皆さん、こんにちは。
SB C&Sでネットワーク/セキュリティ関連のプリセールスを担当している 大東です。
Zscalerの新しいライセンス体系がスタートしました。
FY24と比べてかなり変更が入っております。
当ブログを参考にしていただき、Zscalerのライセンスやエディション選定に役立てていただければと思います。
Zscalerの会計年度は8月~翌年7月のため、FY25のライセンス体系という形になっております。
※前回の記事コチラ
Zscaler ZIA/ZPAのライセンス体系(FY24)について
Zscalerの製品群について
ここでは、主製品とされる「ZIA」、「ZPA」について説明を行います。また、ZscalerのDEM(Digital Experience Monitoring)製品である「ZDX」も併せて説明します。
■ZIA(Zscaler Internet Access)
インターネットやSaaSアプリ向けの通信など、外部通信におけるクラウド上の「セキュアWEBプロキシ」製品となります。
主に、SSLインスペクション/URLフィルタ/NGAV/IPS/FWaaS/CASB/DLPといった機能があります。これらの機能について、これまでのオンプレ設計の場合は他社製品との連携で暗号化をほどいて中身をチェックして次のセキュリティ製品に送ってさらにチェックして・・・と数珠つなぎのような形でセキュリティチェックをしていましたが、ZIAでは「SSMA:Single Scan Multi-Action」という技術により、SSLインスペクションで暗号化をほどいたのち、並行してNGAVやIPS、DLPなどのセキュリティチェックをかけることができ、パケット処理の速度が速く、遅延もほぼ感じない形で通信することが可能です。
FY24からFY25にかけてはAI/ML(Machine Learning)の分野にも力を入れており、Zscalerを経由する通信を分析し、機密情報の発見や制御などもできるようになるなど常に発展を遂げている製品です。
■ZPA (Zscaler Private Access)
ユーザーが社外や出張先、カフェなどから社内や自社データセンター、プライベートクラウド内の内部サーバーやアプリケーションに通信する際に利用されるVPNに代表されるリモートアクセスの製品です。
これまでのように、自社にVPN接続用の機器を準備してグローバルIPアドレスとポートを公開して接続を待つのではなく、ユーザーのリクエストに応じて、クラウド(ZPA上)でデータセンター内のサーバーと接続し通信をさせる仕組みです。
また、ゼロトラスト通信のため、通信があるたびに常にユーザー状況や通信内容をチェックして、ポリシーに合致しなければアプリケーションへの到達はできません。
データセンター内には「AppConnector」という仮想マシンが必要になりますが、内部サーバーとしてZPA側にインターネット経由でトンネル接続するため、グローバルIPアドレスとポートを公開する必要がなく、外部からVPN機器に対して攻撃をされるようなこともなくなります。
ZPAについては、下記URLに詳しく記事にしています。
Zscaler(ZPA)による新しいセキュアなリモートアクセスの形
■ZDX
ZIAやZPAを用いて、ユーザーがZscaler経由で利用するアプリケーションやユーザーのパソコン情報の情報(PC情報、CPU、メモリ、ディスク、ネットワーク、WiFi状況)などの情報を可視化するツールです。また、パソコンから各アプリケーションや個別アプリケーションへの接続監視なども行い、その情報も可視化してくれます。
導入後の運用時に特定のユーザーから通信が遅いなどの問い合わせがあった場合にZDXを見て、そのユーザーの状況を詳細に把握することができます。
下の図のように、ユーザーから監視しているアプリケーションまでのパスなどを表示したりCPU値なども表示できるため、原因がユーザー側なのかアプリ側なのか、その間のネットワークなのかなども含めて把握して、特定と対処をすることができます。
FY25のライセンス体系
FY24まではZIA、ZPAの機能によりエディションが分かれていました。
FY25からは基本的に「Zscaler Essential Platform 」or「Zscaler Platform」、「Private Access Platform」の基本プランを選択し、そこに対して必要なオプションを加えていくような体系に変更となりました。
※オプションについては、主要なものだけを記載しております。
基本ライセンス |
Zscaler Essential Platform |
Zscaler Platform | Zscaler Private Access |
含まれる機能 |
・ZIA機能のみ ・ZDX(機能限定版) |
