icon-zia.svg
インターネットとSaaSへのセキュアなアクセス(ZIA)

リリースのアップグレード概要(2021)

この記事では、Zscaler Internet Access (ZIA)用のZscalerクラウドごとのすべての新機能と機能強化の概要について説明します。Zscalerは、クラウドがアップグレードされる約1週間前に、組織の登録済みサポートお問い合わせに通知をメールで送信します。お使いのクラウドのメンテナンスアップデートの予定を確認するには、信頼できるポータルにアクセスしてください。


に以下のサービスアップデートが導入されました。zscaler.net on 以下の日程で開催されます。.

December 10, 2021
  • 機能一覧
    • リモートユーザーのためのファイアウォールサポート

      ZIA管理ポータルで、すべてのリモートユーザーのファイアウォールルールに対応するため、以下の変更を行いました。

      • 新しいオプション[Z-Tunnel 1.0 および PAC Road Warriorsのファイアウォールを有効にする]が[管理]>[高度な設定]ページに追加されました。このオプションを有効にすると、Zトンネル1.0トラフィックの送信元IPアンカーのサポートが自動的に有効になります。このオプションは、新しい組織では既定で有効になっていますが、既存の組織では無効になっています。

      • ファイアウォールおよび転送ポリシーの場所基準の下に、リモートユーザーのトラフィック(Z-Tunnel 1.0、Z-Tunnel 2.0、およびPAC)専用の新しいオプション、Road Warriorが追加されています。

      詳しくは、高度な設定についてを参照してください。

    • SaaSセキュリティAPI

      SaaS Security APIでは、以下の機能拡張が可能です。

      SaaSアプリケーションのテナントに関する更新情報

      SaaS アプリケーションのテナントとして Webex Teams を追加することができます。

      詳しくは、 SaaSアプリケーションのテナントを追加する をご覧ください。

      SaaS Security API Control Policies の更新& Scan Configuration

      コラボレーションアプリケーションであるWebex TeamsのSaaS Security API Controlポリシーとスキャンスケジュールを設定できます。

      詳しくは、 SaaS Security API Control Policy の設定 を参照してください。

      SaaS Assets Summary Reportの更新について

      SaaS Assets Summary ReportでWebex Teams(コラボレーションアプリケーションカテゴリー)を表示できます。

      詳しくは、 SaaS Assets Summary Report をご覧ください。

      SaaSアセットレポートの更新

      SaaS Assets ReportでWebex Teams(コラボレーションアプリケーションカテゴリー)を確認できます。

      詳しくは、 Saas Assets Report および SaaS Assets Report をご覧ください。インシデントを含む資産 をご覧ください。

      SaaS Security Insights& Insights Log の更新について

      Webex Teams(コラボレーションアプリケーションカテゴリー)は、SaaSセキュリティインサイトとインサイトログで確認できます。

      詳細については、 SaaS Security Insights および SaaS Security Insights Logs をご覧ください。

    • SaaS セキュリティポスチャ制御

      SaaSセキュリティ ポスチャー制御では、以下の機能拡張が可能です。

      SaaSアプリケーション テナントに関するアップデート

      SaaSアプリケーションテナントとしてMicrosoft 365を追加することができます。

      詳細は、SaaSアプリケーション テナントの追加を参照してください。

      SaaSセキュリティ ポスチャー制御のポリシーのアップデートおよびレポート

      Microsoft 365は、SaaSセキュリティ ポスチャー制御ポリシーおよびSaaSセキュリティポスチャレポートで利用可能なアプリケーションです。

      詳細は、SaaSセキュリティポスチャポリシーの設定SaaSセキュリティポスチャレポートを参照してください。

    • シャドーITの機能強化

      Shadow IT機能において、以下の機能強化が行われました。

      クラウドアプリケーションのリスクプロファイルを追加

      ZIA管理ポータル内の([管理]>[リスクプロファイル])クラウドアプリケーションリスクプロファイル機能では、クラウドアプリケーション属性でリスクプロファイルを作成し、クラウドアプリコントロールルールと関連付けることができます。この機能は、クラウドアプリコントロールルールの基準として、きめ細かいクラウドアプリ属性を提供します。

      [クラウドアプリコントロールルール]ウィンドウで、[クラウド アプリケーション]または[クラウド アプリケーションリスクプロファイル]フィールドのいずれかを選択できます。

      詳細は、クラウドアプリケーションのリスクプロファイルについてを参照してください。

      管理のアップデート

      アプリケーションの認可状態(認可済みまたは未認可)は、[クラウドアプリケーション]ページ([管理]>[クラウドアプリケーションのステータス)から確認および編集が可能です。

      詳細は、シャドーITレポートを参照してください。

      SaaSセキュリティ レポートのアップデート

      [解析]> [SaaSセキュリティ レポート]> [アプリケーション]> [アプリケーション情報]ページから、[アプリケーション ステータスの編集]ボタンをクリックすると、表示するアプリケーションを選択できます。[クラウドアプリケーションのステータス]ページの [クラウドアプリケーションの編集] ウィンドウにリダイレクトされ、そのアプリケーションの認可状態を編集することができます。

      詳細は、クラウドアプリケーションのステータスについてを参照してください。

    • TLS 1.3対応

      Zscalerは、このクラウド上でTLS 1.3のハードウェアベースのアクセラレーションをサポートし、以下の最新の暗号スイートを使用します。

      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
      • TLS_AES_128_GCM_SHA256

      SSLインスペクションの対象となるTLSトラフィックについては、シームレスにアップグレードされ、その後、サービスはクライアント側とサーバー側の接続でそれぞれTLS 1.3を優先し提案します。

      詳細については、 Zscaler SSL/TLS サポート を参照してください。

November 19, 2021
  • 機能一覧
    • テナントプロファイルにおけるGoogleアプリの機能強化

      Google Appのテナント プロファイルの追加ページ(Administration > Tenant Profiles > Add Tenant Profile)に、Allow Consumer Accessフィールドが追加されました。このフィールドは、選択内容に応じてテナント プロファイル内のドメインへのコンシューマーアクセスを許可します。

      詳しくは、テナントプロフィールの追加を参照してください。

    • ワンクリック機能拡張

      ワンクリック機能において、以下の機能拡張を行いました。

      SSLインスペクションポリシー用の新しいURLスーパーカテゴリー

      Microsoft Office 365のスーパーカテゴリーは、SSLインスペクションポリシーのルールページ(Policy> SSL Inspection> SSL Inspection Policy> Add SSL Inspection Rule)のURLカテゴリーフィールドの下に追加されます。このスーパーカテゴリーは、次のカテゴリーで構成されています:

      • MS O365 許可
      • MS O365 デフォルト
      • MS O365 最適化

      詳細は、 URLカテゴリーについて を参照してください。

      クラウドアプリコントロールポリシーにあらかじめ定義されたOffice 365 ワンクリックルール

      [高度なポリシー設定]タブで [Microsoft推奨ワンクリックOffice 365設定]を選択すると、以下のカテゴリーについて、[クラウドアプリ制御ポリシー]ページ (ポリシー> URL& クラウドアプリ管理>クラウドアプリ管理ポリシー) で定義済みの Office 365ワンクリックルールが有効になります (ポリシー> URL&クラウドアプリ管理> 高度なポリシー設定)。

      • コラボレーション& オンラインミーティング:このカテゴリーの事前定義されたルールは、次のクラウドアプリケーションのトラフィックを許可します。
        • Yammer
        • sharepoint_online
        • Microsoft Teams
        • Microsoft Sway
      • 生産性向上とCRMツール:このカテゴリーの事前定義されたルールは、次のクラウドアプリケーションのトラフィックを許可します。
        • Office 365の共通アプリケーション
        • Microsoft Dynamics 365
        • Microsoft Delve
        • Microsoft Power BI
        • Microsoft Planner
      • ファイル共有:このカテゴリーの事前定義されたルールは、OneDriveクラウドアプリケーションのトラフィックを許可します。
      • ホスティングプロバイダー: このカテゴリーの事前定義されたルールは、Microsoft Azureクラウドアプリケーションのトラフィックを許可します。
      • ITサービス: このカテゴリーの事前定義されたルールは、次のクラウドアプリケーションのトラフィックを許可します。
        • Microsoft Azure AD
        • Microsoft Intune
      • Webメール: このカテゴリーの事前定義されたルールは、Outlook クラウド アプリケーションのトラフィックを許可します。

      詳細は、 Microsoft ワンクリックオプションについて を参照してください。

       クラウドアプリコントロールポリシーに定義されたUCaaSワンクリックルール

      [高度なポリシー設定]タブでUCaaSアプリケーション(Zoom、RingCentral、またはLogMeIn)を選択すると、 [コラボレーション& オンラインミーティング]カテゴリーの[クラウドアプリ管理]ページで事前定義のUCaaSワンクリックルールが有効化されます。このルールは、選択した UCaaS アプリケーションのトラフィックを許可します。

      詳細は、 URLポリシーの詳細設定の構成 を参照してください。

November 12, 2021
  • 機能一覧
    • Zscaler Client Connector Portalのアクセス制御

      アクセスコントロール(Webおよびモバイル)機能スコープの管理> ロール管理> 管理者ロールの追加ページで、新しいオプション、Zscaler Client Connector Portalが利用できるようになりました。このオプションを使用すると、管理者用のZscaler Client Connector Portalへのアクセスを有効または無効にすることを選択できます。

      詳細については、管理者ロールの追加を参照してください。

    • ドメインフロンティングのブロック

      既存のオプション、URL FQDNとホストヘッダーのブロックが一致しませんは、高度な設定のページで(管理>高度な設定)ドメイン フロンティングのブロックに名前が変更されました。

      このオプションを有効にすると、次の間に FQDN の不一致がある HTTP/Sトランザクションのドメイン フロンティングがブロックされます。

      • リクエストURLとリクエストのホストヘッダ
      • SNI(サーバー名表示)とインナーリクエストのホストヘッダ

      詳しくは、高度な設定についてを参照してください。

      インサイトとNSSレポートの更新

      Insights及びNSSレポートに表示されるURL FQDNとホスト ヘッダーの不一致が原因でアクセスが拒否されたポリシーの理由が、 ドメイン フロンティングでのアクセス拒否という名称に変更されます。

      詳しくは、 ポリシー理由 をご覧ください。

    • Cloud App & URL Exceptions for DLP

      特定のクラウドアプリケーションやURLをDLPの評価対象から除外できるようになりました([Cloud Apps & URL Exceptions for DLP]リストに追加してください)。

      詳しくは、DLP評価からのクラウドアプリとURLの除外を参照してください。

    • クラウドアプリコントロールポリシーの強化

      クラウドアプリ制御のポリシールールに、新しいアクションオプションである[隔離]を追加して作成できるようになりました。あなたの組織がCloud Browser Isolationを使用している場合、既存のActionのAllowとBlockに加え、この新しいオプションが表示されます。Isolateアクションを選択すると、ポリシーフレームワークによって、Cloud Browser Isolation Portalで組織用に作成された隔離プロファイルの1つを選択することができます。定義されたルールにマッチするトラフィックは、選択された隔離プロファイルに従って隔離されます。

      Isolateアクションは、Cloud App ControlのDNS Over HTTPS Servicesルールには適用されません。

      このアクションを使用するには、まずZscaler Cloud Browser Isolation Portalで組織用の分離プロファイルを作成する必要があります。

