zscaler – webセキュリティサービスのご紹介 · •...

Zscaler Internet Access Webセキュリティサービスのご紹介

2019年

ノックス株式会社

Copyright © 2019 NOX Co., ltd. All rights reserved. 2

IT環境の変化とクラウドセキュリティ


現代のIT環境にどう対応すべきか

VM1

VM2

VM6

VM3 VM5

VM4

• 従来のセキュリティインフラは時代にそぐわなくなっている

60% 2017年時点で、

日本国内の約6割の企業が、何らかの

SaaSによるサービスを利用している

・MDM市場動向～どうなる？2018 年のモバイル活用～(https://www.lanscope.jp/trend/9169/)

65% 2017年時点で、

65％の企業がビジネス利用のモバイル端末を

導入済み・総務省(2018)「平成29年通信利用動向調査（企業編）」


クラウドとモビリティの時代へ • ユーザーのインターネット接続をコントロールできているか

– 増え続けるサイバー攻撃 – モバイル利用の増加、クラウド利用の増加

? ?

Datacenter

VPN 持ち出しPC/モバイル

国内/海外拠点高度化するサイバー攻撃に備え、複数のセキュリティ製品を維持運用

インターネットアクセス増加で社内ネットワークがひっ迫

各拠点へのセキュリティ機器導入は、運用・価格的に不可

自宅や公衆LANからの業務アプリ接続を、制御する手立てがない

インターネットアクセス増加でセキュリティ機器、ゲートウェイ機器の拡張が必須

持ち出し端末のセキュリティ

国内/海外拠点のセキュリティ


Datacenter

クラウドでのセキュリティ対策 • どこからアクセスしても、最新かつ共通のセキュリティを

持ち出しPC/モバイル国内/海外拠点

持ち出し端末のセキュリティ

国内/海外拠点のセキュリティ

本社

セキュリティ機器を持たず、クラウドで常に最新のセキュリティ対策

VPN

国内/海外拠点からは直接インターネットアクセス

持ち出し端末も、社内接続と同じレベルのセキュリティ

場所を問わず、どこからアクセスしても共通のセキュリティ Aさん（本社）

Aさん（外出先）

Aさん（ブランチオフィス）


急激なトラフィック増によるリスク

今後第2のOffice 365が出てくる可能性!? 1年目 2年目 3年目 4年目 5年目

？？？通信量の増加の予測が困難

• アプライアンスのサイジング課題

1年目 2年目 3年目 4年目 5年目

通信量の増加の予測が容易

3年、5年といった長期利用を前提とした機器選定が可能

従来は…

クラウド全盛時代では…


急激なトラフィック増によるリスク

0 10 20 30 40 50 60 70 80 90 100

1年目

2年目

3年目

4年目

5年目

機器の増設もしくはリプレースによる、キャパシティ増強対策が必要

アプライアンスの場合


クラウドでトラフィック増のリスクを回避クラウドの場合

0 10 20 30 40 50 60 70 80 90 100

1年目

2年目

3年目

4年目

5年目

多くのアプリがクラウド化されWeb通信の割合が増加 SSL複合化処理などWebプロキシは負荷の重い処理が多い 5年後まで確実に利用可能なアプライアンスのご案内は不可能に近い

クラウド側でキャパシティ管理されるため、急激なトラフィック増でも安心


Zscaler Internet Access (ZIA) ～概要～


• クラウド上で動作するセキュリティWebプロキシ

• あらゆる場所、端末からのWeb通信のセキュリティを強化

Zscalerサービス概要

リアルタイムの可視化 (脅威、アプリケーション、

ユーザー)

共通のセキュリティポリシー一元管理

Mobile Employee HQ Remote Offices

トラフィック転送

持ち出し端末拠点本社

Exploits APT Malware

Botnets

パブリッククラウドプライベートアプリ


Zscaler会社概要


クラウドセキュリティ市場のリーダー

テクノロジイノベーション

クラウドセキュリティプラットフォーム

独自設計（100件の特許）

最大のセキュリティクラウド 100ヵ所のデータセンタ 1日あたり550億件の要求 1日あたり1億2,500万の脅威をブロック

市場におけるリーダーシップ G2000の認定

3,250の企業・団体 190ヵ国、

1,500万のユーザーグローバルパートナー

強力な財務基盤

高い成長率 125％の更新率

確かな財務モデル

出資者

業界の評価・認定

MQの「Leader」 Waveの「Leader」


主要な業界アナリストによる評価

「Leader」の評価 – ８年連続

“Zscalerは、クラウドゲートウェイを検討中のすべての企業・組織にとって非常に有力な選択肢である”

