昨今のプロキシサーバの問題点と解決策を考える

プロキシサーバと言えば一昔前のセキュリティ機器と思われるかもしれませんが、実は日本の多くの企業ではまだまだ現役で活躍しています。クラウドサービスの発達によりクラウドプロキシという形に変化したもの、SASEとして統合されたものなど、形を変えたりしつつ今でも最前線で活躍するプロキシサーバ。
一方でクラウドサービスやSASEで行うプロキシには課題もあるのが現実です。

そこで、プロキシサーバの必要性や課題、解決策の候補、どのような選択肢があるのかについて考えていきましょう。

プロキシサーバの従来の役割と課題

プロキシサーバの問題点

• プロキシサーバ自体のパフォーマンス低下
• クラウドサービスの増加に伴うアクセス増
• 暗号化通信の増加

特に、クラウドサービスの増加と暗号化通信については頭を悩ませている担当者の方も多いかと思います。例えばMicrosoft 365を利用されている企業ではプロキシサーバの導入当初と比べて大幅に通信量が増えてしまい、プロキシサーバ自体がボトルネックになってしまいます。
また、WebサイトのほとんどがHTTPSによる暗号化通信となっており、暗号化通信に紛れている脅威を検出できないことが多くなっています。
プロキシという技術自体は古くから存在しているものですが、本来のメリットや目的を十分に活用するためには、昨今のプロキシサーバでは能力が不足しているというのが現状です。
さらにプロキシサーバ単体ではセキュリティ機能が実現できないため、アンチウイルス製品やWebフィルタリング製品と組み合わせて利用する必要があります。この場合、管理が煩雑になり、トラブルが発生した場合の切り分けに時間が掛かるなどの問題があります。

ハードウェアプロキシの市場は今

クラウドプロキシやSASEへの移行障壁

ハードウェアプロキシを今まで利用していたユーザーがクラウドプロキシやSASEに移行を計画した場合、皆さんが思っている以上に多くの障壁があります。
いくつか例を挙げさせていただきますと以下のような問題に直面する事があるのではないでしょうか。

• クラウドに情報を置くことに対する不安
• 今までハードウェアプロキシで取得していたログレベルと同等のものが取れない。
• 対応しているプロトコルが足りない
• 通信経路変更に伴う大掛かりなネットワークデザインの変更

クラウドに情報を置く事に対する不安

プロキシのクラウドサービスは非常に便利ですが、一方でオンプレミスと違い情報の取り扱いには注意が必要になります。オンプレミス機器を利用していた場合、それらのログ情報などは自社のネットワーク内で完結していたと思います。しかしクラウドサービスを利用する場合、これらのログデータはクラウドサービス上にも存在をする事になります。
クラウドサービスは昨今、非常に多くのサービスが生まれ、ログなどの顧客データの取り扱いについては進化してきています。とはいうものの情報を外部に出すことに対して慎重にならざるを得ない企業があるのも事実です。良く使われている製品だから大丈夫、と無条件に信じるのではなく、きちんと調査して納得できるレベルであることを確認することも非常に重要な視点と言えます。

ハードウェアプロキシと同等のログが取れない

プロキシをクラウドサービスで利用する際に問題になるケースがあるのがログレベルです。
クラウドサービスは共用サービスとなるので、取得できるログの粒度や期間などが固定されておりカスタマイズ性に制限が設けられている事も少なくありません。いままでハードウェアプロキシを利用していた際とのギャップによりクラウドサービスを断念せざるを得ないケースもまれにあります。クラウドサービスを検討する際は必ずどのようなログが取得可能かチェックすることをお勧めいたします。

対応しているプロトコルが足りない

ハードウェアプロキシを利用している場合、HTTPやHTTPS以外の通信についてもプロキシを経由してセキュリティを担保しているというユーザーも少なくないのではないでしょうか。
クラウドプロキシはHTTPとHTTPSのみに対応をしているといったケースがほとんどで、今までハードウェアプロキシを経由していた別のプロトコルが利用できなくなってしまうという事が起きます。今まで保護してきたプロトコルを他のセキュリティ機器などで救う事や、経路変更などが難しい場合にはハードウェア プロキシに立ち返る事も検討に入れてはいかがでしょうか。