      詳細については、クラウドアプリコントロールポリシーへのルールの追加を参照してください。

    • スペインの社会保障番号へのDLPとEDMの対応

      新たに定義済みDLP辞書を追加しました。社会保障番号(スペイン)。この辞書は、スペインからの社会保障番号を検出します。

      EDMテンプレートを作成する際、データタイプとして社会保障番号(スペイン)を選択することも可能です。

      詳細は、 定義済みDLP辞書の編集完全データ一致テンプレートの作成を参照してください。

    • 日本版PIIのDLP対応

      新たに2つの定義済みDLP辞書を追加しました。

      • 法人番号(日本):この辞書は、日本の法人番号を検出します。
      • マイナンバー(日本):この辞書は、日本のマイナンバーを検出します。

      Zscalerは、カスタムDLP辞書に日本語のフレーズを追加することをサポートしており、日本語のフレーズはユニコードのみをサポートしています。

      詳細については、定義済みDLP辞書の編集カスタムDLP辞書のフレーズの定義を参照してください。

    • デバイスとデバイスグループのサポート

      ZIA管理ポータルの[Administration]に新しい[デバイスグループ]ページが追加されました。

      • [デバイス]ページには、Zscaler Client Connector(以前のZscaler アプリまたはZ アプリ)を導入している組織内のすべてのデバイスが表示されます。

      詳細は、デバイスについてを参照してください。

      • [デバイスグループ]ページには、デバイスの OS タイプに基づいて定義された事前定義グループのリストが表示されます。Zscaler Client Connector(旧ZscalerアプリまたはZ アプリ)がデプロイされているデバイスは、OSタイプに基づいて各グループに分類されます。

      詳細は、デバイスグループについてを参照してください。

      また、以下のポリシーに[デバイス]と[デバイスグループ]の2つの基準が新たに追加されました。

November 05, 2021
  • 機能一覧
    • IPSコントロールの機能強化

      IPSコントロールが次の機能強化された旨のページ(ポリシー>IPSコントロール>IPSコントロールとルールの追加)。

      • 脅威カテゴリーのフィールドの名前が高度な脅威のカテゴリーに変更されます。
      • 高度な脅威のカテゴリーのフィールドの次のカテゴリーは使用できなくなりました。
        • 不審なコンテンツ
        • 疑わしい送信先
        • 高度なセキュリティ

      解析ログの更新

      解析ログに次の機能強化が行われた旨のページ。

      • フィルターの脅威カテゴリーは、ファイアウォール解析ログで高度な脅威のカテゴリーに名前が変更されました。
      • フィルターの高度な脅威のスーパーカテゴリーは、モバイルおよびWeb解析ログで高度な脅威のカテゴリーに名前が変更されました。

      詳細は、IPSコントロールについてを参照してください。

    • 管理対象外デバイスからクラウドアプリにアクセスするユーザーの管理

      [管理]>[アイデンティティプロキシ設定]>[クラウドアプリケーションの追加/編集]ウィンドウで、クラウドアプリの管理対象デバイスを定義し、その後、管理対象外デバイスからのセッションをブロックまたはブラウザー分離することができるようになりました。ブラウザー分離を選択すると、ユーザーは管理対象外デバイスへのデータを変更またはダウンロードすることはできず、クラウドアプリへの表示のみのアクセスが可能になります。

      本機能により、[IdPの追加/編集]ウィンドウおよび[エンドユーザー通知(EUN)]ページが以下のように更新されます。

      • [管理]>[認証設定]>[アイデンティティプロバイダー]>[IdPの追加/編集]ウィンドウに、管理対象デバイスを識別するために、IdP設定にマッピングされた信頼属性と信頼属性値を入力できる[デバイス信頼属性]、[デバイス信頼属性値]の2つのフィールドが追加されました。
      • [管理]>[エンドユーザー通知]ページの[IdPプロキシ通知]セクションに、[通知テキスト]フィールドが追加され、IdPプロキシ設定に違反したためにユーザーがブロックされたときに表示されるポリシー要求メッセージを入力できるようになりました。

      詳細については、ブロック通知の設定]、[クラウドアプリ用Zscaler IDプロキシの設定]および[IDプロバイダーの追加を参照してください。

    • Zscalerパートナー用管理ポータルについてのサポート

      Zscalerのパートナーとして、新たにZscalerパートナー用管理ポータルからプロビジョニングされた顧客とテナントを管理できるようになりました。管理ポータルでは、顧客とテナントのアカウントを可視化することができます。

      管理ポータルを使用すると、以下のことが可能です。

      • 異なるZscalerクラウドの顧客を監督する
      • 顧客とテナントのアカウント設定とポリシーの表示
      • テナントに適用されるポリシーテンプレートの表示
      • テナントがアクセスするZIA管理ポータルをホワイトレーベル化
      • SSO 経由でテナントの ZIA管理ポータルにアクセス

      詳細については、 Zscalerパートナー用管理ポータルを参照してください。

October 08, 2021
  • 機能一覧
    • サンドボックスレポートの機能強化

      Sandbox BAUI Reportで、以下の機能拡張を行いました。

      • ネットワークパケットの下に、HTTPセクションと比較して、新しいJA3およびJA3ダイジェスト情報を含むHTTPSセクションが追加されました。

      • 新しい[MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK)]タイルで[MITRE ATT&CKのテクニック]ページを表示し、どのテクニックがヒットしたかを対応する色分けされた番号で確認できるようにしました。

September 24, 2021
  • 機能一覧
    • カスタム高信頼度フレーズ

      適用可能な定義済みDLP辞書について、カスタム高信頼性フレーズを設定することができるようになりました。この機能拡張の一環として、辞書にはデフォルトの高信頼性フレーズもすべて表示されます。

      詳しくは、定義済みDLP辞書の編集を参照してください。

    • SaaSセキュリティAPI DLPポリシーの機能強化

      SaaSセキュリティAPI DLPポリシーにおいて、以下の機能強化が行われました。

      Zscaler Incident ReceiverとEmail通知に対応

      SaaSセキュリティAPI DLP ポリシーが、すべてのアプリケーションタイプで以下の機能をサポートするようになりました。

      • Zscaler Incident Receiver
      • Email通知

      詳細は、SaaSセキュリティAPI DLPについてを参照してください。

      Boxの分類ラベルに対応

      Boxのテナント用にSaaSセキュリティAPI DLPポリシーのルールを作成する際に、Boxで定義された分類ラベルを適用することができるようになりました。

      詳細は、SaaSセキュリティAPI DLP ポリシーの設定を参照してください。

September 03, 2021
  • 機能一覧
    • Zscaler Incident Receiverの外部Syslogサーバ転送のサポート

      次のコマンドを使用して、Zscaler Incident Receiver VMで外部syslogサーバ転送を設定できるようになりました。

      sudo zirsvr configure-syslog-server
      

      詳細については、Zscaler Incident Receiverの設定を参照してください。

August 20, 2021
  • 機能一覧
    • EUNの対応言語の追加

      EUNの言語サポートが拡張され、以下の言語に対応しました。

      • イタリア語
      • インドネシア語
      • 韓国語
      • スペイン語(ラテンアメリカ)
      • トルコ語
      • タイ語
      • ベトナム語

      詳しくは、EUNの多言語対応を参照してください。

    • デフォルト管理者を有効または無効にする

      ステータスオプションを使用して、デフォルト管理者アカウントを有効または無効にすることができるようになりました。

      クラウドサービスAPI内の管理者とロール管理エンドポイントを使って、アカウントのステータス(無効や有効など)を更新することもできます。

      詳細は、管理者についてZIA管理者の追加を参照してください。

    • ルールラベル

      ZIA管理ポータルのルールラベル機能では、ラベルを作成し、ポリシールールに関連付けることができます。この機能により、組織のポリシーをラベルで論理的にグループ化することができます。

      また、クラウドサービスAPI内のURLフィルタリングポリシーリソースも更新されました。 POST および PUT /urlFilteringRules を使用して、 URLフィルタリング ポリシールールのルールラベルを作成することができるようになりました。

      詳しくは、 ルール ラベルについて および API リファレンス を参照してください。

    • SaaSセキュリティアクティビティとアラート

      SaaSセキュリティAPIで、以下の機能が利用可能になりました。

      このリリース以前に作成したMicrosoft OneDriveまたはSharePointのテナントがある場合、これらの機能を使用するために再認証する必要があります。詳細は、 SaaS アプリケーションテナントについてを参照してください。

      SaaSセキュリティアクティビティアラート

      SaaSセキュリティアクティビティアラートでは、特定のSaaSアプリケーションアクティビティを追跡し、そのアクティビティを実行したユーザーを表示することができるアラートを設定できるようになりました。ユーザーがアラートをトリガーするアクティビティを実行すると、ZscalerサービスはSaaSセキュリティアクティビティとアラートのレポートにログ記録します。

      詳細は、SaaSセキュリティアクティビティアラートについてを参照してください。

      SaaSセキュリティアクティビティとアラートのレポート

      [SaaSセキュリティアクティビティとアラートのレポート]では、すべてのユーザーのSaaSアプリケーションアクティビティとSaaSセキュリティアクティビティアラートのトリガーの概要が表示されます。また、各アラートとアクティビティに関する詳細も表示できます。

      詳細は、SaaSセキュリティアラートとアクティビティのレポートを参照してください。

      SaaSセキュリティアクティビティに関する新しいログタイプ

      NSフィードにSaaSセキュリティアクティビティの新しいログタイプが追加されました。

      詳細は、NSフィードにSaaSセキュリティアクティビティの新しいログタイプを追加を参照してください。

      NSSフィードの出力用の新しいSaaSセキュリティアクティビティフィールド

      SaaSセキュリティアクティビティ用のNSSフィードに以下のWebログのフィールドが追加されました。

      • %d{intlogtime}
      • %d{inteventtime}
      • %d{userid}
      • %d{cid}
      • %d{tid}
      • %d{src_id}
      • %d{appid}
      • %d{abstime}
      • %d{objtype1}
      • %d{objcnt1}
      • %d{objtype2}
      • %d{objcnt2}
      • %s{logtime}
      • %s{eventtime}
      • %s{loc_name}
      • %s{username}
      • %s{tenant}
      • %s{appname}
      • %s{objnames1}
      • %s{objnames2}
    • SaaSセキュリティAPI

      SaaS Security APIにおいて、以下の機能拡張を行いました。

      SaaSアプリケーション テナントに関するアップデート

      Dropboxテナントを追加するには、ここでDropboxエンタープライズIDを入力する必要があります。

      Salesforceのテナントを追加するには、Salesforceのサンドボックス環境と本番環境のどちらを使用するかを選択する必要があります。サンドボックス環境では、ユーザーに影響を与えることなく変更をテストでき、本番環境での変更はユーザーに対して実行されます。

      詳しくは、SaaSアプリケーションテナントの追加を参照してください。

      SaaSセキュリティAPIスキャニングの例外

      ファイル共有アプリケーションの場合、新しいスキャン例外タブ([ポリシー]>[SaaSセキュリティAPIコントロール])で、特定のフォルダをSaaSセキュリティAPIコントロールポリシーの対象から除外できるようになりました。

      フォルダにスキャン例外を設定すると、Zscalerサービスはそのフォルダ内のファイルを完全に無視します。つまり、そのファイルはSaaS Security API DLPおよびマルウェア検出ポリシーで評価されません。

