皆さん、こんにちは。
SB C&Sでネットワーク/セキュリティ関連のプリセールスを担当している 大東です。
2025年8月よりFY26のZscalerの新しいライセンス体系がスタートしました。
※Zscalerの会計年度は8月~翌年7月のため、FY26のライセンス体系という形になっております。
FY26については、FY25とさほど変更はありませんが、いくつか機能などが追加されています。
大きいところでは、全プランで「ZDX Standard」が標準実装されました。
当ブログを参考にしていただき、Zscalerのライセンスやエディション選定に役立てていただければと思います。
※前回の記事コチラ
Zscaler ZIA/ZPAのライセンス体系(FY25)について
Zscalerの製品群について
ここでは、主製品とされる「ZIA」、「ZPA」について説明を行います。また、ZscalerのDEM(Digital Experience Monitoring)製品である「ZDX」も併せて説明します。
Zscaler製品のZIA/ZPA/ZDXには様々な機能がありますが、主要なものについては下記のようなものが備わっています。
■ZIA(Zscaler Internet Access)
ZIAは、インターネットやSaaSアプリ向けの通信など、外部通信におけるクラウド上の「セキュアWEBプロキシ」製品となります。
主に、URLフィルタ/NGAV/IPS/FWaaS/CASB/DLPといった機能があります。これらの機能について、これまでのオンプレ設計の場合は他社製品との連携で暗号化をほどいて中身をチェックして次のセキュリティ製品に送ってさらにチェックして・・・と数珠つなぎのような形でセキュリティチェックをしていましたが、ZIAでは「SSMA:Single Scan Multi-Action」という技術により、SSLインスペクションで暗号化をほどいたのち、並行してNGAVやIPS、DLPなどのセキュリティチェックをかけることができ、パケット処理の速度が速く、遅延もほぼ感じない形で通信することが可能です。
また、SSLインスペクションについては非常に強力であり、HTTPSなどの暗号化通信についても中身を解読してチェックすることで、NGAV/IPS/CASB/DLPが真価を発揮します。
暗号化されている通信をチェックすることで、その中に含まれる悪意のあるコードやファイルが社内に入ってくることをネットワークレベルで検知、遮断したり、社員が本来送付してはいけない内容の重要機密や個人情報などが外部に流出することを防ぐような機能(DLP機能)、会社ドメインのGmailやM365は閲覧できるが、個人のGmailやMSメール、Yahooメールは閲覧NG、Twitter(X)への閲覧はOKだが、投稿はNGなどの制御(CASB機能)を行うことなども可能です。
FY25からFY26にかけてはAIの分野にも力を入れており、Zscalerを経由する通信を分析し、ChatGPTなどのAIでユーザーが送信するプロンプトの内容などもチェックして、危険なものや機密情報に当たるようなものについても発見や制御、可視化などができるようになるなど常に発展を遂げている製品です。
※CASB機能の一例
■ZPA (Zscaler Private Access)
ZPAはユーザーが社外や出張先、カフェなどリモートアクセス環境から社内や自社データセンター、プライベートクラウド内の内部サーバーやアプリケーションに通信する際に利用されるVPNに代表されるリモートアクセスの製品です。
ZTNA(ゼロトラストネットワークアクセス)の機能を持つ製品であり、これまでのVPNのように接続しっぱなしではなく、通信が発生するたびにクライアントはZscalerと接続し、Zscaleユーザー側の状態(OSやパーソナルファイアウォール、レジストリ、特定のウイルス製品が動作しているか)などもチェックし、合致した場合だけアプリケーションと接続し、それ以外の時は接続させないという形を実現できます。
これまでのVPN製品のように、自社にVPN接続用の機器を準備してグローバルIPアドレスとポートを公開してユーザーからの接続を待つのではなく、ユーザーのリクエストに応じて、クラウド(ZPA上)でデータセンター内のサーバーを必要に応じて接続し通信をさせる仕組みとなります。
ZPAでは、外部にグローバルIPアドレスやポートを一切公開する必要はありません。データセンター内には「AppConnector」という仮想マシンが必要になりますが、内部サーバーとしてZPA側にインターネット経由でトンネル接続するため、グローバルIPアドレスとポートを公開する必要がなく、外部からVPN機器に対して攻撃をされるようなこともなくなります。
ZPAについては、下記URLに詳しく記事にしています。
Zscaler(ZPA)による新しいセキュアなリモートアクセスの形
■ZDX
ZIAやZPAを用いて、ユーザーがZscaler経由で利用するアプリケーションやユーザーのパソコン情報の情報(PC情報、CPU、メモリ、ディスク、ネットワーク、WiFi状況)などの情報を可視化するツールです。また、パソコンから各アプリケーションや個別アプリケーションへの接続監視なども行い、その情報も可視化してくれます。
