SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

Zscaler FY25 ZIA/ZPAのライセンス体系について(2024年10月版)

ゼロトラスト
2024.10.29

皆さん、こんにちは。

SB C&Sでネットワーク/セキュリティ関連のプリセールスを担当している 大東です。

Zscalerの新しいライセンス体系がスタートしました。

FY24と比べてかなり変更が入っております。

当ブログを参考にしていただき、Zscalerのライセンスやエディション選定に役立てていただければと思います。

Zscalerの会計年度は8月~翌年7月のため、FY25のライセンス体系という形になっております。

※前回の記事コチラ

Zscaler ZIA/ZPAのライセンス体系(FY24)について

Zscalerの製品群について

ここでは、主製品とされる「ZIA」、「ZPA」について説明を行います。また、ZscalerのDEM(Digital Experience Monitoring)製品である「ZDX」も併せて説明します。

img.png

■ZIA(Zscaler Internet Access)

インターネットやSaaSアプリ向けの通信など、外部通信におけるクラウド上の「セキュアWEBプロキシ」製品となります。

主に、SSLインスペクション/URLフィルタ/NGAV/IPS/FWaaS/CASB/DLPといった機能があります。これらの機能について、これまでのオンプレ設計の場合は他社製品との連携で暗号化をほどいて中身をチェックして次のセキュリティ製品に送ってさらにチェックして・・・と数珠つなぎのような形でセキュリティチェックをしていましたが、ZIAでは「SSMA:Single Scan Multi-Action」という技術により、SSLインスペクションで暗号化をほどいたのち、並行してNGAVやIPS、DLPなどのセキュリティチェックをかけることができ、パケット処理の速度が速く、遅延もほぼ感じない形で通信することが可能です。

FY24からFY25にかけてはAI/ML(Machine Learning)の分野にも力を入れており、Zscalerを経由する通信を分析し、機密情報の発見や制御などもできるようになるなど常に発展を遂げている製品です。

■ZPA (Zscaler Private Access)

ユーザーが社外や出張先、カフェなどから社内や自社データセンター、プライベートクラウド内の内部サーバーやアプリケーションに通信する際に利用されるVPNに代表されるリモートアクセスの製品です。

これまでのように、自社にVPN接続用の機器を準備してグローバルIPアドレスとポートを公開して接続を待つのではなく、ユーザーのリクエストに応じて、クラウド(ZPA上)でデータセンター内のサーバーと接続し通信をさせる仕組みです。

また、ゼロトラスト通信のため、通信があるたびに常にユーザー状況や通信内容をチェックして、ポリシーに合致しなければアプリケーションへの到達はできません。

データセンター内には「AppConnector」という仮想マシンが必要になりますが、内部サーバーとしてZPA側にインターネット経由でトンネル接続するため、グローバルIPアドレスとポートを公開する必要がなく、外部からVPN機器に対して攻撃をされるようなこともなくなります。

ZPAについては、下記URLに詳しく記事にしています。

Zscaler(ZPA)による新しいセキュアなリモートアクセスの形

■ZDX

ZIAやZPAを用いて、ユーザーがZscaler経由で利用するアプリケーションやユーザーのパソコン情報の情報(PC情報、CPU、メモリ、ディスク、ネットワーク、WiFi状況)などの情報を可視化するツールです。また、パソコンから各アプリケーションや個別アプリケーションへの接続監視なども行い、その情報も可視化してくれます。

導入後の運用時に特定のユーザーから通信が遅いなどの問い合わせがあった場合にZDXを見て、そのユーザーの状況を詳細に把握することができます。

下の図のように、ユーザーから監視しているアプリケーションまでのパスなどを表示したりCPU値なども表示できるため、原因がユーザー側なのかアプリ側なのか、その間のネットワークなのかなども含めて把握して、特定と対処をすることができます。

gazou.png

FY25のライセンス体系

FY24まではZIA、ZPAの機能によりエディションが分かれていました。

FY25からは基本的に「Zscaler Essential Platform 」or「Zscaler Platform」、「Private Access Platform」の基本プランを選択し、そこに対して必要なオプションを加えていくような体系に変更となりました。

