======================
2023年10月に新しい記事を公開していますので、そちらを参照ください。
Zscaler ZIA/ZPAのライセンス体系について(2023年10月版)
======================
皆さん、こんにちは。
SB C&Sでネットワーク/セキュリティ関連のプリセールスを担当している 大東です。
ゼロトラストセキュリティを語る上では必ず製品として挙がってくる「Zscaler」ですが、ライセンス体系について紹介したいと思います。
こちらを参考にして、Zscalerのライセンスやエディション選定に役立てていただければと思います。
Zscalerの製品群について
Zscalerは大きく4つの製品に分かれます。
ここでは、主に利用される「ZIA」、「ZPA」について説明を行います。
■ZIA
インターネットやSaaSアプリ向けの通信など、外部通信についてのクラウド上のセキュアWEBプロキシ製品となります。
主に、SSLインスペクション/URLフィルタ/NGAV/IPS/FWaaS/CASB/DLPといった機能があります。これらの機能について、これまでのオンプレ設計の場合は他社製品との連携で暗号化をほどいて中身をチェックして次のセキュリティ製品に送ってさらにチェックして・・・と数珠つなぎのような形でセキュリティチェックをしていましたが、ZIAでは「SSMA:Single Scan Multi-Action」という技術により、SSLインスペクションで暗号化をほどいたのち、並行してNGAVやIPS、DLPなどのセキュリティチェックをかけることができ、パケット処理の速度が速く、遅延もほぼ感じない形で通信することが可能です。
■ZPA
ユーザーが社外などから社内や自社データセンター、プライベートクラウド内の内部サーバーやアプリケーションに通信する際に利用されるVPNに代表されるリモートアクセスの製品です。
これまでのように、自社にVPN接続用の機器を準備してグローバルIPアドレスとポートを公開して接続を待つのではなく、ユーザーのリクエストに応じて、クラウド(ZPA上)でデータセンター内のサーバーと接続し通信をさせる仕組みです。
データセンター内には「AppConnector」という仮想マシンが必要になりますが、内部サーバーとしてZPA側にインターネット経由で接続するため、グローバルIPアドレスとポートを公開する必要がなく、外部からVPN機器に対して攻撃をされるようなこともなくなります。
■ZIAのライセンス(2023年4月時点)
ZIAのライセンスは基本的なエディションと用途に応じたオプションライセンスで構成されます。
まず初めに、基本的なエディションについて確認しておきましょう。ただし、下記に記載するものはすべてではなく、主要なものとなります。
詳しいライセンス表については、弊社までお問い合わせください。
| ライセンス | Essential | Business | Transformation | Unlimited |
|
認証SAML/SCIM,SecureLDAP,Kerberos,hosted |
〇 | 〇 | 〇 | 〇 |
|
トラフィックフォワーディング(IPSec/GRE、PACファイル) |
〇 | 〇 | 〇 | 〇 |
|
コンテンツフィルタリング (Webフィルタリング) |
〇 | 〇 | 〇 | 〇 |
| アンチウイルス/アンチスパイウェア | 〇 | 〇 | 〇 | 〇 |
| SSLインスペクション | 〇 | 〇 | 〇 | 〇 |
| 帯域コントロール | 〇 | 〇 | 〇 | |
| Advanced Threat Protection | 〇 | 〇 | 〇 | 〇 |
| クラウドサンドボックス | 〇 | 〇 | ||
| アドバンスドファイアウォール(L7制御) | 〇 | 〇 | ||
| IPSコントロール | 〇 | 〇 | ||
| ファイルタイプコントロール | 〇 | 〇 | 〇 | 〇 |
| CASB制御 | 〇 | 〇 | 〇 | 〇 |
| クラウドアプリケーション テナント制御 | 〇 | 〇 | 〇 | |
| DLP機能(エッセンシャル) | 〇 | 〇 | 〇 | |
|
アウトオブバンドCASB (メール以外のSaaSアプリ1つまで)※1 |
〇 | 〇 | 〇 | |
| データプロテクション(インラインWEB) | 〇 | |||
| ソースIPアンカリング(送信元IP固定) | 〇 | |||
| ログ転送(オンプレSIEM) | 〇 | 〇 | 〇 | 〇 |
| ログ転送(クラウドSIEM) | 〇 | 〇 | ||
| ZIA Isolation(ブラウザ分離) Standard | 〇 | 〇 | ||
| ZIA Isolation(ブラウザ分離) Full | 〇 | |||
| ZDX Standard | 〇 | 〇 | 〇 |
※1:アウトオブバンドCASBは、ZIAが定期的にAPIで各アプリケーションに接続し、Zscaler以外からアップロードされたファイルなども含めて、アンチウイルスやDLP制御を行うことができます。
アウトオブバンドCASBで利用できるSaaSアプリはコチラを参照ください
〇がない部分は、オプションライセンスとして購入できますので、どこまでが必要で何をオプションで購入する必要があるのかをしっかりと要件定義する必要があります。
ZIAのBusiness Edition以上で利用できる「CASBテナント制御」については、下記のアプリケーションに対応しております。
| テナント制御アプリケーション |
| Youtube |
| Google Apps |
| Microsoft Login Services(M365) |
| Slack |
| Amazon Web Services |
| Dropbox |
| Webex Login Services |
これらについては、会社が契約しているドメインやURLのみにアクセス可能とし、個人アカウントについてはブロックするような制御が可能です。
アウトオブバンドCASBで利用できるアプリケーションは下記になります。
| アウトオブバンド CASB |
| Amazon S3 |