導入後の運用時に特定のユーザーから通信が遅いなどの問い合わせがあった場合にZDXを見て、そのユーザーの状況を詳細に把握することができます。
下の図のように、ユーザーから監視しているアプリケーションまでのパスなどを表示したりCPU値なども表示できるため、原因がユーザー側なのかアプリ側なのか、その間のネットワークなのかなども含めて把握して、特定と対処をすることができます。
FY26のライセンス体系
FY26のZscalerのライセンス体系は、FY25と大きく変更はありませんが、2025年の11月のアップデートによりZscaler Essential PlatformでもZDX Standardが利用できるようになりました。
※以前のZscaler Essential PlatformのZDXは機能制限版での提供となっていました。
これにより、ZIA、ZDXが含まれる「Zscaler Essential Platform 」、ZPA、ZDXが含まれる「Private Access Platform」ZIA、ZPA、ZDXが含まれる「Zscaler Platform」の基本プランを選択し、そこに対して必要なオプションを加えていくような体系になります。
※オプションについては、主要なものだけを記載しております。
※中国については、Regional Surcharge(特定地域における追加課金)により本土のZscalerデータセンターを利用できますが、プレミアムアクセス契約によりさらに品質向上が見込めます。Regional Surchargeに契約していない場合は、中国本土のPoPには接続されず、香港やシンガポールなどに接続されます。香港はRegional Surchargeなしで接続可能です。
追加課金が必要なPoPについては下記をご確認ください。
https://config.zscaler.com/zscalerthree.net/cenr
がついているPoPは別途課金が必要になります。
EgressNAT(固定IPサービス)の機能追加
1点大きな追加としては、Zscalerとして固定IPサービスが追加されました。
これまでは、Zscalerとして固定IPを払い出す機能がなく、ZIAとZPAを併用して、顧客が保有する固定IPアドレスを用いて対応するソースIPアンカリングという機能で提供していました。顧客側としては、現在利用している固定IPを変更せず、提携先にも通知や設定をする必要がないというメリットがありましたが、設定が少々大変であることや通信量制限などの制約がありました。
■ソースIPアンカリングのイメージ図
FY26からは、新しく「EgressNAT」というZscaler自身が固定IPアドレスを払い出してくれるサービスが追加され、設定もかなり簡素化され通信量制限も撤廃されました。
固定IPを払い出すデータセンターは世界中で選択可能です。(日本であれば、東京か大阪が選択できます)
| 基本ライセンス |
Zscaler Essential Platform |
Zscaler Platform | Zscaler Private Access |
|
含まれる機能 |
・ZIA機能のみ ・Zscaler提供固定IP(1-Pair:2IPアドレス) ・ZDX(機能限定版) |
・ZIA、ZPA、ZDX(Standard) ※ZPAはアプリケーションセグメント20個まで ※AppConnector無制限 ・データプロテクション(インラインDLP:ZIA,ZPA共に) ・ZPA プライベートサービスエッジ ・送信元IP固定(お客様保有IPによる固定) ・Zscaler提供固定IP(6Pair:12IP) |
・ZPA、ZDX(Standard) ※ZPAはアプリケーションセグメント20個まで ※AppConnector無制限 ・ZPA プライベートサービスエッジ |
上記の基本3ライセンスについての機能を見ていきましょう。
| ライセンス | Zscaler Essential Platform | Zscaler Platform | Zscaler Private Access |
|
認証SAML/SCIM,SecureLDAP,Kerberos,hosted ※マルチIDP対応 |
〇 | 〇 | 〇 |
|
■ZIA系機能 |
|||
|
トラフィックフォワーディング(IPSec/GRE、PACファイル) |
〇 | 〇 | 〇 |
|
コンテンツフィルタリング (Webフィルタリング) |
〇 | 〇 | |
| アンチウイルス/アンチスパイウェア | 〇 | 〇 | |
| ファイルタイプコントロール | 〇 | 〇 | |
| SSLインスペクション | 〇 | 〇 | |
| 帯域コントロール | 〇 | 〇 | |
|
送信元IP固定(お客様保有IP)※2 |
〇 | ||
|
送信元IP固定(Zscaler払い出し) |
〇(1Pair:2IP) | 〇(6Pair:12IP) | |
| ファイアウォール機能(L4レベル) | 〇 | 〇 | |
