Zscaler Internet Access Webセキュリティサービスのご紹介
2019年
ノックス株式会社
Copyright © 2019 NOX Co., ltd. All rights reserved. 2
IT環境の変化とクラウドセキュリティ
Copyright © 2019 NOX Co., ltd. All rights reserved. 3
現代のIT環境にどう対応すべきか
VM1
VM2
VM6
VM3 VM5
VM4
• 従来のセキュリティインフラは時代にそぐわなくなっている
60% 2017年時点で、
日本国内の約6割の 企業が、何らかの
SaaSによるサービスを 利用している
・MDM市場動向 ~どうなる?2018 年のモバイル活用~(https://www.lanscope.jp/trend/9169/)
65% 2017年時点で、
65%の企業がビジネス利用のモバイル端末を
導入済み ・総務省(2018)「平成29年通信利用動向調査(企業編)」
Copyright © 2019 NOX Co., ltd. All rights reserved. 4
クラウドとモビリティの時代へ • ユーザーのインターネット接続をコントロールできているか
– 増え続けるサイバー攻撃 – モバイル利用の増加、クラウド利用の増加
? ?
Datacenter
VPN 持ち出しPC/モバイル
国内/海外拠点 高度化するサイバー攻撃に備え、 複数のセキュリティ製品を維持運用
インターネットアクセス増加で 社内ネットワークがひっ迫
各拠点へのセキュリティ機器導入は、運用・価格的に不可
自宅や公衆LANからの 業務アプリ接続を、 制御する手立てがない
インターネットアクセス増加でセキュリティ機器、ゲートウェイ機器の拡張が必須
持ち出し端末のセキュリティ
国内/海外拠点のセキュリティ
Copyright © 2019 NOX Co., ltd. All rights reserved. 5
Datacenter
クラウドでのセキュリティ対策 • どこからアクセスしても、最新かつ共通のセキュリティを
持ち出しPC/モバイル 国内/海外拠点
持ち出し端末のセキュリティ
国内/海外拠点のセキュリティ
本社
セキュリティ機器を持たず、 クラウドで常に最新のセキュリティ対策
VPN
国内/海外拠点からは 直接インターネットアクセス
持ち出し端末も、社内接続と 同じレベルのセキュリティ
場所を問わず、どこからアクセスしても共通のセキュリティ Aさん(本社)
Aさん(外出先)
Aさん(ブランチオフィス)
Copyright © 2019 NOX Co., ltd. All rights reserved. 6
急激なトラフィック増によるリスク
今後第2のOffice 365が出てくる可能性!? 1年目 2年目 3年目 4年目 5年目
? ? ? 通信量の増加の予測が困難
• アプライアンスのサイジング課題
1年目 2年目 3年目 4年目 5年目
通信量の増加の予測が容易
3年、5年といった長期利用を前提とした 機器選定が可能
従来は…
クラウド全盛時代では…
Copyright © 2019 NOX Co., ltd. All rights reserved. 7
急激なトラフィック増によるリスク
0 10 20 30 40 50 60 70 80 90 100
1年目
2年目
3年目
4年目
5年目
機器の増設もしくは リプレースによる、 キャパシティ増強対策が必要
アプライアンスの場合
Copyright © 2019 NOX Co., ltd. All rights reserved. 8
クラウドでトラフィック増のリスクを回避 クラウドの場合
0 10 20 30 40 50 60 70 80 90 100
1年目
2年目
3年目
4年目
5年目
多くのアプリがクラウド化されWeb通信の割合が増加 SSL複合化処理などWebプロキシは負荷の重い処理が多い 5年後まで確実に利用可能なアプライアンスのご案内は不可能に近い
クラウド側でキャパシティ管理されるため、 急激なトラフィック増でも安心
Copyright © 2019 NOX Co., ltd. All rights reserved. 9
Zscaler Internet Access (ZIA) ~概要~
Copyright © 2019 NOX Co., ltd. All rights reserved. 10
• クラウド上で動作するセキュリティWebプロキシ
• あらゆる場所、端末からのWeb通信のセキュリティを強化
Zscalerサービス概要
リアルタイムの可視化 (脅威、アプリケーション、
ユーザー)