“オンプレミスのWebコンテンツセキュリティではデジタルビジネスを保護できない”


Zscalerのスケーラビリティ

国境を越えた保護

185

150

113

70

保護対象の拠点数

11,000

1,200

300

250

Office 365 月間トラフィック

83 TB

60 TB

44 TB 35 TB

保護対象の従業員数

130万人

40万人

20万人

12万人

550億 Transactions

Processed every day

1億 Threats

Detected every day

12万 Unique Security

Updates every day

Unparalleled Cloud Scale


日本市場の動向１）契約社数の推移

・2016年頃から大幅な増加・SaaS利用増加、クラウド志向、働き方改革(持ち出し端末増加)、ローカルブレイクアウト etc. ・現在の案件数から、今後も契約社数は増加する見通し

２）業界毎の契約社数の割合３）ユーザー数毎の契約社数の割合


Zscaler国内実績

・ライオン株式会社様ー6,000 users ・某大手法律事務所様 ―300 users ・某大手航空会社様 ―25,000 users ・某製薬会社様 ―500 users

・某ネットゲーム会社様 ―100 users ・某大手新聞社様 ―8,000 users ・某大手医療機器メーカー様 ―5,000 users ・某大手SIer様 ―1,000 users ・・・その他多数

・某大手製造業様ー6,000 users ・某大手電機メーカーグループ様 ―133,000 users

・某県立学校様ー100 users

・某大手金融持株会社様ー2,500 users ・某大手ファイナンス＆リース会社様 ―1,100 users ・某銀行様 ―500 users

・某エンジニアリング会社様海外テナント向けー250 users

・某医療系コールセンタサービス提供会社様ー200 users


Denver

Toronto

New York Paris

London Amsterdam

Brussels

Stockholm Moscow

Mumbai

Singapore

Sydney Cape Town

Madrid

Riyadh

Johannesburg

San Francisco

Atlanta Dallas

Frankfurt

Sao Paulo

Lagos Kuala Lumpur

Tel Aviv

Washington DC

Chicago

Los Angeles

Copenhagen

Melbourne

Milan

Hong Kong Taipei

Zurich

Chennai

Tianjin Tokyo

Doha Dubai Abu Dhabi

Miami

Jeddah

Al Khobar

Warsaw Seattle

Oslo

Shanghai

信頼性、可用性、高速

550億超

トランザクション／日

1億2,500万超

ブロックする脅威／日

12万超セキュリティアップデート

／日

100ヵ所のデータセンタ - 5つの大陸

インターネットエクスチェンジのピアリング

150以上ピアリングベンダ

安全性第三者機関によるテストの継続的な実施

認定信頼性 DC内での冗長性とDC間でのフェールオーバ

透明性サービス可用性監視のための Trust Portal


Zscalerの多層防御

アクセスコントロール

Webフィルタリング

帯域制御

次世代ファイアウォール

マルウェアプロテクション

高度な脅威保護

サンドボックス

Anti-Virus

企業内情報の流出対策

アプリケーションコントロール

ファイルタイプコントロール

情報漏洩対策（DLP）

Zscaler Internet Access 主な機能

Zscaler Multitenant Cloud Security Platform


Zscaler Internet Access (ZIA) ～各機能概要～


ユーザーベースのWebフィルタリング • URLカテゴリ、ユーザー、グループ、部門、ロケーション、時間帯などの条件を指定しポリシーを作成

• 6クラス, 30スーパーカテゴリ, 90以上のカテゴリが定義されており、カスタマイズすることも可能


インライン型の脅威対策 • インライン型アンチウイルス＆アンチスパイウェアを提供

• グローバルポリシーにて、マルウェアプロテクション、アドウェア/スパイウェアをブロック


サポートが終了したブラウザの利用制限 • ブラウザの利用ポリシーを定義することで、セキュリティリスクを軽減

• 古くなったブラウザや脆弱性のあるブラウザ、プラグイン、アプリケーションを利用しているユーザーに警告することが可能

– ブラウザのバージョンやパッチ – Adobe Flash、Sun Java、Apple QuickTime – メディアダウンロードアプリケーション（Windows Media Playerなど）