      詳細については、SaaSセキュリティAPIスキャンの例外の設定を参照してください。

      SaaSアセットレポートに新しい列が追加されました。

      新しい列[修復アクション]が、[ファイル共有アプリケーション]の下の[SaaSアセットレポート:インシデントを含むアセット]ページに追加されました。

      詳しくは、SaaSアセットレポート:インシデントを含むアセットを参照してください。

    • ZIA Admin Portalの制限付き管理者アクセスに対応

      ログインしようとする管理者の送信元IPアドレスに基づいて、ZIA管理ポータルへのアクセス制限を行うことができるようになりました。

      詳細は、管理者用制限付きアクセスの設定を参照してください。

August 06, 2021
  • 機能一覧
    • クラウドサービスAPIのアップデート

      クラウドサービスAPIが、情報漏洩防止(DLP)辞書の作成、読み込み、更新、削除(CRUD)に完全対応しました。

      • GET /dlpDictionaries
      • POST /dlpDictionaries
      • GET /dlpDictionaries/lite
      • GET /dlpDictionaries/{dlpDictId}
      • PUT /dlpDictionaries/{dlpDictId}
      • DELETE /dlpDictionaries/{dlpDictId}
      • POST /dlpDictionaries/validateDlpPattern

      各エンドポイントの詳細については、 API リファレンス と APIレート制限の概要 を参照してください。

      また、Postmanコレクションも更新され、新しいリソースや更新されたリソースが含まれるようになりました。詳しくはConfiguring the Postman REST API Client をご覧ください。

July 23, 2021
  • 機能一覧
    • URL FQDN&ホストヘッダの不一致でHTTP/Sトラフィックをブロック

      リクエストURLとリクエストのホストヘッダーの間にFQDNの不一致が見つかった場合、ZIA管理ポータルの[管理]>[高度な設定]ページから[URL FQDNとホストヘッダーの不一致でブロック]オプションを有効にすることで、HTTP/Sトランザクションをブロックできるようになりました。

      詳しくは、高度な設定についてを参照してください。

      本機能により、Web解析ログとそれに対応するNSSフィードの出力形式について、以下の更新が行われます。

      • 新しいWebログフィールド[ドメイン前置型ホストヘッダー]が追加され、URL FQDNと不一致の場合にHTTP/Sリクエストのホストヘッダを捕捉することができるようになりました。このフィールドは、フィルタリングやWeb Insightsの新しいカラムとして利用できます。また、%s{df_hosthead}という構文でNSSを通してストリーミングすることも可能です。不一致がない場合、フィールドの値は空になります。Webログのこのようなブロックを検出するには、ポリシーの理由文字列、[URL FQDNとホストヘッダーが一致しないためアクセスが拒否されました]を検索します。
      • Web Insightsの既存のフィールド、ドメイン前置型ホスト名は、ドメイン前置型SNIに名前が変更されました。このフィールドは、SNIと対応するHTTPSリクエストホストヘッダー間の不一致をキャプチャします。

      詳細については、Web解析ログフィルター][Web解析ログ列][NSSフィード出力形式のWebログを参照してください。

    • Office 365 Dashboardの機能強化

      以下のオプションを使用して、Office 365ダッシュボードのウィジェットをドリルダウンすることができるようになりました。

      • ログを表示:これは、ウィジェットに関連するログを直接インサイトログページに表示します。ログは、選択したウィジェットの特定のセクションに基づきフィルタリングされます。
      • チャットを分析:ウィジェットに関連付けられている傾向グラフをWebインサイトページに直接表示します。

      詳しくは、ダッシュボードについてを参照してください。

    • 新しいクラウドアプリ

      クラウドアプリコントロールポリシーで使用する以下のクラウドアプリカテゴリーに、新しいクラウドアプリを追加しました。

      • ホスティングプロバイダー
      • 人的資源
      • インスタントメッセージ
      • ITサービス
      • 生産性向上とCRMツール
      • セールス/マーケティング
      • SNS
      • ストリーミングメディア
      • システムと開発
      • Webメール

      詳細は、クラウドアプリのカテゴリーについてを参照してください。

    • IPS概要ウィジェットのログを表示する

      IPS Overviewダッシュボードのどのウィジェットからでも、Insights Logsページに直接移動できるようになりました。[ログを表示] オプションを使用すると、選択したウィジェットの特定のセクションに基づきフィルタリングされたログが表示されます。

      詳しくは、 ダッシュボードについて および インサイトログについて をご覧ください。

July 09, 2021
  • 機能一覧
    • 管理者、監査役、ユーザーの有効化または無効化

      新しいステータスオプションを使用して、以下のタイプのアカウントを有効または無効にすることができるようになりました。

      • 管理者
      • パートナー管理者
      • エグゼクティブインサイトアプリ管理者
      • 監査役
      • ユーザー

      また、クラウドサービスAPI内のAdmin & Role Managementエンドポイントを使用して、アカウントの状態を制御することもできます。

      詳しくは、管理者について][監査役の追加][ユーザーの追加][APIリファレンスを参照してください。

    • ロケーションとサブロケーションの機能拡張

      既存および新規のロケーションとサブロケーションの両方に説明を追加できるようになりました。また、クラウドサービスAPI内のロケーション管理エンドポイントを使用して説明を追加することができます。

      詳しくは、ロケーションについて]、[サブロケーションの設定]、[APIリファレンスを参照してください。

    • Zscaler Identity ProxyのSlackへの対応

      Zscalerは、ZIA管理ポータルの[管理]>[Identityプロキシ設定]ページからSlackクラウドアプリのアイデンティティプロキシ設定に対応できるようになりました。

      詳細は、Identityプロキシ設定についてを参照してください。

June 25, 2021
  • 機能一覧
    • IDプロバイダー移行強化

      あるSAML IDプロバイダー(IdP)から別のSAML IDプロバイダにシームレスに移行できるようになった。新しい IdP を追加すると、"What do you want to do?" ウィンドウが表示され、新しい IdP に移行するかどうかが尋ねられます。その後、IdP を選択し、SAML Portal URL、IdP SAML Certificate、および Vendor を更新することができます。

      詳細については、Migrating to the New SAML IdP を参照してください。

    • SaaSセキュリティAPI

      SaaSセキュリティAPIで、以下の機能拡張が行われました。

      新規SaaSアプリケーション対応

      Slackのテナントを設定できるようになりました。

      詳細は、SaaSアプリケーション テナントの追加を参照してください。

      SaaSセキュリティAPIポリシーのアップデート

      コラボレーションアプリケーションのSaaSセキュリティAPIコントロールポリシーとスキャンスケジュールを設定できるようになりました。

      詳細は、SaaSセキュリティAPI管理ポリシーの設定を参照してください。

      [SaaSアセットサマリーレポート]のアップデート

      SaaSアセットサマリーレポートで、コラボレーションアプリケーションカテゴリーを表示できるようになりました。

      詳細は、SaaSアセットサマリーレポートを参照してください。

      SaaSアセットレポートのアップデート

      SaaSアセットレポートでコラボレーションアプリケーションカテゴリーを表示できるようになりました。

      詳細は、SaaSアセットレポートSaaSアセットレポート:インシデントを持つアセットを参照してください。

      SaaSセキュリティ分析および解析ログのアップデート

      SaaSセキュリティ分析と解析ログでコラボレーションアプリケーションカテゴリーを表示できるようになりました。

      詳細は、 SaaSセキュリティ解析SaaSセキュリティ解析ログを参照してください。

      NSSフィードの新しいアプリケーションカテゴリー

      NSSフィードにSaaSセキュリティAPIの新しいアプリケーションカテゴリーが追加されました。SaaSセキュリティkSaaSセキュリティ コラボレーションです。これらのアプリケーションカテゴリーは、Slack(コラボレーション)に対応しています。

      また、SaaSセキュリティAPIログフィルターには、コラボレーションのタブが新たに追加されました。

      詳細は、SaaSセキュリティログのNSSフィードの追加を参照してください。

      NSSフィード出力に新しいSaaSセキュリティのフィールドが追加されました

      コラボレーションの下で、NSSフィードに以下のWebログフィールドが追加されました。

      • %s{internal_recptnames}
      • %s{external_recptnames}
      • %s{ointernal_recptnames}
      • %s{oexternal_recptnames}
      • %s{sharedchannel_hostname}
      • %s{osharedchannel_hostname
      • %s{sender}
      • %s{osender}
      • %s{esender}
      • %s{channel_name}
      • %s{ochannel_name}

      詳細は、NSSフィード出力形式:SaaSセキュリティログを参照してください。

June 18, 2021
  • 機能一覧
    • Microsoft Defender for Endpointパートナー統合

      Zscalerの統合は、Microsoft Defender for Endpoint APIを活用し、Cloud Sandboxで検出されたマルウェアのエンドポイント検出と対応(EDR)に関する可視性を提供します。統合が設定されると、ZscalerサービスはMicrosoft Defender for Endpoint APIを呼び出し、悪意のあるファイルにさらされたエンドポイントに関する情報を要求します。Microsoft Defender for Endpointは、新しいファイルシグネチャを使用して、組織のネットワーク全体で侵害されたポイントを検出します。

      Sandboxのログとレポートで、影響を受けるエンドポイントに関する情報を確認できます。また、ZIA管理ポータルから、エンドポイントの分離、自動調査および修復(AIR)の開始、悪意のあるファイルの実行の停止を行うことができます。Microsoft Defender for Endpointポータルにアクセスして、更なる調査と修復を行うことができます。これらの自動化されたワークフローにより、脅威の滞留時間や修復時間を短縮することができます。

      詳しくは、パートナー統合についてを参照してください。

    • SaaSセキュリティAPI

      SaaSセキュリティAPIにおいて、以下の機能拡張を行いました。

      お客様の組織でAmazon S3を有効にするには、Zscalerアカウントチームにお問い合わせください。

      新規SaaSアプリケーションのサポート

      Microsoft TeamsとAmazon S3のテナントを設定できるようになりました。

      詳しくは、SaaSアプリケーション テナントの追加を参照してください。

      SaaSセキュリティAPIコントロールポリシーとスキャン構成のアップデート

      SaaSセキュリティAPI管理ポリシーとスキャンスケジュールを、パブリック クラウド ストレージアプリケーション用に設定できるようになりました。また、コラボレーションアプリケーションであるMicrosoft Teamsのポリシーとスキャンスケジュールを設定することができます。

      詳しくは、SaaSセキュリティAPI管理ポリシーの設定を参照してください。

      SaaSアセットサマリーレポートのアップデート

      SaaSアセットサマリーレポートで、Microsoft Teams(コラボレーションアプリケーションカテゴリー)およびAmazon S3(パブリック クラウド ストレージアプリケーションカテゴリー)を表示できるようになりました。

      詳しくは、SaaSアセットサマリーレポートを参照してください。

      SaaSアセットレポートのアップデート

      SaaSアセットレポートで、Microsoft Teams(コラボレーションアプリケーションカテゴリー)およびAmazon S3(パブリック クラウド ストレージアプリケーションカテゴリー)を表示できるようになりました。

      詳しくは、SaaSアセットレポートSaaSアセットレポート:インシデントを含むアセットを参照してください。

      SaaSセキュリティ分析と解析ログのアップデート

      SaaSセキュリティ分析と解析ログで、Microsoft Teams(コラボレーションアプリケーションカテゴリー)およびAmazon S3(パブリック クラウド ストレージアプリケーションカテゴリー)を表示できるようになりました。

      詳しくは、SaaSセキュリティ分析SaaSセキュリティ解析ログを参照してください。

      NSSフィードの新しいアプリケーションカテゴリー

      SaaSセキュリティのNSSフィードAPIに、新たにパブリック クラウド ストレージアプリケーションカテゴリーが追加されました。パブリック クラウド ストレージは、Amazon S3のサポートを提供します。また、SaaSセキュリティ コラボレーションアプリケーションカテゴリーでMicrosoft Teamsもサポートされます。