|
スタンダードサンドボックス (exe,dll,ZIPファイルのみ)詳細制御不可 |
〇 | 〇 | |
|
ブラウザアイソレーション(Standard) |
〇 | 〇 | |
|
アドバンスドファイアウォール(L7制御やユーザー/グループ制御) ・IPS機能、DNSセキュリティ |
|||
| アドバンスドサンドボックス | |||
| CASB制御 | 〇 | 〇 | |
|
CASBによるテナント制御 |
〇 | 〇 | |
|
データプロテクション(モニター) DLP機能だが、検知のみでブロック機能なし。一部の辞書のみ利用可能(PCI,PII,PHI) 追加ライセンスはコチラ |
〇 | ||
|
データプロテクション(インラインWEB) ZIA、ZPA共に対応したデータプロテクション機能 (ブロック、すべての標準辞書利用、カスタム辞書作成、SaaSアプリ指定のDLP) |
〇 | ||
|
アウトオブバンドCASB (メール以外のSaaSアプリ1つまで)※1 |
〇(1アプリまで) | 〇 | |
| デバイスポスチャ | 〇 | 〇 | 〇 |
| ログ転送(オンプレSIEM) | 〇 | 〇 | 〇 |
|
ログ転送(クラウドSIEM) |
△(500ライセンス以上で利用可能) | △(500ライセンス以上で利用可能) | |
| ■ZPA系機能 | |||
| TCP/UDPベースのセキュアなアプリケーションアクセス | 〇 | 〇 | |
| アプリケーションとサーバーの検出 | 〇 | 〇 | |
|
ログ転送サービス (ログ転送用のAppConnector1組含む) |
〇 | 〇 | |
| アプリケーションの継続的なモニタリング |
〇 |
〇 |
|
| AppConnectorの継続的なモニタリング | 〇 | 〇 | |
| アプリケーションセグメント作成数 | 〇(10個まで) ※SIPA利用想定 |
〇(20個まで) | 〇(20個まで) |
| AppConnector作成数 |
制限なし ※SIPA利用想定 |
制限なし | 制限なし |
| クライアントレスアクセス(ブラウザーアクセス) | 〇 | 〇 | |
| プライベートアプリケーションのデータ保護 | |||
|
Zscaler Deception ※500ユーザー以上で利用可能 500名以下でもオプションで購入可能 |
Standard (20デコイ、1デコイコネクタ) |
Standard (20デコイ、1デコイコネクタ) |
|
|
ZPA プライベートサービスエッジ ※仮想版であれば作成数は無制限 ※自社用のPoP展開(コチラを参照) |
〇 | 〇 | |
| ■ZDX系機能 | |||
| デバイスモニタリング | 〇 | 〇 | 〇 |
| SaaSアプリやWebサイト、社内アプリの登録※3 | 〇 | 〇 | 〇 |
| UCaaS(TeamsやZoom)などの品質監視 | |||
|
デバイスのソフトウェアインベントリ (ソフトウェア一覧のバージョン) |
〇 | 〇 | 〇 |
| CloudPath及びWebプローブ(監視アプリ登録数) | 〇(3個まで) | 〇(3個まで) | 〇(3個まで) |
|
エンドtoエンドのクラウドパス(通信経路可視化) ユーザーからGatewayまで、GatewayからZscaler Cloudまで、Zscaler Cloudから宛先まで |
〇 | 〇 | 〇 |
|
高度なエンドtoエンドのクラウドパス すべてのホップ詳細可視化(ISP名、AS番号含む) |
〇 | 〇 | 〇 |
| アプリの監視間隔 | 15分間隔 | 15分間隔 | 15分間隔 |
|
DeepTracing (トラブルシューティング用のトレースログ収集) |
|||
| データ保持期間 | 2日 | 2日 | 2日 |
| ■その他系機能(Zscaler Platform にて500ライセンス以上購入の場合に付与される追加ライセンス) | |||
|
Risk360 Zscalerで集められた様々なデータ(通信、設定、脅威など)をもとに企業のサイバーリスクを定量化、可視化するプラットフォーム |
〇 | ||
|
ZTB(ZeroTrust Branch)仮想マシン版(VMware、Linux KVM) 拠点に設置するアプライアンスでありこれを経由するすべての通信をZscalerへ送ることが可能。また、AppConnectorの機能も備えており、リモートから内部サーバへの通信も可能 ※別途、ハードウェア版もあります(1台から提供可能) |
〇 | ||
※1:アウトオブバンドCASBは、ZIAが定期的にAPIで各アプリケーションに接続し、Zscaler以外からアップロードされたファイルなども含めて、アンチウイルスやDLP制御を行うことができます。
※2:ZIAのみを購入し、送信元IP固定をする場合は別途「ZS-SIPA」というライセンスが別途必要です。ZIA/ZPA両方購入する場合は標準で利用できるため、このオプションの購入は必要ありません。
