https://www.ap-siken.com/kakomon/29_haru/pm01.html
問題文に記載されている下記箇所を読んでいた際に、ふと疑問に思ったので教えて下さい。
「プロキシサーバのログに記録された通信内容を調べる。この検査によって，バックドア通信の痕跡を発見できることが多い。」

バックドア通信の痕跡を発見できる理由として
不正アクセス者がバックドアから侵入し、社内ネットワークの情報をインターネット経由でその情報を持ち帰ろうとする動きがあるからということでしょうか。
またその場合はプロキシの認証機能により不正アクセス者は認証できないのでプロキシによってブロックされるという認識であっていますでしょうか。

バックドア通信の痕跡を発見できる理由として
>不正アクセス者がバックドアから侵入し、社内ネットワークの情報をインターネット経由でその情報を持ち帰ろうとする動きがあるからということでしょうか。
>またその場合はプロキシの認証機能により不正アクセス者は認証できないのでプロキシによってブロックされるという認識であっていますでしょうか。

直接外部（C&Cサーバ）と通信しようとしたら、だいたいはFW（ファイアウォール）で遮断してドロップログが残りますよね。
バックドアからプロキシサーバの認証を通してC&CサーバとHTTP通信をしたら、どこのサーバと通信したのかがログに残るから、そのサーバに向けた通信をプロキシサーバのブラックリストに入れとくって意味で使うってことです。
>プロキシの認証機能により不正アクセス者は認証できない
も、安全確保支援士の問題だと、先に正常な端末とプロキシサーバの通信を傍受して（中間者攻撃）認証情報をすっぱ抜いてから自前の通信に使ったりします。

いまは、HTTP、HTTPSに限らず、DNSトンネリングでC&Cサーバとやり取りするやつもいます（Helminthとか）が、まあIPAで出てくるのはHTTP通信でしょう・・・。