通信経路変更による大掛かりなネットワークデザインの変更

ハードウェアプロキシからクラウドプロキシへの切り替えなどでは大掛かりなネットワークデザインの変更が必要となるケースがほとんどです。企業内の通信の中でも大部分を占めるであろうHTTPやHTTPSの通信経路を変更するという事は、ネットワークのデザインを刷新するという事になります。コアスイッチやFWなど、ネットワークの中枢部分の変更となるので大掛かりな変更になる事は想像にたやすいのではないでしょうか。

このようにとても便利で利用しやすそうなクラウドプロキシも実は導入までに多くの障壁が立ちはだかる事が想定されます。移行の際は綿密な計画を立てる必要があります。どうしても解決が難しい課題がある場合にはハードウェアプロキシを再度検討するといった対応も十分に選択肢になりえます。
大掛かりなネットワーク変更計画を立てたうえで、移行期間中にハードウェアプロキシを利用するといった手段も有効です。

後述するFortinet社が提供するFortiProxyは高額になりがちなハードウェアプロキシを安価に提供しており、従来のような高額な予算を組まずとも、ハードウェアプロキシ環境の実現が可能なソリューションとなっており、クラウドへの移行の足掛かりとしても有力な選択肢となっております。

FortiProxyのメリット

Fortinet社のプロキシ製品「FortiProxy」ではこれまでの問題点を解決することができます。

• プロキシサーバに求められる標準的な機能を搭載
• FortiGateと同様のセキュリティ機能を実装
• 分かりやすい日本語GUIに対応
• 高性能なSSL通信復号化機能を標準搭載
• 他社製品に比べ安価な価格設定

プロキシサーバに求められる標準的な機能を搭載

FortiProxyではプロキシサーバに求められる以下の標準的な内容に対応しています。

• IPv4 / IPv6 をサポート
• HTTP/Sを含むアプリケーションをサポート
• HAによる冗長性の確保
• 対応プロトコル（HTTP/S、FTP、FTP over HTTP、SOCKS）
• PACファイル配布機能
• HTTPヘッダ追加機能（Client IP、XFFなど）
• ICAPによる連携
• Webキャッシュ機能
• WAN最適化
• 認証機能（Radius、SAML、LDAP、NTLM、Kerberosなど）

FortiGateと同様のセキュリティ機能を実装

FortiProxyでは、従来様々なセキュリティソリューションを組み合わせて実現していた機能を1台で実現することが可能です。

分かりやすい日本語GUIに対応

FortiProxyでは、同じくFortinet社が提供しているUTM、FortiGateと同様に日本語に完全対応しており、迷わずに設定を簡単に行えます。

高性能なSSL通信復号化機能を標準搭載

昨今のプロキシサーバによくあるお悩みとして暗号化通信の中身もしっかり検査したいということが挙げられます。FortiProxyではFortiGateでも利用されている専用のSPU(セキュリティプロセッサユニット)を標準搭載。追加費用なしで高性能なSSL通信復号を実現できます。

従来のプロキシサーバの役割をしっかりと担いながら、1台で複合的なセキュリティ対策やSSL通信の復号まで出来ますので、管理するセキュリティ製品の数を減らして運用コストを下げつつ、ハイパフォーマンスな処理性能を誇る製品となっております。

FortiProxyの価格について

総括

NVCでは数多くのプロキシ構築実績を基に、クラウドプロキシへの移行計画や移行中のFortiProxyの設計構築、現在のプロキシサーバの設定移行など、プロキシについてのお悩みの解決をお手伝いいたします。
プロキシの入れ替えでお悩みの方、クラウドへの移行でお悩みの方、高額なプロキシ費用にお悩みの方は、ぜひNVCにご相談ください。