はじめに
Zscaler は、SSE(Security Service Edge)のリーダーとして知られるベンダーで、Zero Trust Exchange を中核とするクラウドサービスを提供しています。Fortinet や Palo Alto、Cisco がファイアウォール(NGFW)由来の機能を軸にするのに対し、Zscaler はプロキシベースのアーキテクチャを採る点が大きな違いです。
つまずきやすいのは、Zero Trust Exchange と ZIA / ZPA / ZDX の関係、プロキシベースという仕組み、そして Client Connector や App Connector といった接続の要素です。本記事では、Zscaler の全体像を整理したうえで、主要コンポーネント、接続の方式、導入の流れ、よくあるトラブルまでを扱います。
なお、SASE / SSE そのものの定義や構成要素(SWG・CASB・ZTNA・FWaaS の役割や、SASE と SSE の違い)は、関連記事『SASE とは|SSE や ZTNA との違いと構成要素のポイント』で扱っています。本記事は、その考え方を Zscaler の構成に当てはめる位置づけです。
- Zscaler の全体像(Zero Trust Exchange とプロキシベースのアーキテクチャ)
- ZIA / ZPA / ZDX の役割と、SD-WAN(Zero Trust Branch)の位置づけ
- 主要コンポーネント(ZIA の SWG・CASB・DLP など、ZPA の ZTNA)
- アクセスと接続の方式(Client Connector、トンネル、App Connector)
- 導入・設定の流れと、接続・トンネル・ポリシーに関するトラブルの確認ポイント
Zscaler の SASE / SSE(Zero Trust Exchange)の全体像
Zscaler の中核は、グローバルに分散したクラウドプラットフォームである Zero Trust Exchange です。インターネット向けの ZIA、社内アプリ向けの ZPA、可視化の ZDX が、この上で動作します。
Zero Trust Exchange とは(プロキシベース・単一スキャン)
Zero Trust Exchange は、世界中のデータセンターに分散したインラインプロキシのクラウドです。パススルー型のファイアウォールが主にパケットのヘッダを見て転送を判断するのに対し、Zero Trust Exchange はすべての接続を一度終端し、内容を検査してから転送するフルプロキシとして動作します。これにより、暗号化された通信(SSL / TLS)を含めて、インラインでの検査を大規模に行えます。
参考: Zscaler — Secure Access Service Edge (SASE)
“Implement a single-vendor SASE framework with a simpler, proxy-based architecture”
(よりシンプルな、プロキシベースのアーキテクチャで単一ベンダーの SASE を実現する)
https://www.zscaler.com/products-and-solutions/secure-access-service-edge-sase
検査方式としては、SWG・CASB・DLP・ファイアウォール・サンドボックスといった機能を、復号した 1 つのストリーム上で並列に処理する Single-Scan Multi-Action(SSMA)が採られています。これにより、機能を順番に通す方式で生じやすい遅延を抑えられます。
Zscaler は NGFW 由来ではなくプロキシベースで、すべての通信を終端・検査してから転送する点が、設計思想の核心になります。
ZIA / ZPA / ZDX と SD-WAN(Zero Trust Branch)の位置づけ
Zero Trust Exchange を構成する主な製品は次のとおりです。
- ZIA(Zscaler Internet Access)
-
インターネットや SaaS へのアクセスを保護します。SWG・CASB・DLP・クラウドファイアウォール・サンドボックス・SSL インスペクションを含みます。
- ZPA(Zscaler Private Access)
-
社内アプリへの ZTNA を提供します。VPN を置き換え、ネットワークではなくアプリ単位でアクセスを許可し、アプリをインターネットに公開しません。
- ZDX(Zscaler Digital Experience)
-
利用者の体験やアプリの性能を、エンドポイントからアプリまで可視化する DEM です。
これらへの振り分けは、エンドポイントのエージェントである Client Connector(ZCC)が担います。SD-WAN については、Zscaler は SSE が先行しており、Zero Trust SD-WAN や Zero Trust Branch(旧 Branch Connector)として比較的新しく加わった構成要素です。Zscaler は SSE(ZIA / ZPA / ZDX)が中核で、SASE はこれに Zero Trust SD-WAN / Branch を組み合わせて構成するという位置づけになります。
Gartner の評価でも、SSE では継続してリーダーに位置づけられる一方、ネットワークを含む SASE Platforms では SD-WAN が新しいことからビジョナリーに位置づけられています。なお、機能や構成は変わりうるため、実際の検討にあたっては Zscaler の最新ドキュメントでの確認を推奨します。
主要コンポーネント(ZIA / ZPA)
Zscaler の中核は ZIA と ZPA です。ZIA がインターネットや SaaS 向けの通信を、ZPA が社内アプリへのアクセスを担い、役割が明確に分かれています。
ZIA(SWG・CASB・DLP・Cloud Firewall・SSL インスペクション)
ZIA は、ユーザーとインターネットの間に立つプロキシとして、すべての通信をインラインで検査します。通信は近接の Zscaler データセンターで処理されるため、社内データセンターへの折り返し(バックホール)が不要になります。
