はじめに
記事をご覧いただき、ありがとうございます。
AIセキュリティ合同会社の越川と申します。
私は10年以上にわたり、ウェブアプリケーション開発からサーバー構築まで幅広く経験し、現在はシステムの安定稼働、データ保護、サイバー脅威対策といった分野に注力しています。そのような経験から、現代のビジネス環境におけるデータの重要性と、それを保護する必要性を日々痛感しております。
そして、このデータ保護と脅威対策を統合的に実現する上で、今や欠かせない存在となっているのが、本稿のテーマである「Zscaler Internet Access」です。
クラウドファーストが当たり前となった現代において、従来の境界型セキュリティモデルでは企業の資産を守り切れない状況が顕著になっています。リモートワークの普及、SaaS利用の拡大、マルチクラウド環境の採用により、セキュリティの境界線は曖昧になり、新たなアプローチが求められています。
私がこれまでに携わってきた多くのプロジェクトでも、従来のファイアウォールやVPNベースのセキュリティでは、柔軟な働き方や急速なクラウド化に対応できないという課題に直面してきました。特に、セキュリティレベルを維持しながら、ユーザーの生産性を向上させるという相反する要求を満たすことは、技術者として常に頭を悩ませる問題でした。
このような背景から注目を集めているのが、ゼロトラストセキュリティモデルとSASE(Secure Access Service Edge)アーキテクチャです。その中核を担うソリューションとして、多くの企業が導入を検討しているのが「Zscaler Internet Access(ZIA)」です。
本記事では、私のこれまでの実務経験を踏まえ、セキュリティエンジニアや情報システム部門の担当者が製品導入を検討する際に必要な情報を網羅的に解説し、実際の導入プロセスから他製品との比較まで、実践的な内容をお届けします。
-
ゼロトラストセキュリティモデル
あらゆるアクセスを常に検証し、信頼しないことを前提としたセキュリティモデルのことです。
従来の境界型防御のように、ネットワークの内外を区別せず、すべてのユーザー、デバイス、アプリケーションを信頼できないものとして扱い、アクセスごとに認証と認可を厳格に行うことで、情報漏洩や不正アクセスなどの脅威を防ぎます。 -
SASE(Secure Access Service Edge)
ガートナー社が提唱した、ネットワークとセキュリティ機能をクラウド上で統合して提供する概念です。
従来のネットワークセキュリティは、社内ネットワークとインターネットの境界にセキュリティ機器を設置する境界型セキュリティが主流でしたが、クラウドサービスの利用やリモートワークの増加に伴い、その限界が露呈しました。
SASEは、ネットワーク機能 (SD-WANなど) とセキュリティ機能 (CASB、SWG、ZTNA、FWaaSなど) をクラウド上で統合し、場所やデバイスを問わず、統一されたセキュリティポリシーを適用できるため、柔軟で安全なアクセス環境を実現します。
Zscaler Internet Accessとはなにか
クラウドネイティブなセキュリティプラットフォーム
Zscaler Internet Access(ZIA)は、従来のファイアウォールやVPNに依存することなく、ユーザーとインターネット間の通信を保護するクラウドベースのセキュリティサービスです。世界150カ所以上に分散配置されたZscalerのクラウドプラットフォームを経由してトラフィックを処理し、包括的なセキュリティ機能を提供します。
統合型セキュリティ機能の提供
ZIAは単なるセキュアWebゲートウェイを超えた統合セキュリティプラットフォームとして、以下の機能を一元的に提供します。
主要セキュリティ機能
- Webフィルタリング:カテゴリベースおよびURLベースでのアクセス制御
- SSLインスペクション:暗号化通信の復号・検査によるマルウェア検出
- クラウドファイアウォール:アプリケーション制御とポート制御
- DNSセキュリティ:DNS over HTTPS対応とマルウェアドメインブロック
- データ漏洩防止(DLP):機密データの識別と流出防止
- CASB機能:SaaSアプリケーションの可視化と制御
ゼロトラストアーキテクチャの実現
ZIAの最大の特徴は、すべてのトラフィックをZscalerクラウドを経由させることで、場所やデバイスを問わず一貫したセキュリティポリシーを適用できる点です。これにより、ユーザーがオフィス、自宅、外出先のどこからアクセスしても、同じレベルのセキュリティ保護を実現できます。
【イメージ図:Zscaler Internet Accessのアーキテクチャ図】
-
VPN(Virtual Private Network)
インターネット上に仮想的な専用線を構築し、安全な通信を可能にする技術です。 -
セキュアWebゲートウェイ(SWG)
組織のネットワークとインターネットの間で、Webトラフィックを監視・制御し、セキュリティを強化するソリューションです。
マルウェア対策、URLフィルタリング、データ損失防止(DLP)などの機能を提供し、従業員が安全にインターネットを利用できるようにします。クラウドベースで提供されることも多く、柔軟性と拡張性に優れています。