| Bitbucket |
| Box |
| Citrix ShareFile |
| Confluence |
| Dropbox |
| GitHub |
| Gmail |
| Google Cloud |
| Google Drive |
| Google Workspace |
| Google Workspace Marketplace |
| Jira Software |
| Microsoft 365 |
| Microsoft Azure |
| Microsoft Exchange |
| Microsoft OneDrive |
| Microsoft SharePoint |
| Microsoft Teams |
| Salesforce |
| ServiceNow |
| Slack |
| Webex Teams |
■ZPAのライセンス(2023年4月時点)
ZPAのライセンスも基本的なエディションと用途に応じたオプションライセンスで構成されます。
下記に記載するものはすべてではなく、主要なものとなります。
詳しいライセンス表については、弊社までお問い合わせください。
| ライセンス | Essential | Business | Transformation | Unlimited |
| TCP/UDPベースのセキュアなアプリケーションアクセス | 〇 | 〇 | 〇 | 〇 |
| アプリケーションとサーバーの検出 | 〇 | 〇 | 〇 | 〇 |
| ログ転送サービス(ログ転送用のAppConnector1組含む) | 〇 | 〇 | 〇 | 〇 |
| SAML認証とSCIMサポート | 〇 | 〇 | 〇 | 〇 |
| ソースIPアンカリング(送信元IP固定) | 〇 | 〇 | 〇 | 〇 |
| アプリケーションの継続的なモニタリング | 〇 | 〇 | 〇 | |
| AppConnectorの継続的なモニタリング | 〇 | 〇 | 〇 | |
| アプリケーションセグメント作成数 | 10個まで | 300個まで | 無制限 | 無制限 |
| AppConnector作成数 | 20個まで | 50個まで | 無制限 | 無制限 |
| クライアントレスアクセス(ブラウザーアクセス) | 〇 | 〇 | 〇 | |
| プライベートアプリケーションのデータ保護 | 〇 | |||
| ZDX Standard | 〇 | 〇 | 〇 |
ZIA同様に、〇がない部分は、オプションライセンスとして購入できますので、どこまでが必要で何をオプションで購入する必要があるのかをしっかりと要件定義する必要があります。
要件によって、「ZIA Business Edition」と「ZPA Essential Edition」というような購入方法も可能です。
■ZIAとZPAのパッケージングライセンス(Zscaler for Users)
Zscalerには「Zscaler for Users」というZIAとZPAのライセンスがパッケージングされたライセンスもあります。
例えば、「Zscaler for Users Business Edition」を購入することで、それぞれでBusinessを買うよりも単品のBusinessエディションではつかない「データプロテクション(インラインWEB)」が同梱されます。
| ライセンス | Business | Transformation | ELA |
| ZIA | Business Edtion | Transformation Edition | Unlimited Edition |
|
ZPA |
Business Edtion | Transformation Edition | Unlimited Edition |
| 付属オプション |
・データプロテクション(インラインWEB) ・ZDX Standard |
・データプロテクション(Advanced) ・ZDX Advanced |
・データプロテクション(Advanced Plus) ・ZDX Advanced Plus |
「データプロテクション(インラインWEB)」を購入すると、下記のSaaSアプリに対してZIAを介してやり取りされるファイルなどのマルウェア対策やDLP対策が可能になります。
また、会社がとして保有しているドメインのみ通信許可とするようなことも可能です。
| クラウドアプリケーションインスタンス |
| Appspace |
| Bitbucket |
| Box |
| GitHub |
| Launchpad |
| Okta |
| OneDrive |
| SharePoint |
| Quick Base |
| Slack |
| SouceForge |
| Workday |
| Zeplin |
| Zoom |
単品で「ZIA Business Edition」を購入し、上記のアプリケーションの細かい制御を行いたい場合は、別途「データプロテクション(インラインWEB)」のオプションライセンスの購入が必要になります。
まとめ
いかがでしたでしょうか。
Zscalerという製品にはZIAとZPAの製品があること、それぞれでライセンスのエディションがあること、SaaSアプリの検査やCASB要件についてはさらに詳細なオプションがあることを理解いただけたかと思います。
実際の案件では、お客様とのヒヤリングをしっかりと実施し、どこまでの要件が必要なのか、オプションライセンスは何がどこまで必要なのかをしっかりと確認し要件定義をすることが重要になってきます。
また、ZscalerはPoCを実施してから導入することを強くお勧めします。
弊社では、Zscalerの勉強会や希望に応じてハンズオンなども実施しておりますので、担当営業までご相談いただければ幸いです。
Zscalerに関する記事一覧
著者紹介
SB C&S株式会社
ICT事業本部 技術本部 第3技術部 2課
大東 智裕 - Tomohiro Daito -
SIer、エンドユーザー情シス/マーケなどを経て、2022年より現職。
九州・中国地区でネットワーク/セキュリティ/ゼロトラストを中心としたプリセールスエンジニアを担当。
