AIイノベーションを推進しながら、次世代製品の実験環境として機能するために独自のゼロトラスト プラットフォームを進化させているZscaler

Global 2000およびFortune 500企業を含む約8,000の企業と政府機関が、デジタル変革の取り組みを安全に進めるために、Zscalerのクラウドベースのサービスを活用しています。Zscalerは、ゼロトラスト セキュリティ分野のパイオニアとして、イノベーションを加速し、統合プラットフォームの機能を拡張し続けています。

Zscaler社内のITおよびセキュリティ部門、Zscaler on Zscaler (Z on Z)は、2つの役割を担っています。会社のIT/セキュリティ インフラを監視および管理することと、製品部門やエンジニアと緊密に連携して新製品や新機能をテストし、運用と価値の向上に関する貴重なインサイトを提供することです。

「当部門の重要な使命は、Zscaler内部の『ゼロ号顧客』として会社のプラットフォームを活用して運用効率を高め、堅牢なセキュリティを確保すること、そして会社のソリューションを継続的に導入することでイノベーションに貢献し、Zscalerが実現する現実的な価値と変革をお客様に実証することです」とZscaler on Zscalerのディレクター、Corey Burksは話します。

長年にわたり、Zscalerのセキュリティ インフラの基盤はZscaler Zero Trust Exchangeプラットフォームでした。プラットフォームの不可欠な要素であるZscaler Internet Access (ZIA)は、9,000人の従業員と5,000人以上の請負業者に、インターネットおよび284の認可SaaSアプリ(Salesforce、Workday、Okta、Microsoft 365、ServiceNow、G Suiteなど)へのアイデンティティーベースかつロールベースの直接ゼロトラスト アクセスを提供するとともに、数千の未認可アプリに対するリスクベースのアプローチを取っています。ユーザーは、自宅、外出先、Zscalerの10か所のオフィスなど、いつでも、どこからでも、あらゆるデバイスからこれらのリソースに安全にアクセスできます。Zscaler Zero Trust Firewallは、あらゆる場所のすべてのユーザーに対し、すべてのポートとプロトコルにわたる100%の検査を提供し、Zscaler Cloud Sandboxは、疑わしいファイルをスキャンして隔離し、ゼロデイ脅威や未知のマルウェアから保護します。

Zscaler Private Access (ZPA)は、主にAWSおよびMicrosoft Azureクラウド環境でホストされている約3,794個のプライベート アプリへの堅牢で安全な接続を提供します。ビジネス クリティカルなアプリには、Jira、Confluence、その他の製品開発ツールが含まれます。

Zscalerの企業環境は、macOS、Windows、Linux、ノートパソコン、AndroidおよびiOS搭載のスマートフォンといった多様なITデバイスに加え、ウォーター サーバー、エスプレッソマシン、プリンター、環境センサー、テレビなど、一定のIoTデバイスで構成されています。Z on Zチームは、エージェントレスのZscalerゼロトラスト デバイスセグメンテーションを使用して、IoTデバイスを1つのネットワークに分離し、ポリシーを自動的に施行しています。

「このようなソリューションの実装により、インターネットに露出したパブリックIPはないため、Zscalerには攻撃対象領域がありません。オフィス レベルでは、脅威のラテラル ムーブメントの可能性を完全に排除しました」とグローバル インフラ担当シニア ディレクターのBuckley Toleは述べています。

Zscaler Digital Experience (ZDX)は、ヘルプ デスクが日常的に使用するツールの1つです。これにより接続やネットワークの問題が可視化され、ユーザーに影響が出る前に予防的にトラブルシューティングと緩和策を実施できるようになります。Toleが言うように、Zscalerのユーザーは生産性を維持しながら、一貫して優れたデジタル エクスペリエンスの提供を受けています。

過去数年間、堅牢なデータ セキュリティ戦略の構築は、Z on Zチームにとって重要な取り組みでした。最も重要な2つの目標は、Zscalerの貴重な資産である知的財産やその他の機密データを保護することと、AIアプリの使用状況を監視することでした。