共通のセキュリティ ポリシー一元管理
Mobile Employee HQ Remote Offices
トラフィック転送
持ち出し端末 拠点 本社
Exploits APT Malware
Botnets
パブリッククラウド プライベートアプリ
Copyright © 2019 NOX Co., ltd. All rights reserved. 11
Zscaler会社概要
Copyright © 2019 NOX Co., ltd. All rights reserved. 12
クラウドセキュリティ市場のリーダー
テクノロジイノベーション
クラウドセキュリティプラットフォーム
独自設計(100件の特許)
最大のセキュリティクラウド 100ヵ所のデータセンタ 1日あたり550億件の要求 1日あたり1億2,500万の脅威をブロック
市場におけるリーダーシップ G2000の認定
3,250の企業・団体 190ヵ国、
1,500万のユーザー グローバルパートナー
強力な財務基盤
高い成長率 125%の更新率
確かな財務モデル
出資者
業界の評価・認定
MQの「Leader」 Waveの「Leader」
Copyright © 2019 NOX Co., ltd. All rights reserved. 13
主要な業界アナリストによる評価
「Leader」の評価 – 8年連続
“Zscalerは、クラウドゲートウェイを検討中の すべての企業・組織にとって非常に有力な選択肢である”
“オンプレミスのWebコンテンツセキュリティではデジタルビジネスを保護できない”
Copyright © 2019 NOX Co., ltd. All rights reserved. 14
Zscalerのスケーラビリティ
国境を越えた保護
185
150
113
70
保護対象の拠点数
11,000
1,200
300
250
Office 365 月間トラフィック
83 TB
60 TB
44 TB 35 TB
保護対象の従業員数
130万人
40万人
20万人
12万人
550億 Transactions
Processed every day
1億 Threats
Detected every day
12万 Unique Security
Updates every day
Unparalleled Cloud Scale
Copyright © 2019 NOX Co., ltd. All rights reserved. 15
日本市場の動向 1)契約社数の推移
・2016年頃から大幅な増加 ・SaaS利用増加、クラウド志向、 働き方改革(持ち出し端末増加)、 ローカルブレイクアウト etc. ・現在の案件数から、今後も 契約社数は増加する見通し
2)業界毎の契約社数の割合 3)ユーザー数毎の契約社数の割合
Copyright © 2019 NOX Co., ltd. All rights reserved. 16
Zscaler国内実績
・ライオン株式会社様 ー6,000 users ・某大手法律事務所様 ―300 users ・某大手航空会社様 ―25,000 users ・某製薬会社様 ―500 users
・某ネットゲーム会社様 ―100 users ・某大手新聞社様 ―8,000 users ・某大手医療機器メーカー様 ―5,000 users ・某大手SIer様 ―1,000 users ・・・その他多数
・某大手製造業様 ー6,000 users ・某大手電機メーカーグループ様 ―133,000 users
・某県立学校様 ー100 users
・某大手金融持株会社様 ー2,500 users ・某大手ファイナンス&リース会社様 ―1,100 users ・某銀行様 ―500 users
・某エンジニアリング会社様 海外テナント向け ー250 users
・某医療系コールセンタサービス提供会社様 ー200 users
Copyright © 2019 NOX Co., ltd. All rights reserved. 17
Denver
Toronto
New York Paris
London Amsterdam
Brussels
Stockholm Moscow
Mumbai
Singapore
Sydney Cape Town
Madrid
Riyadh
Johannesburg
San Francisco
Atlanta Dallas
Frankfurt
Sao Paulo
Lagos Kuala Lumpur
Tel Aviv
Washington DC
Chicago
Los Angeles
Copenhagen
Melbourne
Milan
Hong Kong Taipei
