皆さん、こんにちは。
SB C&Sでネットワーク/セキュリティ関連のプリセールスを担当している 大東です。
以前、ご紹介した「Zscaler」のライセンス体系ですが、8月より新しいライセンス体系がスタートしております。
分かりやすくするために、前回と同じような構成で変更部分も含めて紹介させていただきます。
こちらを参考にして、Zscalerのライセンスやエディション選定に役立てていただければと思います。
※前回の記事コチラ
Zscalerの製品群について
Zscalerは大きく4つの製品に分かれます。
ここでは、主に利用される「ZIA」、「ZPA」について説明を行います。また、ZscalerのDEM(Digital Experience Monitoring)製品である「ZDX」も併せて説明します。
■ZIA
インターネットやSaaSアプリ向けの通信など、外部通信についてのクラウド上のセキュアWEBプロキシ製品となります。
主に、SSLインスペクション/URLフィルタ/NGAV/IPS/FWaaS/CASB/DLPといった機能があります。これらの機能について、これまでのオンプレ設計の場合は他社製品との連携で暗号化をほどいて中身をチェックして次のセキュリティ製品に送ってさらにチェックして・・・と数珠つなぎのような形でセキュリティチェックをしていましたが、ZIAでは「SSMA:Single Scan Multi-Action」という技術により、SSLインスペクションで暗号化をほどいたのち、並行してNGAVやIPS、DLPなどのセキュリティチェックをかけることができ、パケット処理の速度が速く、遅延もほぼ感じない形で通信することが可能です。
■ZPA
ユーザーが社外などから社内や自社データセンター、プライベートクラウド内の内部サーバーやアプリケーションに通信する際に利用されるVPNに代表されるリモートアクセスの製品です。
これまでのように、自社にVPN接続用の機器を準備してグローバルIPアドレスとポートを公開して接続を待つのではなく、ユーザーのリクエストに応じて、クラウド(ZPA上)でデータセンター内のサーバーと接続し通信をさせる仕組みです。
データセンター内には「AppConnector」という仮想マシンが必要になりますが、内部サーバーとしてZPA側にインターネット経由で接続するため、グローバルIPアドレスとポートを公開する必要がなく、外部からVPN機器に対して攻撃をされるようなこともなくなります。
ZPAについては、下記URLに詳しく記事にしています。
Zscaler(ZPA)による新しいセキュアなリモートアクセスの形
■ZDX
ZIAやZPAでユーザーがZscaler経由で利用するアプリケーションやユーザーのパソコン自体の情報(PC情報、CPU、メモリ、ディスク、ネットワーク、WiFi状況)などの情報を可視化するツールです。運用時に特定のユーザーから通信が遅いなどの問い合わせがあった場合にZDXを見て、そのユーザーの状況を把握することができます。
下の図のように、ユーザーから監視しているアプリケーションまでのパスなどを表示したりCPU値なども表示できるため、原因がユーザー側なのかアプリ側なのか、その間のネットワークなのかなども含めて把握して、特定と対処をすることができます。
導入後の構成図としては、以下のようなイメージになります。
※IDaaSはZIA及びZPAに設定します。
■ZIAのライセンス
ZIAのライセンスは基本的なエディションと用途に応じたオプションライセンスで構成されます。
まず初めに、基本的なエディションについて確認しておきましょう。ただし、下記に記載するものはすべてではなく主要なものとなります。
詳しいライセンス表については弊社までお問い合わせください。前回からの変更部分は青字にしています。
新しいライセンスではEssentialでも、M365などの「テナント制御」ができるようになりました。
| ライセンス | Essential | Business | Transformation | Unlimited |
|
認証SAML/SCIM,SecureLDAP,Kerberos,hosted |
〇 | 〇 | 〇 | 〇 |
|
トラフィックフォワーディング(IPSec/GRE、PACファイル) |
〇 | 〇 | 〇 | 〇 |
|
コンテンツフィルタリング (Webフィルタリング) |
〇 | 〇 | 〇 | 〇 |
| アンチウイルス/アンチスパイウェア | 〇 | 〇 | 〇 | 〇 |
| SSLインスペクション | 〇 | 〇 | 〇 | 〇 |
| 帯域コントロール | 〇 | 〇 | 〇 | |
| Advanced Threat Protection | 〇 | 〇 | 〇 | 〇 |
|
スタンダードサンドボックス (exe,dllファイルのみ) |
〇 | 〇 | 〇 | 〇 |