※3:接続到達性を確認するための、SaaSアプリやWebサイト登録は「ZIA」、内部アプリについては「ZPA」の契約が必要です。
アウトオブバンドCASBで利用できるSaaSアプリはコチラを参照ください
〇がない部分は、オプションライセンスとして購入できますので、どこまでが必要で何をオプションで購入する必要があるのかをしっかりと要件定義する必要があります。
「CASBによるテナント制御」については、下記のアプリケーションに対応しております。
| テナント制御アプリケーション |
| Youtube |
| Google Apps |
| Microsoft Login Services(M365) |
| Slack |
| Amazon Web Services |
| Dropbox |
| Webex Login Services |
| Zoho Login Services |
| Google Cloud Platform |
| IBM Smart Cloud |
| Github |
| ChatGPT |
これらについては、会社が契約しているドメインやURLのみにアクセス可能とし、個人アカウントについてはブロックするような制御が可能です。
アウトオブバンドCASBで利用できるアプリケーションは下記になります。
アウトオブバンド CASB |
|
| コラボレーション | Zoom |
| Microsoft Teams | |
| Slack | |
| Cisco Webex | |
| CRM | Dynamics365 |
| Salesforce | |
| Microsoft Exchange | |
| Gmail | |
| ファイルシェア | Box |
| Confluence | |
| Dropbox | |
| Google Drive | |
| Microsoft OneDrive | |
| Citrix ShareFile | |
| Microsoft SharePoint | |
| SmartSheet | |
| ITSM | Jira Software |
| ServiceNow | |
| GenAI | ChatGPT |
| Public Cloud Strage | Amazon S3 |
| Google Cloud Platform | |
| Microsoft Azure | |
| ソースコードリポジトリ |
Bitbucket |
| GitHub | |
|
GitLab |
|
「データプロテクション(インラインWEB)」を購入すると、下記のSaaSアプリテナントに対してZIAを介してやり取りされるファイルなどのマルウェア対策やDLP対策が可能になります。
また、会社がとして保有しているドメインのみ通信許可とするようなことも可能です。
| SaaSアプリケーションテナント |
| Amazon S3 |
| Bitbucket |
| Box |
| ChatGPT |
| Confluence |
| Docusign |
| Dropbox |
| Dynamics 365 |
| GitHub |
| GitLab |
| Gmail |
| Google Cloud |
| Google Drive |
| Google Workspace |
| Google Workspace Marketplace |
| Jira Software |
| Microsoft 365 |
| Microsoft Azure |
| Microsoft Copilot |
| Microsoft Exchange |
| Microsoft OneDrive |
| Microsoft SharePoint |
| Microsoft Teams |
| Okta |
| Salesforce |
| ServiceNow |
| ShareFile |
| Slack |
| Smartsheet |
| Trello |
| Twilio |
| Webex Teams |
| Workday |
| Zoom |
FY26のZscalerオプション
改めてオプションライセンスについてみていきましょう。上記の基本ライセンスにない機能についてはすべてオプションとなっており、必要なオプションを選択していく形となっております。
※オプションライセンスについては、主要なものを記載しております。他のオプションについては弊社営業までお問い合わせください。
また、オプションライセンスについては、各機能においてそれぞれの項目を購入する形になります。
例えば、「DataProtection」の場合、「ZS-DP-1」「ZS-DP-2」「ZS-DP-3」「ZS-DP-4」などの購入体系になっており、「ZS-DP-1」だと上記の4つの項目から1つを選択、「ZS-DP-2」だと2つを選択するようなイメージになります。
ZDXについては、どちらかのライセンスを購入する形になります。
■Data Protectionオプション
|
オプションライセンス ※SKUにより、以下から選択 |
機能説明 |
|
Email DLP |