Zurich
Chennai
Tianjin Tokyo
Doha Dubai Abu Dhabi
Miami
Jeddah
Al Khobar
Warsaw Seattle
Oslo
Shanghai
信頼性、可用性、高速
550億超
トランザクション/日
1億2,500万超
ブロックする 脅威/日
12万超 セキュリティアップデート
/日
100ヵ所のデータセンタ - 5つの大陸
インターネットエクスチェンジの ピアリング
150以上 ピアリングベンダ
安全性 第三者機関による テストの継続的な実施
認定 信頼性 DC内での冗長性とDC間でのフェールオーバ
透明性 サービス可用性監視のための Trust Portal
Copyright © 2019 NOX Co., ltd. All rights reserved. 18
Zscalerの多層防御
アクセスコントロール
Webフィルタリング
帯域制御
次世代ファイアウォール
マルウェアプロテクション
高度な脅威保護
サンドボックス
Anti-Virus
企業内情報の流出対策
アプリケーションコントロール
ファイルタイプコントロール
情報漏洩対策(DLP)
Zscaler Internet Access 主な機能
Zscaler Multitenant Cloud Security Platform
Copyright © 2019 NOX Co., ltd. All rights reserved. 19
Zscaler Internet Access (ZIA) ~各機能概要~
Copyright © 2019 NOX Co., ltd. All rights reserved. 20
ユーザーベースのWebフィルタリング • URLカテゴリ、ユーザー、グループ、部門、ロケーション、時間帯などの 条件を指定しポリシーを作成
• 6クラス, 30スーパーカテゴリ, 90以上のカテゴリが定義されており、 カスタマイズすることも可能
Copyright © 2019 NOX Co., ltd. All rights reserved. 21
インライン型の脅威対策 • インライン型アンチウイルス&アンチスパイウェアを提供
• グローバルポリシーにて、マルウェアプロテクション、アドウェア/スパイウェアを ブロック
Copyright © 2019 NOX Co., ltd. All rights reserved. 22
サポートが終了したブラウザの利用制限 • ブラウザの利用ポリシーを定義することで、セキュリティリスクを軽減
• 古くなったブラウザや脆弱性のあるブラウザ、プラグイン、アプリケーションを 利用しているユーザーに警告することが可能
– ブラウザのバージョンやパッチ – Adobe Flash、Sun Java、Apple QuickTime – メディアダウンロードアプリケーション(Windows Media Playerなど)
Copyright © 2019 NOX Co., ltd. All rights reserved. 23
SSL復合化スキャン
SSL SSL Webサーバ
SSL複合化 SSL再暗号化
スキャニング
• ZscalerのSSL復号化スキャン – 独自技術によりリアルタイムでSSLの複合化、スキャン、再暗号化を実現
– トラフィック量やパフォーマンスの考慮不要
• 証明書 – Zscaler社の証明書、または独自の証明書を利用可能
– 一般的なCipher Suitesに対応
Copyright © 2019 NOX Co., ltd. All rights reserved. 24
詳細なアプリケーションコントロール
HQ MOBILE BRANCH IOT
APPS
SaaS Open Internet Data Center IaaS Internal External
• 特定のクラウドアプリケーションへのアクセス制御 – SNSなど、閲覧は可能だが投稿は不可能など
アプリケーション毎に詳細な設定が可能
– 帯域や時間帯のコントロールも可能
Copyright © 2019 NOX Co., ltd. All rights reserved. 25
帯域制御
Office 365 guaranteed
40%
YouTube capped at 30%
• ビジネスクリティカルなアプリケーションへのアクセス維持 – アプリケーションやロケーションなどでビジネスニーズにあわせた帯域制御
が可能
• ストリーミングやファイル共有、ソーシャルメディアなどが
与える影響を制御
Prioritize Office 365 Guarantee 40%
Restrict YouTube Streaming to 20%
