Zscalerのカスタム機能を使い倒す:カスタマイズで広げる自由と可能性
Zscalerにおけるさまざまな「カスタムなんとか」について紹介します。ZIAのセキュリティポリシーや設定には「こんなふうにできたらいいのに」というカスタマイズのアイディアが浮かぶこと、ありませんか?今回は、カスタムと名の付くカスタマイズ機能を一つひとつ紐解きながら、Zscalerの柔軟性を見ていきます。
ゼットスケーラーの水本です。プロフェッショナルサービスのコンサルタントをしています
この記事はZscaler Advent Calendar 2025の12日目向けに作成しました
「このセキュリティ設定、もう少し自由にカスタマイズできたらもっと効率的なのに!」という悩み、ありませんか?Zscalerにはそういった「かゆいところに手が届く」機能がたくさん隠されています。この記事では、それぞれのカスタマイズ機能がどのような場面で役立つのか、具体例を交えながら解説します。そして次回の記事「DLP EDM用のサンプルデータ作成」へのヒントも盛り込んでいます。さっそくチェックしてみましょう!
また、今後予定しているAdvent Calendarの記事、「DLP EDM用のサンプルデータ作成」にもつなげる話にしていきますので、ぜひお楽しみに。
1. カスタムファイルタイプ
まずは「カスタムファイルタイプ」の話から。Zscalerでは、多くの一般的なファイルタイプについてポリシーを設定できますが、自分の環境に合わせて独自のルールが必要な場合もありますよね。例えば、業界独自のファイル形式や社内専用のデータ形式がある場合、これを設定に追加するのが「カスタムファイルタイプ」です。
-
何が嬉しいか?
自分の環境に適した拡張子やファイルタイプを登録することで、必要なファイルの動きを制御できますし、リスクの高いファイルを確実に遮断できます。特定のファイル拡張子をブロック、隔離、または制限。これにより、機密性の高いファイルやリスクを伴うファイルをより確実に管理できます。 -
こんな使い方ができる
例えば社内専用ファイル(例:CADデータや金融データ)が外部に流出しないように隔離環境でスキャンを実施。こうすることで、情報漏洩のリスクを低減すると同時に、業務効率を妨げないセキュリティ管理が可能です。
特定の業務専用ファイルをブロックするだけでなく、例えばサードパーティへの送信を制限したり、隔離環境に送り込んでチェックするなど多層的なセキュリティを実現できます。
カスタムのファイルタイプを拡張子ベースで作成・設定することで、ファイルタイプコントロールポリシーの柔軟性が向上します。ただし、Zscalerが定義したファイルタイプは、カスタムで設定したファイルタイプよりも優先的に検出されます。
よりファイルの中身や構造化データに踏み込むにはカスタムDLPディクショナリーや次回紹介するEDMなどが最適です。
2. カスタムURLカテゴリー
インターネット上の膨大なURLをそのまま管理するのは至難の業ですが、Zscalerでは既存のURLカテゴリーに加えて、「カスタムURLカテゴリー」を作ることができます。AI機能は色々ありますが、URLとしての「Generative AI and ML Applications」など既存のURLカテゴリに加え、組織独自のホワイトリストやブラックリストを独自カテゴリとして作成することで、さらに柔軟な管理を実現できます。
-
具体例
サイトを分類する際に、「このURLは特別に扱いたい」という場面がありますよね。例えば、社内で検証用に使うグレーゾーンのリンクを登録してセキュリティポリシーを緩和したり、ビジネスパートナーのサイトを特別なカテゴリーとして設定するなど。
例えばブラウザ分離用のカテゴリーや既存のホワイトリストを重要度で仕分けして、Isolation用カスタムURLカテゴリーを使うような運用方法が考えられます。
また、「Review Match」などのチェック機能を使用して精度を向上させることが可能です。さらに、キーワードマッチングを活用して、特定のURLカテゴリーとカスタムキーワードを組み合わせたポリシーを作成することができます。
使い方の例:
- URLカテゴリーを定義:
希望する既存のURLカテゴリーを選択またはカスタムカテゴリーを新規作成します。 - キーワードを追加:
特定のキーワードを登録して、その文字列を含むWebトラフィックを検知できるよう設定します(例: "gambling")。 - カテゴリーとキーワードを組み合わせる:
AND などの論理演算子を設定することで、URLカテゴリーの条件とキーワードが同時にマッチした場合のみルールを適用します。
例:Social Networking カテゴリーと "gambling" キーワードを設定することで、特定のカテゴリ内のリスクをより精緻に制御可能です。
3. カスタムDLPディクショナリー
データ漏洩(DLP: Data Loss Prevention)を防ぐためのディクショナリー(語句やパターンの集まり)は非常に役立つツールのベースとなりまですが、標準のものだけでは社内独自のデータや表現を捉えきれないこともあります。そこで登場するのが「カスタムDLPディクショナリー」です。
例えば、社内専用のキーワードや形式(取引先コードや社内機密の番号体系などのヘッダ情報)を登録し、それに基づいてデータ漏洩リスクを管理します。これにより、標的型攻撃や不注意によるデータ漏洩をよりきめ細かく防ぐことができます。ルール化する上ではURLカテゴリーやDLPエンジンでキーとなるフレーズの出現回数やばらつきなども考慮して検知できます。DLPスキャンや検知後のアクションは以前書いたワークフロー連携などでさらにカスタマイズしていけます。