      詳しくは、SaaSセキュリティログのNSSフィードの追加を参照してください。

      NSSフィード出力の新しいSaaSセキュリティフィールド

      パブリック クラウド ストレージのNSSフィードに以下のWebログフィールドが追加されました。

      • %d{bucketid}
      • %s{bucketname}
      • %s{bucketowner}
      • %s{collabnames}
      • %s{collabscope}
      • %s{ebucketname}
      • %s{ebucketowner}
      • %s{ecollabname}
      • %s{efilename}
      • %s{efilesource}
      • %s{efullurl}
      • %d{ehostname}
      • %s{eowner}
      • %d{epochlastmodtime}
      • %s{fileid}
      • %s{filemd5}
      • %s{filename}
      • %d{filesize}
      • %s{filesource}
      • %s{filetypecategory}
      • %s{filetypename}
      • %s{fullurl}
      • %s{hostname}

      詳しくは、NSSフィード出力形式:SaaSセキュリティログを参照してください。

June 11, 2021
  • 機能一覧
    • DLP通知テンプレートに新しいマクロが登場

      Zscalerは、DLP Notification Templates用の新しいマクロを追加しました。 ${FILENAME} マクロは、DLPルールをトリガーしたファイル名を指定します。

      詳細については、 DLP 通知テンプレートの設定 を参照してください。

    • SaaS セキュリティポスチャ制御

      SaaS Security Posture Controlにおいて、以下の機能強化が行われました。

      新規SaaSアプリケーションのサポート

      Google Workspaceのテナントを設定できるようになりました。

      詳しくは、SaaSアプリケーション テナントの追加を参照してください。

      SaaSセキュリティポスチャ制御のポリシーのアップデートおよびレポート

      SaaS Security Posture ControlポリシーとSaaS Security Posture Reportのアプリケーションとして、Google WorkspaceとGitHubが利用可能になりました。

      詳細については、SaaSセキュリティポスチャポリシーの設定SaaSセキュリティポスチャレポートを参照してください。

June 04, 2021
May 21, 2021
  • 機能一覧
    • VMware SD-WANのアップデート

      パートナー統合にVMware SD-WAN SSO URLの項目が追加されました。URLを追加すると、ロケーション管理ページのVMware SD-WANのリンクからVMware SD-WANポータルにアクセスできるようになります。

      詳細は、SD-WANパートナー キーの管理を参照してください。

May 07, 2021
  • 機能一覧
    • クラウド サンドボックス送信API

      新しいクラウド サンドボックス送信APIとPOST /zscsb/submitリソースで、Cloud Sandboxにファイルを送信して解析できるようになりました。

      このAPIは、生ファイルとアーカイブファイル(ZIP、GZIPなど)の送信をサポートしており、1日あたり最大100個のファイルを送信できます。デフォルトでは、ファイルは判定を得るために分析のためにSandboxに直接送信されます。ただし、判定が既に存在する場合は、サービスにファイルの再分析を強制することもできます。このAPIは、Cloud Sandboxで現在サポートされているすべてのファイルタイプもサポートしています。

      クラウド サンドボックス送信APIへのアクセス権を取得するには、Zscalerアカウントチームに連絡してください。

      詳細は、はじめに]、[API リファレンス]、[ Postman REST APIクライアントの設定を参照してください。

    • エグゼクティブレポートの非推奨

      エグゼクティブレポートは現在非推奨となっています。Zscalerは、[Executive Insightsレポート]と[Executive Insightsアプリ]を利用することを推奨します。

      詳細は、Executive Insightsレポート ] および[Executive Insightsアプリについてを参照してください。

    • マルチクラスタ負荷分散

      マルチ クラスター ロード シェアリング機能を使用すると、入力トラフィックは特定の仮想IP(VIP)に入り、VIPに参加しているパブリック サービス エッジ クラスターの任意のインスタンスからエンド宛先にアクセスできます。これにより、Zscalerは、同じVIPを使用しながらクラスターを移行することなく、データ センター(DC)をスケールアップできます。

      この機能を持つDCに新しいクラスターを追加している間、サブクラウドの解決はPACファイルのトラフィックと同じように機能します。サブクラウドを利用する場合、トラフィックはサイト内のすべての参加ネットワークを経由してルーティングされます。ただし、これが機能するように、適切なネットワーク範囲が許可リストに配置されていることを確認する必要があります。

      範囲発表は、ロールアウトの24時間前に、Zscaler Trustポータルサイトで行われます。

      詳しくは、マルチクラスタロード共有についてを参照してください。

April 23, 2021
  • 機能一覧
    • バックアップとリストアの機能強化

      [バックアップと復元]機能について、以下のアップデートを行いました。

      • 復元ポイントを[ゴールデン復元ポイント]としてマークすることができるようになりました。
      • 新しい[バックアップ設定]タブで、復元ポイントの自動作成のスケジュールを設定できるようになりました。

      • この機能を拡張し、さらなる設定を追加しました。
          • 管理者設定
            • 管理者
            • 管理者のマネジメント設定
            • 監査役
          • 認可
            • 認証ブリッジ
            • 認証プロファイル
            • アイデンティティプロバイダ
          • 専用のプロキシ ポート
          • ロケーション管理
            • ロケーション
            • ロケーション グループ
          • Nanologストリーミングサービス
            • NSSサーバー
            • NSSフィード
          • パートナー統合
            • Azure Virtual WAN
            • Carbon Black
            • CrowdStrike
            • Microsoft Cloud App Security
            • SD-WAN
            プロビジョニングIP
          • テナント プロファイル
          • VPN資格情報
          閉じる
      • これで、バックアップされているポリシーとともに、すべての構成設定が表示されるようになりました。

      詳しくは、バックアップと復元についてを参照してください。

April 16, 2021
  • 機能一覧
    • NSS URLカテゴリーフィールドの値の変更

      以下のNSS URLカテゴリーフィールド%s{urlcat}では、ZIA管理ポータルのWeb解析のフィールド値との整合性を確保するために値が変更されています。

      詳しくは、NSSフィード出力形式:Webログを参照してください。

    • クラウドNSSフィード

      クラウドNSSは、Webやファイアウォール用のNSS VMを展開することなく、ZIAのログを直接クラウドベースのSIEMに瞬時にストリームすることが可能です。クラウドNSSフィードは、クラウド間のログストリーミングを可能にします。

      自動的にクラウドNSSに割り当てられるクラウドNSSフィードを設定することができます。また、クラウドNSSフィードを使用して、クラウドベースのSIEM経由のSIEM接続を設定することができます。

      詳細は、クラウドNSSフィードについてを参照してください。

    • クラウドサンドボックス

      次の機能強化がクラウドサンドボックスで利用可能になりました。

      Sandboxアクティビティレポートの機能強化

      Sandboxアクティビティレポートに対して次の操作を実行できるようになりました。

      • レポートを印刷します。
      • レポートをPDFまたはJSONファイルとしてエクスポートします。
      • 毎週、特定の受信者にレポートをメールで配信するようスケジュール設定します。

      詳しくは、Sandboxアクティビティレポートについてを参照してください。

      Sandboxファイルで検出された悪意のあるレポートの機能強化

      これで、[Sandboxの悪意のあるファイル検出]レポートに対して次の操作を実行できます。

      • レポートを印刷します。
      • レポートをPDFまたはCSVファイルとして書き出すことができます。
      • 毎週、特定の受信者にレポートをメールで配信するようスケジュール設定します。

      詳しくは、Sandboxの悪意のあるファイル検出レポートについてを参照してください。

      新たに対応したファイル形式

      サンドボックスポリシールールを追加するときに、次のファイルタイプをサポートするようになりました。

      • Visual Basic Script (.vbs)
      • Windows PowerShell Script (.ps1)
      • HTML Application (.hta)

      詳しくは、Sandboxポリシーの設定を参照してください。

    • 情報漏洩防止および完全データ一致

      情報漏洩防止および完全データ一致について、以下の機能強化が行われました。

      インサイトログに含まれるDLP辞書およびエンジンの増加

      インサイトログには、トランザクションに対して最大16個のDLP辞書と8個のDLPエンジンが表示されるようになりました。このリリースより前のリリースでは、インサイトログには最大4つのDLP辞書と1つのDLPエンジンが表示されていました。

      英数字および数値EDMデータ型の可変長プライマリフィールド

      EDMの場合、Zscalerは英数字と数値のデータ型について、最大5つの別々の可変長の主フィールドをサポートするようになりました。

      詳細は、完全データ一致テンプレートの作成を参照してください。

    • ルール、インサイト、ダッシュボードにおけるDNSプロトコルの種類

      DNS Filtering Ruleの作成時に、プロトコルの種類としてUDP、TCP、DNS over HTTPSを選択できるようになりました。

      また、DNS Insightsでは、ログをプロトコルタイプでフィルタリングできるようになりました。さらに、ダッシュボード> DNS Overviewの新しいDNSプロトコル配布ウィジェットでは、どのプロトコルが使用中で、どのルールに関連しているかが表示されます。

      詳しくは、DNSコントロールポリシーの設定ダッシュボードについてを参照してください。

    • クラウドブラウザーの分離統合を強化

      ZIAとCloud Browser Isolationの連携が強化され、ユーザー体験と管理ワークフローが改善されました。ZIAですでに認証されている、またはデバイス上でZscaler Client Connectorが動作している場合、ユーザーは隔離セッションに入る際に認証を要求されなくなりました。

      管理者は、新しいアクションオプション[隔離]でURLフィルタリングポリシールールを作成することができます。あなたの組織がCloud Browser Isolationを使用している場合、既存のBlock、Caution、AllowのActionに加え、この新しいオプションが表示されます。Isolateアクションが選択されると、ポリシーフレームワークは、Cloud Browser Isolationポータルで組織用に作成された隔離プロファイルのうちの1つを選択することができるようにします。定義されたルールに一致するトラフィックは、選択された隔離プロファイルに従って隔離されます。

      このアクションを使用するには、まずZscaler Cloud Browser Isolation Portalで組織用の隔離プロファイルを作成する必要があります。

      ZIAWebログは、ユーザーの元の場所やIPアドレスのコンテキストを失うことなく、孤立したトラフィックをよりよく表現するように強化されます。

      詳細については、クラウド ブラウザー分離のための ZIA の構成]をご覧ください。

    • DNS制御ポリシーの強化

      [DNSアプリケーション]タブの[プロトコル]フィールドを追加しました([ポリシー]>[DNS制御]>[DNSフィルタリングルールの追加])。DNS制御ポリシー規則を使用して、次のプロトコルの種類を制御できるようになりました。

      • DNS over HTTPS
      • TCP
      • UDP

      詳しくは、DNSコントロールポリシーの設定を参照してください。

    • ロケーションとサブロケーションの強化

      ロケーションまたはサブロケーションのページで、ロケーションまたはサブロケーションの主要なトラフィックタイプを表すために、以下のロケーションタイプのいずれかを選択できるようになりました。

      • 企業ユーザー トラフィック
      • ゲストWi-Fiトラフィック
      • IoTトラフィック
      • サーバー トラフィック

      詳細は、ロケーションについてロケーションの設定を参照してください。

    • URLカテゴリー強化

      以下の新しい事前定義されたURLカテゴリーを追加しました。

      • 動的DNSホスト:ダイナミックDNSの解決をサポートするDNSサーバーのURLが含まれています。
      • ミリタリー:軍隊に関連するサイトが含まれています。

      詳しくは、URLカテゴリーについてを参照してください。

    • インデックス付きドキュメントの一致

      インデックス文書一致(IDM)を使用すると、機密データを含む組織のクリティカルドキュメントにフィンガープリントを付け、ドキュメントリポジトリを作成し、情報漏洩防止(DLP)ポリシーでアウトバウンドトラフィックを評価する際に、Zscalerサービスが完全または部分的に一致するドキュメントを識別するために使用することができます。

