今までのセキュリティ対策が限界を迎えつつある。例えば、WANの構成に本社と各地方拠点を結ぶハブ&スポーク型を採用している企業は多い。その場合、インターネット接続などの対外通信は本社やデータセンター(DC)に集約され、ファイアウォール(FW)やプロキシなどを通ってから外に出る。こうした構成はセキュリティ対策を一元管理できるといったメリットがあった。ところがクラウドの活用が増えるにつれ、必ずしも効率的とは言えなくなっている。
最大の理由がクラウドの普及だ。従業員の生産性を高めるためには、「Office 365」「Salesforce」「Box」といったSaaSが欠かせない。
そこで、センター経由のトラフィック急増の解決策として、クラウド宛の通信を各拠点などから直接インターネットに出して繋げる「ローカルブレイクアウト」が行われるようになった。従来通りの発想で各ユーザーを守ろうとすると、拠点ごとにセキュリティ対策の導入が必要になりコストが高くつく。また、モバイルユーザーは直接インターネット回線を利用するようになっているため、そちらの監視も必要になる。このようにクラウドもアクセスも多様化している中で、従来通りの発想でのセキュリティ対策は限界になりつつある。
この構造はクラウドの活用が進む以上、避けられない。いち早くこの状況を予期し、「ユーザーとアプリケーションの間でセキュリティをクラウドで守ってあげればいい」という発想でソリューションを提供するのがZscalerだ(図表1)。
同社は2007年に米サンノゼで創業。クラウドセキュリティ業界を牽引し続け、調査会社ガートナーからセキュア・ウェブ・ゲートウェイ(SWG)部門で8年連続リーダーの評価を受けている。
「オンプレミスに装置がなくてもセキュリティを守れるネットワーク環境とサービスを作っていく」(Zscaler 北アジア地域 SEマネージャの菅原博史氏)というコンセプトで設計されたソリューションが「Zscaler Internet Access(ZIA)」だ。
各通信を世界中に設置されたZscalerのデータセンターを経由させることで、Webフィルタリング、アンチウイルス、サンドボックスなどのセキュリティ機能を適用し、その先のアプリケーションにアクセスさせる。
「本社、支社、モバイルのユーザーがZIAに繋がることで一元管理ができます。さらに、同一のポリシーを全てのユーザーとロケーションに適用できるため、セキュアな環境を非常に簡単に運用できます」と菅原氏は説明する。
特筆すべきはその処理速度。SLAで月間平均100ms以下の遅延を保証している。「100msを超過した分はクレジットで返金する仕組みになっています」(菅原氏)。この高速処理を支えているのが同社の特許技術「SSMA(Single Scan Multi-Action)」である。
「1つのノード(ソフトウェア)で、アンチウイルス、URLフィルタリング、DLPなど全てのプロセスを同時に並列処理します。近年はSSLで通信が暗号化されており、その検査による遅延が問題になっていますが、SSMAならパフォーマンスが落ちません」と菅原氏は解説する。また、URLサイトやセキュリティ情報など、あらゆる情報が1行のログに集約されるため、セキュリティ監視などの運用も容易になるという。
加えて、Zscalerは150以上の拠点を6大陸にわたって設置。世界中どこにいても最寄りのDCを利用できる。「月間で約1兆以上のトランザクションを処理しています」と菅原氏は胸を張る。
また、社外から社内アプリケーションなどを利用する場合、これまではDCなどに設置されたVPN装置と社内ネットワークを経由してアクセスしていた。
ところが、最近ではITリソースがオンプレミスに留まらず、AWS(Amazon web services)やMicrosoft Azure、GCP(Google Cloud Platform)などマルチクラウドに分散するようになっている。そのため、従来型の構成でセキュアに社内リソースを利用しようとすると、一度オンプレミスのDCを経由してから再度アクセスするという手間が発生する。こうした非効率のツケは当然、ユーザーへ大幅な遅延という形で返ってくる。
こうした問題を解決するリモートアクセスのソリューションがZscaler Private Access(ZPA)だ。ZPAは次の3点から構成される(図表2)。(1)「ZPA ZEN(Zscalerのクラウドエンジン)」、(2)「Z-APP(クライアントに導入するエージェント)」、(3)「APP CONNECTOR(アプリケーションサーバー前に設置されるソフトウェア)」である。
仕組みはシンプルで、Z-APPとAPP CONNECTORがそれぞれ自動でZPA ZENにTLSで暗号化されたネットワークを構築。ZPA ZENはSAML(Security Assertion Markup Language)によるID/Pass認証でユーザーを識別し、自動で最寄りのアクセス先へ通信を誘導する。もちろん、ユーザー権限に応じてアクセスをコントロールすることも可能だ。「社内DCを通る必要がなくなるため、一番近いクラウドに最適な経路でアクセス可能です。加えて、接続先は外から分からないためDDoS攻撃でも狙われない。効率のよいネットワークでセキュアにアクセスできます」と菅原氏は説明する。
これらのアーキテクチャなどが評価され、Zscalerのソリューションはシーメンス、GE、ネスレ、LVMH(ルイ・ヴィトン)など業種・業態問わず多くの採用実績がある。
特に、近年では海外拠点を持つグローバル企業からの注目が集まっているという。「子会社やパートナー企業のアクセスを、きめ細かくユーザーごとにコントロール可能です。日本でも、海外拠点をセキュアかつ高速に利用したい商社などでの採用実績が増えています」と菅原氏は語る。
また、SD-WANやSIEMなどのソリューションと連携が得意なのも嬉しい点だ。「ログをSIEMなどと連携するテンプレートを用意しています。特にSD-WANとの連携は力を入れており、多くのSD-WANとAPI経由で我々のクラウドが自動接続可能になっています。既存のセキュリティ投資が無駄になることはありません」と菅原氏は語る。クラウド活用が進みITインフラが分散するなかで、高速かつ柔軟なアーキテクチャでユーザーを守れるZscalerのソリューションはますます採用が加速していくだろう。
お問い合わせ先 |
ゼットスケーラー株式会社 TEL:03-4243-6320 URL:https://www.zscaler.jp/company/contact |