この記事を読むために必要な時間は約4分(1362文字)です。
リバースプロキシ
- 投稿日:2018-08-14
- 表示:993PV
- カテゴリ:対策技術
今回紹介するリバースプロキシも、前回のプロキシサーバと同じくもともとの機能を拡張してセキュリティ機能が向上したものです。
このため、セキュリティ対策技術として今回お話します。
目次
リバースプロキシとは?
リバースプロキシの動作
プロキシサーバのプロキシとは、「代理」という意味です。プロキシサーバは要求元のPCなどを代理しますが、リバースプロキシは逆側のサーバの代理をします。
上の図のように、リバースプロキシへログインすると、WebサーバやメールサーバとPCのログイン動作が不要になります。
動作は以下の順番で行い、PCやスマートフォンなどが行うことになるログイン動作を一回で行うことができます。
- PCやスマートフォンなどがリバースプロキシにログインする
- ログインされた リバースプロキシは、Webサーバやメールサーバなど他のサーバにログイン情報(=認証情報)を通知する
ログイン動作を一回で行うことは、「シングルサインオン」という呼び方をされています。
もともとの機能
リバースプロキシの動作の目的は、PCやスマートフォンなどが行うことになるログイン動作を一回で行うことです。もしかして便利なようでセキュリティ上の欠点は増えた?
一回のログインで別のサーバでもログイン動作しなくてもサービスが使えるのは利点です。その反面、リバースプロキシへのログインに必要なIDとパスワードが漏洩すると、漏洩情報を入手した攻撃者がいろいろなサービスが使えてしまうことになります。
このことを言い換えると、たとえIDやパスワードをサービスごとに異なるものに変えたとしても、一箇所の情報が漏れただけで意味がなくなることを意味します。
セキュリティ機能の向上
前回の攻撃方法で紹介した不正ログインの方法により、一箇所の漏洩を防ぐことは難しいので、セキュリティ機能の向上のために、根本的にログイン方法を変えました。その方法は、ディジタル証明書を使う方法です。
IDやパスワードは、組み合わせを作るだけなので、攻撃者が容易に作成することができます。
それに対して、ディジタル証明書の作成は、容易ではありません。
この容易ではないことが、次の二つの利点の両立を実現します。
- 一回のログインで済むという利便性
- セキュリティ向上
利便性を考えると、普及しそうなのですが、ID/パスワードの組み合わせに比べると、次のようなそうとも言えない欠点があります。
- ディジタル証明書の発行に費用がかかる
- ディジタル証明書処理のための負荷がかかる(=遅くなる)
- ディジタル証明書には有効期限があるため定期的にディジタル証明書を更新しないといけない(=更新の手間がかかる)
- ディジタル証明書を管理しないといけない(=漏洩対策など管理の手間がかかる)
特に発行費用が高い間は、普及が難しいでしょう。
まとめ
リバースプロキシはディジタル証明書を使った認証によって、セキュリティ機能を向上させることができます。その反面、費用の増加などにつながるので、サービス内容やユーザー数により、リバースプロキシに限らず、適切な機能を選ぶことが重要になります。
| 広告枠・・・広告やリンク先の保証はしません | |
|---|---|