      IDM用のドキュメントリポジトリを作成するには、インデックスツールを使用してドキュメントをアップロードし、IDMテンプレートを作成する必要があります。このテンプレートは、カスタムDLP辞書またはエンジンに適用することができます。

      詳細は、インデックス文書一致についてを参照してください。

    • 対話型レポート:ページの再設計

      [対話型レポート]ページが、ユーザーエクスペリエンス向上のためにリニューアルされました。新しいレイアウト、検索バーによるレポートの迅速な検索などが含まれています。

      詳しくは、対話型レポートについてを参照してください。

    • システムアラートの新しいイベント

      [トラフィックの増加]と[トラフィックの減少]は、システムアラートのトリガーとなる2つの新しいイベントです。

      詳しくは、アラートについてを参照してください。

    • PACファイル検証ステータス

      ZscalerがホストするPACファイルの検証状況を、[管理]>[PACファイル]のページから確認できるようになりました。

      検証ステータスは次のとおりです。

      • 検証済み:PACファイルはZIA管理ポータルで検証されています。
      • エラー許容:PACファイルにエラーがあり、ZIA管理ポータルでの検証時に管理者がエラーありとして受理し保存したことを示します。
      • 未検証(---):PACファイルが未検証であることを示します。

      Zscalerのサービスをアップグレードすると、Zscalerには以前の検証状況の記録がないため、検証するまでは既存のすべてのカスタムPACファイルは[未検証]ステータスになります。そのファイルの[検証]ボタンを有効にするには、ファイルの内容を編集する必要があります。

      詳しくは、PACファイルについてを参照してください。

    • DNSトラフィックをコントロールする定義済みNATルール

      Zscalerは、Zscalerが信頼するDNSリゾルバという定義済みNATルールを追加済みにし、標準のDNSトラフィックをZscalerが信頼するDNSリゾルバに転送するか、またはトラフィックを外部のDNSリゾルバにリダイレクトすることができるようにしました。

      詳細情報は、 NATコントロールについて および DNSコントロールについて を参照してください。

    • GREトンネルと静的IPアドレスのセルフプロビジョニング

      ZIA管理ポータルまたはクラウドサービスAPIを使用して、Zscalerサービスに接続するための静的IPアドレスまたはGREトンネルをセルフプロビジョニングできるようになりました。

      • GREトンネルを自己プロビジョニングするには、[管理]>[静的IP&GREトンネル]>[GREトンネル]ページから[GREトンネルの追加設定]ウィザードを使用することができます。

      • 静的IPアドレスを自己プロビジョニングするには[管理]>[静的IP&GREトンネル]>[静的IP]ページで[静的IP構成の追加]ウィザードを使用します。

      詳しくは、GREトンネルについて静的IPについてを参照してください。

    • シャドウITレポート

      シャドウITレポートは、使用されている認可および非認可のアプリケーションの数とそのユーザー数を示しています。また、アプリケーションのカテゴリー、リスクインデックス、それぞれのアプリケーションの認証も表示されます。

      詳しくは、シャドウITレポートを参照してください。

    • SSLインスペクションポリシーエンジンの再設計

      再設計されたSSLインスペクションポリシーに関する特集動画を見る

      ZIAサービスの導入と継続的な運用を簡素化するための継続的な取り組みの一環として、ZscalerはSSLインスペクションポリシーエンジンを再設計しました。新しい設計では、既存のさまざまなSSLインスペクション設定をすべて、ソースと宛先に基づく多数の基準、アクション、サブアクションを備えたルールベースのエンジンに一元化しています。これにより、プライバシー要件、ユーザーグループ、OSプラットフォームの種類など、特定のニーズに基づいて組織のSSLインスペクションポリシーを非常に柔軟に実装できるようになりました。

      以下のセクションでは、新しいSSLインスペクション設定と非推奨のSSLインスペクション設定、および非推奨のSSLインスペクション設定との後方互換性のためにZIA管理ポータルに実装された自動移行ルールについて説明します。

      • ZIA管理ポータルを使用して、SSLトラフィックの送信元と送信先に関連する多くの基準でSSLスキャンを実行する、きめ細かいSSLポリシーを定義することができるようになりました。これにより、SSLインスペクションの導入と継続的な運用を簡素化し、コンプライアンスと運用環境の要件に対応するため、ポリシーをより適切に調整することができます。

        • 従来のSSLインスペクションの制御はすべて、柔軟なルールベースのエンジンに置き換えられています。
        • ポリシーエンジンは12の条件をサポートし、ルールをトップダウンの順序で評価し、最初の一致で停止します。
        • 各ポリシーアクションは、証明書の有効性と失効状態の確保、TLSの最小バージョンの実施など、さまざまな特殊設定に対応しています。
        • ルール内のすべての基準は、ANDグループの中にネストされた複数のORグループに編成されています。基準間の論理演算子は、管理者ポータルに表示されます。[---]と表示されている基準に対して値を選択しない場合、ルールではポリシー評価のためにその基準が無視されます。たとえば、[ユーザー]の基準に対して値を選択しない場合、ルールはすべてのユーザーに対して一致します。特定のユーザーの値を選択した場合、ルールは指定されたユーザーからのトラフィックにのみ一致します。

        • 新しいWebログフィールドである[SSLポリシーの理由]が、[解析]>[Web解析]>[ログ]およびNSSで利用できるようになりました。このフィールドは、以下のSSLインスペクションポリシーアクションをキャプチャーします。
          • ブロック
          • 検査済み
          • N/A
          • Office365バイパスが理由で検証されていません
          • SSLポリシーが理由で検証されていません
          • UCaaSバイパスが理由で検証されていません
          • Zscalerのベストプラクティスが理由で検証されていません
          • SSLインスペクションがゲートウェイでオフになっているので検証されませんでした
        • [ポリシーアクション]weblogフィールドには、次の値が含まれるようになりました。
          • 低いTLSバージョンが理由でアクセスが拒否されました
          • ポリシーによりSSL接続を確立できません
          • サーバ証明書が不正なため、アクセスが拒否されました
        閉じる
      • これまでのSSLインスペクション設定はすべて削除されました。

        • ZIA管理ポータルの[管理]>[ロケーション管理]ページから、次の設定が削除されました。
        • SSLインスペクションを有効にする:個々のロケーションまたはサブロケーションのSSLインスペクションを有効にするのは、グローバルなSSLインスペクション設定でした。SSLインスペクションルール内の条件として、ロケーション、サブロケーション、またはロケーション グループを選択できるようになりました。

        • Zscaler Client ConnectorのSSL設定を強制:Zscaler Client Connectorのトラフィックが既知のロケーションから転送された場合、ロケーションのSSLポリシー設定をZscaler Client Connectorの設定で上書きするために使用されました。

        これらの設定を行う必要がある場合は、新しいSSLインスペクションポリシーページで適切な基準を使用するようにする必要があります。

        • ZIA管理ポータルの[ポリシー]>[SSLインスペクション]ページから、以下の設定が削除されました。
        • SSLインスペクションが無効になっている場合は、これらのサイトへのHTTPSをブロックします:この設定では、ロケーションまたはZscaler Client ConnectorでSSLインスペクションが無効になっているときに、指定されたURLカテゴリーまたはホストがブロックされました。この設定は、SSL接続時のユーザーコンテキストがないために、ZscalerサービスがURLフィルタリングまたはクラウドアプリコントロールポリシーをバイパスする必要がある場合に使用されました。これは、組織がZscaler Client Connector、代理IP、認証されていないトラフィックのポリシーなどの先進認証設定を使用していない場合にのみ必要でした。これらのURLカテゴリーとリンク先グループの条件に割り当てられたブロックルールを設定できるようになりました。
        • ブロックされたトラフィックの通知を表示:これはテナントのグローバル設定で、SSLインスペクションの対象とならないときにブロックされたトラフィックのエンド ユーザー通知を表示するかどうかを決定しました。これで、[検査しない]または[SSLをブロック]インスペクションルール内で通知の表示設定を設定できるようになりました。

        • [SSLインスペクションのポリシー]セクションの次の設定:これらは、SSLインスペクションおよびその他のポリシーから検査または除外する宛先トラフィックを設定するためのテナントのグローバル設定でした。指定した宛先のトラフィックおよび他の多くの基準の検査を検査または除外する詳細なルールを設定できるようになりました。
          • これらのURLカテゴリーのセッションを検査する
          • これらのURLカテゴリーを検査およびその他のポリシーから除外する
          • これらのホストを検査およびその他のポリシーから除外する
          • これらのアプリケーションを検査およびその他のポリシーから除外する

        • 復号化不可能なトラフィックをブロックする:これは、非標準の暗号スイートなどの復号化できないトラフィックをブロックするテナントのグローバル設定でした。SSLインスペクションルール内でこのタイプのトラフィックを処理する方法を設定できるようになりました。

        • [信頼できないサーバ証明書]および[失効したサーバ証明書を持つサイトをブロック]:これは、SSLインスペクションの対象となるトラフィックについて、信頼できない証明書または取り消された証明書をどのように処理するかを決定するためのテナント上のグローバル設定でした。SSLインスペクションルール内で、検査対象トラフィックと非検査対象トラフィックの両方に対して、信頼されていないまたは取り消された証明書の設定を行うことができるようになりました。

        • Kerberosを使用したリモートユーザーのSSLインスペクションを有効にする:これは、Kerberos認証を使用してリモートユーザートラフィックのSSLインスペクションを有効または無効にするためのテナントのグローバル設定でした。SSLインスペクションルール内でKerberos認証を使用してリモートユーザートラフィックを検査するかどうかを設定できるようになりました。

        • [Zscaler Client Connectorのポリシー]セクションのすべてのプラットフォーム設定:これらは、特定のZscaler Client ConnectorプラットフォームのSSLインスペクションを有効または無効にするためのテナントのグローバル設定でした。SSLインスペクションルール内でプラットフォームを設定できるようになりました。

        • [管理]>[プロキシとゲートウェイ]>[プロキシ用ゲートウェイ]>[プロキシ用ゲートウェイの追加]のSSLインスペクション設定は非推奨になりました。この設定では、ロケーションのSSLインスペクション設定をオーバーライドして、サードパーティのプロキシサービスに転送されるトラフィックのSSLインスペクションを無効にするかどうかを決定しました。SSLインスペクションルール内のフォワーディングゲートウェイ基準を使用して、サードパーティのプロキシサービスに転送されたトラフィックのSSLインスペクションを無効にできるようになりました。

        • [管理]>[高度な設定]の[ZscalerグローバルSSL免除リストを上書きする]設定は非推奨になりました。これは、Zscaler推奨SSL免除リストを無効にするかどうかを決定するテナントのグローバル設定でした。自動生成されたZscaler推奨免除ルールを、ZIA管理ポータルの[SSLインスペクション]>[ポリシー]ページから無効にできるようになりました。

        • クラウドサービスAPIから、以下のSSLインスペクション設定関連リソースを削除しました。
        • 以下のエンドポイントはサポートされなくなりました。SSLバイパスリストをAPIで管理する必要がある場合、宛先グループまたはカスタムURLカテゴリーを使用する必要があります。
          • GET /sslSettings/exemptedUrls
          • POST /sslSettings/exemptedUrls
        • 以下のロケーション管理のパラメータは、SSLポリシーに影響を与えなくなりました。既存のスクリプトとの後方互換性を維持するため、APIペイロードでは引き続きサポートされていますが、将来的には削除される予定です。
          • sslScanEnabled
          • zappSSLScanEnabled
        閉じる
      • 新しいルールベースのポリシーが以前のポリシー設定と100%後方互換性を持つように、Zscalerは意図した動作を保持するために、お客様の設定に基づいてルール、手動ロケーション グループ、宛先IPおよびFQDNグループのセットを自動的に生成します。生成されるルールの数は、以前使用していた設定に基づき、4~17の範囲になります。

