VPN とプロキシ

暗号トンネル(VPN)と出口の検問(プロキシ)── 暗号化・復号のされ方と、その違い

この記事の要約

VPN は『社外から社内へ』つなぐ暗号トンネル、プロキシは『社内から社外へ』出る通信の検問所です。どちらも通信の間に立ちますが、目的も向きも別物です。

  • VPN は通信を丸ごと封筒に入れて『つなぐ』
  • プロキシは出口を一本化し『通すか止めるか選ぶ』
  • 競合ではなく、向きと目的で組み合わせて使う

VPN とプロキシはどう違うのか

会社の通信は野放しではなく、決められた関所を通ります。その代表が VPN とプロキシです。VPN は社外の端末から社内の入口まで、暗号のトンネルを張ってつなぎます。プロキシは社内から外へ出る通信を一本の出口に集め、検査・制御する代理人です。

VPN ── 暗号トンネルで社内ネットにつなぐ

本人確認して暗号トンネルの鍵を共有トンネル確立アプリの通信を丸ごと暗号化して封筒に入れる丸ごと暗号化暗号トンネルでゲートウェイへ送るトンネルで送るゲートウェイが復号して本来の通信を取り出す復号して取り出…社内ネットの本来の宛先へ届ける社内へ転送応答を返す応答再び暗号トンネルに入れて返す暗号化して返信
社外の端末自宅PC等 / VPNクライアント
VPNゲートウェイ社内ネットの入口
社内サーバ社内ネット内

各ステップ・参加者・分岐をクリックすると、その仕組みの説明がここに表示されます。

この図をテキストで読む

シーケンス図「VPN ── 暗号トンネルで社内ネットにつなぐ」。参加者3人、ステップ7個。 【参加者】(左から右) - 社外の端末: 自宅PC等 / VPNクライアント - VPNゲートウェイ: 社内ネットの入口 - 社内サーバ: 社内ネット内 【流れ】(上から下へ) ── ① トンネルを確立する(暗号化の取り決め) ── 1. 社外の端末 → VPNゲートウェイ: 本人確認して暗号トンネルの鍵を共有 ── ② 通信(すべて封筒に入れて運ぶ) ── 2. 社外の端末(自身で処理): アプリの通信を丸ごと暗号化して封筒に入れる 3. 社外の端末 → VPNゲートウェイ: 暗号トンネルでゲートウェイへ送る 4. VPNゲートウェイ(自身で処理): ゲートウェイが復号して本来の通信を取り出す 5. VPNゲートウェイ → 社内サーバ: 社内ネットの本来の宛先へ届ける 6. 社内サーバ → VPNゲートウェイ: 応答を返す(応答) 7. VPNゲートウェイ → 社外の端末: 再び暗号トンネルに入れて返す(応答)

行きも帰りも、端末と入口の間は封筒の中。

プロキシ ── 復号しないトンネルと、復号して検査する2モード

証明書なし=既定証明書あり許可拒否
社内端末会社支給PC
プロキシ出口の検問所
外部サイト / 結果インターネット
社外サイトへ https でアクセス
端末に会社の証明書(ルートCA)が入っている?復号する / しない の分かれ目
復号せず中継し外部サイトへ(宛先だけ把握)CONNECT トンネル=既定
会社の証明書で TLS を復号し中身を検査TLS インスペクション
ポリシー上 許可される宛先・内容?フィルタリング
遮断してログに記録拒否
改めて暗号化し直して外へ転送再暗号化
外部サイトへ到達送信元=プロキシのIP

各工程・分岐・レーンをクリックすると、その仕組みの説明がここに表示されます。

この図をテキストで読む

業務フロー図「プロキシ ── 出口を一本化して検査する」。レーン3本、工程8個。 【レーン(担当)】(左から右) - 社内端末: 会社支給PC - プロキシ: 出口の検問所 - 外部サイト / 結果: インターネット 【工程】(上から下へ。担当 → 工程名) 1. 社内端末: 社外サイトへ https でアクセス〔開始・終了〕 2. プロキシ: 端末に会社の証明書(ルートCA)が入っている?〔分岐〕(復号する / しない の分かれ目) 証明書なし=既定 → 復号せず中継し外部サイトへ(宛先だけ把握) 証明書あり → 会社の証明書で TLS を復号し中身を検査 3. 外部サイト / 結果: 復号せず中継し外部サイトへ(宛先だけ把握)〔開始・終了〕(CONNECT トンネル=既定) 4. プロキシ: 会社の証明書で TLS を復号し中身を検査(TLS インスペクション) 5. プロキシ: ポリシー上 許可される宛先・内容?〔分岐〕(フィルタリング) 許可 → 改めて暗号化し直して外へ転送 拒否 → 遮断してログに記録 6. 外部サイト / 結果: 遮断してログに記録〔開始・終了〕(拒否) 7. プロキシ: 改めて暗号化し直して外へ転送(再暗号化) 8. 外部サイト / 結果: 外部サイトへ到達〔開始・終了〕(送信元=プロキシのIP)

中身まで読めるのは、会社の証明書があるときだけ。

既定は『復号しないトンネル』

プロキシの既定は復号しないトンネル方式で、URL や本文は見えません。中身まで読めるのは、会社の証明書を入れた管理端末だけ(TLS インスペクション)。会社が通信内容を見られる前提になるため、検査範囲は利用者に明示されるのが望ましい運用です。

押さえておきたい用語

VPN(仮想プライベートネットワーク)
端末と社内ゲートウェイの間に暗号トンネルを張り、通信を丸ごと暗号化して運ぶ仕組み。社外から社内へつなぐ。
プロキシ(フォワードプロキシ)
社内から外へ出る通信を代理する中継点。出口を一本化して検査・記録・制御する。主に Web を扱う。
トンネリング / カプセル化
元の通信を中身も宛先ごと暗号化し、新しい封筒に入れ直して運ぶこと。VPN の中核。IPsec や WireGuard が代表的な方式。
CONNECT トンネル / SNI
プロキシが復号せず暗号文をそのまま中継する既定の方式。見えるのは宛先ホスト名(SNI)と通信量だけ。
TLS インスペクション(SSL 復号)
会社の証明書で HTTPS を一度復号し、検査してから再暗号化して送る追加の運用。管理端末でのみ成立する。
ゼロトラスト / ZTNA
『社内なら信頼』をやめ、アクセスごとに本人・端末を都度確かめる考え方。従来型 VPN の次として採用が進む。

ここから先へ

この解説とつながりのあるページ