Zscalerは、クラウド型のセキュリティサービスとして、企業ネットワークをより安全かつ柔軟に保護するための基盤として、広く導入が進んでいます。
特に、リモートワークの普及、SSE基盤やゼロトラスト・セキュリティの重要性が高まる中、Zscalerは従来のVPNに代わるソリューションとして注目されています。
Zscalerを導入する際に、最初に理解しておくべき重要な設定が2つあります。
- Forwarding Profile
- App Profile
本記事では、Zscalerの土台となるこれらの役割・違い・作成手順を紹介します。
- 概要
- プロファイル作成から通信までのフロー
- Forwarding Profile と App Profileの違い
- Forwarding Profile 作成手順
- App Profile 作成手順
- まとめ
概要
Forwarding Profile(フォワーディングプロファイル)はユーザの端末から発生する通信をZscalerクラウドにどのような経路で転送するかを定義する設定です。Zscalerにトラフィックを届ける「ルート」を決める設定とも言えます。
App Profile(アプリプロファイル)はZscalerのクライアントアプリである Zscaler Client Connector (ZCC) の挙動を細かく制御する設定です。ユーザ端末にインストールされたZCCアプリが、どのように通信を処理し、どう動作するかを決定するのがこのプロファイルの役割です。
つまり、Forwarding Profileが「通信経路の制御」だとすれば、App Profileは「アプリの動き・ユーザー体験の制御」です。ZCCアプリ導入前にこの2つの作成をする必要あります。
プロファイル作成から通信までのフロー
Zscaler クラウド環境において、ユーザー端末でセキュアな通信を実現するためには、Zscaler クライアントコネクタ(ZCC)の導入と設定が必要です。
以下に、管理者による設定からユーザー端末での接続確立までの基本的な流れを説明します。
- 管理者による Forwarding Profile の作成
- まず、通信の転送ルールを定義する「Forwarding Profile」を作成します。
- このプロファイルは、後述する App Profile に紐付ける形で利用されます。
- App Profile の作成
- App Profile はZCC の動作方針を定義するプロファイルです。
- Forwarding Profile と関連付けられます。
- ZCC インストーラの作成と配布
- 作成したプロファイルを含む設定情報を元に、ZCC のインストーラを生成し、ユーザーに配布します。
- ユーザー端末への ZCC インストール
- 各ユーザーは、配布されたインストーラを用いて ZCC を端末にインストールします。
- ZCC へのログイン(SSO)
- ユーザーがシングルサインオン(SSO)で ZCC にログインすると、管理者が定義した App Profile が自動的に適用されます。
- Forwarding Profile の読み込み
- App Profile の適用により、Forwarding Profile も自動的に読み込まれます。
- Z-Tunnel の作成と通信開始
- ZCC は、Forwarding Profile に基づいて Z-Tunnel を自動で作成します。
- インターネット(ZIA)または社内アプリケーション(ZPA)へのセキュアな通信が確立されます。
Forwarding Profile と App Profileの違い
どちらもクライアントコネクターと連動して動きますが、設定する目的と適用される範囲は明確に異なります。
Forwarding Profileは、App Profileの中で利用されてる構成要素のひとつ、という位置づけです。
| 比較内容 | Forwarding Profile | App Profile |
| 主な役割 | 通信のZscaler転送経路の定義 | ZCCアプリの動作やUI制御 |
| 対象 | 通信(トラフィック単位) | アプリ(デバイス・ユーザー単位) |
| 設定場所 | Zscaler Client Connector Portal | Zscaler Client Connector Portal |
| 設定内容 | トラフィック転送,社外/社内ネットワークに応じた切り替え,PACファイル | サインイン制御、ログ設定、SSL証明書管理など |
| 影響範囲 | 通信ルーティングとセキュリティ機能の適用範囲 | アプリの動作、ユーザー体験、 安全性 |
| よくある用途 | スプリントトンネル、ZPA通信の有効化、特定の通信の除外 | サイレントインストール、SSO設定、ログ自動送信など |
Forwarding Profile 作成手順
まず、以下の手順でZscaler Client Portal画面を表示し、Forwarding Profileの設定を行います。
Zscaler Internet Access Admin Portalにログインし、Policy >Zscaler Client Connector Configuration > Zscaler Client Connector Portalをクリックします。
Zscaler Client Connector Portalが表示されたら、Administration > Forwarding Profileをクリックし、Add Forwarding Profileをクリックします。
作成画面が表示されたら名前を入力し、ドライバ設定の「Packet Filter Based」を選択します。
※Windowsの場合は、パフォーマンスの向上・ポリシーの強化・およびシステム統合の面で優れているため、「Packet Filter Based」の利用が推奨されています。また、ドライバ設定を利用できるのはトンネルモードのみとなります。
続いて「FORWARDING PROFILE ACTION FOR ZIA」セクションより「On Trusted Network」のところで「Tunnel」を選択し、Tunnel Version Selectionは「Tunnel 2.0」を選択します。
※ZscalerはZCC導入端末とZscalerのクラウド間にZTunnelというトンネルを構築し、全ての通信をトンネルから転送することでネットワークセキュリティを提供してます。
次に、「Configure System Proxy Settings」下の「Proxy Action Type」で「Enforce」を選択し、他のオプションにチェックがついていないことを確認します。
「VPN Trusted Network」と「Off Trusted Network」についても信頼されているネットワークの設定と同様の設定にしたいため、「Same as “On Trusted Network”」にチェックをします。
これで、Forwarding Profileの作成は完了しました。
App Profile 作成手順
続いて、App Profileを作成します。
Zscaler Client PortalよりApp Profile >Plaforms > Windows > Add Windows Policyをクリックし、アプリプロファイルを作成します。
名前、パスワードを入力します。Forwarding Profileは先ほど作成したプロファイルを選択します。ここでSSL証明書インストール(Install Zscaler SSL Certificate) を有効にすることで、ZIA(Zscaler Internet Access)上でSSLインスペクションを作成する場合に自動で端末にインストールされるようになります。
内容を確認し、「Save」をクリックするとApp Profile作成完了です。
これで、ZCCインストールまでの前提として、Forwarding ProfileとApp Profileの作成が完了しました。
まとめ
本記事では、Zscaler導入の一歩として重要であるForwarding ProfileとApp Profile作成方法について紹介しました。
Forwarding Profileは「どこから、どの方法でZscalerに転送するか」を制御します。App Profileは「どのアプリにアクセスさせるか(ZPA経由で)」を定義します。
本記事がお役に立てば幸いです。
Ei Chaw Mone(日本ビジネスシステムズ株式会社)
2022年度中途入社。金融・保険事業本部。Zscaler SSEの導入支援を中心に、ネットワークセキュリティ領域、エンドポイントセキュリティを深堀中。趣味はスノーボード。
担当記事一覧