SSL復合化スキャン

SSL SSL Webサーバ

SSL複合化 SSL再暗号化

スキャニング

• ZscalerのSSL復号化スキャン – 独自技術によりリアルタイムでSSLの複合化、スキャン、再暗号化を実現

– トラフィック量やパフォーマンスの考慮不要

• 証明書 – Zscaler社の証明書、または独自の証明書を利用可能

– 一般的なCipher Suitesに対応


詳細なアプリケーションコントロール

HQ MOBILE BRANCH IOT

APPS

SaaS Open Internet Data Center IaaS Internal External

• 特定のクラウドアプリケーションへのアクセス制御 – SNSなど、閲覧は可能だが投稿は不可能など

アプリケーション毎に詳細な設定が可能

– 帯域や時間帯のコントロールも可能


帯域制御

Office 365 guaranteed

40%

YouTube capped at 30%

• ビジネスクリティカルなアプリケーションへのアクセス維持 – アプリケーションやロケーションなどでビジネスニーズにあわせた帯域制御

が可能

• ストリーミングやファイル共有、ソーシャルメディアなどが

与える影響を制御

Prioritize Office 365 Guarantee 40%

Restrict YouTube Streaming to 20%

Limit large downloads (e.g. MSFT 10, OSX updates)


高度な脅威保護 • リスクスコア（ページリスクインデックス）を作成

– 悪意のあるコンテンツ（スクリプトの挿入、脆弱性のあるActiveX、iFrameなど）を識別して、リアルタイムでリスクインデックスを計算

• ボットネット、悪意のあるアクティブコンテンツ、フィッシングサイト、不正な通信、クロスサイトスクリプト(XSS)、疑わしい宛先、P2Pファイル共有などの脅威から保護

• スキャン対象外のURLを登録することで、コンテンツをダウンロードさせることも可

能


クラウドサンドボックス • すべての不明なファイルをインライン検査

– patient zero – 分析のためにファイルをアップロード

• クラウドインテリジェンス – 一度検出されたら、すぐにすべてのお客様に対しブロック

• SSLインスペクションによる統合プラットフォームサービス

– 既知の脅威（40以上の脅威のフィード）をすべてブロック – SSL検査でもパフォーマンス制限なし – インバウンドおよびアウトバウンドトラフィックに対する

APT保護

• すべてのユーザー/ロケーションで統一されたポリシー

– 単一のコンソールによるグローバルポリシーの定義 – ポリシー変更を即時実行


クラウドサンドボックス

exe, dll, jar, rar, zip, scripts in zip doc(x), xls(x), ppt(x), .rtf office macros (.docm, .pptm, .xlsm) pdf, swf, apk

exe, dll – 全トラフィック(検疫) exe, dll – 疑わしいカテゴリ* (ブロック) ファイルタイプ

* 例：ポルノ、ウェブホスト、ファイルホスト、シェアウェアダウンロード匿名 **Professional、Businessバンドルに追加可能。Transformationalバンドルには含まれる。

