こんにちは。セキュリティ担当のdsasです。
　今回は、既存でWebプロキシサーバを使われている環境にUmbrellaを導入する場合に考慮が必要なポイントについて紹介してみたいと思います。

　先にそもそもの話をさせて頂きますと、UmbrellaではDNA Security Advantageパッケージより上のパッケージをご購入頂くとクラウド上のWebプロキシが利用できますので、ローカルのWebプロキシからこちらに移行しましょう！というのが理想的な提案です。
　通信を一か所に集める必要が無くなり、インターネットブレイクアウトによる通信の効率化が図れます。

…とはいえ、です。
　既存の端末をいきなりすべてUmbrella経由に切り替えられるか、というと実際には難しいですし、お客様のご要件として既存のWebプロキシサーバはそのまま使いたいというお話を頂くかもしれません。
　そこで今回のお題になりますが、既存でWebプロキシサーバを使っている環境の場合通信の流れはどうなるのでしょうか？
　（話が複雑になるので、今回はローミングクライアントでの導入に絞ってお話します）

　この連載でも紹介させて頂いた通り、UmbrellaのローミングクライアントはDNSのリクエストを自動的にUmbrellaへと転送することで宛先ドメインのチェックを行います。
　ですが、Webプロキシサーバを経由する場合、一般的にはWebプロキシサーバが端末の代わりにDNSリクエストを行うことになるため、ローミングクライアントの影響を受けずUmbrellaを経由しない通信経路となります。
　つまり、Webプロキシサーバを利用している環境にそのままUmbrellaのローミングクライアントを入れることは難しい、というのが一先ずの結論です。
　ではどうするのか、ですが2つ方策があります。

1．WebプロキシサーバがUmbrellaを利用するように設定する。
　まずは、シンプルにWebプロキシサーバが利用するDNSサーバとしてUmbrellaを設定する方法です。非常にわかりやすいですね。
　ただし、この場合DNSリクエストの送信元は常にWebプロキシサーバとなってしまう点が問題です。
　例えばUmbrella側からログを見ると、このWebプロキシサーバを使用した通信は全て同じ送信元として扱われることになります。Umbrellaのメリットの一つが見える化という点で考えるとこれは正直微妙です。

2．PACファイルを編集し、Umbrellaとの通信をバイパスする
　2つ目の方法は、Webプロキシサーバを利用するためのPACファイルを編集して、Umbrellaとデバイスが通信できるようにする方法です。
具体的には

・クライアント PC 上で DNS リクエストを行ってから、HTTP リクエストを Web プロキシ サーバに送る

・その DNS レスポンスが Umbrella の IP アドレス (ブロック ページや Intelligent Proxy など) の場合、Web プロキシ サーバを介さずに直接 HTTP リクエストを行う

という制御を行う必要があります。
　この編集を行って頂くことで、各デバイスは先にUmbrellaへの問い合わせを実行した上で、Umbrellaへのリダイレクトが必要な場合はWebプロキシを経由せずに直接Umbrellaのページを参照する、という形になります。
　リダイレクトが発生しない場合は、Webプロキシを経由して従来通りのインターネットアクセスを行います。
　なお、PACファイルの具体的な設定例については下記のドキュメントで紹介されておりますのでご参照ください。
https://support.umbrella.com/hc/en-us/articles/230563527-Using-Umbrella-with-an-HTTP-proxy
　こちらの方法は、PACファイルをいじるというハードルがあるものの、Umbrella本来の使い方に近い形で運用できるので、おすすめです。

　冒頭でも書かせて頂いた通りですが、最終的にはUmbrellaのクラウドWebプロキシを使っていただくことがゴールになるかと思いますが繋ぎでこういう方法もある、という事を覚えておいて頂ければ幸いです。