※ 2025 年 9 月 1 日現在の情報をもとに作成しています

1. はじめに

Umbrella を使用している PC で Web プロキシの設定をすると、Umbrella の DNS ポリシーが期待どおりに動作しなくなる場合があります。本記事では、Web プロキシを併用する際の注意事項について解説します。

なお、本記事は、以下のサポート記事の内容を簡易的にまとめたものです。文頭に記載があるとおり、Umbrella のフルプロキシである SWG (Web ポリシー) に対しては適用されません。

Using Umbrella with an HTTP proxy

https://support.umbrella.com/hc/en-us/articles/230563527-Using-Umbrella-with-an-HTTP-proxy

> This article only applicable for Umbrella Global DNS Service not for Secure Web Gateway (SWG)

2. Web アクセスと DNS の関係

Web プロキシに話を移す前に、まずは Web プロキシを設定せずに Web アクセスを行う際の DNS の動作について見ていきます。ここでは例として、Web ブラウザで http://example.com/ にアクセスするものとします。

まず、Web ブラウザは、example.com の IP アドレスを知る必要があるため、PC に設定されている DNS サーバーに問い合わせをします。そして、DNS サーバーから応答として IP アドレスが返ってきたら、その IP アドレスの Web サーバーに対して HTTP アクセスを行います。以下の図はこの流れを示したものです。

この環境に Umbrella を導入すると、PC の DNS リクエストが Umbrella の DNS サーバー (208.67.222.222/208.67.220.220) に送られるようになり、そこで許可/ブロックの判定が行われます。

もしブロックと判定された場合、PC にブロックページのサーバーの IP アドレスが返り、PC の画面にブロックページが表示されます。これを図に表すと以下になります。

3. Web プロキシ使用時の注意事項

もし PC 上で Web プロキシの設定をしている場合、前述の動作はどのように変わるのでしょうか。以下は Web プロキシを介した場合の流れを図に表したものとなります。

Web プロキシを使わない場合との一番の違いは、PC ではなく Web プロキシが DNS サーバーに問い合わせを行うことです。具体的には、PC から送られてきた HTTP リクエストに含まれる URL をもとに、Web プロキシが DNS サーバーに問い合わせを行います。

※ HTTPS の場合、CONNECT メソッドの FQDN をもとに問い合わせを行う

このような動作となるため、DNS リクエストを Umbrella の DNS サーバーに送る設定をしたとしても、実際に問い合わせを行うのは Web プロキシですので、以下の図のように Umbrella のセキュリティ機能が使えないことになります。

この問題の対応策として、大きく分けて以下の 2 つが挙げられます。

• Web プロキシ側でも Umbrella を使うようにする
• PC 側で無理やり DNS サーバーへの問い合わせを行わせる

実際にどちらの対応策が有効かについては、使用している Umbrella の実装方法によって異なります。実装方法ごとの具体的な対応策については、次回の記事で説明します。

4. (参考) 二重で DNS リクエストが記録される際の対処

本事象の対応の仕方によっては、最終的に PC と Web プロキシの両方で同じ DNS リクエストが Umbrella の DNS サーバーに送られる構成になる場合があります。このような場合、Activity Search レポートに同じ内容が二重で記録されてしまい、インシデント調査の邪魔になります。

このような二重記録を回避する方法としては、2 つの DNS ポリシーを用意し、それぞれの DNS リクエストが個々のポリシーに適用されるように構成します。そして、片方のポリシー内の「ロギング」を「リクエストをロギングしない」に変更します。