対象試験と出題頻度
リバースプロキシは、情報セキュリティマネジメント・基本情報技術者・応用情報技術者で出題されるテーマです。
フォワードプロキシ(プロキシ)との違いや、シングルサインオン(SSO)への活用を正確に区別できるかが問われます。
詳細をクリックして確認
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★☆☆
ランクB(標準)覚えておくと有利
用語の定義
情報処理試験を勉強していると、「リバースプロキシって、普通のプロキシと何が逆なの?」と混乱する場面が出てきます。
リバースプロキシ(Reverse Proxy)とは、一言で言うと
「インターネットからのリクエストを受け取り、内部ネットワークのWebサーバーへ中継するサーバー」
のことです。
イメージとしては、「ホテルのフロント係」です。
宿泊客(外部の利用者)がホテルに用事があるとき、直接客室(Webサーバー)に行くことはできません。
必ずフロント(リバースプロキシ)で受付を済ませ、フロントが適切な部屋へ案内する。これがリバースプロキシの考え方です。
📊 リバースプロキシの基本情報
| 項目 | 内容 |
|---|---|
| 英語名 | Reverse Proxy(reverse=逆方向) |
| 通信の方向 | 外部(インターネット)→ 内部(Webサーバー) |
| 主な機能 | 通信の中継、アクセス制御、SSL終端処理、負荷分散、SSO認証の一元化 |
| 設置場所 | DMZ上、またはWebサーバーの前段 |
解説
企業がWebサービスを公開する場合、Webサーバーをインターネットに直接さらすとセキュリティ上のリスクが大きくなります。外部からWebサーバーのIPアドレスやOS情報が見えてしまい、攻撃の標的にされやすくなるためです。
この問題を解決するために、外部からのアクセスを一手に引き受ける「門番」を前段に配置する仕組みが生まれました。それがリバースプロキシです。
フォワードプロキシとの違い
ここだけは確実に押さえてください。フォワードプロキシとリバースプロキシは「代理する通信の方向」が正反対です。
| 種類 | 通信の方向 | 誰の代理か | 主な目的 |
|---|---|---|---|
| フォワードプロキシ | 内部 → 外部 | クライアント(社内PC)の代理 | キャッシュ、URLフィルタリング、ログ取得 |
| リバースプロキシ | 外部 → 内部 | Webサーバーの代理 | アクセス制御、SSL終端、負荷分散、SSO |
フォワードプロキシは「社員のインターネット利用を管理する受付窓口」、
リバースプロキシは「外部の利用者を迎えるホテルのフロント」
と覚えると混同しなくなります。
▶ リバースプロキシが提供する主な機能(クリックで展開)
Webサーバーの隠蔽:外部の利用者はリバースプロキシのIPアドレスしか知ることができません。背後にあるWebサーバーの台数・IPアドレス・OS情報を秘匿できるため、攻撃対象を限定できます。
SSL終端処理:HTTPS通信の暗号化・復号をリバースプロキシが一括で処理します。Webサーバー側はHTTPで通信するだけで済むため、証明書管理の集約とサーバーの処理負荷軽減を同時に実現します。
負荷分散:リバースプロキシが複数のWebサーバーにリクエストを振り分けることで、特定のサーバーにアクセスが集中するのを防ぎます。
SSO(シングルサインオン)の一元化:リバースプロキシに認証機能を持たせると、利用者は一度の認証だけで背後にある複数のWebサーバーにアクセスできます。
Webサーバーごとに認証処理を実装する必要がなくなり、運用の手間が減ります。
では、この用語が試験でどのように出題されるか見ていきましょう。
💡 リバースプロキシの核心を3行で
・外部からのリクエストを受け取り、内部のWebサーバーに中継する「サーバー側の代理」
・フォワードプロキシは「内→外」、リバースプロキシは「外→内」と方向が逆
・SSL終端処理・負荷分散・SSO認証の集約など、Webサーバーを守る複数の機能を持つ
試験ではこう出る!