※オプションについては、主要なものだけを記載しております。


img.png


 

基本ライセンス

Zscaler Essential

Platform

Zscaler Platform Zscaler Private Access

含まれる機能

・ZIA機能のみ

・ZDX(機能限定版)

・ZIA、ZPA、ZDX(Standard)

※ZPAはアプリケーションセグメント20個まで

※AppConnector無制限

・データプロテクション(インラインDLP:ZIA,ZPA共に)

・ZPA プライベートサービスエッジ

・送信元IP固定

・ZPA、ZDX(Standard)

※ZPAはアプリケーションセグメント20個まで

※AppConnector無制限

・ZPA プライベートサービスエッジ

上記の基本3ライセンスについての機能を見ていきましょう。

ライセンス Zscaler Essential Platform Zscaler Platform Zscaler Private Access

認証SAML/SCIM,SecureLDAP,Kerberos,hosted

※マルチIDP対応

■ZIA系機能

トラフィックフォワーディング(IPSec/GRE、PACファイル)

コンテンツフィルタリング

(Webフィルタリング)

アンチウイルス/アンチスパイウェア
ファイルタイプコントロール
SSLインスペクション
帯域コントロール

送信元IP固定(お客様保有IP)※2

※別費用でZscaler側でIP固定も可能

ファイアウォール機能(L4レベル)

スタンダードサンドボックス

(exe,dll,ZIPファイルのみ)詳細制御不可

ブラウザアイソレーション(Standard)

アドバンスドファイアウォール(L7制御やユーザー/グループ制御)

・IPS機能、DNSセキュリティ

アドバンスドサンドボックス
CASB制御

CASBによるテナント制御

データプロテクション(モニター)

DLP機能だが、検知のみでブロック機能なし。一部の辞書のみ利用可能(PCI,PII,PHI)

追加ライセンスはコチラ

データプロテクション(インラインWEB)

ZIA、ZPA共に対応したデータプロテクション機能

(ブロック、すべての標準辞書利用、カスタム辞書作成、SaaSアプリ指定のDLP)

アウトオブバンドCASB

(メール以外のSaaSアプリ1つまで)※1

デバイスポスチャ
ログ転送(オンプレSIEM)

ログ転送(クラウドSIEM)

△(500ライセンス以上で利用可能) △(500ライセンス以上で利用可能)
■ZPA系機能
TCP/UDPベースのセキュアなアプリケーションアクセス
アプリケーションとサーバーの検出

ログ転送サービス

(ログ転送用のAppConnector1組含む)

アプリケーションの継続的なモニタリング

AppConnectorの継続的なモニタリング
アプリケーションセグメント作成数 (20個まで) (20個まで)
AppConnector作成数 制限なし 制限なし
クライアントレスアクセス(ブラウザーアクセス)
プライベートアプリケーションのデータ保護

Zscaler Deception 

※500ユーザー以上で利用可能

500名以下でもオプションで購入可能

Standard

(20デコイ、1デコイコネクタ)

Standard

(20デコイ、1デコイコネクタ)

ZPA プライベートサービスエッジ

※仮想版であれば作成数は無制限

※自社用のPoP展開(コチラを参照)

ZDX系機能
デバイスモニタリング
SaaSアプリやWebサイト、社内アプリの登録※3 デフォルト定義済みのだけ
UCaaS(TeamsやZoom)などの品質監視

デバイスのソフトウェアインベントリ

(ソフトウェア一覧のバージョン)

CloudPath及びWebプローブ(監視アプリ登録数) 〇(3個まで) 〇(3個まで)

エンドtoエンドのクラウドパス(通信経路可視化)