・ZIA、ZPA、ZDX(Standard) ※ZPAはアプリケーションセグメント20個まで ※AppConnector無制限 ・データプロテクション(インラインDLP:ZIA,ZPA共に) ・ZPA プライベートサービスエッジ ・送信元IP固定 |
・ZPA、ZDX(Standard) ※ZPAはアプリケーションセグメント20個まで ※AppConnector無制限 ・ZPA プライベートサービスエッジ |
上記の基本3ライセンスについての機能を見ていきましょう。
ライセンス | Zscaler Essential Platform | Zscaler Platform | Zscaler Private Access |
認証SAML/SCIM,SecureLDAP,Kerberos,hosted ※マルチIDP対応 |
〇 | 〇 | 〇 |
■ZIA系機能 |
|||
トラフィックフォワーディング(IPSec/GRE、PACファイル) |
〇 | 〇 | 〇 |
コンテンツフィルタリング (Webフィルタリング) |
〇 | 〇 | |
アンチウイルス/アンチスパイウェア | 〇 | 〇 | |
ファイルタイプコントロール | 〇 | 〇 | |
SSLインスペクション | 〇 | 〇 | |
帯域コントロール | 〇 | 〇 | |
送信元IP固定(お客様保有IP)※2 ※別費用でZscaler側でIP固定も可能 |
〇 | ||
ファイアウォール機能(L4レベル) | 〇 | 〇 | |
スタンダードサンドボックス (exe,dll,ZIPファイルのみ)詳細制御不可 |
〇 | 〇 | |
ブラウザアイソレーション(Standard) |
〇 | 〇 | |
アドバンスドファイアウォール(L7制御やユーザー/グループ制御) ・IPS機能、DNSセキュリティ |
|||
アドバンスドサンドボックス | |||
CASB制御 | 〇 | 〇 | |
CASBによるテナント制御 |
〇 | 〇 | |
データプロテクション(モニター) DLP機能だが、検知のみでブロック機能なし。一部の辞書のみ利用可能(PCI,PII,PHI) 追加ライセンスはコチラ |
〇 | ||
データプロテクション(インラインWEB) ZIA、ZPA共に対応したデータプロテクション機能 (ブロック、すべての標準辞書利用、カスタム辞書作成、SaaSアプリ指定のDLP) |
〇 | ||
アウトオブバンドCASB (メール以外のSaaSアプリ1つまで)※1 |
〇 | ||
デバイスポスチャ | 〇 | 〇 | 〇 |
ログ転送(オンプレSIEM) | 〇 | 〇 | 〇 |
ログ転送(クラウドSIEM) |
△(500ライセンス以上で利用可能) | △(500ライセンス以上で利用可能) | |
■ZPA系機能 | |||
TCP/UDPベースのセキュアなアプリケーションアクセス | 〇 | 〇 | |
アプリケーションとサーバーの検出 | 〇 | 〇 | |
ログ転送サービス (ログ転送用のAppConnector1組含む) |
〇 | 〇 | |
アプリケーションの継続的なモニタリング |
〇 |
〇 |
|
AppConnectorの継続的なモニタリング | 〇 | 〇 | |
アプリケーションセグメント作成数 | 〇(20個まで) | 〇(20個まで) | |
AppConnector作成数 | 制限なし | 制限なし | |
クライアントレスアクセス(ブラウザーアクセス) | 〇 | 〇 | |
プライベートアプリケーションのデータ保護 | |||
Zscaler Deception ※500ユーザー以上で利用可能 500名以下でもオプションで購入可能 |
Standard (20デコイ、1デコイコネクタ) |
Standard (20デコイ、1デコイコネクタ) |
|
ZPA プライベートサービスエッジ ※仮想版であれば作成数は無制限 ※自社用のPoP展開(コチラを参照) |
〇 | 〇 | |
■ZDX系機能 | |||
デバイスモニタリング | 〇 | 〇 | 〇 |
SaaSアプリやWebサイト、社内アプリの登録※3 | デフォルト定義済みのだけ | 〇 | 〇 |
UCaaS(TeamsやZoom)などの品質監視 | |||
デバイスのソフトウェアインベントリ (ソフトウェア一覧のバージョン) |
〇 | 〇 | 〇 |
CloudPath及びWebプローブ(監視アプリ登録数) | 〇(3個まで) | 〇(3個まで) | |
エンドtoエンドのクラウドパス(通信経路可視化) ユーザーからGatewayまで、GatewayからZscaler Cloudまで、Zscaler Cloudから宛先まで |
〇 | 〇 | 〇 |
高度なエンドtoエンドのクラウドパス すべてのホップ詳細可視化(ISP名、AS番号含む) |
|||
アプリの監視間隔 | 15分間隔 | 15分間隔 | |
DeepTracing (トラブルシューティング用のトレースログ収集) |
|||
データ保持期間 |