| アドバンスドクラウドサンドボックス | 〇 | 〇 | ||
| アドバンスドファイアウォール(L7制御) | 〇 | 〇 | ||
| IPSコントロール | 〇 | 〇 | ||
| ファイルタイプコントロール | 〇 | 〇 | 〇 | 〇 |
| CASB制御 | 〇 | 〇 | 〇 | 〇 |
| CASBによるテナント制御 | 〇 | 〇 | 〇 | 〇 |
|
データプロテクション(Essential) DLP機能だが、検知のみでブロック機能なし。一部の辞書のみ利用可能(PCI,PII,PHI) 追加ライセンスはコチラ |
〇 | 〇 | 〇 | |
|
アウトオブバンドCASB (メール以外のSaaSアプリ1つまで)※1 |
〇 | 〇 | 〇 | |
| データプロテクション(インラインWEB) | 〇 | |||
| ソースIPアンカリング(送信元IP固定)※2 | 〇 | |||
| ログ転送(オンプレSIEM) | 〇 | 〇 | 〇 | 〇 |
| ログ転送(クラウドSIEM) | 〇 | 〇 | ||
| ZIA Isolation(ブラウザ分離) Standard | 〇 | 〇 | ||
| ZIA Isolation(ブラウザ分離) Full | 〇 | |||
| ZDX Standard | 〇 | 〇 | 〇 |
※1:アウトオブバンドCASBは、ZIAが定期的にAPIで各アプリケーションに接続し、Zscaler以外からアップロードされたファイルなども含めて、アンチウイルスやDLP制御を行うことができます。
※2:ZIAのみを購入し、送信元IP固定をする場合は別途「Zero Trust Application Connecor:ZT-AAC」というライセンスが別途必要です。ZIA/ZPA両方購入する場合は標準で利用できるため、このオプションの購入は必要ありません。
アウトオブバンドCASBで利用できるSaaSアプリはコチラを参照ください
〇がない部分は、オプションライセンスとして購入できますので、どこまでが必要で何をオプションで購入する必要があるのかをしっかりと要件定義する必要があります。
「CASBによるテナント制御」については、下記のアプリケーションに対応しております。
| テナント制御アプリケーション |
| Youtube |
| Google Apps |
| Microsoft Login Services(M365) |
| Slack |
| Amazon Web Services |
| Dropbox |
| Webex Login Services |
| Zoho Login Services |
| Google Cloud Platform |
これらについては、会社が契約しているドメインやURLのみにアクセス可能とし、個人アカウントについてはブロックするような制御が可能です。
アウトオブバンドCASBで利用できるアプリケーションは下記になります。
| アウトオブバンド CASB |
| Amazon S3 |
| Bitbucket |
| Box |
| Citrix ShareFile |
| Confluence |
| Dropbox |
| GitHub |
| GitLab |
| Google Cloud |
| Google Drive |
| Google Workspace |
| Google Workspace Marketplace |
| Jira Software |
| Microsoft 365 |
| Microsoft Azure |
| Microsoft OneDrive |
| Microsoft SharePoint |
| Microsoft Teams |
| Okta |
| Salesforce |
| ServiceNow |
| Slack |
| Webex Teams |
DLPについては、追加オプション購入により実際のブロックやマイナンバー、クレジットカードなどの辞書が利用できます。
■ZIA データプロテクションのライセンス
| ライセンス | Essential | In-line Web | Advanced | Prime |
| DLPによる検知(通知、ブロック不可) | 〇 | 〇 | 〇 | 〇 |
|
インラインDLP (ブロック、すべての標準辞書利用、カスタム辞書作成、SaaSアプリ指定のDLP) |
〇 | 〇 | 〇 | |
|
アウトオブバンドCASB |
〇 | 〇 | ||
|
プライベートアプリへのDLP (要ZPAライセンス) |
〇 | 〇 | ||
|
EDM、IDM、OCRフォーマット対応 |
〇 | |||
|
ICAPレシーバ及びインシデント対応自動化ツールの提供 |
〇 |
「データプロテクション(インラインWEB)」以上を購入すると、下記のSaaSアプリに対してZIAを介してやり取りされるファイルなどのマルウェア対策やDLP対策が可能になります。
