SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

検索表示
SB C&S

Zscaler EXTRANETによるリモートアクセス【概要編】

  1. ホーム
  2. 技術ブログ
  3. セキュリティ
  4. Zscaler EXTRANETによるリモートアクセス【概要編】
セキュリティ
2026.05.15

皆さん、こんにちは。

SB C&Sでネットワーク/セキュリティ関連のプリセールスを担当している 大東です。

Zscalerで、新しく「EXTRANET」というオプションが使えるようになりました。

EXTRANETは簡単に言うと、「ZscalerとIPSecVPNを結ぶことで、AppConnectorが設置できない拠点内のサーバ等にもZCC経由などでアクセスが可能となる」ものです。

従来、ユーザーがZscalerでリモートアクセスを行う場合、アクセス先のデータセンターやIaaS上に「AppConnector」を展開し、ZCCなどでアクセスすることが一般的でした。

AppConnectorは基本的には、仮想マシン上でデプロイすることが多いため、お客様環境にVMwareやNutanixなどの仮想環境があることが望ましいです。

物理環境でも、RedHat Enterprise Linux 7.x及び8.xにも展開できるため、物理マシンで準備できれば仮想環境がなくてもAppConnectorはデプロイすることが可能です。

※ただし、物理ハードウェアやRedHat Enterprise Linuxはお客様で準備いただく必要があります。仮想環境の場合は、OSとAppConnectorが一体となったOVAファイルをZscalerが準備しており、無償で利用可能です。

しかし、EXTRANETにより、さらにリモートアクセス方法の選択肢が増えることとなります。

■AppConnectorを利用したZscaler環境構成図(推奨)

img.png

Zscalerとしてゼロトラストネットワークアクセスを実現するには、AppConnectorを利用してアクセスすることが推奨となりますので、EXTRANETはあくまでメインではなくサブや必要に応じて構築するということはご認識をお願いします。

■EXTRANETを利用した環境構成図

img.pngimg.png

ただし、下記のような構成は通信はできませんのでご注意ください。

img.png

また、EXTRANETはあくまで、プライベートアクセス用に利用するものとなります。拠点からZscaler経由でインターネットに接続する場合は、利用できませんのでご注意ください。

img.png

■設定のイメージ(ZIA)

EXTRANETはZIAとZPAを内部で繋ぎ通信を行うイメージとなりますので、ZIAとZPA両方での設定が必要となります。

EXTRANETのライセンスが適用されると、ZIA側でEXTRANETの項目が表示されます。

img.png

img.png

Traffic Selectorというものがありますが、こちらのIPレンジに送信元NATされて相手側に通信されます。

DNSサーバは必須ではありませんが、こちらを入力することで、EXTRANETで通信を行う際にFQDNで通信をする場合は、このDNSサーバに問い合わせが行くことになります。

img.png

VPN設定は、ZIA側で行います。

ZIA側では、UserIDで指定するため、接続する拠点側のルータはIPアドレスは固定である必要はありません。

img.png

接続先は、[https://config.zscaler.com/]にあるEXTRANETのIPを指定します。

契約しているZscalerのクラウドテナントにより接続先が異なりますので、事前にご確認ください。

なお、ZIAへインターネット接続を行うためにVPN接続を行う場合は、こちらの「VPN HostName」に対してIPSecVPN接続を行います。

img.png

■設定のイメージ(ZPA)

ZPA側では通常通り、ApplicationSegmentとAccessPolicyを設定していきます。

ApplicationSegment設定を行うタイミングでEXTRANETの設定箇所があり、そちらを設定します。

img.png

この後は、設定したApplicationSegmentをAccessPolicyに紐づけることで通信が可能です。

●AccessPoilcy設定

img.png

EXTRANET側の拠点からZscaler経由でAppConnector配下のネットワークやサーバに接続する際は、下記のようにクライアントタイプを「EXTRANET」にしたポリシーを設定します。

img.png

■EXTRANETのライセンスについて

ライセンスについては、下記参考としてください。

img.png

次回は、実際の設定方法について案内予定です。

まとめ

本来、EXTRANETはZPAを通じて、ビジネスパートナー(業務委託先やサプライチェーンで別会社をIPSecVPN等で結んでいるような場合)のネットワークについて、ZPAを経由させることで、SSL-VPNやIPSecVPNのアタックサーフェスをなくし、セキュアにアクセスさせる製品として登場しました。

しかし、自社内でも小規模拠点等にファイルサーバやプリンタなど外部からアクセスをさせる必要があるような用途でも利用できるため、こちらの用途で導入を検討する企業も増えてきています。

弊社では、Zscalerの勉強会や希望に応じてハンズオンなども実施しておりますので、担当営業までご相談いただければ幸いです。

Zscalerに関する記事一覧

Zscalerに関する記事一覧

著者紹介

SB C&S株式会社
ICT事業本部 技術本部 第1技術統括部 ソリューション技術部 2課
大東 智裕 - Tomohiro Daito -

SIer、エンドユーザー情シス/マーケなどを経て、2022年より現職。
九州・中国地区でネットワーク/セキュリティ/ゼロトラストを中心としたプリセールスエンジニアを担当。
#Zscaler Top Engineer Award'24
#Zscaler Best Evangelist Award'25

Related Posts

関連記事