なし (リアルタイムのみ) |
2日 | 2日 |
※1:アウトオブバンドCASBは、ZIAが定期的にAPIで各アプリケーションに接続し、Zscaler以外からアップロードされたファイルなども含めて、アンチウイルスやDLP制御を行うことができます。
※2:ZIAのみを購入し、送信元IP固定をする場合は別途「ZS-SIPA」というライセンスが別途必要です。ZIA/ZPA両方購入する場合は標準で利用できるため、このオプションの購入は必要ありません。
※3:接続到達性を確認するための、SaaSアプリやWebサイト登録は「ZIA」、内部アプリについては「ZPA」の契約が必要です。
アウトオブバンドCASBで利用できるSaaSアプリはコチラを参照ください
〇がない部分は、オプションライセンスとして購入できますので、どこまでが必要で何をオプションで購入する必要があるのかをしっかりと要件定義する必要があります。
「CASBによるテナント制御」については、下記のアプリケーションに対応しております。
テナント制御アプリケーション |
Youtube |
Google Apps |
Microsoft Login Services(M365) |
Slack |
Amazon Web Services |
Dropbox |
Webex Login Services |
Zoho Login Services |
Google Cloud Platform |
IBM Smart Cloud |
これらについては、会社が契約しているドメインやURLのみにアクセス可能とし、個人アカウントについてはブロックするような制御が可能です。
アウトオブバンドCASBで利用できるアプリケーションは下記になります。
アウトオブバンド CASB |
|
コラボレーション | Microsoft Teams |
Slack | |
Webex Meeting | |
CRM | Dynamics365 |
Salesforce | |
Microsoft Exchange | |
Gmail | |
ファイルシェア | Box |
Confulence | |
Dropbox | |
Google Drive | |
Microsoft OneDrive | |
Citrix ShareFile | |
Microsoft SharePoint | |
SmartSheet | |
ITSM | Jira Software |
ServiceNow | |
Public Cloud Strage | Amazon S3 |
Google Cloud Platform | |
Microsoft Azure | |
セキュアコードリポジトリ |
Bitbucket |
GitHub | |
Gitlab |
「データプロテクション(インラインWEB)」を購入すると、下記のSaaSアプリテナントに対してZIAを介してやり取りされるファイルなどのマルウェア対策やDLP対策が可能になります。
また、会社がとして保有しているドメインのみ通信許可とするようなことも可能です。
SaaSアプリケーションテナント |
box |
Microsoft OneDrive |
Microsoft Sharepoint |
Google Drive |
Gmail |
Microsoft Exchange |
Dropbox |
Salesforce |
Citrix ShareFile |
GitHub |
servicenow |
Google Workspace |
slack |
Webex Teams |
Jira Software |
BitBucket |
Confluence |
okta |
Microsoft Teams |
GitLab |
Microsoft Dynamics365 |
smartsheet |
Office365 |
FY25のZscalerオプション
改めてオプションライセンスについてみていきましょう。上記の基本ライセンスにない機能についてはすべてオプションとなっており、必要なオプションを選択していく形となっております。
※オプションライセンスについては、主要なものを記載しております。他のオプションについては弊社営業までお問い合わせください。
また、オプションライセンスについては、各機能においてそれぞれの項目を購入する形になります。
例えば、「DataProtection」の場合、「ZS-DP-1」「ZS-DP-2」「ZS-DP-3」「ZS-DP-4」という購入体系になっており、「ZS-DP-1」だと上記の4つの項目から1つを選択、「ZS-DP-2」だと2つを選択するようなイメージになります。
ZDXについては、どちらかのライセンスを購入する形になります。
■Data Protectionオプション
オプションライセンス ※SKUにより、以下から選択 |
機能説明 |
Email DLP |