備える主な機能は次のとおりです。
- SWG(Secure Web Gateway)
-
URL フィルタリングや Web アクセス制御を行います。
- Cloud Firewall
-
L7 のファイアウォール、IPS、DNS 制御を提供します。
- CASB(Cloud Access Security Broker)
-
インラインと API の両方で SaaS 利用を可視化・制御します。
- DLP(Data Loss Prevention)
-
機密データの外部流出を検知・防止します。
- サンドボックス・ブラウザ分離(Isolation)
-
未知の脅威の解析や、Web コンテンツの隔離実行を行います。
ZIA は暗号化された通信(SSL / TLS)を含めて検査するため、SSL インスペクションの対象範囲(検査するもの・除外するもの)をどう設計するかが、運用上のポイントになります。
ZPA(ZTNA とアプリを公開しない接続)
ZPA は、社内アプリケーションへの ZTNA を提供し、従来の VPN を置き換えます。ネットワーク全体ではなく、認可されたアプリ単位でアクセスを許可する点が特徴です。
参考: Zscaler — Azure Traffic Forwarding Deployment Guide
“applications are never exposed to the internet, making them completely invisible”
(アプリケーションはインターネットに公開されず、認可されていない利用者からは完全に見えない)
https://help.zscaler.com/downloads/zscaler-technology-partners/b/zscaler-and-azure-traffic-forwarding-deployment-guide/Zscaler-Azure-Traffic-Forwarding-Deployment-Guide-FINAL.pdf
これを実現するのが App Connector です。App Connector は、アプリと同じネットワーク(データセンターや AWS・Azure などのクラウド)に置く軽量な仮想アプライアンスで、内側から外向き(インサイドアウト)に Zscaler クラウドへ接続します。ユーザーの接続と App Connector の接続を Zscaler クラウドが仲介することで、通信が成立します。この仕組みにより、社内アプリをインターネットに公開せず、インバウンドのファイアウォール開放も不要になり、ネットワーク内での横移動(ラテラルムーブメント)のリスクも抑えられます。App Connector は、プロビジョニングキーで App Connector Group に登録して展開します。
アクセスと接続の方式
Zscaler への接続は、ユーザー向け、拠点向け、プライベートアプリ向けで方式が分かれます。用途に応じて使い分けます。
ユーザー(Client Connector / PAC / ブラウザ)
ユーザーの接続は、エンドポイントエージェントである Client Connector(ZCC)が中心です。ZCC は ZIA サブスクリプションに含まれ、Intune などの MDM でサイレントに配布できます。
参考: Zscaler — Zscaler Client Connector
“direct-to-app connectivity, intelligent traffic routing, and digital experience monitoring”
(アプリへの直接接続、インテリジェントなトラフィックの振り分け、デジタルエクスペリエンスモニタリング)
https://www.zscaler.com/products-and-solutions/zscaler-client-connector
ZCC は、インターネット向け通信を ZIA へ、社内アプリ向け通信を ZPA へ振り分け、ZDX のプローブも兼ねます。挙動は Forwarding Profile(転送方法)や App Profile で制御します。エージェントを導入しにくい場合は、PAC ファイルや明示プロキシ(特定用途・レガシー互換)、ブラウザ分離(未管理端末向け)といった方式も利用できます。
拠点・プライベートアプリ(トンネル・App Connector・Zero Trust Branch)
拠点やアプリへの接続には、次の方式があります。
- 拠点(ZIA 向け)
-
サイトのルータから最寄りの Zscaler データセンターへ、GRE または IPsec のトンネルを張ります。Zscaler は、自社ルータや SD-WAN から GRE を用いることをベストプラクティスとして推奨しています。
- プライベートアプリ(ZPA 向け)
-
App Connector をデータセンターやクラウドに配置します。
- Zero Trust Branch(旧 Branch Connector)
-
拠点向けのハードウェアまたは VM で、ZIA へは DTLS、ZPA へは TLS のトンネルを張ります。App Connector の機能を内包し、拠点内のローカルアプリや OT 機器へのアクセスにも対応できます。
ユーザーは Client Connector、拠点は GRE / IPsec トンネル(または Zero Trust Branch)、社内アプリは App Connector、と用途に応じて接続方式を使い分けるのが、設計上のポイントになります。
導入・設定の流れ
Zscaler はクラウドサービスのため、設定は管理ポータルでの操作が中心です。注意したいのは、ZIA と ZPA が別々の管理ポータルを持ち、認証も別になる点で、シングルサインオン(SSO)を整えないと利用者が二重に認証を求められます。導入の大枠は「ID 連携 → Client Connector の配布と SSL 証明書 → トラフィックの転送設定 → ZPA のアプリ定義」という流れです。