        SSLインスペクションポリシーにも、宛先IPアドレスとFQDNを割り当てられるようになりました。以前のリリースでは、これらをクラウドファイアウォールポリシーにのみ割り当てることができました。

        以下のセクションを十分に確認し、変更点を理解してください。

        • 自動生成されるルールは、次の順序で作成されます。

          1. 特別なルールZscaler推奨除外ルール、O365テナント制限検査ルール、O365/UCaaSワンクリックルール
          2. SSLインスペクションが無効になっている場合のブロックルール
          3. 組織の免除規則
          4. 検査ルール
          5. 既定の除外ルール
          閉じる
        • ZIAのサービスアップグレード後に自動生成されるSSLインスペクションルールには、次のグループエンティティが自動的に作成され、割り当てられます。

          • グループ名 説明
            Locations_SSL

            以下の設定のあるロケーションを含みます。

            • SSLインスペクションを有効化:有効

            移行シナリオ1、2、3、4に適用されます。

            Locations_NoSSL

            以下の設定のあるすべてのロケーションを含みます。

            • SSLインスペクションを有効化:無効

            移行シナリオ1、2、3、4に適用されます。

            Locations_CltCon_Enforce

            以下の設定のあるすべてのロケーションを含みます。

            • Zscaler Client ConnectorのSSL設定を強制:有効

            移行シナリオ3、4にも適用されます。

            Locations_SSL_CltCon_Enforce

            以下の設定のあるすべてのロケーションを含みます。

            • SSLインスペクションを有効化:有効
            • Zscaler Client ConnectorのSSL設定を強制:有効

            移行シナリオ3にも適用されます。

            Locations_SSL_CltCon_NoEnforce

            以下の設定のあるすべてのロケーションを含みます。

            • SSLインスペクションを有効化:有効
            • Zscaler Client ConnectorのSSL設定を強制:無効
            移行シナリオ3、4にも適用されます。
            Locations_NoSSL_CltCon_Enforce

            以下の設定のあるすべてのロケーションを含みます。

            • SSLインスペクションを有効化:無効
            • Zscaler Client ConnectorのSSL設定を強制:有効
            移行シナリオ2にも適用されます。
            Locations_NoSSL_CltCon_NoEnforce

            以下の設定のあるすべてのロケーションを含みます。

            • SSLインスペクションを有効化:無効
            • Zscaler Client ConnectorのSSL設定を強制:無効

            移行シナリオ2、3、4に適用されます。

            閉じる
          • グループ名 説明
            NoSSL_Blocked_IPs IPアドレス宛先グループには、[SSLインスペクションが無効になっている場合、これらのサイトへのHTTPSをブロックする]で設定されたすべてのIPアドレスが含まれます。
            NoSSL_Blocked_Domains ドメイン宛先グループには、[SSLインスペクションが無効になっている場合、これらのサイトへのHTTPSをブロックする]で設定されたすべてのワイルドカードドメインとFQDNが含まれます。
            NoSSL_NoOtherPolicies_IPs IPアドレス宛先グループには、[これらのホストを検査とその他のポリシーから除外する]で設定されたすべてのIPアドレスが含まれます。
            NoSSL_NoOtherPolicies_Domains ドメイン宛先グループには、[これらのホストを検査およびその他のポリシーから除外する]で設定されたすべてのワイルドカードドメインとFQDNが含まれます。
            閉じる
          閉じる
        • 以下のアクション設定は、以前のグローバルSSLインスペクション設定に基づき、自動生成されたルールにあらかじめ設定されています。

          • 検査アクションの場合:
            • [信頼できないサーバ証明書][OCSP失効チェック][エンドユーザーの通知を表示][復号化できないトラフィックをブロック]:以前の設定から引き継がれたもの
            • クライアントとサーバの最小TLSバージョン:TLS 1.0
          • [検査および評価しない]アクションの場合:
            • [信頼できないサーバ証明書][OCSP失効チェック]:無効
            • エンドユーザーの通知を表示:以前の設定から引き継がれたもの
            • 最小TLSバージョン:TLS 1.0
          • [ブロック]アクションの場合:
            • エンドユーザーの通知を表示:以前の設定から引き継がれたもの
          閉じる

        移行シナリオとルール

        ここでは、ZIAのサービスアップグレード前に存在したさまざまなSSLインスペクションの設定シナリオに対して自動生成される移行ルールのリストについて説明します。

        このセクションで提供される規則テーブルで使用される用語の説明を次に示します。

        • CltCon:Zscaler Client Connector
        • O365-TR:Office 365テナント制限
        • RWKRB:Kerberos認証のリモートユーザー向けSSLインスペクション
        • ブロックされたカテゴリー:[SSLインスペクションが無効になっている場合、これらのサイトへのHTTPSをブロックする]で設定されたURLカテゴリー
        • バイパスされたURLカテゴリー:[これらのURLカテゴリーを検査およびその他のポリシーから除外する]で設定されたURLカテゴリー
        • 包含リストカテゴリー:[これらのURLカテゴリーのセッションの検査]で設定されたURLカテゴリー
        • バイパスされたアプリケーション:[これらのアプリケーションを検査およびその他のポリシーから除外する]で設定されたクラウド アプリケーション

        移行シナリオ1:すべてのロケーションでZscaler Client Connectorを無効化する

        Enforce Zscaler Client Connectorがすべてのロケーションで無効になっていました。

        • SSLインスペクションができない既知の宛先を自動的に除外するための事前定義されたルールです。このルールは、以前の設定で[ZscalerグローバルSSL免除をオーバーライドする]の設定が有効になっていた場合、無効になります。

          ソース基準 宛先基準 アクション
          すべて

          URLカテゴリー:

          推奨されるSSLの除外

          検査とバイパスをしない
          閉じる
        • ロケーショントラフィックに対してOffice 365テナント制限を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナントプロファイルが存在した場合にのみ作成されます。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_SSL

          クラウドアプリケーション:

          Microsoft Login Services

          検査
          閉じる
        • リモートユーザーのトラフィックに対して[Office 365テナント制限]を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナント プロファイルが存在した場合にのみ作成されます。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          ロードウォリアー

          Zscaler Client Connector:

          SSLが有効なプラットフォーム、またはRWKRBが有効なプラットフォーム

          クラウドアプリケーション:

          Microsoft Login Services

          検査
          閉じる
        • Microsoft推奨および従来のOffice 365 One Click設定によって制御される定義済みのルール。

          ソース基準 宛先基準 アクション
          すべて

          クラウド アプリケーション:

          すべてのO365アプリケーション【適用可能、マイクロソフト推奨のOne Clickが有効な場合のみ】

          URLカテゴリー:

          O365内部カテゴリー【マイクロソフト推奨またはレガシーOne Clickのいずれかが有効な場合、適用可能】

          検査とバイパスをしない
          閉じる
        • 定義済みのルールで、UCaaS One Click設定によって制御されます。

          ソース基準 宛先基準 アクション
          すべて

          アプリケーションサービス:

          Zoom、LogMeIn、RingCentral

          検査とバイパスをしない
          閉じる
        • SSLインスペクションを無効にしたロケーションからのトラフィックをブロックします。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_NoSSL

          URLカテゴリー:

          ブロックされたカテゴリー

          宛先グループ:

          NoSSL_Blocked_IPs、NoSSL_Blocked_Domains

          ブロック
          閉じる
        • リモートユーザートラフィックのブロック:

          • SSLインスペクションが無効なZscaler Client Connectorプラットフォームからのものである場合。

          または

          • Kerberos認証の場合。
          ソース基準 宛先基準 アクション

          ロケーション:

          ロードウォリアー

          Zscaler Client Connector:

          SSLが無効なプラットフォーム

          URLカテゴリー:

          ブロックされたカテゴリー

          宛先グループ:

          NoSSL_Blocked_IPs、NoSSL_Blocked_Domains

          ブロック
          閉じる
        • SSLインスペクションやその他のポリシーからホワイトリスト化することができます。

          ソース基準 宛先基準 アクション

          すべて

          URLカテゴリー:

          バイパスするURLカテゴリー

          宛先グループ:

          NoSSL_NoOtherPolicies_IPs、NoSSL_NoOtherPolicies_Domains

          クラウド アプリケーション:

          バイパスされたアプリケーション

          検査とバイパスをしない
          閉じる
        • SSLインスペクションが可能なロケーションからのトラフィックを検査します。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_SSL

          URLカテゴリー:

          インクルード・リストのカテゴリー

          検査
          閉じる
        • リモートユーザーのトラフィックを検査します。

          • SSLインスペクションが可能なZscaler Client Connectorプラットフォームからの場合

          または

          • Kerberos認証の場合。
          ソース基準 宛先基準 アクション

          ロケーション:

          ロードウォリアー

          Zscaler Client Connector:

          SSLが有効なプラットフォーム、またはRWKRBが有効なプラットフォーム

          URLカテゴリー:

          インクルード・リストのカテゴリー

          検査
          閉じる
        • デフォルトのSSLインスペクションルールは、最後のルールオーダーを取ります。

          ソース基準 宛先基準 アクション
          --- --- Do Not Inspect& Evaluate
          閉じる

        移行シナリオ2:SSLインスペクションが無効なロケーションに対してのみ、Zscaler Client Connector Enabledを強制する。

        一部のZscaler Client Connectorプラットフォームで、ロケーションのSSLインスペクション設定が無効から有効に切り替わる。

        • SSLインスペクションができない既知の宛先を自動的に除外するための事前定義されたルールです。このルールは、以前の設定で[ZscalerグローバルSSL免除をオーバーライドする]の設定が有効になっていた場合、無効になります。

          ソース基準 宛先基準 アクション
          すべて

          URLカテゴリー:

          推奨されるSSLの除外

          検査とバイパスをしない
          閉じる
        • SSLインスペクションが有効なZscaler Client Connectorプラットフォームからのトラフィックに対して、SSLインスペクションが無効なロケーションで[Office 365テナント制限]を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナントプロファイルが存在した場合にのみ作成されます。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_NoSSL_CltCon_NoEnforce

          Zscaler Client Connector:

          SSLが有効なプラットフォーム

          クラウドアプリケーション:

          Microsoft Login Services

          検査
          閉じる
        • ロケーショントラフィックに対してOffice 365テナント制限を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナントプロファイルが存在した場合にのみ作成されます。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_SSL

          クラウドアプリケーション:

          Microsoft Login Services

          検査
          閉じる
        • リモートユーザーのトラフィックに対して[Office 365テナント制限]を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナント プロファイルが存在した場合にのみ作成されます。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          ロードウォリアー

          Zscaler Client Connector:

          SSLが有効なプラットフォーム、またはRWKRBが有効なプラットフォーム

          クラウドアプリケーション:

          Microsoft Login Services

          検査
          閉じる
        • Microsoft推奨および従来のOffice 365 One Click設定によって制御される定義済みのルール。

          ソース基準 宛先基準 アクション
          すべて

          クラウド アプリケーション:

          すべてのO365アプリケーション【適用可能、マイクロソフト推奨のOne Clickが有効な場合のみ】

          URLカテゴリー:

          O365内部カテゴリー【マイクロソフト推奨またはレガシーOne Clickのいずれかが有効な場合、適用可能】

          検査とバイパスをしない
          閉じる
        • 定義済みのルールで、UCaaS One Click設定によって制御されます。

          ソース基準 宛先基準 アクション
          すべて

          アプリケーションサービス:

