データシート

Zscaler Private Accessアプリケーションアクセスをゼロトラスト ネットワークアクセス（ZTNA）サービスで保護

企業にはデジタルトランスフォーメーションの実現が求められています。これまでは、 データセンターにホストされていたアプリケーションがプライベートクラウドに移行され、リモートの個人のデバイスからリモートから接続して活用されるようになりました。IT部門では、高いユーザエクスペリエンスを確保しながら、セキュリティを強化する必要があります。

こうした移行は、拡張性や簡素性、生産性の向上といった恩恵をもたらすものの、セキュリティ境界がインターネットに拡大されるため、従来のDMZ型アプローチでは対応しきれなくなります。同時に、アプリケーションにアクセスする管理対象外のユーザデバイスも増加し、IT部門は管理対象外デバイスからのアプリケーションへのアクセス要件と、セキュリティリスクの最小化の間でのバランスを取る必要に迫られます。IT部門はこの対応策を現行のリモートアクセス技術に依存してきましたが、たいていはユーザ側、IT側いずれのニーズも満たさない不十分な対策にとどまっていました。

従来のDMZはクラウドファーストの時代に そぐわない以前までは、DMZ型アプローチは、データセンターアプリケーションにとっては効果的でした。企業内LANにセキュリティレイヤーを配置し、外部向けサービスのみをインターネットで公開し、それ以外の内部サービスはすべてファイアーウォール内で稼働していました。しかしアプリケーションのクラウド移行により、セキュリティの境界はインターネットにまで拡張され、DMZの効力が届かなくなりました。DMZのクラウドへの移行は、「仮想DMZ」とも呼ばれ、一部のクラウドサービスプロバイダが推奨しています。しかしこの手法はコストがかかるのみならず、アーキテクチャの構築が難しく実装も複雑になります。データセンターにホスティングされた従来のVPNゲートウェイのほか、クラウド事業者別の仮想ネットワーク（VNEG）アーキテクチャの構築や実装（一般的には、NIC、ネットワークアクセス変数の追加など）、内部ネットワークと仮想ネットワーク両方に接続するVPNアプライアンスも必要となります。この複雑性ゆえに、パブリッククラウドへの導入は遅れ、アプライアンスに投じるコストは上昇し、パブリッククラウドアプリケーションにアクセスするユーザの要求も満たせていませんでした。

Zscaler Private Access: プライベートアプリケーションアクセスを ゼロトラストで再定義Zscaler Private Access（ZPA）は、クラウドまたはデータセンタで実行する内部アプリケーションに対して、ゼロトラスト環境に安全なリモートアクセスを提供するZscalerのクラウドサービスです。ZPAでは、アプリケーションがインターネットに公開されることがないため、権限のないユーザにアプリケーションが表示されることはありません。このサービスでは、ユーザに対してネットワークアクセスを拡張するのではなく、アプリケーション側からユーザにインサイドアウトで接続できるようにします。

ゼロトラストアクセスは次の4つの特徴に基づいています。

• アプリケーションへのアクセスにネットワークアクセスやVPN接続が不要

• インサイドアウト接続により、権限のないユーザにはアプリケーションを公開しない

• ネットワークセグメンテーションではなく、アプリケーションセグメンテーションによってユーザを特定のアプリケーションに接続し、ネットワーク内での水平移動を制限する

• インターネットがエンドツーエンドの暗号化されたTLSトンネルを介して新たな企業ネットワークになる

データシート

© 2018 Zscaler, Inc.All rights reserved.

ZPAは、内部アプリケーションへのシンプルで安全かつ効率的なアクセスを実現します。アクセスは、IT管理者がZPA Admin Portalで作成してZscaler Cloud内でホストするポリシーをベースに行われます。各ユーザデバイスには、Zscaler appというソフトウェアをインストールします。Zscaler appは、ユーザのデバイスの状態を確認し、ユーザが内部アプリケーションへのアクセスを試みた際に、Zscaler Cloudへのセキュアなマイクロトンネルを生成します。