なぜZscaler Internet Accessが活用されるのか
デジタルトランスフォーメーションへの対応
現代企業が直面している最大の課題は、デジタルトランスフォーメーションの加速に伴うセキュリティリスクの増大です。従来の境界型セキュリティモデルでは、クラウドサービスの利用拡大やリモートワークの普及に対応しきれません。
ZIAが注目される理由は、このような環境変化に対応できる次世代のセキュリティアーキテクチャを提供するためです。従来のVPNベースのリモートアクセスでは、トラフィックがすべて本社経由となるため、パフォーマンスの低下やボトルネックが発生していました。
ZIAでは、ユーザーから最も近いクラウドエッジにトラフィックをルーティングするため、快適なユーザー体験を維持しながらセキュリティを確保できます。
コスト効率とスケーラビリティの実現
ZIAはクラウドネイティブなサービスであるため、ハードウェアの購入、設置、保守が不要です。
これにより、初期投資コストを大幅に削減できるだけでなく、運用コストも継続的に抑制できます。
特に、複数拠点を持つ企業では、各拠点にファイアウォール機器を設置・管理するコストと比較して、大幅なコストメリットを享受できます。
コンプライアンス要件への対応
金融業界や医療業界など、厳格なコンプライアンス要件が求められる業界では、詳細なログ管理と監査機能が不可欠です。
ZIAでは、ユーザーの行動ログ、通信ログ、セキュリティイベントログを包括的に記録し、コンプライアンス監査に必要な証跡を自動的に生成します。また、GDPRやSOX法などの規制要件に対応した機能も提供されています。
-
デジタルトランスフォーメーション(DX)
デジタル技術を活用して、組織やビジネスモデルを根本的に変革し、競争優位性を確立することです。
単にIT化を進めるだけでなく、業務プロセス、企業文化、顧客体験までを含めた全体的な変革を指します。 -
クラウドエッジ
クラウドコンピューティングをネットワークの末端、つまりユーザーやデバイスに近い場所に配置するITアーキテクチャのことです。
これにより、データ処理の遅延を減らし、セキュリティを強化することができます。
具体的には、IoTデバイスやAI、自動運転車など、大量のデータをリアルタイムで処理する必要がある場合に、クラウドの計算能力をエッジデバイスに分散させることで、効率的な処理と低遅延を実現します。 -
GDPR(General Data Protection Regulation)
EU(欧州連合)が2018年5月に施行した、個人データの保護とプライバシーに関する規則のことです。
NRIセキュアによると、EU域内の個人データを扱う全ての企業に適用され、日本企業もEU域内の個人データを扱う場合は、GDPRを遵守する必要があります。 -
SOX法(Sarbanes-Oxley Act)
アメリカで2002年に制定された、企業の不正会計や財務報告の不備を防ぎ、投資家を保護するための法律です。
その正式名称は「Public Company Accounting Reform and Investor Protection Act of 2002(上場企業会計改革および投資家保護法)」です。日本では、この法律を参考に、金融商品取引法における「内部統制報告制度」が設けられ、一般的に「J-SOX法」と呼ばれています。
Zscaler Internet Accessの具体的な導入ステップ
フェーズ1:現状分析と要件定義
ZIA導入を成功させるためには、まず自社の現在のネットワーク構成とセキュリティ要件を詳細に分析する必要があります。
現状分析の項目
- 既存のネットワークトポロジーの把握
- 現在のセキュリティソリューションの棚卸し
- インターネットトラフィックパターンの分析
- ユーザー数と地理的分散状況の確認
- 利用中のSaaSアプリケーションの洗い出し
要件定義では、セキュリティポリシー、パフォーマンス要件、コンプライアンス要件を明確に定義します。特に、業界固有の規制要件や社内セキュリティポリシーとの整合性を確保することが重要です。
フェーズ2:アーキテクチャ設計とパイロット計画
次に、ZIAを組み込んだ新しいネットワークアーキテクチャを設計します。
設計時の考慮事項
- トラフィックルーティング戦略の策定
- 認証システム(Active Directory、Azure AD、Okta等)との統合方法
- 既存セキュリティツールとの連携方式
- 災害復旧とビジネス継続性計画
- パフォーマンス最適化設定
パイロット導入では、限定されたユーザーグループを対象に実際の運用テストを行います。この段階で、ポリシー設定の妥当性、パフォーマンスへの影響、ユーザー体験の評価を実施します。
フェーズ3:段階的本格展開
パイロット導入の結果を踏まえて、段階的に全社展開を進めます。
展開手順
- Zscaler Client Connectorの配布とインストール
- ユーザーグループ別のポリシー設定
- 既存セキュリティソリューションからの段階的移行