          Zoom、LogMeIn、RingCentral

          検査とバイパスをしない
          閉じる
        • SSLインスペクションが無効なロケーションで、任意のZscaler Client Connectorプラットフォームからのトラフィックをブロックします。

          ソース基準 宛先基準 アクション

          ロケグループ:

          Locations_NoSSL_CltCon_NoEnforce

          Zscaler Client Connector:

          Windows、MacOS、Android、iOS

          URLカテゴリー:

          ブロックされたカテゴリー

          宛先グループ:

          NoSSL_Blocked_IPs、NoSSL_Blocked_Domains

          ブロック
          閉じる
        • SSLインスペクションが無効なロケーションでのSSLインスペクションが無効なZscaler Client Connectorプラットフォームからのトラフィックをブロックします。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_NoSSL_CltCon_Enforce

          Zscaler Client Connector:

          SSLが無効なプラットフォーム

          URLカテゴリー:

          ブロックされたカテゴリー

          宛先グループ:

          NoSSL_Blocked_IPs、NoSSL_Blocked_Domains

          ブロック
          閉じる
        • SSLインスペクションが無効なロケーションで、Zscaler Client Connector以外のトラフィックをブロックします。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_NoSSL

          Zscaler Client Connector:

          Zscaler Client Connectorなし

          URLカテゴリー:

          ブロックされたカテゴリー

          宛先グループ:

          NoSSL_Blocked_IPs、NoSSL_Blocked_Domains

          ブロック
          閉じる
        • リモートユーザートラフィックのブロック:

          • SSLインスペクションが無効なZscaler Client Connectorプラットフォームからのものである場合。

          または

          • Kerberos認証の場合。
          ソース基準 宛先基準 アクション

          ロケーション:

          ロードウォリアー

          Zscaler Client Connector:

          SSLが無効なプラットフォーム

          URLカテゴリー:

          ブロックされたカテゴリー

          宛先グループ:

          NoSSL_Blocked_IPs、NoSSL_Blocked_Domains

          ブロック
          閉じる
        • SSLインスペクションやその他のポリシーからホワイトリスト化することができます。

          ソース基準 宛先基準 アクション

          すべて

          URLカテゴリー:

          バイパスするURLカテゴリー

          宛先グループ:

          NoSSL_NoOtherPolicies_IPs、NoSSL_NoOtherPolicies_Domains

          クラウド アプリケーション:

          バイパスされたアプリケーション

          検査とバイパスをしない
          閉じる
        • SSLインスペクションが有効なZscaler Client Connectorプラットフォームからのトラフィックを、SSLインスペクションが無効なロケーションで検査します。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_NoSSL_CltCon_Enforce

          Zscaler Client Connector

          SSLが有効なプラットフォーム

          URLカテゴリー:

          インクルード・リストのカテゴリー

          検査
          閉じる
        • SSLインスペクションが可能なロケーションからのトラフィックを検査します。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_SSL

          URLカテゴリー:

          インクルード・リストのカテゴリー

          検査
          閉じる
        • 次の場合に、リモートユーザートラフィックを検査します。

          • それがSSLインスペクションに対応したZscaler Client Connectorプラットフォームからの場合。

          または

          • それがKerberos認証によるの場合。
          ソース基準 宛先基準 アクション

          ロケーション:

          ロードウォリアー

          Zscaler Client Connector:

          SSLが有効なプラットフォーム、またはRWKRBが有効なプラットフォーム

          URLカテゴリー:

          インクルード・リストのカテゴリー

          検査
          閉じる
        • デフォルトのSSLインスペクションルールは、最後のルールオーダーを取ります。

          ソース基準 宛先基準 アクション
          --- --- Do Not Inspect& Evaluate
          閉じる

        移行シナリオ3:SSLインスペクションが有効なロケーションのみZscaler Client Connector Enabledを強制する

        ロケーションSSLインスペクション設定は、一部のZscaler Client Connectorプラットフォームで有効から無効に切り替わります。

        • SSLインスペクションができない既知の宛先を自動的に除外するための事前定義されたルールです。このルールは、以前の設定で[ZscalerグローバルSSL免除をオーバーライドする]の設定が有効になっていた場合、無効になります。

          ソース基準 宛先基準 アクション
          すべて

          URLカテゴリー:

          推奨されるSSLの除外

          検査とバイパスをしない
          閉じる
        • Zscaler Client Connectorプラットフォームからのトラフィックに対して、SSLインスペクションが可能なロケーションで[Office 365テナント制限]を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナントプロファイルが存在した場合にのみ作成されます。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_SSL_CltCon_NoEnforce

          Zscaler Client Connector:

          Windows、MacOS、Android、iOS

          クラウドアプリケーション:

          Microsoft Login Services

          検査
          閉じる
        • SSLインスペクションが有効なロケーションのSSLインスペクションが有効なZscaler Client Connectorプラットフォームからのトラフィックに対して[Office 365テナント制限]を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナントプロファイルが存在した場合にのみ作成されます。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_SSL_CltCon_Enforce

          Zscaler Client Connector:

          SSLが有効なプラットフォームのみ

          クラウドアプリケーション:

          Microsoft Login Services

          検査
          閉じる
        • SSLインスペクションが可能なロケーションからのZscaler Client Connector以外のトラフィックに対して、[Office 365テナント制限]を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナントプロファイルが存在した場合にのみ作成されます。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_SSL

          Zscaler Client Connector:

          Zscaler Client Connectorなし

          クラウドアプリケーション:

          Microsoft Login Services

          検査
          閉じる
        • リモートユーザーのトラフィックに対して[Office 365テナント制限]を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナント プロファイルが存在した場合にのみ作成されます。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          ロードウォリアー

          Zscaler Client Connector:

          SSLが有効なプラットフォーム、またはRWKRBが有効なプラットフォーム

          クラウドアプリケーション:

          Microsoft Login Services

          検査
          閉じる
        • Microsoft推奨および従来のOffice 365 One Click設定によって制御される定義済みのルール。

          ソース基準 宛先基準 アクション
          すべて

          クラウド アプリケーション:

          すべてのO365アプリケーション【適用可能、マイクロソフト推奨のOne Clickが有効な場合のみ】

          URLカテゴリー:

          O365内部カテゴリー【マイクロソフト推奨またはレガシーOne Clickのいずれかが有効な場合、適用可能】

          検査とバイパスをしない
          閉じる
        • 定義済みのルールで、UCaaS One Click設定によって制御されます。

          ソース基準 宛先基準 アクション
          すべて

          アプリケーションサービス:

          Zoom、LogMeIn、RingCentral

          検査とバイパスをしない
          閉じる
        • SSLインスペクションが無効なロケーションで、任意のZscaler Client Connectorプラットフォームからのトラフィックをブロックします。

          ソース基準 宛先基準 アクション

          ロケグループ:

          Locations_NoSSL_CltCon_NoEnforce

          Zscaler Client Connector:

          Windows、MacOS、Android、iOS

          URLカテゴリー:

          ブロックされたカテゴリー

          宛先グループ:

          NoSSL_Blocked_IPs、NoSSL_Blocked_Domains

          ブロック
          閉じる
        • SSLインスペクションが無効なZscaler Client Connectorプラットフォームからのトラフィックをロケーションでブロックします。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_CltCon_Enforce

          Zscaler Client Connector:

          SSLが無効なプラットフォーム

          URLカテゴリー:

          ブロックされたカテゴリー

          宛先グループ:

          NoSSL_Blocked_IPs、NoSSL_Blocked_Domains

          ブロック
          閉じる
        • SSLインスペクションを無効にしたロケーションからのZscaler Client Connector以外のトラフィックをブロックします。

          ソース基準 宛先基準 アクション

          ロケグループ:

          Locations_NoSSL

          Zscaler Client Connector:

          Zscaler Client Connectorなし

          URLカテゴリー:

          ブロックされたカテゴリー

          宛先グループ:

          NoSSL_Blocked_IPs、NoSSL_Blocked_Domains

          ブロック
          閉じる
        • リモートユーザートラフィックのブロック:

          • SSLインスペクションが無効なZscaler Client Connectorプラットフォームからのものである場合

          または

          • Kerberos認証でない場合。
          ソース基準 宛先基準 アクション

          ロケーション:

          ロードウォリアー

          Zscaler Client Connector:

          SSLが無効なプラットフォーム

          URLカテゴリー:

          ブロックされたカテゴリー

          宛先グループ:

          NoSSL_Blocked_IPs、NoSSL_Blocked_Domains

          ブロック
          閉じる
        • SSLインスペクションやその他のポリシーからホワイトリスト化することができます。

          ソース基準 宛先基準 アクション

          すべて

          URLカテゴリー:

          バイパスするURLカテゴリー

          宛先グループ:

          NoSSL_NoOtherPolicies_IPs、NoSSL_NoOtherPolicies_Domains

          クラウド アプリケーション:

          バイパスされたアプリケーション

          検査とバイパスをしない
          閉じる
        • SSLインスペクションが可能なロケーションでのZscaler Client Connectorプラットフォームからのトラフィックを検査します。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_SSL_CltCon_NoEnforce

          Zscaler Client Connector:

          Windows、MacOS、Android、iOS

          URLカテゴリー:

          インクルード・リストのカテゴリー

          検査
          閉じる
        • SSLインスペクションが可能なロケーションにおいて、特定のZscaler Client Connectorプラットフォームからのトラフィックを検査します。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_SSL_CltCon_Enforce

          Zscaler Client Connector:

          SSLが有効なプラットフォームのみ

          URLカテゴリー:

          インクルード・リストのカテゴリー

          検査
          閉じる
        • SSLインスペクションが可能なロケーションからのZscaler Client Connector以外のトラフィックを検査します。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_SSL

          Zscaler Client Connector:

          Zscaler Client Connectorなし

          URLカテゴリー:

          インクルード・リストのカテゴリー

          検査
          閉じる
        • リモートユーザーのトラフィックを検査します。

          • SSLインスペクションが可能なZscaler Client Connectorプラットフォームからのものである場合。

          または

          • Kerberos認証の場合。
          ソース基準 宛先基準 アクション

          ロケーション:

          ロードウォリアー

          Zscaler Client Connector:

          SSLが有効なプラットフォーム、またはRWKRBが有効なプラットフォーム

          URLカテゴリー:

          インクルード・リストのカテゴリー

          検査
          閉じる
        • デフォルトのSSLインスペクションルールは、最後のルールオーダーを取ります。

          ソース基準 宛先基準 アクション
          --- --- Do Not Inspect& Evaluate
          閉じる

        移行シナリオ4:すべてのロケーションでZscaler Client Connectorを有効化する

        [Zscaler Client Connectorの適用]は、SSLが無効になっているロケーションとSSLが有効になっているロケーションで有効になっています。ロケーションSSLは、一部のZscaler Client Connectorプラットフォームでは、無効から有効に、または有効から無効に反転されます。

        • SSLインスペクションができない既知の宛先を自動的に除外するための事前定義されたルールです。このルールは、以前の設定で[ZscalerグローバルSSL免除をオーバーライドする]の設定が有効になっていた場合、無効になります。

          ソース基準 宛先基準 アクション
          すべて

          URLカテゴリー:

          推奨されるSSLの除外

          検査とバイパスをしない
          閉じる
        • Zscaler Client Connectorプラットフォームからのトラフィックに対して、SSLインスペクションが可能なロケーションで[Office 365テナント制限]を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナントプロファイルが存在した場合にのみ作成されます。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_SSL_CltCon_NoEnforce