全てのIOCレポート、アーカイブサンプル、ドロップされたファイル/pcap、スクリーンショット利用不可レポート

順序ベースの規則、詳細な基準：ファイルタイプ、URLカテゴリ、ユーザー、グループ、ロケーション、部署、検疫、許可、スキャン

利用不可ポリシー制御

スタンダードサンドボックス各バンドルで利用可

高度なサンドボックス追加オプション**

利用可 (サンドボックスがクリアになるまでファイル保持) 利用不可ファイル検疫

ファイルサイズ制限なし 2 MB 以下

全トラフィック – 検疫ブロックポリシー制御


クラウドファイアウォール • ステートフルファイアウォールポリシー

– 宛先や送信元IP、ポートやプロトコルに基づきセキュリティポリシーを許可/ブロック

• スタンダードNGFWポリシー – Deep Packet Inspection（DPI）エンジンを使用し、アプリ

ケーションとユーザーに基づいて許可/ブロックセキュリティポリシーを適用

• ドメイン名によるポリシー – 動的IP（Azure / AWS）または複数のIPにホストされている

アプリケーションのポリシーを簡単に設定および管理可能

• リアルタイムで詳細なポリシーの制御と可視性 – ユーザー、グループ、ロケーションなどでポリシーを構成

し、トラフィックの使用状況、脅威、アプリケーションを可視化

• クラウドセキュリティサービス – どこからでも同様に保護し、より多くの脅威を発見


クラウドファイアウォール Feature スタンダードFW 次世代 FW

(ZFW-NG-WITH-LOG) Network Service ( 5 tuple Policy) Network Application Awareness ( DPI Engine) ✘

User Awareness ✘ FQDN Based Policy ✘ DNS control ✘

FTP control FTP Network Service ( Native FTP ONLY)

( HTTP over FTP)

NAT Control Analytics: Firewall, DNS Insights ✘

Dashboard: Firewall ONLY for Block rule (Firewall)

Dashboard: DNS ✘

Full & Hourly Logging on all rules Need Additional License


情報漏えい対策 • ユーザー、ファイルタイプ、宛先によるファイルタイプ制御

– 特定ユーザー、ファイルタイプ宛先や送信元IP、ポートやプロトコルに基づきセキュリティポリシーを許可/ブロック

• カスタム/事前定義の辞書情報を用いたアウトバウンドファイルスキャン (HIPAA、PCIなど)

– Zscaler上に登録している辞書へのマッチングをもとにスキャンを実施

• 機密情報のロギング/ブロック – 事前定義した辞書情報に合致した際のログ保存とブロックを実施

• オンプレミスDLPへのICAP連携 – お客様環境にてDLP製品を利用している場合、そちらに向けてZscalerのDLPポリシーにマッチングしたログを

ICAPを利用して送信することが可能

• Exact Data Match – クラウドに機密情報を転送することなくマッチングが可能 – お客様環境に予め準備した仮想アプライアンスからマッチング対象となるファイル等の情報をトークン化した

上でクラウドに転送


アクセスログ・レポート • 6ヶ月分のアクセスログ＆レポート

– リアルタイムの可視性、分析、レポートが可能 – ログ保存期間を1年間に変更可能(オプション)

• オンプレミスSIEMへのストリーム – ログ転送用の仮想アプライアンス（VMware）を利用し任意のフィルタをかけた上でSIEMにログ転送が

可能 – テクノロジーパートナー各社のフォーマットで簡単に転送が可能

• NSSログリカバリ(Web/ファイアウォールログ) – SIEMにログ転送時、通信断等でログが転送できない場合にログを再送することが可能(Webログ/ファイ

アウォールログそれぞれでオプション)


その他機能

• 優先カテゴライズ対応 – 上位100の未分類ドメインをカテゴリ分類

• テストテナント – 本番ライセンスとは別にテスト用として、50ユーザー分のライセンスをミラーリング

• デバイス防御 – クライアントとしてのサーバ保護、IoT/ゲストwifiデバイスのインターネットアクセス


Zscaler Internet Access (ZIA) ～活用例～


• Zscalerを利用したローカルブレークアウト構成 – インターネットトラフィック増加によるオンプレ機器の増強・拡張を回避

– 働き方改革もユーザーの利便性を損なわずセキュリティを向上させることが可能

活用例①多拠点・持ち出し端末への対応


活用例②SSLスキャンニング • ZscalerによるSSL復合化スキャン

– Zscalerは独自技術によりリアルタイムでSSLの復合化、スキャン、再暗号化を実現

54% 高度な脅威の54％が

SSLの背後に隠れています

すべてのSSLトラフィックをスキャンしようとすると、

今の8倍以上のアプライアンスが必要です

8X

65%

インターネットの現状

80%

Chrome FireFox

70%

全トラフィックのうち

SSLの割合

ロードされた HTTPSページの割合

Zscaler

脅威の現状旧来のアプライアンス

SSL


活用例③Office365

最大規模の拠点にも関わらず、 NYオフィスの

O365トラフィックが少ない …何か問題が？

O365のトップユーザーを

簡単に確認！ OneDrive利用が少ない傾向…

まだ Boxを使用?