- 運用監視体制の構築
- ユーザートレーニングとサポート体制の整備
フェーズ4:運用最適化と継続改善
本格運用開始後は、継続的な運用最適化が重要です。
ZIAの豊富な分析機能を活用して、セキュリティイベントの傾向分析、パフォーマンス監視、ポリシーの効果測定を定期的に実施します。
-
Zscaler Client Connector(ZCC)
Zscalerのセキュリティサービスを利用する際に、ユーザーの端末にインストールするソフトウェアです。
ZCCは、インターネットやアプリケーションへの安全なアクセスを可能にし、Zscalerの様々な機能を容易に利用できるようにします。
Zscaler Internet Accessのメリット
セキュリティ面でのメリット
ZIA導入により、従来のセキュリティソリューションでは実現困難だった包括的な保護を実現できます。すべてのWebトラフィックがZscalerクラウドを経由するため、隠れた脅威や未知のマルウェアも効果的に検出できます。
運用面でのメリット
クラウドベースのアーキテクチャにより、セキュリティアップデートやポリシー変更を即座に全ユーザーに適用できます。これにより、セキュリティ運用チームの負荷を大幅に軽減し、より戦略的な業務に集中できるようになります。
ユーザー体験の向上
従来のVPNベースのソリューションと比較して、ZIAはユーザーに透過的なセキュリティを提供します。ユーザーは複雑な接続手順を必要とせず、どこからでも一貫したパフォーマンスでインターネットやSaaSアプリケーションにアクセスできます。
競合製品比較
主要なクラウドセキュリティソリューションの機能・性能比較は下表を参考にしてください。
| 評価項目 | Zscaler Internet Access | Cisco Umbrella | Palo Alto Prisma Access | Symantec WSS |
|---|---|---|---|---|
| セキュリティ機能 | ||||
| Webフィルタリング | ◎ 高精度 | ○ 良好 | ○ 良好 | ○ 良好 |
| SSLインスペクション | ◎ 包括的 | △ 基本的 | ○ 良好 | ○ 良好 |
| マルウェア対策 | ◎ AI/ML活用 | ○ 良好 | ○ 良好 | ○ 良好 |
| データ漏洩防止(DLP) | ◎ 統合型 | × 非対応 | ○ 対応 | ○ 対応 |
| CASB機能 | ◎ ネイティブ対応 | △ 限定的 | ○ 対応 | △ 限定的 |
| パフォーマンス・可用性 | ||||
| グローバル展開 | ◎ 150+ PoP | ○ 30+ PoP | ○ 100+ PoP | △ 限定的 |
| レイテンシ最適化 | ◎ 80ms以下 | ○ 100ms程度 | ○ 100ms程度 | △ 120ms程度 |
| SLA保証 | ◎ 99.999% | ○ 99.9% | ○ 99.9% | ○ 99.9% |
| 運用・管理 | ||||
| 管理コンソール | ◎ 直感的UI | ○ 良好 | △ 複雑 | ○ 良好 |
| API連携 | ◎ RESTful API | ○ 対応 | ○ 対応 | △ 限定的 |
| ログ・レポート | ◎ リアルタイム | ○ 良好 | ○ 良好 | ○ 良好 |
| 導入・コスト | ||||
| 導入期間 | ◎ 1-2週間 | ○ 2-4週間 | △ 4-8週間 | ○ 2-4週間 |
| 初期コスト | ◎ 低い | ○ 中程度 | △ 高い | ○ 中程度 |
| 運用コスト | ◎ 低い | ○ 中程度 | △ 高い | ○ 中程度 |
-
隠れた脅威(Advanced Persistent Threat:APT)
長期間にわたって機密データを盗んだり、サイバースパイ活動を行ったり、重要なシステムを破壊したりすることを目的とした、検知されないサイバー攻撃です。 -
透過的
あるものが他のものに対して、その存在や影響を意識することなく利用できる状態を指します。
特にIT分野では、ユーザーが機能の存在や詳細を意識することなく、その恩恵を受けられる状態を表すことが多いです。
例えば、データベースの暗号化において、ユーザーが意識することなくデータが自動的に暗号化・復号される状態を「透過的」と表現します。
活用事例
株式会社アイネス総合研究所のZscaler導入事例
導入前の課題
- インターネットアクセス制御とセキュアリモートアクセスを別々のソリューションで運用していた
- 複数のベンダーソリューションの管理コストと運用負荷が増大
- リモートワーク環境でのセキュリティレベルの統一化が困難
- 人員増加に対する柔軟なスケールアップが難しい
導入内容
- Zscaler Internet Access(ZIA)によるクラウド型セキュアWebゲートウェイの実装
- Zscaler Private Access(ZPA)によるゼロトラストリモートアクセス環境の構築
- 日立ソリューションズの技術支援による段階的導入(約1週間で完了)
- エージェント配布とユーザートレーニングの実施
導入後の効果
- インターネットアクセス制御とリモートアクセスの統合管理を実現