Zscalerのデータ損失防止(DLP)機能では、日本語特有の氏名やマイナンバーカード番号に対応するカスタムDLP辞書の構築が可能です。さらに、EDM(Exact Data Match)による高度なデータ一致機能もありますが、これは次回以降に説明します。
ベストプラクティス:
- 顧客との協力: 顧客特有のキーワードやデータパターンを事前収集し、精度向上に役立てます
- テスト: 設定後は必ず小規模テストから実施し、動作を確認します
4. ZCCのロゴ変更
シンプルだけど、あると嬉しいカスタマイズがユーザーの利用インターフェースに関するもの。Zscaler Client Connector(ZCC)のロゴを変更する機能がその一例です。会社のブランディングや親しみやすさを向上させるだけでなく、視覚的に「これは会社内で承認されたツールだ」とわかるように表示することができます。
画面表示が限られますので、最適なサイズの指定方式に変換しておく必要があります。もちろんデフォルトのZscalerロゴでの運用もおすすめです。
5. カスタムのエンドユーザ通知
ブロック通知や隔離ページ、メッセージなどをカスタマイズすることで、エンドユーザーに「わかりやすく親しみやすい」通知ができます。
例えば、クラウドサンドボックスで検疫中の通知や、特定のWebアクセスアクション時の対応メッセージに適用できますが、通知画面ひとつでユーザーの印象は変わります。隔離通知やセキュリティブロックのメッセージをカスタマイズすることで、ただの「無機質なエラー通知」ではなく、「親しみやすい案内画面」へと変えることができます。
カスタマイズ可能な内容:
- CSSによる画面デザイン: ブランドカラーやロゴを追加、セキュリティ通知の背景に社内ロゴや情報を付加する
- メッセージの文言: 社内のトーン&マナーに合わせて柔軟に変更
- トーストメッセージ: データ漏洩を検知した際の通知内容をカスタマイズ
ユーザーにとって単なる「ブロック通知」やSandboxの動作を示すだけではなく、「ユーザに寄り添ったメッセージ」として受け止めてもらえる工夫やユーザ教育にしていくことが可能です。
6. カスタムポート(HTTP、HTTPSなど)
HTTPSやHTTPの通信を監視・管理する際、標準ポートだけでなく、カスタムポートの設定も柔軟に対応できます。非標準ポート経由の通信が必要なアプリケーションにも対応可能です。Zscalerでは、カスタムポートからのトラフィック制御として、標準ポート(80, 443)以外のトラフィックを安全に管理することもできます。
-
たとえば…
社内で専用ポートを使うアプリケーションのトラフィックを監視したり、特定のポート番号を割り当てることでセキュリティポリシーに従った動作をさせることが可能です。 -
ユースケース例
特定のアプリケーションがプロキシ対応であっても、非標準ポートを使ってHTTP/HTTPSトラフィックを送信した場合、そのデータは通信されずに削除されます。
しかし、カスタムネットワークサービスグループ設定を利用すると、非標準ポート上でのHTTP/HTTPSトラフィックもZscalerクラウドへの転送が可能になります。この設定を行うことで、非標準ポートでの通信がZscalerクラウドによってプロキシ処理され、管理者がWebエンジンポリシーを適用することができます。
さらに、この設定により、特定のユーザー、グループ、部署、または位置情報に基づいてアクセス許可や制限を設定することもできます。例えば、必要なユーザーにはアクセスを許可し、未許可のアクセスはURLフィルタリングポリシーを使ってブロックすることが可能です。また、ログインサイト経由でトラフィックの検証や監視を行うことができ、セキュリティ対策を強化することができます。
この機能を活用することで、顧客はプロキシ対応アプリケーションのための非標準ポート通信を効率的かつ安全に利用できるようになります。
トンネリングポートに対するアクセスを制限し、不要なプロキシ通信を遮断(例:「Block tunneling to non-standard ports」ルール)することで、セキュリティと効率を両立させられます。
7. PACファイルの柔軟性
最後に、「PACファイル」を忘れてはいけません。Forwarding Profileやブラウザ分離環境に適用されるPACファイルのカスタマイズで、ブラウザの挙動を細かくコントロールすることができます。例えば、PACファイルの条件式を利用して特定のネットワーク環境でルールを適用させたり、マクロ展開で動きを最適化したりと、工夫できるポイントがたくさんあります。
まとめ
今回紹介した「カスタムなんとか」シリーズは、Zscalerが持つ柔軟性を象徴する機能ばかりです。これらを活用すれば、標準環境に縛られることなく、会社やチームのユニークなニーズに応じた設定が可能になります。そしてこれは単に便利なだけではなく、セキュリティを保ちながらも「使いやすさ」を最大限引き出すカスタマイズなのです。
ちょっと書ききれませんでしたので同じテーマでまた記事化します。
次回記事では、「DLP EDM用のサンプルデータ作成」についてさらに掘り下げますので、そちらもお楽しみに。そして、もしこの記事の内容が役に立ったら、自分なりの「カスタム」を考えてみてはいかがでしょう?たった1つの工夫であなたの働き方がもっと楽になるかもしれません。