中核的なインフラはすでに、常時オンのTLS/SSLの監視機能を提供し、データ漏洩を防止するとともに、隠れたマルウェアやその他の暗号化された脅威をブロックしています。さらにZscaler Zero Trust Browserにより、Webコンテンツを安全な環境に隔離して、マルウェアやその他の潜在的に悪意のあるファイルがユーザーのデバイスに侵入しないようにするとともに、データ漏洩の防止や危険な行為の阻止も行なっています。

Z on Zチームが最初に取り組んだのは、ソース コード、機密文書、その他の機密データなど、ビジネスに不可欠なデータに関するより強力なポリシーを実装することでした。時間をかけてルールを改善した上で、段階的な展開を実施しました。まずは小規模なテストグループへ、その後は部署単位へと、順次対象を拡大したのです。それを完了させてから、有効なユース ケースを持つチームに対して例外を構築しました。

チームは、データ保護をさらに強化するためにZscaler Data Securityを導入しました。これにより、15の主要なSaaSアプリ全体で構造化データと非構造化データを即座に可視化できました。最近では、プリンター、リムーバブル ストレージ、ネットワーク共有、Dropboxなどのパーソナル クラウド ストレージを含むすべてのエンドポイント全体で一貫したポリシーを拡張するために、Zscaler Endpoint DLPを展開しました。

さらにZscaler Data Security Posture Management (DSPM)も導入しました。これは、クラウド環境内に存在する機密データを詳細に可視化するほか、アカウントの設定ミスや脆弱性も把握できるソリューションです。Zscaler DSPMは、機密データを自動的に検出、分類、インベントリー化し、露出を追跡します。これにより、チームは実用的なインサイトとイベントの関連付けを通じて、迅速かつ正確にリスクを優先順位付けし修正することができます。

これらのデータ セキュリティ制御は、AIツールによる潜在的なデータ漏洩や危険な露出を抑制するのにも役立ちます。たとえば、Zscaler DSPMのAIを活用した分類は、AIトレーニング データの正確性を確保し、機密データを除外することで、過剰な共有やデータ ポイズニングを防止します。当初、チームはAIの使用を積極的にブロックする姿勢を取り、Zscaler独自の社内生成AIツールであるZChatやGoogle Geminiなどの承認されたアプリのみに限って使用できるとしていましたが、その社内ルールは進化しました。

ITセキュリティ マネージャーのJake Schuldtは次のように述べています。「私たちが直面していたデータ セキュリティの最大の課題は、AI使用の急拡大によるものでした。強力で明確に定義されたデータ使用ルールを適用するとともに、Zscaler DSPMなどのツールも活用しているため、データ セキュリティ制御には自信を持っています。今後は、パブリックAIツールの責任ある使用によりメリットを得られる研究部門やセキュリティ部門に対して、例外を設けることができます」

Zscalerのアプリがデータ センターに存在していた時代、10か所の拠点はデュアル ファイアウォールと冗長化されたWANスイッチに頼って、ネットワークの境界を保護していました。しかしZscalerがクラウド ファースト戦略に移行して、SaaSアプリの採用とハイブリッド ワーク モデルへの切り替えが進むと、従来のインフラではアジリティーと成長が阻害されることがすぐに明らかになりました。Zscaler Zero Trust Branchは、最新のカフェ型モデルを実装するための重要なステップでした。

このプロセスは計画的に進められました。まず部門全体の連携を促進するためのアーキテクチャーの見直しを行い、次に一部の拠点でのパイロットを成功させました。最終的には10か所の拠点すべてでグローバル展開を加速し、20のファイアウォールを廃止しました。

ネットワーク部門が評価したのは、Zero Trust Branchの展開の速さでした。ファイアウォールとは異なり、数日ではなくわずか数時間で完了し、ユーザーの混乱も最小限に抑えることができました。さらに、エージェントレスのゼロトラスト セグメンテーションは、相互運用性やアプリに関する問題なしに、IoTデバイス全体に正常に実装されました。

