Zscaler Private Access(ZPA)とは?ZTNAを切り拓いたクラウド型セキュリティの仕組み 🛡️
ZTNA(ゼロトラストネットワークアクセス)という考え方を、実際の製品でどう実現しているのかを知りたい人向けの解説です。
1. ZPAとは何か(基礎の定義)
**Zscaler Private Access(ZPA)**は、Zscaler社が提供するZTNA(ゼロトラストネットワークアクセス)サービスです。
ゼロトラストネットワークアクセス(ZTNA)の記事で触れたとおり、ZTNAは「場所を問わず、すべてのアクセスを信頼しない」という考え方を実現するしくみでした。ZPAはこの考え方を最初に大きく広めた製品のひとつで、「ZTNAといえばZPA」と名前が挙がることも多い、業界の代表格です。
社員が自宅やカフェから会社のシステムにアクセスするとき、ZPAは「この人は本当に本人か」「このアプリにアクセスする権限があるか」を毎回確認したうえで、必要なアプリだけに接続させます。
2. ZPAの仕組み:なぜ「ポートを開けない」のか
従来のVPNは、社内ネットワークの入り口に「ポート」と呼ばれる扉を開けて、外からの接続を待ち受けていました。扉が開いている以上、攻撃者に狙われるリスクがあります。
ZPAの最大の特徴は、社内側からインターネットに向かって接続を開始するという発想の逆転です。
従来のVPN:
インターネット ──[ポートを開けて待つ]── 社内ネットワーク
(外から狙われる扉が存在する)
ZPAのイメージ:
社内ネットワーク ──[Zscalerクラウドに自分から接続]── Zscalerクラウド ──[認証済みユーザーのみ中継]── ユーザー
(外から狙える扉そのものが存在しない)
この仕組みは「アプリコネクタ」と呼ばれる小さなソフトウェアが社内側に置かれ、それが常にZscalerのクラウドに対して接続を張り続けることで実現しています。社内ネットワーク側に外から到達できる入り口(受信用のポート)が存在しないため、攻撃者はそもそも「ノックする扉」を見つけられません。
ユーザー側は次のような流れでアプリにアクセスします。
- ユーザーが自分のパソコンでZscalerのクライアントを使い、IDとパスワード(+多要素認証)で本人確認をする
- Zscalerのクラウドが「このユーザーはこのアプリにアクセスしてよいか」をポリシーに基づいて判定する
- 許可されたアプリだけ、Zscalerクラウド経由で接続が中継される
- 許可されていないアプリは、ユーザーの目にも見えない(存在自体が分からない)
3. ZPAと他のZTNA製品との違い
ZTNAという考え方自体は共通でも、製品によって得意分野や立ち位置が異なります。
| 項目 | ZPA(Zscaler) | Cloudflare Access / WARP | BeyondCorp Enterprise(Google) |
|---|---|---|---|
| 立ち位置 | ZTNA専業のセキュリティベンダー | CDN・ネットワーク基盤から拡張 | Google Workspace/Cloudとの統合が強み |
| 強み | アプリ単位の細かいアクセス制御に特化 | グローバルな高速ネットワーク網を活用 | Googleアカウントでの認証連携がしやすい |
| 向いている組織 | 大規模・複雑な社内システムを持つ企業 | すでにCloudflareを使っている組織 | Google Workspaceを中心に使う組織 |
(各製品の詳細は今後の記事で取り上げます。)
どの製品も「常に確認する」「最小限だけ許可する」というZTNAの原則自体は共通しています。違うのは、その原則をどんな基盤・エコシステムの上で実現しているか、という点です。
4. まとめ
- ZPAはZscaler社のZTNAサービスで、ZTNAという考え方を業界に広めた代表的な製品
- 最大の特徴は「社内側から外に接続する」発想で、外から狙える入り口(ポート)自体を作らない
- ユーザーは認証・デバイス確認を経て、許可されたアプリだけにアクセスできる。許可されていないアプリは見えない
- 他のZTNA製品(Cloudflare Access / WARP、BeyondCorp Enterprise など)とは、原則は同じでも基盤やエコシステムが異なる
ZTNA全体の考え方はゼロトラストネットワークアクセス(ZTNA)とは?で詳しく解説しています。あわせてご覧ください。