ユーザーからGatewayまで、GatewayからZscaler Cloudまで、Zscaler Cloudから宛先まで

高度なエンドtoエンドのクラウドパス

すべてのホップ詳細可視化(ISP名、AS番号含む)

アプリの監視間隔 15分間隔 15分間隔

DeepTracing

(トラブルシューティング用のトレースログ収集)

データ保持期間

なし

(リアルタイムのみ)

2日 2日

※1:アウトオブバンドCASBは、ZIAが定期的にAPIで各アプリケーションに接続し、Zscaler以外からアップロードされたファイルなども含めて、アンチウイルスやDLP制御を行うことができます。

※2:ZIAのみを購入し、送信元IP固定をする場合は別途「ZS-SIPA」というライセンスが別途必要です。ZIA/ZPA両方購入する場合は標準で利用できるため、このオプションの購入は必要ありません。

※3:接続到達性を確認するための、SaaSアプリやWebサイト登録は「ZIA」、内部アプリについては「ZPA」の契約が必要です。

アウトオブバンドCASBで利用できるSaaSアプリはコチラを参照ください

〇がない部分は、オプションライセンスとして購入できますので、どこまでが必要で何をオプションで購入する必要があるのかをしっかりと要件定義する必要があります。

CASBによるテナント制御」については、下記のアプリケーションに対応しております。

テナント制御アプリケーション
Youtube
Google Apps
Microsoft Login Services(M365)
Slack
Amazon Web Services
Dropbox
Webex Login Services
Zoho Login Services
Google Cloud Platform
IBM Smart Cloud

これらについては、会社が契約しているドメインやURLのみにアクセス可能とし、個人アカウントについてはブロックするような制御が可能です。

アウトオブバンドCASBで利用できるアプリケーションは下記になります。


アウトオブバンド CASB
コラボレーション Microsoft Teams
Slack
Webex Meeting
CRM Dynamics365
Salesforce
Email Microsoft Exchange
Gmail
ファイルシェア Box
Confulence
Dropbox
Google Drive
Microsoft OneDrive
Citrix ShareFile
Microsoft SharePoint
SmartSheet
ITSM Jira Software
ServiceNow
Public Cloud Strage Amazon S3
Google Cloud Platform
Microsoft Azure
セキュアコードリポジトリ


Bitbucket
GitHub
Gitlab

データプロテクション(インラインWEB)」を購入すると、下記のSaaSアプリテナントに対してZIAを介してやり取りされるファイルなどのマルウェア対策やDLP対策が可能になります。

また、会社がとして保有しているドメインのみ通信許可とするようなことも可能です。

SaaSアプリケーションテナント
box
Microsoft OneDrive
Microsoft Sharepoint
Google Drive
Gmail
Microsoft Exchange
Dropbox
Salesforce
Citrix ShareFile
GitHub
servicenow
Google Workspace
slack
Webex Teams
Jira Software
BitBucket
Confluence
okta
Microsoft Teams
GitLab
Microsoft Dynamics365
smartsheet
Office365

FY25のZscalerオプション

改めてオプションライセンスについてみていきましょう。上記の基本ライセンスにない機能についてはすべてオプションとなっており、必要なオプションを選択していく形となっております。

※オプションライセンスについては、主要なものを記載しております。他のオプションについては弊社営業までお問い合わせください。

img.png

また、オプションライセンスについては、各機能においてそれぞれの項目を購入する形になります。

例えば、「DataProtection」の場合、「ZS-DP-1」「ZS-DP-2」「ZS-DP-3」「ZS-DP-4」という購入体系になっており、「ZS-DP-1」だと上記の4つの項目から1つを選択、「ZS-DP-2」だと2つを選択するようなイメージになります。

ZDXについては、どちらかのライセンスを購入する形になります。

■Data Protectionオプション

オプションライセンス

※SKUにより、以下から選択

機能説明

Email DLP

メール DLP(Microsoft Exchange、Google)におけるDLP

EndPoint DLP

※エンドポイント上のデータ検出、リムーバブルストレージ、ローカルネットワーク共有におけるDLP機能

SaaS Security Advanced

アウトオブバンドCASB(すべてのSaaSアプリ)