メール DLP(Microsoft Exchange、Google)におけるDLP |
EndPoint DLP |
※エンドポイント上のデータ検出、リムーバブルストレージ、ローカルネットワーク共有におけるDLP機能 |
SaaS Security Advanced |
アウトオブバンドCASB(すべてのSaaSアプリ) ※メール以外 |
Classfication & Encryption Advanced |
EDM、IDM、OCR などの機密ファイルの暗号化、編集、透かし、データ分類機能 |
■Cyber Therat Protectionオプション
ライセンス ※SKUにより、以下から選択 |
機能説明 |
アドバンスド Sandbox |
・exe,dllファイル含むすべての拡張子対応 ・ユーザー単位やURLカテゴリ単位、プロトコルなど詳細制御 など ・ゼロデイの分析 |
アドバンスド Firewall |
・L7レベルでのFW制御 ・IPS機能、DNSセキュリティ ・ユーザーやグループ、時間帯、デバイスの信頼レベルに応じた制御 など |
Cyber Browser Isolation Advanced |
・ブラウザアイソレーション(RBI機能) ・アップロード/ダウンロードの防止、クリップボードコントロール ・モバイルブラウザサポート など |
■Private Access(ZPA)オプション
FY25のライセンスより、アプリケーションセグメント(プライベートアクセス先を指定する項目)はデフォルトの20個となります。それ以上が必要な場合は必ず、Segmentationのオプションを購入する必要がありますのでご注意ください。
※ひとつのアプリケーションセグメント内に複数の宛先(FQDNやネットワークセグメント)を追加することは可能ですが、ポート指定は共通となります。
ライセンス ※SKUにより、以下から選択 |
Segmentation |
Segmentation |
・アプリケーションセグメント作成数無制限 |
App Protection |
・プライベートアクセス通信における保護 内部Webサーバに対してのSQLインジェクション、クロスサイト スクリプティング(XSS)などの攻撃から保護し、WAFのような機能を提供します。 OWASPの定義済みコントロールのあらゆるタイプの攻撃から内部アプリケーションを保護します。 |
■Digital eXperience(ZDX)オプション
ZDXのライセンスについても触れておきたいと思います。Zscaler Platform または Zscaler Private Accessの基本ライセンスを購入すると「Standard」は付属していますが、機能が制限されていますので詳しい分析や情報を収集したい場合は上位ライセンスも検討してください。
ライセンス | Advanced | Advanced Plus |
UCaaS(TeamsやZoom)などの品質監視 | 〇 | 〇 |
CloudPath及びWebプローブ(監視アプリ登録数) | 30 | 100 |
エンドtoエンドのクラウドパス(通信経路可視化) ユーザーからGatewayまで、GatewayからZscaler Cloudまで、Zscaler Cloudから宛先まで |
〇 | 〇 |
高度なエンドtoエンドのクラウドパス すべてのホップ詳細可視化(ISP名、AS番号含む) |
〇 | 〇 |
監視間隔 | 5分間隔 | 5分間隔 |
DeepTracing (トラブルシューティング用のトレースログ収集) |
〇 | 〇 |
インシデントレポート機能 |
〇 | |
データ保持期間 | 14日 | 14日 |
詳しいライセンスについては弊社までお問い合わせください。
まとめ
いかがでしたでしょうか。
FY24と比べて「基本ライセンス+オプション」という買い方に変更となりました。エディションがなくなったため、機能によっては上限数が撤廃されたりしております。オプションについてのラインナップがかなり増えたことで柔軟な買い方ができることも一つに魅力となります。
実際の案件では、お客様とのヒヤリングをしっかりと実施してどこまでの要件が必要なのか、オプションライセンスは何がどこまで必要なのかをしっかりと確認し要件定義をすることが重要になってきます。
また、ZscalerはPoCを実施してから導入することを強くお勧めします。
弊社では、Zscalerの勉強会や希望に応じてハンズオンなども実施しておりますので、担当営業までご相談いただければ幸いです。
Zscalerに関する記事一覧
著者紹介
SB C&S株式会社
ICT事業本部 技術本部 第3技術部 2課
大東 智裕 - Tomohiro Daito -
SIer、エンドユーザー情シス/マーケなどを経て、2022年より現職。
九州・中国地区でネットワーク/セキュリティ/ゼロトラストを中心としたプリセールスエンジニアを担当。