ZPAでは、パブリッククラウドまたはデータセンタで実行中のアプリケーションに隣接した場所に、App Connectorと呼ばれる小型のソフトウェアをVMとして配置します。これがZscaler Cloudへのマイクロトンネルに使用されます。App Connectorはクラウドへのアウトバウンドの接続を確立しますが、インバウンドの接続リクエストは受け付けず、DDos攻撃を防止します。Zscaler CloudのZscaler Enforcement Node（ZEN）がアクセスを承認し、ユーザとアプリケーション間の接続を結びつけます。ZPAは完全にソフトウェアで定義されているため、アプライアンスを必要とせず、ユーザはアプリケーションのセキュリティを維持しながらクラウドとモビリティを活用できます。

以下に、ZPAサービスのアーキテクチャを示します。

3

2

1

ゼロトラストネットワークアーキテクチャ

Zscaler Enforcement Node（ZEN）• Z AppとApp Connectorの間の 安全な接続を仲介• クラウドにホスティング• 認証に使用• 管理者によるカスタマイズが可能

Zscaler App• デバイスにインストールされるモバイルクライアント• アプリへの接続をリクエスト

App Connector• Azure、AWS、その他のパブリッククラウドサービスで 稼働するアプリの前に配置• アプリへの接続リクエストを受け付ける• インバウンド接続を受け付けない

3

2

TLS

1

App Connector

Zscaler Enforcement Node

Zscaler App

ZPAで企業の活力を向上

クラウドのようなユーザエクスペリエンスを提供企業内に導入する技術の選定には、ユーザの意見がより重要になります。ZPAを用いれば、ユーザは自分がどのアプリにアクセスしているのか考える必要がなくなります。

• パブリッククラウドとデータセンターアプリケーションの両方で一貫したユーザエクスペリエンス

• Oktaやその他のシングルサインオンプロバイダとのサービス連携による迅速なアクセス

• すべてのWebアプリに対してブラウザアクセスが可能で、Zscaler appなしでも接続可能

• 管理者はリモートユーザに最善のエクスペリンスを提供するため再認証のフレームワークをカスタマイズ可能

データシート

© 2018 Zscaler, Inc.All rights reserved.

すべてのユーザとアプリケーションのアクティビティの可視性を向上ZPAは、管理者UIでインテリジェンスをすべて提供するため、管理者はアプリケーションにアクセスしているユーザを把握し必要に応じてアクションを講じることができます。

• パブリッククラウドで実行中の未知のアプリケーションを発見し、より細かいアクセス制御を適用

• ユーザやアプリデータを匿名のIPアドレスではなく名称で表示

• 過去とリアルタイムのユーザアクティビティを表示

• 環境内のアプリケーション、サーバーおよび接続の状態を表示

• ユーザ監査ログをSIEMプロバイダに自動でストリーム

• Zscalerに接続するすべてのデバイスを可視化

• App Connectorによる環境の状態の可視化

データシート

© 2018 Zscaler, Inc.All rights reserved.

特定のユーザやアプリケーションに対するきめ細かいポリシー定義ZPAは、アプリケーションや、アプリケーションにアクセスするユーザをIT部門によって管理可能にする、一元的なプラットフォームを提供します。

• Zscaler cloud上にホスティングされたグローバルポリシーでユーザ毎のアプリケーションへのアクセスの可否を判別

• 管理者は、ユーザ、ユーザグループ、アプリケーション、アプリケーショングループのポリシーを作成、管理

• IT部門は、ネットワークやACLでのセグメンテーションが不要で、アプリケーションごとにアクセスのセグメンテーションが可能

すべてのパブリックとプライベートクラウドへのセキュアなアクセスを確保データセンタとパブリッククラウド（Azure、AWS およびGCP）のアプリケーションへ、迅速かつ容易でセキュアなアクセスを可能にします。

• ZPAは、アプリケーションの実行場所に関わらず安全で一貫性のあるアクセスを提供

• パブリッククラウドへのセキュアなアクセスにVPNゲートウェイスタックや仮想DMZへの接続は不要

• ネットワークとセキュリティアーキテクチャの複雑性を大幅に緩和し、クラウド導入を加速

• シンプルにユーザのトラフィックを新しいコネクタにルーティングする事でアプリが移動され、アプリのマイグレーションを加速

• Microsoft（Azure）やAmazon（AWS）とのパートナーシップによりクラウド導入時のネットワークセキュリティを簡素化

データシート

© 2018 Zscaler, Inc.All rights reserved.Zscaler™、SHIFT™、Direct-to-Cloud™、ZPA™、ByteScan™、Pagerisk™、Nanolog™、PolicyNow™、およびThe Internet the new network™は、米国または他の国におけるZscaler, Inc.の商標または登録商標です。その他の商標は各社に帰属します。本製品は、ww.zscaler.jp/patentsに記載されている1つまたはそれ以上の米国または米国以外の特許に該当する場合があります。特許についてはこちらからご覧ください。 www.zscaler.jp/patents

