意外な落とし穴!?UTM流行期におけるProxyの存在

そもそもProxyサーバとは？

Proxyサーバを一言でいうと、『クライアントPCの代理としてインターネット接続を行うサーバ」である。ここでのProxyサーバは、HTTPトラフィックを対象としたWeb（HTTP）プロキシを指す。
一般的にはDMZに配置し、図のような通信を行う。（下図参照）

企業がProxyサーバを導入する目的・メリットは大別すると以下の3つが挙げられる。

企業がProxyサーバを導入する目的・メリットは大別すると以下の3つ

1.匿名性確保によるセキュリティレベルの向上

WebサーバにはクライアントPCではなく、Proxyサーバがアクセスすることになるため、クライアントPCの固有情報（IPアドレス、OS、ブラウザなど）が漏れることなくWebページを閲覧することができるため、情報漏えい防止の1つの手段となる。

2.内部から外部への通信の一元管理実現

内部から外部へのHTTP通信が全てProxyサーバを通過する設定にすることで、無許可端末の通信制御や業務外のサイトアクセスの禁止ができる。

3.キャッシング機能によるWeb通信の高速化

Proxyサーバは過去にWebサーバから受信したWebページの情報を自身のHDDなどに一時的に記録するため、再アクセス時にはProxyサーバのキャッシュ情報を素早く送り返し、Web通信の高速化を実現させる。

Proxyサーバが存在する環境へのUTM導入における悩み所

UTMの設置場所により取得可能なログは異なる。実環境では、下図2種の構成がほとんどであろう。

Aは、Proxyサーバとインターネットの間にUTMを設置する構成。ログから宛先はわかるが送信元は全てProxyサーバからの通信として認識される。一方、BはクライアントとProxyサーバの間にUTMを設置する構成。この構成のログからは、送信元のクライアントlPはわかるが、反対に全てProxyサーバ宛ての通信と認識されることになる。

つまりAB共に、クライアントがどのようなWebサイトにアクセスしたかを把握するためにはUTMログ＋αの情報が必要になる。これは実運用を考えた場合、非常に厄介である。何かおこると、UTMとProxyサーバのログをおよその時間やクライアン卜情報から突合する必要がある。

UTMのログはFWやIPS、AV等多くの機能を使っておりその量は膨大である。Proxyサーバの場合、例えばYahoo Japanのページへのアクセス時に出力されるログはページ上に表示される広告等へもセッションが張られログ出力されるため目的のログを調査・分析する工数は膨大なものになり運用設計を熟考する必要がある。

現実的なUTM導入に向けて

『Proxyサーバが存在する環境へのUTM導入における悩み所』で記載したように、UTM導入の検討対象となっている既存環境にProxyサーバが存在している場合には、「Proxyサーバをどうするか？」検討の初期段階で関係各位に認識させて具体的な設計や提案を受けることがスムーズな導入に繋がる。

既設Proxyサーバに対する方針としては、大別すると以下の2つが挙げられる。

方針1：UTM導入に伴い、Proxyサーバを撤去する

方針2：UTMとProxyサーバを共存させる

上記2案に関しては、導入後の運用負荷や物理障害ポイント数の観点から、基本的には［方針1］が推奨となる。