リバースプロキシは、ネットワーク構成要素の定義問題やシングルサインオンの実装方式として繰り返し出題されています。
出題パターンは大きく2つに分かれます。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| AP R7秋 午前 問31 |
リバースプロキシの説明として適切なものを選ぶ問題。 | ・「インターネットから内部の公開Webサーバへの通信を中継」が正解 ・ファイアウォール・VPN・フォワードプロキシの説明がひっかけ |
| FE R5年度 免除 問26 |
インターネット経由のリクエストをWebサーバに中継する仕組みを選ぶ問題。 | ・DMZ、フォワードプロキシ、プロキシARPとの区別 ・AP H31春 問35と同一問題 |
| AP R4春 午前 問41 |
クライアント証明書で利用者を認証するリバースプロキシを用いたシングルサインオンシステムの問題。 | ・リバースプロキシ型SSOの仕組み ・ディジタル証明書による認証を理解しているか |
📝 IPA試験での出題パターン
パターン1:「リバースプロキシの説明を選べ」
4つのネットワーク技術の説明文が並び、リバースプロキシに該当するものを選ぶ形式。ひっかけとしてフォワードプロキシ・ファイアウォール・VPN・DMZの説明が紛れ込む。キーワードは「インターネットから」「Webサーバへの通信を中継」。フォワードプロキシの「内部ネットワークのPCに代わってインターネットに接続」との方向の違いに注意が必要。
パターン2:「リバースプロキシを使ったSSO」
AP H24秋 問36、AP R4春 問41のように、リバースプロキシ型シングルサインオンの特徴を問う形式。「利用者認証においてパスワードの代わりにディジタル証明書を用いることができる」が正解選択肢として登場する。
試験ではここまででOKです。「外部→内部の通信を中継=リバースプロキシ」「内部→外部の通信を中継=フォワードプロキシ」という方向の違いを押さえれば得点できます。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. リバースプロキシの説明として、最も適切なものはどれでしょうか?
- A. 内部ネットワークのPCに代わってインターネット上のWebサーバに接続し、取得したWebコンテンツをキャッシュする。
- B. インターネットから内部ネットワークの公開Webサーバへの通信を受け取り、背後のWebサーバーに中継する。
- C. ネットワーク同士の境界線に設置し、送信元・宛先のIPアドレスやポート番号に基づいて通信の許可や拒否を判断する。
正解と解説を見る
正解:B
解説:
リバースプロキシは、外部からのリクエストを受け取って内部のWebサーバーへ中継するサーバーです。「インターネットから内部への通信を中継」という方向がポイントになります。
選択肢Aはフォワードプロキシの説明です。フォワードプロキシは内部のPCに代わって外部に接続する「内→外」の中継であり、通信の方向がリバースプロキシとは逆です。選択肢Cはファイアウォール(パケットフィルタリング型)の説明です。IPアドレスやポート番号で通信を制御する仕組みであり、リクエストをWebサーバーに中継する機能は持ちません。
よくある質問(FAQ)
Q. リバースプロキシとロードバランサー(負荷分散装置)はどう違いますか?
リバースプロキシは通信の中継・SSL終端・アクセス制御・認証など複数の機能を持つ「多機能な中継サーバー」です。負荷分散はその機能の一つに過ぎません。一方、ロードバランサーは「複数のサーバーにリクエストを分散させる」ことに特化した装置です。実務では、リバースプロキシが負荷分散機能を兼ねるケースと、専用のロードバランサーを別途配置するケースの両方があります。
Q. リバースプロキシ型SSOでは、なぜディジタル証明書を使えるのですか?
リバースプロキシ型SSOでは、すべてのリクエストがリバースプロキシを経由します。そのため、リバースプロキシ側でクライアント証明書の検証を一括して行い、認証済みの利用者だけを背後のWebサーバーに通す仕組みが作れます。Webサーバーごとに証明書検証のロジックを個別に実装する必要がなく、パスワード認証よりも強固な認証を統一的に適用できる点がメリットです。
Q. WAF(Web Application Firewall)とリバースプロキシは何が違いますか?
WAFはHTTPリクエストの中身(URLパラメータやリクエストボディ)を検査し、SQLインジェクションやクロスサイトスクリプティングといったWebアプリケーション固有の攻撃を遮断する装置です。リバースプロキシも通信を中継しますが、リクエスト内容の攻撃パターンを検知する機能は標準では持ちません。実務ではWAFをリバースプロキシの前段や同一装置上に組み込んで運用するケースが一般的です。