現在、すべてのトラフィックがZero Trust Exchangeプラットフォームを介して流れているため、拠点やリモート ワーカーには、場所やデバイスを問わずにアプリに直接ゼロトラスト アクセスできるという利点があります。バックホールや、管理や保守にコストのかかる複雑なアプライアンスは必要なくなりました。アクセスがネットワーク レベルではなくアプリ レベルで強制されるため、脅威のラテラル ムーブメントが排除され、攻撃対象領域が大幅に縮小されました。

「Zero Trust Branchにより、ユーザーは独立した1つのネットワークとして扱われ、アクセス権限は許可されたプライベート アプリとインターネットのみに制限されます。セキュリティ フットプリントを99.9%縮小することができたのは、私たちにとって大きな進歩でした。Zero Trust Branchへの切り替えは、Zscalerの収益にもプラスの影響を与えました。Zero Trust Branchを実装し、ファイアウォールを段階的に廃止したところ、最大43%のコスト削減を実現できました」とToleは述べています。

さらにBurksは、この展開により、拠点接続の将来はハードウェアの削減、クラウド インテリジェンスの増加、そしてアジリティー、セキュリティ、イノベーションを可能にするゼロトラスト アプローチにあるという考えが強化されたと述べています。「CIOとCISOにとっての教訓は明らかです。Zero Trust Branchは単なる技術的なアップグレードではなく、ビジネス価値と回復力を高める戦略的転換なのです」

Zscalerは、自社のマルチクラウド環境が急速に拡大するなか、デジタル変革の道を歩む他の成長企業と同じように、セキュリティ上の一般的な課題に直面していました。クラウド ワークロードは流動的で分散的な性質を持つため、従来のアプローチでは、セキュリティのギャップ、異常な動作、設定ミスを可視化できませんでした。さらに、クラウドとワークロード間のデータの流れには、大規模に施行できる一貫したポリシーが必要でした。

IT部門は、Zscaler Zero Trust Cloudを導入して、ワークロードの送受信トラフィックおよびワークロード間の通信の保護、ミッションクリティカルなアプリのセグメント化、リアルタイム監視を通じた機密データと設定ミスの可視化を実現しました。

Burksは「Zero Trust CloudをDSPM、ZPA、その他のゼロトラスト テクノロジーと組み合わせて使用することで、ビジネス イノベーションを大幅に加速できました。よりシンプルかつ効率的で、ゼロトラストの原則に完全に基づいたセキュリティ インフラへの変革に成功したのです」と述べています。

Z on Zチームは、プラットフォームを継続的に改善することに加え、最新のイノベーションを導入して組織のゼロトラスト基盤を拡大しています。この中にはZscaler AI Guardが含まれます。これはプライベートとパブリックのAIモデルおよび大規模言語モデル(LLM)内のプロンプトと応答を検査するプロキシとして機能することで、機密データの漏洩を防ぎ、プロンプト インジェクション攻撃を阻止するとともに、信頼性の高い結果を確保しながら、コンプライアンスを維持します。AI Guardは、同社の多層防御戦略における重要なレイヤーを追加し、既存のZscalerデータ セキュリティ機能を強化します。

「当社では、ユーザーがプライベート環境でAIと日常的にやり取りする社内AIツール『ZChat』のセキュリティ確保のために、AI Guardを使用しています。また、AI Guardは、ChatGPT、Perplexity、Grokなどの外部公開されたAIツールにおいてLLMに送られる入力プロンプトとLLMから返される応答も保護し、企業のデータ セットが漏洩しないようにしてくれします」とBurks氏は語ります。

AI Guardを導入してから、Burks氏と担当部門が最初に気づいたことの1つは、イノベーションのスピードが加速したことでした。開発者が複数のパブリックLLMを安全に活用できるようになることで、ニーズを満たさない可能性のある単一のツールに縛られることなく、コードをより速く作成して展開できるようになります。「AI Guardは、企業としてZscalerを保護するだけでなく、より堅牢な製品を顧客に提供するためにも、AIの潜在能力を最大限に引き出してくれます」とBurks氏は語ります。

