免責事項

• 本書は、株式会社ネットワールド（以下 弊社）が作成・管理します。
• 本書の記載内容の一部または全部を弊社に無断で改変・転載することを禁じます。
• 本書の記載内容は、一部または全部が将来予告無く変更されることがあります。
• 本書の利用は、利用者様の責任において行われるものとします。
• 本書の記載内容には、最善の注意を払っておりますが、正確性・完全性を保証するものではありません。従いまして、本書の利用によって生じたあらゆる損害に関して、弊社は一切の責任を負いかねます。

アクセスポリシーはどこで動作する？

アクセスポリシーは、その名の通りアプリケーション通信の許可・拒否を制御します。アプリケーションセグメント（セグメントグループ）ごとに、許可・拒否する条件を定義します。

アクセスポリシーの具体的な内容をご紹介する前に、どこで動作するのかをまず整理しておきましょう。

アクセスポリシーはZscaler社のプラットフォームであるZero Trust Exchange（ZTE）で動作します。Zscaler Client Connector（ZCC）をインストールした端末は、アプリケーションセグメントに含まれる通信をZTEへ転送します。転送されてきた通信に対し、アクセスポリシーを評価し、通信の許可・拒否を処理します。

ZCCはZPAの処理対象を判断し、ZTEはアクセスの可否を判断する、という住み分けとなっています。

アクセス制御できる項目

VPN通信に対するアクセス制御はネットワークベースのものでした。また、VPN接続できる条件と、アクセスポリシーは別々に管理されるケースが一般的かと思います。つまり、アプリケーションごとにネットワーク以外の情報やコンテキストを含めたアクセス制御を定義することが難しい構成になっています。

一方、ZPAではアプリケーションを中心として、アプリケーションごとに必要とされる条件をきめ細かく定義することができます。

アクセスポリシーの主な条件をご紹介します。

• アプリケーションセグメント/セグメントグループ
• SAML/SCIM属性（IdPが保持する認証情報とコンテキスト情報）
• プラットフォーム（Linux/Android/Windows/iOS/Mac）
• クライアントタイプ（Webブラウザ/Cloud Connectorなど）
• デバイスポスチャ
• ZCCが接続しているネットワーク
• 接続元の国
• ユーザのリスクスコア（ZIA）、などなど

このようなアクセスを許可・拒否するための条件をアプリケーションごとに定義することができます。

ネットワークベースのアクセスポリシーとは項目がガラリと違いますよね。ユーザの情報、デバイスの要件、リスクベースによるユーザの評価、アクセス方法など、ひとつのアクセスポリシーとしてアプリケーションごとにまとめて定義することができます。このようにして、よりユーザの具体的な利用状況に即したアクセスポリシーを構成することができます。

人はちょっとした変化に気づきますよね。今日はちょっと疲れているな、なんだか機嫌が悪いのかな、、というように、その人のちょっとした振る舞いや表情、言葉遣いや服装など、あらゆる情報を捉えます。警備員であれば、身分証明書は正規のものでも、なにかこの人、、変だな、、という違和感を覚えればもう少し詳しくチェックすることもできます。ZPAのアクセスポリシーは、通信に対するそのような違和感を検知する仕組みを実装したものとイメージしてもらえるといいかもしれません。

まとめ

今回はアクセスポリシーについてご紹介しました。ZPAは詳細なユーザのコンテキスト情報をアクセスポリシーに適用することができます。このような設定がアクセスポリシーに集約されることで、柔軟で見通しのよいルール設計が可能となります。次回はアプリケーションへの接続を提供するApp Connectorについてご紹介したいと思います。ありがとうございました。