Zscaler 「Zscaler Internet Access」／「Zscaler Private Access」

クラウドが企業活動に欠かせないなかで、ネットワークとセキュリティにも変化が求められている。Zscalerは革新的なアーキテクチャにより、高速かつ柔軟なセキュリティを実現。1日に650億件以上処理する世界中のデータセンターや特許技術「SSMA」により、働き方改革を強力に推進する。

Zscaler
北アジア地域
SEマネージャ
菅原 博史 氏

　 今 まで の セキュリティ 対策 is 迎え が 限界 を 迎える つつ ある 。 例えば 、 WAN の 構成 に 本社 と 各 地方 拠点 を 結ぶ ハブ & スポーク 型 を 採用 し て いる 企業 is 多い は 多い 。 その 場合 、 インターネット 接続 など の 対外 通信 は 本社 や データ センター ( DC ) に 集約 さ れ 、 ファイアウォール ( FW ) や プロキシ など を 通る て から 外 に 出る 。 こう し た 構成 は セキュリティ 対策 を 一元 管理 できる と いっ た メリット is あっ が あっ た 。 ところ が クラウド の 活用 が 増える に つれる 、 必ず しも 効率 的 と は 言える なく なっ て いる 。

　 最大 の 理由 is 普及 が クラウド の 普及 だ 。 従業 員 の 生産 性 を 高める ため に は 、 「 Office 365 」 「 salesforce 」 「 box 」 と いっ た SaaS is 欠かせ が 欠かせる ない 。

　そこで、センター経由のトラフィック急増の解決策として、クラウド宛の通信を各拠点などから直接インターネットに出して繋げる「ローカルブレイクアウト」が行われるようになった。従来通りの発想で各ユーザーを守ろうとすると、拠点ごとにセキュリティ対策の導入が必要になりコストが高くつく。また、モバイルユーザーは直接インターネット回線を利用するようになっているため、そちらの監視も必要になる。このようにクラウドもアクセスも多様化している中で、従来通りの発想でのセキュリティ対策は限界になりつつある。

世界150以上のデータセンター拠点　100ｍs以下の遅延をSLAで保証！

　この構造はクラウドの活用が進む以上、避けられない。いち早くこの状況を予期し、「ユーザーとアプリケーションの間でセキュリティをクラウドで守ってあげればいい」という発想でソリューションを提供するのがZscalerだ（図表1）。

　 同社 is 創業 は 2007 年 に 米 サンノゼ で 創業 。 クラウド セキュリティ 業 界 を 牽引 し 続ける 、 調査 会社 ガートナー から セキュア ・ ウェブ ・ ゲートウェイ ( swg ) 部門 で 8 年 連続 リーダー の 評価 を 受ける て いる 。

　 「 オンプレミス に 装置 が なく て も セキュリティ を 守れる ネットワーク 環境 と サービス を 作る て いく 」 （ zscaler 北 アジア 地域 SE マネージャ の 菅原 博史 氏 ） と いう コンセプト で 設計 さ れ た ソリューション が 「 zscaler Internet ACCESS ( zia ) 」 だ 。

　各通信を世界中に設置されたZscalerのデータセンターを経由させることで、Webフィルタリング、アンチウイルス、サンドボックスなどのセキュリティ機能を適用し、その先のアプリケーションにアクセスさせる。

　「本社、支社、モバイルのユーザーがZIAに繋がることで一元管理ができます。さらに、同一のポリシーを全てのユーザーとロケーションに適用できるため、セキュアな環境を非常に簡単に運用できます」と菅原氏は説明する。

　特筆すべきはその処理速度。SLAで月間平均100ms以下の遅延を保証している。「100msを超過した分はクレジットで返金する仕組みになっています」（菅原氏）。この高速処理を支えているのが同社の特許技術「SSMA（Single Scan Multi-Action）」である。

　「1つのノード（ソフトウェア）で、アンチウイルス、URLフィルタリング、DLPなど全てのプロセスを同時に並列処理します。近年はSSLで通信が暗号化されており、その検査による遅延が問題になっていますが、SSMAならパフォーマンスが落ちません」と菅原氏は解説する。また、URLサイトやセキュリティ情報など、あらゆる情報が1行のログに集約されるため、セキュリティ監視などの運用も容易になるという。

　 加える て 、 Zscaler is 設置 は 150 以上 の 拠点 を 6 大陸 に わたる て 設置 。 世界 中 どこ に い て も 最寄り の DC を 利用 できる 。 「 月間 で 約 1兆 以上 の トランザクション を 処理 し て い ます 」 と 菅原 氏 is 張る は 胸 を 張る 。

既存 VPN の 課題 を 解消 　 社内 リソース へ 安全 に アクセス

　また、社外から社内アプリケーションなどを利用する場合、これまではDCなどに設置されたVPN装置と社内ネットワークを経由してアクセスしていた。

　ところが、最近ではITリソースがオンプレミスに留まらず、AWS（Amazon web services）やMicrosoft Azure、GCP（Google Cloud Platform）などマルチクラウドに分散するようになっている。そのため、従来型の構成でセキュアに社内リソースを利用しようとすると、一度オンプレミスのDCを経由してから再度アクセスするという手間が発生する。こうした非効率のツケは当然、ユーザーへ大幅な遅延という形で返ってくる。

　こうした問題を解決するリモートアクセスのソリューションがZscaler Private Access（ZPA）だ。ZPAは次の3点から構成される（図表 2）。（1）「ZPA ZEN（Zscalerのクラウドエンジン）」、（2）「Z-APP（クライアントに導入するエージェント）」、（3）「APP CONNECTOR（アプリケーションサーバー前に設置されるソフトウェア）」である。

図表 ２ 　 zscaler private ACCESS の 概要

　仕組みはシンプルで、Z-APPとAPP CONNECTORがそれぞれ自動でZPA ZENにTLSで暗号化されたネットワークを構築。ZPA ZENはSAML（Security Assertion Markup Language）によるID/Pass認証でユーザーを識別し、自動で最寄りのアクセス先へ通信を誘導する。もちろん、ユーザー権限に応じてアクセスをコントロールすることも可能だ。「社内DCを通る必要がなくなるため、一番近いクラウドに最適な経路でアクセス可能です。加えて、接続先は外から分からないためDDoS攻撃でも狙われない。効率のよいネットワークでセキュアにアクセスできます」と菅原氏は説明する。

　これらのアーキテクチャなどが評価され、Zscalerのソリューションはシーメンス、GE、ネスレ、LVMH（ルイ・ヴィトン）など業種・業態問わず多くの採用実績がある。

　特に、近年では海外拠点を持つグローバル企業からの注目が集まっているという。「子会社やパートナー企業のアクセスを、きめ細かくユーザーごとにコントロール可能です。日本でも、海外拠点をセキュアかつ高速に利用したい商社などでの採用実績が増えています」と菅原氏は語る。

　また、SD-WANやSIEMなどのソリューションと連携が得意なのも嬉しい点だ。「ログをSIEMなどと連携するテンプレートを用意しています。特にSD-WANとの連携は力を入れており、多くのSD-WANとAPI経由で我々のクラウドが自動接続可能になっています。既存のセキュリティ投資が無駄になることはありません」と菅原氏は語る。クラウド活用が進みITインフラが分散するなかで、高速かつ柔軟なアーキテクチャでユーザーを守れるZscalerのソリューションはますます採用が加速していくだろう。