コストの削減、運用の効率化、セキュリティ レジリエンスの向上、ユーザー エクスペリエンスの改善が実現できたことに加えて、Zscalerプラットフォームの拡張により、M&Aによる統合も加速され、価値実現までの時間が短縮されました。

Zscalerは、統合セキュリティ プラットフォームを拡張するために、5年間で12件の買収を完了しています。AIを活用した検知と対応のマネージド サービス(MDRサービス)をセキュリティ運用サービスに追加するために、Red Canaryを買収しました。Z on ZチームはRed Canaryのチームと緊密に連携して、ビジネスに不可欠なアプリを特定し、それらがZero Trust Exchangeとシームレスに連携することを確認しました。わずか1か月間、厳格なテストを行なった後に、ネットワークはシームレスに統合し、買収後1日目からユーザーは100%の稼働率を実現しました。通常であれば、このプロセスには6か月以上かかります。

最近ではSPLXを買収し、企業のAI投資に対し開発から導入までの保護を提供できるようになりました。BurksとSchuldtは、 取引締結の5日前に関与を開始し、ZIAを迅速に導入してすべてのDLPポリシーを適用し、SPLXユーザーが中断なく簡単に移行できるようにしました。

Z on Zは、Zscalerのビジネス目標を前進させ、お客様に価値を提供するための独特な取り組みです。Zscalerのゼロトラスト インフラは、研究、エンジニアリング、製品部門がお客様のための新しいアプリや製品を構築、展開、拡張できるようにするという役割を果たします。一方で、各部門は、最新のZscaler製品をお客様向けにリリースする前に、実際の運用環境でストレステストを行う機会を持つことができるという面もあります。この厳格な内部検証により、製品の成熟度と信頼性が保証されます。

最近、社内のゼロトラスト プラットフォームを拡張したことで、社内運用の効率と安全性が向上し、Zscalerのお客様へは、より堅牢な製品ポートフォリオを提供できるようになりました。現在のセットアップにより、IT部門とセキュリティ部門は、ほぼすべてのZscalerツールと機能を最大限に活用しています。社内ツールでの評価によると、現在のZscalerセットアップの使用率は、導入されている16製品のうち15製品で93%となっています。

すべての新製品は綿密に精査され、問題に対応できることおよび必要な改良が組み込まれていることが確認されます。製品リーダー、マネージャー、および経営幹部は、このプログラムを活用して、ユーザー インターフェイスの強化や機能セットの拡張など、日々の運用の観点からどのような改善を行う必要があるかについて担当チームからのフィードバックを集めています。

一例として、SchuldtはZscaler Risk360のテストに深く関わった経緯を説明しています。Schuldtの意見は最終的に製品の堅牢性向上に貢献しました。「初期の段階での私のフィードバックの大部分は、Risk360のレポート作成をいかに充実させるかというものでした。例えば、実際に作業を開始する前に、問題解決によるビジネスへの影響についてリスク評価および定量化を行うことを提案しました。また、Zscalerが行なった対策によりサイバーセキュリティ態勢が長期的にどのように改善されたのかを追跡できるよう、指標を強化することについても、全体的なフィードバックを行いました。

このアプローチにより、Zscalerは自ら模範を示すことでリーダーシップを体現し、次のイノベーションをさらに洗練させています。

「Zscalerでは、お客様に約束したセキュリティ、アジリティー、ユーザー エクスペリエンスを、社員全員が直接体験しています」とBurksは述べます。「こうした透明性があることで、CIOやCISOの皆様とお会いする際にも厚い信頼をいただけるようになります。私たちは、単なる提唱者ではなく、実践者でもあるのです。私たちは自らの商品を毎日実際に使って、その価値を証明しています」