Limit large downloads (e.g. MSFT 10, OSX updates)
Copyright © 2019 NOX Co., ltd. All rights reserved. 26
高度な脅威保護 • リスクスコア(ページリスクインデックス)を作成
– 悪意のあるコンテンツ(スクリプトの挿入、脆弱性のあるActiveX、iFrameなど)を識別して、リアルタイムでリスクインデックスを計算
• ボットネット、悪意のあるアクティブコンテンツ、フィッシングサイト、不正な通信、クロスサイトスクリプト(XSS)、疑わしい宛先、P2Pファイル共有などの脅威から保護
• スキャン対象外のURLを登録することで、コンテンツをダウンロードさせることも可
能
Copyright © 2019 NOX Co., ltd. All rights reserved. 27
クラウドサンドボックス • すべての不明なファイルをインライン検査
– patient zero – 分析のためにファイルをアップロード
• クラウドインテリジェンス – 一度検出されたら、すぐにすべてのお客様に対しブロック
• SSLインスペクションによる統合プラットフォームサービス
– 既知の脅威(40以上の脅威のフィード)をすべてブロック – SSL検査でもパフォーマンス制限なし – インバウンドおよびアウトバウンドトラフィックに対する
APT保護
• すべてのユーザー/ロケーションで統一された ポリシー
– 単一のコンソールによるグローバルポリシーの定義 – ポリシー変更を即時実行
Copyright © 2019 NOX Co., ltd. All rights reserved. 28
クラウドサンドボックス
exe, dll, jar, rar, zip, scripts in zip doc(x), xls(x), ppt(x), .rtf office macros (.docm, .pptm, .xlsm) pdf, swf, apk
exe, dll – 全トラフィック(検疫) exe, dll – 疑わしいカテゴリ* (ブロック) ファイルタイプ
* 例: ポルノ、ウェブホスト、ファイルホスト、シェアウェアダウンロード 匿名 **Professional、Businessバンドルに追加可能。Transformationalバンドルには含まれる。
全てのIOCレポート、アーカイブサンプル、ドロップされたファイル/pcap、スクリーンショット 利用不可 レポート
順序ベースの規則、詳細な基準: ファイルタイプ、URLカテゴリ、ユーザー、グループ、ロケーション、部署、検疫、許可、スキャン
利用不可 ポリシー制御
スタンダードサンドボックス 各バンドルで利用可
高度なサンドボックス 追加オプション**
利用可 (サンドボックスがクリアになるまでファイル保持) 利用不可 ファイル検疫
ファイルサイズ 制限なし 2 MB 以下
全トラフィック – 検疫 ブロック ポリシー制御
Copyright © 2019 NOX Co., ltd. All rights reserved. 29
クラウドファイアウォール • ステートフルファイアウォールポリシー
– 宛先や送信元IP、ポートやプロトコルに基づきセキュリティポリシーを許可/ブロック
• スタンダードNGFWポリシー – Deep Packet Inspection(DPI)エンジンを使用し、アプリ
ケーションとユーザーに基づいて許可/ブロックセキュリティポリシーを適用
• ドメイン名によるポリシー – 動的IP(Azure / AWS)または複数のIPにホストされている
アプリケーションのポリシーを簡単に設定および管理可能
• リアルタイムで詳細なポリシーの制御と可視性 – ユーザー、グループ、ロケーションなどでポリシーを構成
し、トラフィックの使用状況、脅威、アプリケーションを可視化
• クラウドセキュリティサービス – どこからでも同様に保護し、より多くの脅威を発見
Copyright © 2019 NOX Co., ltd. All rights reserved. 30
クラウドファイアウォール Feature スタンダードFW 次世代 FW
(ZFW-NG-WITH-LOG) Network Service ( 5 tuple Policy) Network Application Awareness ( DPI Engine) ✘
User Awareness ✘ FQDN Based Policy ✘ DNS control ✘
FTP control FTP Network Service ( Native FTP ONLY)