- 日本語サポートによる運用負荷の大幅軽減
- SaaSベースのソリューションにより人員増加への柔軟な対応が可能
- 2021年10月より安定稼働を開始し、セキュリティレベルの向上を実現
参考記事文献:https://www.hitachi-solutions.co.jp/zscaler/case01/
伊藤忠テクノソリューションズ(CTC)の導入事例
導入前の課題
- 1万人規模の従業員に対する効率的なテレワーク環境の提供
- 従来のVPN接続による性能ボトルネックとセキュリティ課題
- 場所を問わない働き方に対応するセキュリティ基盤の必要性
導入内容
- Zscaler Internet Access(ZIA)による統合セキュリティ機能
- Zscaler Private Access(ZPA)によるリモートアクセス環境
- 全社規模でのゼロトラストセキュリティモデルの実装
導入後の効果
- 1万人の社員がどこでも働けるテレワーク環境を実現
- セキュリティレベルを維持しながらユーザー体験の向上
- 場所やデバイスを問わない一貫したセキュリティポリシーの適用
参考文献:https://www.ctc-g.co.jp/report/case-study/ctc_zscaler/
まとめ
Zscaler Internet Accessは、従来の境界型セキュリティモデルの限界を克服し、現代企業が直面するデジタルトランスフォーメーションの課題に対応する革新的なソリューションです。
重要なポイント
ゼロトラストセキュリティの実現
- すべてのトラフィックをクラウド経由で処理することで、場所やデバイスを問わない一貫したセキュリティ保護を提供
- 「決して信頼せず、常に検証する」というゼロトラストの原則を実装
運用効率の大幅向上
- クラウドネイティブなアーキテクチャにより、ハードウェアの管理負荷を削減
- 統合セキュリティプラットフォームとして、複数のセキュリティ機能を一元管理
- 自動アップデートと即座のポリシー適用により、運用チームの負荷を軽減
ビジネスアジリティの実現
- リモートワークやハイブリッドワークに最適化されたセキュリティアーキテクチャ
- SaaSアプリケーションへの最適化されたアクセス経路
- 急速な組織拡大や環境変化に柔軟に対応
コンプライアンス対応の強化
- 包括的なログ管理と監査機能
- 業界規制(GDPR、SOX法等)への対応
- データ漏洩防止(DLP)機能による機密情報保護
Zscaler Internet Accessの導入により、企業は従来のセキュリティ運用の課題を解決し、将来のビジネス成長に対応できる柔軟性とスケーラビリティを獲得できます。
特に、リモートワークが常態化した現在において、場所を問わない安全で快適なユーザー体験を提供することで、生産性向上とセキュリティ強化を同時に実現できる点が大きな価値となっています。
参考文献
- 株式会社日立ソリューションズ – Zscalerの導入事例:
https://www.hitachi-solutions.co.jp/zscaler/case01/
- 伊藤忠テクノソリューションズ株式会社 – 導入事例:
https://www.ctc-g.co.jp/report/case-study/ctc_zscaler/
- エイチ・シー・ネットワークス株式会社 – 製品紹介:
https://www.hcnet.co.jp/column/detail25.html
- 株式会社日立ソリューションズ – 製品紹介:
https://www.hitachi-solutions.co.jp/zscaler/
- テクバン株式会社 – Zscaler Internet Access導入支援サービス:
https://www.techvan.co.jp/solution/security/zscaler_internet_access/
- NTTドコモビジネス – 製品紹介:
https://www.ntt.com/business/lp/zscaler.html
- KDDI株式会社 – 製品紹介:
https://biz.kddi.com/service/zscaler/internet_access/
- 三菱電機デジタルイノベーション株式会社 – 製品紹介:
https://www.mind.co.jp/column/professional01/003.html
- クラウドセキュリティチャネル – 製品紹介:
https://www.cloud-security.jp/blog/what-is-zscaler
- SBテクノロジー – 製品紹介:
https://www.softbanktech.co.jp/special/blog/it-keyword/2021/0014/
- 日本ビジネスシステムズ株式会社 – Zscaler 導入サービス / 運用代行支援:
https://pages.jbs.co.jp/zscaler_intro.html
- Zscaler公式サイト – 「サイバーセキュリティとゼロトラストのリーダー」:
https://www.zscaler.com/jp
