在宅勤務で人気上昇！クラウドのセキュリティ「Zscaler」とは

2020.08.05 2023.03.15 クラウドセキュリティチャネル

セキュリティソリューションには様々な種類がありますが、その中でも現在、在宅勤務の急増などから、クラウド型のソリューションである「Zscaler」が注目を集めています。

「アプリケーションがクラウドに移行されるならセキュリティもクラウドに移行するべきだ」という、シンプルな概念から生まれたサービス「Zscaler」について紹介します。

[RELATED_POSTS]

Zscaler（ゼットスケーラー）とは

2008年に設立の米セキュリティ企業「Zscaler」社は、1500名近くの従業員を抱えるネットワークセキュリティ・インターネットセキュリティの企業です。

このZscaler社が提供するサービスが、クラウドセキュリティソリューション「Zscaler（ゼットスケーラー）」です。

「Zscaler」のサービスとは、「アプリケーションがクラウドに移行されるなら、セキュリティもクラウドに移行するべきだ」という、シンプルな概念に基づいて開発されました。

また「Zscaler」では、「ネットワークを保護するという概念は不要で、必要なのはユーザーとアプリの保護」であるというアプローチから、クラウド上のアプリ・リソースとそれを利用する企業とユーザーを保護しています。

従来行っていたマルウェア対策・URLフィルタリングを、ロケーションやデバイスに縛られずに統一的な管理ができること、
また専用のアプリケーションを利用することで、VPNを用意せずとも社内ネットワークのリソースにアクセスできることから、人気となっているサービスです。

Zscaler（ゼットスケーラー）で提供しているセキュリティの種類

「Zscaler」は、「Zscaler Internet Access（ZIA）」と「Zscaler Private Access（ZPA）」という2つの機能から成り立っています。それぞれの機能について見ていきましょう。

Zscaler Internet Access（ZIA）

「Zscaler Internet Access（ZIA）」は、クラウド上でゲートウェイセキュリティ機能を提供する機能です。

自社内にシステムを構築して運用する、従来型のオンプレミスのセキュリティソリューションでは、プロキシ・URLフィルタリング・フィッシング対策などのゲートウェイセキュリティがすべて自社のシステム内にあるために、社外に持ち出したPCやデバイスは全く保護できませんでした。

クラウド上でゲートウェイセキュリティ機能を提供するZIAでは、インターネットにアクセスできる環境であれば、PCやデバイスがどこにあってもこれらのゲートウェイセキュリティが有効になります。

Zscaler Private Access（ZPA）

「Zscaler Private Access（ZPA）」は、クラウド型のリモートアクセス機能で、VPNの代替として利用できます。ZPAは、「Zscaler」クラウドを経由してユーザとアプリケーションサーバを安全に接続します。

ZPAでは、次の2つの機能で安全な接続を実現します。

ユーザを社内のアプリケーションにつなぐ「Z-Connector」

「Z-Connector」によるアクセスでは、社内からHTTPSのアウトバウンド通信で「Zscaler」クラウドに接続するため、IPアドレスを公開することなくアクセスを確立できます。

クライアントソフトウエア「Z-App」

ユーザが「Z-App」でユーザの認証を行うと、「Z-App」はポリシーを割り当てます。

ポリシーには、そのユーザがアクセスできるアプリケーションのリストを含んでおり、アプリケーションへの接続要求に応じて、ユーザを「Zscaler」のクラウドに接続します。

Zscaler（ゼットスケーラー）の特徴

では「Zscaler」はどのようにユーザとアプリケーションを保護するのでしょうか。ここでは「Zscaler」の特徴について説明します。

ユーザごとに詳細な設定ができるアクセスコントロールができる

「Zscaler」は、URLフィルタリング・帯域制御といったアクセスコントロール機能を備えており、いずれも企業のニーズに応じて詳細な設定ができるのが特徴です。

例えば、「Zscaler」のURLフィルタリングは、ユーザベースのフィルタリング機能となっており、ユーザ・グループ・部門・時間帯・ロケーションなどの条件を指定したポリシーを作成できます。

帯域制御では、Microsoft 365へのアクセスは保証するものの、YouTubeへは30％の制限をかけるなどの設定ができ、ビジネスで最優先すべきアプリケーションへのアクセスを維持します。

企業情報の流出への対策ができる

「Zscaler」では、アプリケーションコントロール・ファイルタイプコントロール・情報漏えい対策（DLP）などの機能で、昨今、大きな問題となっている企業情報流出に関する対策をします。この対策においても詳細な設定ができる点が「Zscaler」の特徴です。例えば、アプリケーションコントロールでは、"SNS関連アプリでは閲覧は可だが投稿は不可にする"などの細かい設定ができます。

Microsoft 365との親和性が高い

Microsoft 365の導入を検討している企業にとって、懸念事項のひとつとなっている点が、Microsoft 365からのユーザトラフィックによりネットワーク使用率が40％増加するとされていることです。

セキュリティ対策の観点では、多くの企業のファイアウォールがその通信量の増加を処理しきれていません。

「Zscaler」は、「Zscaler for Office 365」を提供し、Microsoft 365によるトラフィック処理を高速化するなど、Microsoft 365の導入プロセスを支援しています。

Microsoftは、Microsoft 365への接続にダイレクトインターネット接続を推奨していますが、多くの企業では、プライベート接続サービス「ExpressRoute」を使用しています。

この点においても、「Zscaler」では、インターネット経由でのMicrosoft 365のダイレクトルーティングを可能にするなどの解決策を提示しています。

詳細なアクセスログの長期間保存機能がある

「Zscaler」で保存できるアクセスログおよびレポートは、6ヶ月分です。また、アクセスログはリアルタイムで可視化・分析してレポートとして表示できます。

さらに、アクセスログの保存期間は、オプションで1年間にも変更可能です。

クラウドサンドボックスなど豊富なファイル分析機能がある

「Zscaler」は、すべてのファイルをアンチウイルスエンジン・脅威データベースとの照合・ファイルタイプ分析・静的マルウェア解析でスクリーニングします。

次に、これらのスクリーニングでブロックできなかったものの疑わしいファイルを、クラウドサンドボックス内で実行し、ファイルの挙動から不正なファイルか判断してブロックします。

その他ファイアウォールなどのネットワークへの対策もある

「Zscaler」のファイアウォールは、クラウド型の次世代ファイアウォールです。

例えば、Deep Packet Inspection（DPI）エンジンで、アプリケーションとユーザの両方の情報に基づきアクセスを許可・ブロックします。また、宛先だけではなく、送信元IP・ポート・プロトコルも加味した総合的な判断に基づくアクセス許可・ブロックをします。このため、標的型攻撃といった高度なサイバー攻撃からもアプリケーションやユーザを保護することが可能です。