( HTTP over FTP)
NAT Control Analytics: Firewall, DNS Insights ✘
Dashboard: Firewall ONLY for Block rule (Firewall)
Dashboard: DNS ✘
Full & Hourly Logging on all rules Need Additional License
Copyright © 2019 NOX Co., ltd. All rights reserved. 31
情報漏えい対策 • ユーザー、ファイルタイプ、宛先によるファイルタイプ制御
– 特定ユーザー、ファイルタイプ宛先や送信元IP、ポートやプロトコルに基づきセキュリティポリシーを許可/ブロック
• カスタム/事前定義の辞書情報を用いたアウトバウンドファイルスキャン (HIPAA、PCIなど)
– Zscaler上に登録している辞書へのマッチングをもとにスキャンを実施
• 機密情報のロギング/ブロック – 事前定義した辞書情報に合致した際のログ保存とブロックを実施
• オンプレミスDLPへのICAP連携 – お客様環境にてDLP製品を利用している場合、そちらに向けてZscalerのDLPポリシーにマッチングしたログを
ICAPを利用して送信することが可能
• Exact Data Match – クラウドに機密情報を転送することなくマッチングが可能 – お客様環境に予め準備した仮想アプライアンスからマッチング対象となるファイル等の情報をトークン化した
上でクラウドに転送
Copyright © 2019 NOX Co., ltd. All rights reserved. 32
アクセスログ・レポート • 6ヶ月分のアクセスログ&レポート
– リアルタイムの可視性、分析、レポートが可能 – ログ保存期間を1年間に変更可能(オプション)
• オンプレミスSIEMへのストリーム – ログ転送用の仮想アプライアンス(VMware)を利用し任意のフィルタをかけた上でSIEMにログ転送が
可能 – テクノロジーパートナー各社のフォーマットで簡単に転送が可能
• NSSログリカバリ(Web/ファイアウォールログ) – SIEMにログ転送時、通信断等でログが転送できない場合にログを再送することが可能(Webログ/ファイ
アウォールログそれぞれでオプション)
Copyright © 2019 NOX Co., ltd. All rights reserved. 33
その他機能
• 優先カテゴライズ対応 – 上位100の未分類ドメインをカテゴリ分類
• テストテナント – 本番ライセンスとは別にテスト用として、50ユーザー分のライセンスをミラーリング
• デバイス防御 – クライアントとしてのサーバ保護、IoT/ゲストwifiデバイスのインターネットアクセス
Copyright © 2019 NOX Co., ltd. All rights reserved. 34
Zscaler Internet Access (ZIA) ~活用例~
Copyright © 2019 NOX Co., ltd. All rights reserved. 35
• Zscalerを利用したローカルブレークアウト構成 – インターネットトラフィック増加によるオンプレ機器の増強・拡張を回避
– 働き方改革もユーザーの利便性を損なわずセキュリティを向上させることが可能
活用例①多拠点・持ち出し端末への対応
Copyright © 2019 NOX Co., ltd. All rights reserved. 36
活用例②SSLスキャンニング • ZscalerによるSSL復合化スキャン
– Zscalerは独自技術によりリアルタイムでSSLの復合化、スキャン、再暗号化を実現
54% 高度な脅威の54%が
SSLの背後に隠れています
すべてのSSLトラフィックを スキャンしようとすると、
今の8倍以上の アプライアンスが必要です
8X
65%
インターネットの現状
80%
Chrome FireFox
70%
全トラフィックのうち
SSLの割合
ロードされた HTTPSページの割合
Zscaler
脅威の現状 旧来のアプライアンス
SSL
Copyright © 2019 NOX Co., ltd. All rights reserved. 37
活用例③Office365
最大規模の拠点にも関わらず、 NYオフィスの
O365トラフィックが少ない …何か問題が?
O365の トップユーザーを
簡単に確認! OneDrive利用が 少ない傾向…
まだ Boxを使用?
リアルタイムの O365トラフィック
全体の状況は?