また、会社がとして保有しているドメインのみ通信許可とするようなことも可能です。
| クラウドアプリケーションインスタンス |
| Appspace |
| Bitbucket |
| Box |
| GoogleDrive |
| GitHub |
| Gmail |
| Launchpad |
| Microsoft Teams |
| Okta |
| OneDrive |
| Outlook |
| Quickbase |
| SharePoint |
| Slack |
| SouceForge |
| Workday |
| Zeplin |
| Zoom |
例えば、単品で「ZIA Business Edition」を購入して、上記のアプリケーションの細かい制御を行いたい場合は、別途「データプロテクション(インラインWEB)」以上のオプションライセンスの購入が必要になります。
■ZPAのライセンス
ZPAのライセンスも基本的なエディションと用途に応じたオプションライセンスで構成されます。
下記に記載するものはすべてではなく、主要なものとなります。
詳しいライセンス表については弊社までお問い合わせください。
| ライセンス | Essential | Business | Transformation | Unlimited |
| TCP/UDPベースのセキュアなアプリケーションアクセス | 〇 | 〇 | 〇 | 〇 |
| アプリケーションとサーバーの検出 | 〇 | 〇 | 〇 | 〇 |
|
ログ転送サービス (ログ転送用のAppConnector1組含む) |
〇 | 〇 | 〇 | 〇 |
| IDaaSとのSAML認証とSCIMサポート | 〇 | 〇 | 〇 | 〇 |
| デバイスポスチャ | 〇 | 〇 | 〇 | 〇 |
| ソースIPアンカリング(送信元IP固定) | 〇 | 〇 | 〇 | 〇 |
| アプリケーションの継続的なモニタリング | 〇 | 〇 | 〇 | 〇 |
| AppConnectorの継続的なモニタリング | 〇 | 〇 | 〇 | |
| アプリケーションセグメント作成数 | 10個まで | 500個まで | 無制限 | 無制限 |
| AppConnector作成数 | 20ペア(40個)まで | 50ペア(100個)まで | 無制限 | 無制限 |
| クライアントレスアクセス(ブラウザーアクセス) | 〇 | 〇 | 〇 | |
| プライベートアプリケーションのデータ保護 | 〇 | |||
| ZDX Standard | 〇 | 〇 | 〇 | |
| Zscaler Deception |
Standard (20デコイ、1デコイコネクタ) |
Advanced (150デコイ、5デコイコネクタ) |
Advanced Plus (500デコイ、10デコイコネクタ) |
|
| Private Service Edge | 〇(1ペアまで) | 〇(5ペアまで) | 〇(10ペアまで) | 〇(50ペアまで) |
ZIA同様に、〇がない部分は、オプションライセンスとして購入できますので、どこまでが必要で何をオプションで購入する必要があるのかをしっかりと要件定義する必要があります。
Zscaler Deceptionは、社内ネットワークにおとりのサーバなどを設置して、攻撃者の侵入、権限昇格、情報搾取などの行動を検知することができるものです。デコイコネクタを展開するため、別途仮想サーバ環境が必要になります。
Private Service Edgeは社内環境でもゼロトラスト化を実現するためのSDP機能になります。インターネット向けはZIA、リモートからのアクセスはZPAで対応できますが、社内間通信については直接通信となります。社内ではPrivate Service Edgeを介して通信をさせることで、社内通信においてもゼロトラスト化を実現できます。PrivateServiceEdgeの展開には、別途仮想環境サーバが必要になります。社内にいる場合は自動的にPrivate Service Edgeに接続し、社外にいる場合はパブリックなZPAのPoPに接続させることで、社内/外含めてのプライベートアクセスをゼロトラスト化することが可能となります。
要件によって、「ZIA Business Edition」と「ZPA Essential Edition」というような購入方法も可能です。
■ZDXのライセンス
今回は、ZDXのライセンスについても触れておきたいと思います。ZscalerのBusiness Edition以上を購入すると「Standard」は付属していますが、機能が制限されていますので詳しい分析や情報を収集したい場合は上位ライセンスも検討してください。
| ライセンス | Standard | Advanced | Advanced Plus |
