Copyright © 2000-2005 eazyfox. All Rights Reserved.
HOME| Firewall | Security| 製品紹介| SecuTool| Forest| Hello| Link| 掲示板| 雑談掲示板| SiteMap| Contact

・Proxy(代理サーバ)とは

・プロキシ
Firewallの一形態としてプロキシ(Proxy)なるものが存在する。普通のFirewallとの違いは何か?
Firewallは自分を通過していくパケットを監視して、フィルタリングを行う。Proxyは自分自身がサーバとして、内部、外部にあたかも相手が存在するかのように振舞う。それにより一見透過なサービスを提供しながら、不正なパケットの通過を拒否する。つまり内部のPCから外部のWebサーバを参照するときの接続形態は内部PC→Proxy→Webサーバとなる。ここで

1:内部PCからProxyに接続するWebサーバのIP(URL)を送る。
2:Proxyは指定されたIPのWebサーバに接続する
3:WebサーバからのhttpデータをProxyが受信する
4:Proxyは受け取ったhttpデータを内部PCに送信する

動作している内容はFirewallと同じ様に見えるが、まったく違うのはPC→Proxy、Proxy→Webサーバと通信はいったんProxyで切れるのである。つまりPCはProxyとHttpデータを通信するのであり、WebサーバはProxyに対してhttpデータを送信する。Proxyの語源(代理)はこのことを指している。
PCにとってはWebサーバの代理をして、Webサーバから見ればPCの代理をしている。
PCはProxyがWebサーバだと思ってhttpのデータを受け取っている、またWebサーバはProxyをPCだと思ってhttpデータを送信している。

これらの中継処理により内部のPCがWebサーバと直接繋がることはない。つまり内部の PC名や IPが外に漏れることはない。外部から攻撃を加えようとしても、PCのIPアドレスもホスト名もわからないからだ。またProxyサーバが提供している以外のプロトコルでPCを攻撃しようにも、Proxyに中継する能力(機能)がないのでPCは安全である。
Proxyサーバの概略図
・プロキシの弱点
Proxyを利用することの利点を述べてきたが、Proxyに弱点はあるのか?考えてみよう。
  1. Proxyを利用するときには内部PC側でProxyを利用するためのツールを使うか、内部PCのプログラムを修正する必要がある。なぜならProxyを利用するということは内部PCはサーバとしてProxyを指定するが、本当の目的のサーバのアドレスをProxyに渡してやる必要があるからだ。
  2. セキュリティの面ではProxy内において転送する内容についてチェックは行っていない。したがってデータの内容に不正があってもチェックされること無く内部PCに転送される。つまりメールに潜むウィルスやExcelのマクロウィルスなどを防ぐことはできない。
  3. 実際のProxyサーバはサービスごとに存在するが、新しいプロトコルやサービスが出てきたときにすぐに対応することは不可能である。なぜならProxyは自分自身でそのサービスのサーバとなる機能、内部PCとなる機能を提供しないといけないからだ。このため最新のサービスを試してみることはできない。Firewallであれば新しいサービスで使用するポート番号や相手先を追加することで対応できるのだが。
  4. Proxyはあくまで内部PCからの要求を転送するものである。したがって内部PCからの要求によるトリガでサーバからセッション要求をするようなプロトコルには使用できない。
  5. UDPはProxyを利用することはできない。なぜならUDPはコネクションレスのプロトコルであるからだ。
・プロキシの利用について
最近、ごく普通のサイトを訪問する際にもIPアドレス(ホスト名)を隠すために匿名Proxyを通してアクセスすることが頻繁に行われている。この匿名Proxyとは前述のProxyサービスを外部アドレスにも開放しているサーバだ。

外部アドレス→外部アドレスへのアクセスを行うことによってサイトを訪問する際のIPアドレス(ホスト名)を匿名ProxyのIPに変えることができる。いろんなサイトを廻るためには自分の素性を知らせないことも大切なのだろう。訪れたサイトが何か悪意を持っていないともかぎらない。

しかしこの一見安全のための行為も良く考えてみれば「もっとも危険な行為」なのだということがわかる。つまり匿名Proxyを利用することは足跡が全てProxyのログに残っていることになる。その利用者がどのサイトを、どういうルートで、何時、どのくらいの時間訪問したのかProxyのログをみればすぐにわかるのだ。利用しているプロバイダのログと同じモノをだれだか知らないProxyを提供している人に差し出していることになる。つまりあなたの行動すべてが他人に記録されている。しかもその他人にはあなたの行動の記録の守秘義務も無く、勝手に情報として売ることもできる。万が一SSLなどで保護されていないサイトで住所や電話番号やメールアドレスなどを入力したのなら、その情報は全部誰かに売られていると思っても差し支えないだろう。

Proxyを提供している人が善意だけのボランティアでやっているとは考えられない、また管理不十分で外部の人間に勝手に使われているだけだとも考えにくい。だからより危険な行為を綱渡りで行っているということだ。

筆者はサイトも持っているしメールアドレスも公開している。IPアドレスを知られることが怖いことだとは思っていない。現在はダイヤルアップなので住所(市まで)ならすぐに分かるだろうし、仮に接続時のIPがわかっても一旦切断すれば同じIPになるのは偶然でしかない。IPがばれるとそんなに問題があるのだろうか?車で一般道を走っているときにナンバープレートを隠す必要があるだろうか?警察のHシステムで行動を知られたくないと思うのは自分が犯罪を行っているときくらいだろう(プライバシーの問題はここでは無視する)。安全対策をとって、人として間違った行動を取らないかぎりIPアドレスの心配は無いと思うのは筆者だけなのだろうか?

最近はSpywareと呼ばれるプログラムがあり、個人情報を広告会社のサーバに定期的に送っていると言われている。Spywareは便利なツールを無償で提供する代わり添付されるものだ。広告会社はここまでして個人情報を集めようと躍起になっている。それだけ個人がどこへアクセスしているのか、何に興味があるのかは重要な情報という訳だ。Proxyを公開している人が各個人のアクセス内容を見過ごすと考えるほうが無理があるのではないか。

IPアドレスを知られることの危険性について初心者の方は危機感(個人の名前やIDが他人に知られるのでは?)を持たれるようだが、プロバイダ経由でアクセスする場合はIPアドレスとは個人と1対1で結びつくものではない。プロバイダが持っているいくつかのアドレスを多くの人で共有しながら使うものだ。
IPを気にするのならセキュリティについてもっと気を使ったほうがいいと思う。そのためには匿名Proxyはお勧めしない。

Firewallの概説に戻る
SecurityのTOPに戻る