段階的なロールアウト(VPN からの移行)
主な準備は次のとおりです。
- ID 連携
-
SAML 対応の IdP で認証し、SCIM でユーザーやグループを同期します。ZIA と ZPA で SSO を整え、二重認証を避けます。
- Client Connector の配布
-
Intune などの MDM でサイレントに配布します。
- SSL 証明書
-
SSL インスペクションを行うため、Zscaler のルート CA 証明書を端末のトラストストアに導入します。Client Connector で自動導入できます。
参考: Zscaler — Configuring SSL Inspection for Zscaler Client Connector
“enable Zscaler Client Connector to automatically install the Zscaler SSL certificate”
(Zscaler Client Connector が Zscaler の SSL 証明書を自動でインストールするように設定する)
https://help.zscaler.com/zscaler-client-connector/configuring-ssl-inspection-zscaler-client-connector
- トラフィックの転送
-
ユーザーは Client Connector や PAC、拠点は GRE / IPsec トンネルで Zscaler へ向けます。
- ZPA のアプリ定義
-
アプリケーションセグメント、セグメントグループ、サーバーグループ、App Connector グループ、アクセスポリシーを設定し、App Connector をアプリと同じネットワークに配置します(アウトバウンドは 443、インバウンドの開放は不要)
VPN からの移行は、段階的に進めるのが現実的です。ZIA と ZPA は別ポータル・別認証のため、まず SSO を整えたうえで、ZIA(インターネット保護)から始め、次に ZPA(社内アプリ)をアプリ単位で導入し、最後に拠点(GRE / IPsec や Zero Trust Branch)へ広げる、という順序が無理がありません。
よくあるトラブルと対処
Zscaler のトラブルは、設定値そのものより、SSL 証明書の導入、App Connector の到達性、ポリシー、トンネルの MTU に原因があることが少なくありません。これらを順に確認すると、切り分けが進めやすくなります。
接続・トンネル・ポリシーの確認ポイント
代表的な確認の観点は次のとおりです。
- SSL インスペクション(証明書)
-
Zscaler のルート CA 証明書を端末に導入していないと、ブラウザに証明書の警告が表示されます。
参考: Zscaler — Configuring SSL/TLS Inspection Policy
“If no certificate is installed, the browser displays an Invalid Certificate warning message”
(証明書が導入されていない場合、ブラウザに「証明書が無効」という警告が表示される)
https://help.zscaler.com/zia/configuring-ssltls-inspection-policy - App Connector(ZPA)
-
アウトバウンドの 443 が許可されているか、DNS を解決できているかを確認します。なお、ZPA はピン留めした証明書による TLS を用いるため、経路上に SSL インスペクションを行う機器があると App Connector の通信が壊れます。この場合、ZPA のドメインや IP アドレスを SSL インスペクションの除外(許可リスト)に登録します。
- 接続(トンネル)
-
GRE / IPsec のトンネルが確立しているかを確認し、トンネルのオーバーヘッドによるフラグメントを避けるため MTU を最適化します。
- ポリシー
-
ZPA のアプリケーションセグメントや DNS サーチドメインの設定を確認し、Client Connector のログで検証結果を確認します。
- 認証
-
ZIA と ZPA の二重認証は、SSO の整備で回避します。
確認には、ZDX を用いて、エンドポイント・経路・アプリのどこに原因があるかや、ISP から Zscaler データセンターまでの遅延を切り分けます。上流への到達性をパケットレベルで確認したい場合は、関連記事『Wireshark のフィルタ書き方と複数条件の使い分け|TCP 再送と HTTP エラーの追跡』も参考になります。
切り分けは「SSL 証明書 → App Connector の到達性(443・DNS・SSL 除外)→ トンネルと MTU → ポリシー」の順に進めると、原因を絞り込みやすくなります。
まとめ
Zscaler は、ファイアウォール由来ではなくプロキシベースの Zero Trust Exchange を中核とする、SSE に強みを持つベンダーです。インターネット向けの ZIA、社内アプリ向けの ZPA、可視化の ZDX で構成し、社内アプリをインターネットに公開しない接続が特徴です。SASE として使う場合は、比較的新しい Zero Trust SD-WAN / Branch を組み合わせます。
- 中核はプロキシベースの Zero Trust Exchange
- ZIA がインターネットと SaaS、ZPA が社内アプリを担当
- ZPA は App Connector の内側からの接続でアプリを非公開に。
- ZIA は SWG・CASB・DLP などを単一スキャンで並列処理
- ユーザーは Client Connector、拠点は GRE / IPsec で接続
- SASE では新しい Zero Trust SD-WAN / Branch を併用
- トラブルは SSL 証明書・App Connector の到達性・MTU を確認
以上、最後までお読みいただきありがとうございました。