| SaaSアプリやWebサイト、社内アプリの登録※1 | 〇 | 〇 | 〇 |
| UCaaS(TeamsやZoom)などの品質監視 | 〇 | 〇 | |
| デバイスモニタリング | 〇 | 〇 | 〇 |
|
デバイスのソフトウェアインベントリ (ソフトウェア一覧のバージョン) |
〇 | 〇 | |
| CloudPath及びWebプローブ(監視アプリ登録数) | 6 | 30 |
100 |
|
エンドtoエンドのクラウドパス(通信経路可視化) ユーザーからGatewayまで、GatewayからZscaler Cloudまで、Zscaler Cloudから宛先まで |
〇 | 〇 | 〇 |
|
高度なエンドtoエンドのクラウドパス すべてのホップ詳細可視化(ISP名、AS番号含む) |
〇 | 〇 | |
| 監視間隔 | 15分間隔 | 5分間隔 | 5分間隔 |
|
DeepTracing (トラブルシューティング用のトレースログ収集) |
〇 | 〇 | |
| アラートルール設定数 | 3 | 25 | 25 |
| データ保持期間 | 2日 | 14日 | 14日 |
※1:接続到達性を確認するための、SaaSアプリやWebサイト登録は「ZIA」、内部アプリについては「ZPA」の契約が必要です。
■ZIAとZPAのパッケージングライセンス(Zscaler for Users)
Zscalerには「Zscaler for Users」というZIAとZPAのライセンスがパッケージングされたライセンスもあります。
例えば、「Zscaler for Users Business Edition」を購入することで、それぞれでBusinessを買うよりも単品のBusinessエディションではつかない「データプロテクション(インラインWEB)」が同梱されます。
今回のライセンス変更ではこちらが大きく変更されています。(エディションが多いので二つに分けています)
| ライセンス | Business | Business Plus | Business Prime |
| ZIA | Business Edtion | Business Edtion | Business Edtion |
| ZPA | Business Edtion | Business Edtion | Business Edtion |
| 付属オプション |
・データプロテクション(In-lineWEB) ・ZDX Standard |
下記の4つから1つをアップグレード、または追加可能 ■ZIA Transformation ■ZPA Transformation ■データプロテクション(Advanecd) ■ZDX Advanced |
下記の4つから2つをアップグレード、または追加可能 ■ZIA Transformation ■ZPA Transformation ■データプロテクション(Advanecd) ■ZDX Advanced |
| ライセンス | Transformation | Transformation Plus | ELA |
| ZIA | Transformation Edition | Business Edtion | Unlimited Edtion |
|
ZPA |
Transformation Edition | Business Edtion | Unlimited Edtion |
| 付属オプション |
・データプロテクション(Advanced) ・ZDX Advanced |
・データプロテクション(Advanced Prime) ・ZDX Advanced |
・データプロテクション(Advanced Prime) ・ZDX Advanced |
まとめ
いかがでしたでしょうか。
前回はZIA/ZPA/Zscaler for Usersがメインでしたが、今回は、ZDXやデータプロテクション、新しくライセンスが追加されたZscaer for Usersも追加し、一通りのライセンスは全て網羅しています。
実際の案件では、お客様とのヒヤリングをしっかりと実施してどこまでの要件が必要なのか、オプションライセンスは何がどこまで必要なのかをしっかりと確認し要件定義をすることが重要になってきます。
また、ZscalerはPoCを実施してから導入することを強くお勧めします。
弊社では、Zscalerの勉強会や希望に応じてハンズオンなども実施しておりますので、担当営業までご相談いただければ幸いです。
Zscalerに関する記事一覧
著者紹介
SB C&S株式会社
ICT事業本部 技術本部 第3技術部 2課
大東 智裕 - Tomohiro Daito -
SIer、エンドユーザー情シス/マーケなどを経て、2022年より現職。
九州・中国地区でネットワーク/セキュリティ/ゼロトラストを中心としたプリセールスエンジニアを担当。
