Zscalerの新たな事業継続性ソリューション

レジリエンスで信頼されるZscaler

多くのお客様が求めているのは、高度な保護と優れたユーザー エクスペリエンスを提供できるセキュリティ クラウドです。先日発表したとおり、Zscalerはこうしたお客様にサービスを提供することで成長を続けています。1日あたりのトランザクション数が5,000億件にまで達したことは、お客様からの信頼があるからこそ実現できた大きな成果です。

当然ながら、こうした信頼は簡単に得られるものではありません。Zscalerはユーザー、デバイス、アプリケーションの間にインラインで配置されるセキュリティ クラウドであり、お客様にとって極めて重要な役割を果たしています。サービスの信頼性とパフォーマンスを最優先に考え、可用性や処理能力の両面で常に需要に応えられるよう、徹底的な取り組みを行っています。

そして、この取り組みは着実に成果を上げており、近年、1日あたりのトランザクション数が増加する一方で、カスタマー サクセス部門が対応するサポート チケットの件数は減少傾向にあります。

事業継続性への注力

事業継続計画(BCP)は、2024年に入って一層注目を集めています。この背景には、DORAなど、政府および業界によるBCP策定を義務づける規制の強化に加え、世界中に広範な影響を与えた大規模なIT障害の発生があります。セキュリティと常時接続への依存が高まる中、ベンダーは信頼性の高いサービスを提供しつつ、規制要件への準拠も確実に維持する責任があります。

これまで、特に規制の厳しい業界のお客様から「Zscalerのセキュリティ クラウドへの取り組みを信頼しているものの、万が一の不可抗力(フォース マジュール)にはどう備えるべきか？」といった質問が寄せられていました。

こうした声に応えるかたちで、Zscalerは2023年初頭に当社のセキュリティ クラウドにレジリエンス機能を導入しました。この新たな機能により、大規模なインターネット障害やZscalerの基盤インフラに対する国家レベルの攻撃といった事象が発生した場合でも、お客様は接続を維持できるようになります。

多くの組織に導入されてきたお客様側で制御するレジリエンス ソリューションは、基本的なシステムと運用を継続させるという点にのみ焦点を当てるものでした。しかし、Zscalerはより高度な機能を導入することでレジリエンスを向上させます。この機能強化により、壊滅的な事象、いわゆる「ブラック スワン」が発生した場合でも、組織は事業運営の中断を最小限に抑えられるようになります。

初期のレジリエンス機能をさらに強化するにあたり、Zscalerは以下の3つの目標を掲げました。

• 壊滅的な事象が発生した場合でも、完全なセキュリティ態勢を維持しながら事業継続性を確保する
• 構成と展開をさらに簡素化する
• 簡単にトリガーを起動できる仕組みにし、可能であれば自動化する

プライベート クラウドの事業継続性の導入

レジリエンス ソリューションの次なる進化として、Zscalerはプライベート クラウドの事業継続性を導入します。これは、既存のプライベート データ プレーンにプライベート コントロール プレーンを追加するもので、パブリック クラウドが利用できない、または到達不能な状況においても、完全なセキュリティ態勢を維持したままアプリケーションへのアクセスを可能にします。お客様は、このソリューションを自社のデータ センター内にローカルに展開するか、今後リリース予定のZscalerによるフルマネージド型オプションを選択することができます。なお、インターネットおよびSaaSアプリケーション向けとプライベート アプリケーション向けで必要なコンポーネントが異なるため、以下で詳しく解説します。

インターネットとSaaSアプリケーション(ZIA)

WebやWebホスト型(SaaS)アプリケーションへのアクセスにおいて、壊滅的な障害時にも詳細な制御を維持したい場合、お客様は1台以上のPrivate Service Edgeを導入することになります。この物理または仮想アプライアンスは、Zscalerのクラウド オペレーションによって管理され、通常時に動作するZscalerのPublic Service Edge (世界中に展開された160以上のZero Trust Exchangeへのインターネット ゲートウェイ)と同じ機能を提供します。サービス エッジには、マルウェアを検出するための双方向のWebトラフィック検査のほか、マルウェア対策、セキュリティ、コンプライアンス、情報漏洩防止、ファイアウォール ポリシーの施行などの機能が含まれます。