リアルタイムの O365トラフィック

全体の状況は？

O365の月間トランザクション 170億

Zscaler経由の月間通信 2.8PB


活用例④SIEM連携

• テクノロジーパートナー各社のフォーマットで簡単に転送が可能

• 任意のフィルタをかけた上でSIEMにログ転送が可能

Web トラフィック

圧縮されたログフィード

SIEM

フィルタされたログフィード Zscaler Nanolog

NSS 仮想アプライアンス


パートナーエコシステム

クラウド上のログをリアルタイムフィード

ネットワーク：SD-WAN セキュリティ：Zscaler

SAML-SSOでシングルサインオン

モバイル管理：EMM モバイルセキュリティ：Zscaler

クラウドアプリケーションの可視化はCASBと連携


Zscaler Internet Access (ZIA) ～その他～


ユーザートラフィックの転送方法

透過プロキシ型

• IPsec/GRE

• SD-WAN

#IPsecは最大200Mbps

ルーティングでトラフィックを転送

• 複数のユーザートラフィックの転送方法をサポート

例）IPsec/GRE

明示プロキシ型

• PACファイル

• Zscaler App（ユーザーエージェント）

Zscalerノード宛にトラフィックを転送

例）Zscaler App

社内NW


ユーザー情報の管理 • 複数のユーザーDB管理、ユーザー認証方法をサポート

ユーザー認証

• ローカルDB（Zscaler上） • One-Time Password/Link • AD/LDAP • SAML

クライアント端末の認証

プロビジョニング

• 手動管理 • CSVアップロード • AD/LDAP • Authentication Bridge • SAML（要ユーザーID、部署、グループ） • SCIM

Zscaler上にユーザー情報を展開


SLA Zscaler は、世界各地に配置されたシステムにより安定したクラウドサービスを高い品質で提供し続けています。その可用性・安定性はSLA（Service Level Agreement）に基づいて定義されており、サービス停止や遅延などの事象が発生した場合の対応についても明確化されています。

※最新の対応内容については、弊社サポート窓口までお問い合わせください。


参考情報 Zscaler ドキュメント及びナレッジ https://help.zscaler.com/zia/documentation-knowledgebase

EUSA(End User Subscription Agreement) https://www.zscaler.com/legal/end-user-subscription-agreement https://www.zscaler.com/productsheets

Zscaler利用時のファイアウォール要件 https://ips.zscaler.net/

Zscaler DC拠点情報

https://ips.zscaler.net/cenr

https://help.zscaler.com/zia/documentation-knowledgebase



https://www.zscaler.com/legal/end-user-subscription-agreement







https://www.zscaler.com/productsheets

https://ips.zscaler.net/

https://ips.zscaler.net/cenr


Zscaler Internet Access (ZIA) ～パッケージ～


バンドルパッケージ対応機能表

機能 SIP Professional Business Transformation ユーザーベースのWebフィルタリング ○ ○ ○ ○

6ヶ月分のアクセスログ＆レポート ○ ○ ○ ○

ファイルタイプによるアクセスコントロールオプション※1 ○ ○ ○

インラインのアンチウイルス＆アンチスパイウェア N/A ○ ○ ○

SSL復号化スキャンオプションオプション ○ ○

高度な脅威保護(Phishing、Botnets、XSSなど) N/A オプション ○ ○

サポートが終了したブラウザの利用制限オプションオプション ○ ○

詳細なアプリケーションコントロールオプションオプション ○ ○

モバイルアプリケーションのレポート＆コントロール N/A N/A ○ ○

帯域制御オプションオプション ○ ○

SIEM連携(ログ転送) オプションオプション ○ ○

サンドボックス N/A オプション ※2 オプション ○

次世代ファイアウォール N/A オプションオプション ○

ZscalerノードへのIPsec暗号化接続 N/A N/A N/A オプション

情報漏えい対策オプションオプションオプションオプション

AD連携(Outboundでユーザー情報を同期) オプションオプションオプションオプション

※1 「情報漏えい対策」のライセンスをご購入頂くことでご利用頂けます。 ※2 「高度な脅威保護」と併せてのご購入が必須になります。


ありがとうございました

zscaler – webセキュリティサービスのご紹介 · •...

Documents