ゼットスケーラー株式会社〒100-0004 東京都千代田区大手町1-9-2 大手町フィナンシャルシティ グランキューブ3階www.zscaler.jp

￥

￥ ￥

PROFESSIONALBROWSER ONLY BUSINESS機能ZPA Platform — グローバルデータセンタ、HA、SAML認証等

ユーザーとアプリケーションのグローバルな可視化 — ユーザごとに、プライベートおよび内部アプリケーションの使用状況を一元的に可視化

ブラウザベースのアプリへのセキュアなプライベートアクセス — ネットワークやインターネットに公開する事なく、すべてのウェブベースのアプリへのセキュアなアクセス

ZPA App Connector* — アプリケーション接続のためのデータセンタ、クラウドまたはハイブリッド環境への軽量なVMの導入

複数のIDP — 複数IDPサービスの同時サポート

アプリケーション／サーバディスカバリ — ユーザのリクエストにより、ワイルドカードポリシーに基づきアプリケーションおよびサーバのロケーションを表示

アプリケーションのDDoS保護を備えたエンタープライズDarkNet — アクセス権限のあるユーザにのみアプリケーションを可視化

ZPA User Portal — ユーザがアクセス可能なアプリを可視化可能なポータル

アプリケーション単位のマイクロセグメンテーション（最大5つのアプリケーション）* — 最大5つのアプリケーション定義に対して、ユーザーまたはグループ別に細かくアクセスを制御、各セグメントに複数のホストまたはポートを持つことも可能

アプリケーション単位のマイクロセグメンテーション（最大3,000のアプリケーション）* — 最大1万のアプリケーションとセグメント定義に対して細かくアクセスを制御

Zscaler App — Windows、Mac、IOS、Android用エージェント — Zscaler Internet Access およびZscaler Private Accessへのアクセスに使われる軽量のアプリケーション

ブラウザベースでないアプリへのセキュアなプライベートアクセス — ネットワークやインターネットに公開する事なく、すべてのプライベートアプリ（パブリック、プライベートまたはハイブリッドクラウド、またはデータセンタ上のアプリ）へのセキュアなアクセス

デバイスポスチャの適用 — デバイスフィンガープリント、状態証明書、その他のポスチャーをチェック

継続的な状態監視 — アプリケーションのヘルス状態を継続的にモニタリングすることで、ポートの有効性とユーザによるアプリケーションへの接続を常に確保

リアルタイムのユーザトランザクションビュー ー瞬時にログを取得しエンドユーザをサポート

ログストリーミングサービス — SIEMプロバイダに自動的にログをストリーミング

顧客で既に使用しているPKIとの二重暗号化 — 顧客提供の証明書を利用し、顧客で既に使用しているPKIを使用したマイクロトンネルの暗号化

￥

￥

合併や買収を加速合併や買収（M&A）は完了までに数ヶ月、または数年を要する場合もあります。ZPAはITアーキテクトや管理者がM&Aプロセスで直面する、ネットワークの複雑性やコストを低減します。

• ZPAは既存の資産のほか、新規に獲得するものも含めあらゆる資産のセキュリティを標準化

• 複数のネットワークやIPアドレスの統合は不要

• ZPAソフトウェアの展開だけでM&Aのスケジュールを加速可能

• 既存または新規の従業員のネットワークへのアクセス設定は不要

• 現行のインフラストラクチャの変更は不要

Zscaler Private Accessは次の3つのプロダクトスイートで提供されます。

注: アプリケーションセグメントは、標準のポート群上の任意の数のFDQN/IPアドレス*機能は個別に追加可能、￥:オプション機能として別途購入が必要

Zscaler Private Accessについて詳しくはこちらからご覧ください。zscaler.jp/products/zscaler-private-access

無償のZPAの7日間トライアルをお試しください。zscaler.jp/zpa-interactive