今回のアップデートでは、Client ConnectorがPrivate Service Edgeに自動フェイルオーバーし、事業継続性PACファイルを活用してZ-Tunnel 1.0を確立する機能が追加されました。また、新たに追加されたプライベート ポリシー キャッシュ機能により、Private Service EdgeとPublic Service Edgeとの間でシームレスなフェイルオーバーが可能になります。これは、パブリックのCentral Authorityサーバーのバックアップとして機能することで実現されます。これらのサーバーは、お客様のすべてのポリシーと構成設定をホストする役割を担っています。また、クラウド全体を監視し、ソフトウェアおよびデータベースの更新、さらには脅威インテリジェンスの集中管理を行うことでセキュリティを強化します。

このプライベート ポリシー キャッシュ機能により、組織は壊滅的な障害が発生した場合でも完全なセキュリティ態勢を維持しながら、認証されていないユーザーのアクセスを安全に制御できます。

プライベート アプリケーション(ZPA)

プライベート アプリケーションは、アクセス権を持つユーザー以外からは見えないように設計されています。一方で、SaaSアプリケーションはインターネット上で公開されることでアクセス可能になります。この違いは、壊滅的な障害が発生した場合の対処において特有の課題を引き起こします。

Zscalerはこの課題に対応するために、Private Cloud Controllerを新たに導入しました。この仮想アプライアンスは、通常運用中はパブリックZero Trust Exchangeと継続的に同期されます。何らかの理由でZTEが利用できなくなった場合やフェイルオーバーが発生した場合、Private Cloud Controllerが引き継いで運用を維持します。このソリューションはもともと、軍事分野のDDIL (Denied, Disrupted, Intermittent, and Limited)ユース ケースに対応するために開発されたものであり、連邦政府機関がパブリック クラウドへの接続が失われた場合でも、重要なアプリケーションへのゼロトラスト アクセスを確保する必要がある状況を想定しています。このようなケースでは、Private Cloud Controllerが従来の機能を超えて、幅広い機能を担うようになります。

エンドポイント向けの事業継続性

もう一つ重要なユース ケースとして考えなければならないのが、組織のエンドポイント(ノートPCやモバイル デバイス)が侵害された場合の対応です。たとえば、2017年にMaerskで発生したケースのようにエンドポイントが侵害されてしまうと、Zscalerのパブリック クラウドが利用可能であっても、アプリケーションに安全に接続する手段がなくなり、業務が完全に停止する可能性があります。

こうしたケースで役立つのが、クラウド ブラウザー分離です。この技術を活用すれば、エージェントをインストールすることなくBYODからWebアプリケーションに安全にアクセスできます。クラウド ブラウザー分離はすでにZscalerサービスの一部として提供されており、VDIの代替手段やBYODデバイスの利用を保護する目的で使用されています。この技術により、壊滅的な障害が発生した際も、影響を受けた組織は管理対象外のデバイスやBYODデバイスからブラウザー経由でアプリケーションにアクセスできるようになります。つまり、使用できなくなった社用デバイスから別のデバイスに切り替えるだけで、業務を継続できるということです。Zscalerはアプリケーションのピクセル データのみをゲスト デバイスにストリーミングすることで、完全なセキュリティとポリシー制御を維持しながら、データ損失も防止します。

まとめ

問題や障害のリスクがない技術は存在しません。世界中のIT専門家は生産性への影響を最小限に抑えるために、迅速に復旧できるシステムと戦略の構築に多大な時間を費やしています。サイバーセキュリティにおける事業継続計画は保険のようなものですが、多くの業界では法規制への準拠が必須要件になりつつあります。

こうした要件により、壊滅的な事象が発生した場合でも対応できるより高度な機能が求められるようになっています。Zscalerが新たに提供する業界初のソリューションを導入することで、業務の中断を最小限に抑えながら、事業を安全に続けられるようになります。詳細は、ソリューションの概要をご覧いただくか、オンデマンド ウェビナー(英語)をご視聴ください。