O365の月間トランザクション 170億
Zscaler経由の月間通信 2.8PB
Copyright © 2019 NOX Co., ltd. All rights reserved. 38
活用例④SIEM連携
• テクノロジーパートナー各社のフォーマットで簡単に転送が可能
• 任意のフィルタをかけた上でSIEMにログ転送が可能
Web トラフィック
圧縮された ログフィード
SIEM
フィルタされたログフィード Zscaler Nanolog
NSS 仮想アプライアンス
Copyright © 2019 NOX Co., ltd. All rights reserved. 39
パートナーエコシステム
クラウド上のログを リアルタイムフィード
ネットワーク:SD-WAN セキュリティ:Zscaler
SAML-SSOで シングルサインオン
モバイル管理:EMM モバイルセキュリティ:Zscaler
クラウドアプリケーションの 可視化はCASBと連携
Copyright © 2019 NOX Co., ltd. All rights reserved. 40
Zscaler Internet Access (ZIA) ~その他~
Copyright © 2019 NOX Co., ltd. All rights reserved. 41
ユーザートラフィックの転送方法
透過プロキシ型
• IPsec/GRE
• SD-WAN
#IPsecは最大200Mbps
ルーティングでトラフィックを転送
• 複数のユーザートラフィックの転送方法をサポート
例)IPsec/GRE
明示プロキシ型
• PACファイル
• Zscaler App(ユーザーエージェント)
Zscalerノード宛にトラフィックを転送
例)Zscaler App
社内NW
Copyright © 2019 NOX Co., ltd. All rights reserved. 42
ユーザー情報の管理 • 複数のユーザーDB管理、ユーザー認証方法をサポート
ユーザー認証
• ローカルDB(Zscaler上) • One-Time Password/Link • AD/LDAP • SAML
クライアント端末の認証
プロビジョニング
• 手動管理 • CSVアップロード • AD/LDAP • Authentication Bridge • SAML(要ユーザーID、部署、グループ) • SCIM
Zscaler上にユーザー情報を展開
Copyright © 2019 NOX Co., ltd. All rights reserved. 43
SLA Zscaler は、世界各地に配置されたシステムにより安定したクラウドサービスを 高い品質で提供し続けています。 その可用性・安定性はSLA(Service Level Agreement)に基づいて定義されており、 サービス停止や遅延などの事象が発生した場合の対応についても明確化されています。
※最新の対応内容については、弊社サポート窓口までお問い合わせください。
Copyright © 2019 NOX Co., ltd. All rights reserved. 44
参考情報 Zscaler ドキュメント及びナレッジ https://help.zscaler.com/zia/documentation-knowledgebase
EUSA(End User Subscription Agreement) https://www.zscaler.com/legal/end-user-subscription-agreement https://www.zscaler.com/productsheets
Zscaler利用時のファイアウォール要件 https://ips.zscaler.net/
Zscaler DC拠点情報
https://ips.zscaler.net/cenr
Copyright © 2019 NOX Co., ltd. All rights reserved. 45
Zscaler Internet Access (ZIA) ~パッケージ~
Copyright © 2019 NOX Co., ltd. All rights reserved. 46
バンドルパッケージ 対応機能表
機能 SIP Professional Business Transformation ユーザーベースのWebフィルタリング ○ ○ ○ ○
6ヶ月分のアクセスログ&レポート ○ ○ ○ ○
ファイルタイプによるアクセスコントロール オプション※1 ○ ○ ○
インラインのアンチウイルス&アンチスパイウェア N/A ○ ○ ○
SSL復号化スキャン オプション オプション ○ ○
高度な脅威保護(Phishing、Botnets、XSSなど) N/A オプション ○ ○
サポートが終了したブラウザの利用制限 オプション オプション ○ ○
詳細なアプリケーションコントロール オプション オプション ○ ○
モバイルアプリケーションのレポート&コントロール N/A N/A ○ ○
帯域制御 オプション オプション ○ ○
SIEM連携(ログ転送) オプション オプション ○ ○
サンドボックス N/A オプション ※2 オプション ○
次世代ファイアウォール N/A オプション オプション ○
ZscalerノードへのIPsec暗号化接続 N/A N/A N/A オプション
情報漏えい対策 オプション オプション オプション オプション
AD連携(Outboundでユーザー情報を同期) オプション オプション オプション オプション
※1 「情報漏えい対策」のライセンスをご購入頂くことでご利用頂けます。 ※2 「高度な脅威保護」と併せてのご購入が必須になります。
Copyright © 2019 NOX Co., ltd. All rights reserved. 47
ありがとうございました