※メール以外

Classfication & Encryption Advanced

EDM、IDM、OCR などの機密ファイルの暗号化、編集、透かし、データ分類機能

■Cyber Therat Protectionオプション

ライセンス

※SKUにより、以下から選択

機能説明

アドバンスド Sandbox

・exe,dllファイル含むすべての拡張子対応

・ユーザー単位やURLカテゴリ単位、プロトコルなど詳細制御 など

・ゼロデイの分析

アドバンスド Firewall

・L7レベルでのFW制御

・IPS機能、DNSセキュリティ

・ユーザーやグループ、時間帯、デバイスの信頼レベルに応じた制御 など

Cyber Browser Isolation Advanced

・ブラウザアイソレーション(RBI機能)

・アップロード/ダウンロードの防止、クリップボードコントロール

・モバイルブラウザサポート など

■Private Access(ZPA)オプション

FY25のライセンスより、アプリケーションセグメント(プライベートアクセス先を指定する項目)はデフォルトの20個となります。それ以上が必要な場合は必ず、Segmentationのオプションを購入する必要がありますのでご注意ください。

ひとつのアプリケーションセグメント内に複数の宛先(FQDNやネットワークセグメント)を追加することは可能ですが、ポート指定は共通となります。

ライセンス

※SKUにより、以下から選択

Segmentation

Segmentation

・アプリケーションセグメント作成数無制限

App Protection

・プライベートアクセス通信における保護

内部Webサーバに対してのSQLインジェクション、クロスサイト スクリプティング(XSS)などの攻撃から保護し、WAFのような機能を提供します。

OWASPの定義済みコントロールのあらゆるタイプの攻撃から内部アプリケーションを保護します。

■Digital eXperience(ZDX)オプション

ZDXのライセンスについても触れておきたいと思います。Zscaler Platform または Zscaler Private Accessの基本ライセンスを購入すると「Standard」は付属していますが、機能が制限されていますので詳しい分析や情報を収集したい場合は上位ライセンスも検討してください。

ライセンス Advanced Advanced Plus
UCaaS(TeamsやZoom)などの品質監視
CloudPath及びWebプローブ(監視アプリ登録数) 30 100

エンドtoエンドのクラウドパス(通信経路可視化)

ユーザーからGatewayまで、GatewayからZscaler Cloudまで、Zscaler Cloudから宛先まで

高度なエンドtoエンドのクラウドパス

すべてのホップ詳細可視化(ISP名、AS番号含む)

監視間隔 5分間隔 5分間隔

DeepTracing

(トラブルシューティング用のトレースログ収集)

インシデントレポート機能

データ保持期間 14日 14日

詳しいライセンスについては弊社までお問い合わせください。

まとめ

いかがでしたでしょうか。

FY24と比べて「基本ライセンス+オプション」という買い方に変更となりました。エディションがなくなったため、機能によっては上限数が撤廃されたりしております。オプションについてのラインナップがかなり増えたことで柔軟な買い方ができることも一つに魅力となります。

実際の案件では、お客様とのヒヤリングをしっかりと実施してどこまでの要件が必要なのか、オプションライセンスは何がどこまで必要なのかをしっかりと確認し要件定義をすることが重要になってきます。

また、ZscalerはPoCを実施してから導入することを強くお勧めします。

弊社では、Zscalerの勉強会や希望に応じてハンズオンなども実施しておりますので、担当営業までご相談いただければ幸いです。

Zscalerに関する記事一覧

著者紹介

SB C&S株式会社
ICT事業本部 技術本部 第3技術部 2課
大東 智裕 - Tomohiro Daito -

SIer、エンドユーザー情シス/マーケなどを経て、2022年より現職。
九州・中国地区でネットワーク/セキュリティ/ゼロトラストを中心としたプリセールスエンジニアを担当。