メール DLP(Microsoft Exchange、Google)におけるDLP |
|
EndPoint DLP |
※エンドポイント上のデータ検出、リムーバブルストレージ、ローカルネットワーク共有におけるDLP機能 |
|
SaaS Security Advanced |
アウトオブバンドCASB(すべてのSaaSアプリ) ※メール以外 |
|
Classfication & Encryption Advanced |
EDM、IDM、OCR などの機密ファイルの暗号化、編集、透かし、データ分類機能 |
|
GenAI |
ジェネレーティブAIセキュリティレポートによる使用状況可視化、プロンプトキャプチャ、プロンプト分類、クラウドアプリケーション制御ポリシー |
■Cyber Therat Protectionオプション
|
ライセンス ※SKUにより、以下から選択 |
機能説明 |
|
アドバンスド Sandbox |
・exe,dllファイル含むすべての拡張子対応 ・ユーザー単位やURLカテゴリ単位、プロトコルなど詳細制御 など ・ゼロデイの分析 |
|
アドバンスド Firewall |
・L7レベルでのFW制御 ・IPS機能、DNSセキュリティ ・ユーザーやグループ、時間帯、デバイスの信頼レベルに応じた制御 など |
|
Cyber Browser Isolation Advanced |
・ブラウザアイソレーション(RBI機能) ・アップロード/ダウンロードの防止、クリップボードコントロール ・モバイルブラウザサポート など |
■Private Access(ZPA)オプション
FY25のライセンスより、アプリケーションセグメント(プライベートアクセス先を指定する項目)はデフォルトの20個となります。それ以上が必要な場合は必ず、Segmentationのオプションを購入する必要がありますのでご注意ください。
※ひとつのアプリケーションセグメント内に複数の宛先(FQDNやネットワークセグメント)を追加することは可能ですが、ポート指定は共通となります。
|
ライセンス ※SKUにより、以下から選択 |
Segmentation |
|
Segmentation |
・アプリケーションセグメント作成数無制限 |
|
App Protection |
・プライベートアクセス通信における保護 内部Webサーバに対してのSQLインジェクション、クロスサイト スクリプティング(XSS)などの攻撃から保護し、WAFのような機能を提供します。 OWASPの定義済みコントロールのあらゆるタイプの攻撃から内部アプリケーションを保護します。 |
■Digital eXperience(ZDX)オプション
ZDXのライセンスについても触れておきたいと思います。Zscaler Platform または Zscaler Private Accessの基本ライセンスを購入すると「Standard」は付属していますが、機能が制限されていますので詳しい分析や情報を収集したい場合は上位ライセンスも検討してください。
| ライセンス | Advanced | Advanced Plus |
| UCaaS(TeamsやZoom)などの品質監視 | 〇 | 〇 |
| CloudPath及びWebプローブ(監視アプリ登録数) | 30 | 100 |
|
エンドtoエンドのクラウドパス(通信経路可視化) ユーザーからGatewayまで、GatewayからZscaler Cloudまで、Zscaler Cloudから宛先まで |
〇 | 〇 |
| 監視間隔 | 5分間隔 | 5分間隔 |
|
DeepTracing (トラブルシューティング用のトレースログ収集) |
〇 | 〇 |
|
インシデントレポート機能 |
〇 | |
| データ保持期間 | 14日 | 14日 |
| ZDX Copilot | 〇 |
詳しいライセンスについては弊社までお問い合わせください。
まとめ
いかがでしたでしょうか。
FY25と比べて大きな変更点はないものの、EgressNATやGenAIなどの機能が追加になっております。
実際の案件では、お客様へのヒヤリングをしっかりと実施してどこまでの要件が必要なのか、オプションライセンスは何がどこまで必要なのかをしっかりと確認し要件定義をすることが重要になってきます。
また、ZscalerはPoCを実施してから導入することを強くお勧めします。
弊社では、Zscalerの勉強会や希望に応じてハンズオンなども実施しておりますので、担当営業までご相談いただければ幸いです。
Zscalerに関する記事一覧
著者紹介
SB C&S株式会社
ICT事業本部 技術本部 ソリューション技術統括部 ソリューション技術部 2課
大東 智裕 - Tomohiro Daito -
SIer、エンドユーザー情シス/マーケなどを経て、2022年より現職。
九州・中国地区でネットワーク/セキュリティ/ゼロトラストを中心としたプリセールスエンジニアを担当。
#Zscaler Top Engineer Award'24
#Zscaler Best Evangelist Award'25