          Zscaler Client Connector:

          Windows、MacOS、Android、iOS

          クラウドアプリケーション:

          Microsoft Login Services

          検査
          閉じる
        • ロケーションのSSLインスペクションが有効なZscaler Client Connectorプラットフォームからのトラフィックに対して[Office 365テナント制限]を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナントプロファイルが存在した場合にのみ作成されます。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_CltCon_Enforce

          Zscaler Client Connector:

          SSLが有効なプラットフォームのみ

          クラウドアプリケーション:

          Microsoft Login Services

          検査
          閉じる
        • SSLインスペクションが可能なロケーションからのZscaler Client Connector以外のトラフィックに対して、[Office 365テナント制限]を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナントプロファイルが存在した場合にのみ作成されます。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_SSL

          Zscaler Client Connector:

          Zscaler Client Connectorなし

          クラウドアプリケーション:

          Microsoft Login Services

          検査
          閉じる
        • リモートユーザーのトラフィックに対して[Office 365テナント制限]を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナント プロファイルが存在した場合にのみ作成されます。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          ロードウォリアー

          Zscaler Client Connector:

          SSLが有効なプラットフォーム、またはRWKRBが有効なプラットフォーム

          クラウドアプリケーション:

          Microsoft Login Services

          検査
          閉じる
        • Microsoft推奨および従来のOffice 365 One Click設定によって制御される定義済みのルール。

          ソース基準 宛先基準 アクション
          すべて

          クラウド アプリケーション:

          すべてのO365アプリケーション【適用可能、マイクロソフト推奨のOne Clickが有効な場合のみ】

          URLカテゴリー:

          O365内部カテゴリー【マイクロソフト推奨またはレガシーOne Clickのいずれかが有効な場合、適用可能】

          検査とバイパスをしない
          閉じる
        • 定義済みのルールで、UCaaS One Click設定によって制御されます。

          ソース基準 宛先基準 アクション
          すべて

          アプリケーションサービス:

          Zoom、LogMeIn、RingCentral

          検査とバイパスをしない
          閉じる
        • SSLインスペクションが無効なロケーションで、任意のZscaler Client Connectorプラットフォームからのトラフィックをブロックします。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_NoSSL_CltCon_NoEnforce

          Zscaler Client Connector:

          Windows、MacOS、Android、iOS

          URLカテゴリー:

          ブロックされたカテゴリー

          宛先グループ:

          NoSSL_Blocked_IPs、NoSSL_Blocked_Domains

          ブロック
          閉じる
        • SSLインスペクションが無効なZscaler Client Connectorプラットフォームからのトラフィックをロケーションでブロックします。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_CltCon_Enforce

          Zscaler Client Connector:

          SSLが無効なプラットフォーム

          URLカテゴリー:

          ブロックされたカテゴリー

          宛先グループ:

          NoSSL_Blocked_IPs、NoSSL_Blocked_Domains

          ブロック
          閉じる
        • SSLインスペクションを無効にしたロケーションからのZscaler Client Connector以外のトラフィックをブロックします。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_NoSSL

          Zscaler Client Connector:

          Zscaler Client Connectorなし

          URLカテゴリー:

          ブロックされたカテゴリー

          宛先グループ:

          NoSSL_Blocked_IPs、NoSSL_Blocked_Domains

          ブロック
          閉じる
        • リモートユーザートラフィックのブロック:

          • SSLインスペクションが無効なZscaler Client Connectorプラットフォームからのものである場合。

          または

          • Kerberos認証なしの場合。
          ソース基準 宛先基準 アクション

          ロケーション:

          ロードウォリアー

          Zscaler Client Connector:

          SSLが無効なプラットフォーム

          URLカテゴリー:

          ブロックされたカテゴリー

          宛先グループ:

          NoSSL_Blocked_IPs、NoSSL_Blocked_Domains

          ブロック
          閉じる
        • SSLインスペクションやその他のポリシーからホワイトリスト化することができます。

          ソース基準 宛先基準 アクション

          すべて

          URLカテゴリー:

          バイパスするURLカテゴリー

          宛先グループ:

          NoSSL_NoOtherPolicies_IPs、NoSSL_NoOtherPolicies_Domains

          クラウド アプリケーション:

          バイパスされたアプリケーション

          検査とバイパスをしない
          閉じる
        • ロケーション上のすべてのZscaler Client Connectorプラットフォームからのトラフィックを検査します。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_SSL_CltCon_NoEnforce

          Zscaler Client Connector:

          Windows、MacOS、Android、iOS

          URLカテゴリー:

          インクルード・リストのカテゴリー

          検査
          閉じる
        • SSLインスペクションに対応したZscaler Client Connectorプラットフォームからのトラフィックをロケーションで検査します。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_CltCon_Enforce

          Zscaler Client Connector:

          SSLが有効なプラットフォーム

          URLカテゴリー:

          インクルード・リストのカテゴリー

          検査
          閉じる
        • SSLインスペクションが可能なロケーションからのZscaler Client Connector以外のトラフィックを検査します。

          ソース基準 宛先基準 アクション

          ロケーション グループ:

          Locations_SSL

          Zscaler Client Connector:

          Zscaler Client Connectorなし

          URLカテゴリー:

          インクルード・リストのカテゴリー

          検査
          閉じる
        • リモートユーザーのトラフィックを検査します。

          • SSLインスペクションが可能なZscaler Client Connectorプラットフォームからのものである場合。

          または

          • Kerberos認証の場合。
          ソース基準 宛先基準 アクション

          ロケーション:

          ロードウォリアー

          Zscaler Client Connector:

          SSLが有効なプラットフォーム、またはRWKRBが有効なプラットフォーム

          URLカテゴリー:

          インクルード・リストのカテゴリー

          検査
          閉じる
        • デフォルトのSSLインスペクションルールは、最後のルールオーダーを取ります。

          ソース基準 宛先基準 アクション
          --- --- Do Not Inspect& Evaluate
          閉じる

        移行シナリオ5:サードパーティプロキシ チェーンルール

        このルールは、ロケーションのSSLインスペクション設定を上書きするように設定された転送ゲートウェイを持つ組織に対してのみ作成されます。このルールは、上記のシナリオのSSLバイパスルールのすぐ後に追加されます。

        ルール名アップストリームプロキシバイパス - サードパーティのプロキシサービスに転送されたトラフィックをバイパスします。

        ソース基準 宛先基準 アクション

        フォワーディングゲートウェイ:

        すべてSSLインスペクションを無効にし、ロケーションを上書きする

        すべて Do Not Inspect& Evaluate
        閉じる

      詳しくは、SSLインスペクションポリシーについてを参照してください。

    • データセンターフィルターへの対応

      データセンターの Web インサイトの下には、3 つの新しいフィルターがあります。

      新NSSフィード出力

      次の Web ログフィールドがデータセンターの NSS フィードに追加されました。

      • %s{データセンター}とする。
      • %s{datacentercity}
      • %s{datacentercountry}

      詳しくは、NSS フィードについて をご覧ください。

    • クラウドサービスAPIのアップデート

      クラウドサービスAPIについて、以下のアップデートを行いました。

      このアップデートにより、クラウドサービスAPIのベースURLが、admin.<Zscaler Cloud Name>/api/v1からzsapi.<Zscaler Cloud Name>/api/v1に変更されました。ここで<Zscaler Cloud Name>は、組織用にプロビジョニングされたクラウド名です(例:zsapi.zscalerbeta.net/api/v1)。Zscalerは、新しいベースURLを使用するようにスクリプトを更新することを強く推奨します。

      詳しくは、APIリファレンスPostman REST APIクライアントの設定を参照してください。

    • ユーザーエージェントによるポリシーのサポート

      URL フィルタリングとクラウドアプリコントロールのポリシーを設定する際に、ユーザーエージェントを選択できるようになりました。

      詳細情報は、URLフィルタリングポリシーの設定 および クラウドのアプリケーションコントロールポリシーへのルールの追加 を参照してください。

    • ZIA Admin Portalのカラーテーマの強化

      ZIA管理ポータルのインターフェイスに、自分だけのカラーテーマを選択できるようになりました。選択したテーマは、あなたの管理者プロファイルにのみ適用されます。

      詳しくは、管理者アカウント設定のカスタマイズを参照してください。

April 12, 2021
  • 機能一覧
    • クラウドブラウザー分離のためのローカルブラウザーのレンダリング

      Cloud Browser Isolationでは、分離されたユーザーがクリックしたハイパーリンクを、分離されたブラウザーとユーザーのローカルブラウザーのどちらでレンダリングするかを管理者が選択できるようになりました。この機能が分離プロファイルで有効になっている場合、ハイパーリンクは分離セッションによって評価され、分離セッション内のドメイン以外のドメインにつながるリンクは分離環境の外に押し出されてユーザーのローカルブラウザーでレンダリングされます。

      詳しくは、クラウド ブラウザー分離のためのローカルブラウザーのレンダリングを参照してください。

March 15, 2021
  • 機能一覧
    • SaaSセキュリティAPI

      SaaSセキュリティAPIにおいて、以下の機能強化を行いました。

      新規SaaSアプリケーションのサポート

      ServiceNowのテナントを設定できるようになりました。

      詳細は、SaaSアプリケーション テナントの追加を参照してください。

      SaaSセキュリティAPIポリシーの更新

      ITSMアプリケーションのSaaSセキュリティAPIコントロールポリシーとスキャンスケジュールを設定できるようになりました。

      この機能強化の一環として、[SaaSセキュリティAPI]ページが[SaaSセキュリティAPIコントロール]に名称変更されました。

      また、[SaaSセキュリティポスチャポリシー]ページが[SaaSセキュリティポスチャ制御]に名称変更されました。

      詳しくは、SaaSセキュリティAPI管理ポリシーの設定SaaSセキュリティポスチャ管理ポリシーの設定を参照してください。

      SaaSアセットサマリーレポートの更新

      SaaSアセットサマリーレポートで、ITSMアプリケーションのカテゴリーを表示できるようになりました。

      詳細については、SaaSアセットサマリーレポートを参照してください。

      SaaSアセットレポートの更新

      SaaSアセットレポートで、ITSM、CRM、ソース コード リポジトリーのアプリケーションカテゴリーを表示できるようになりました。

      詳しくは、SaaSアセットレポートSaaSアセットレポート:インシデントを含むアセットを参照してください。

      SaaSセキュリティ分析と解析ログの更新

      SaaSアセットサマリーレポートの更新をSaaSセキュリティ分析と解析ログで確認できるようになりました。

      詳細については、SaaSセキュリティ分析SaaSセキュリティ解析ログを参照してください。

      NSSフィードの新しいアプリケーションカテゴリー

      NSSフィードにSaaSセキュリティAPIの新しいアプリケーションカテゴリー[SaaSセキュリティITSM]が追加されました。これらのアプリケーションカテゴリーは、ServiceNow(ITSM)のサポートを提供します。

      また、SaaSセキュリティログフィルターにITSM用の新しいタブが追加されています。

      詳しくは、SaaSセキュリティログのNSSフィードの追加を参照してください。

      NSSフィード出力の新しいSaaSセキュリティフィールド

      ITSMのNSSフィードに以下のWebログフィールドが追加されました。

      • %d{num_internal_collab}
      • %d{num_external_collab}
      • %s{objectname}
      • %s{objecttype}
      • %s{file_msg_id}
      • %s{filetypecategory}
      • %s{hostname}
      • %s{ohostname}
      • %s{ofullurl}
      • %s{internal_collabnames}
      • %s{external_collabnames}
      • %s{ointernal_collabnames}
      • %s{oexternal_collabnames}
      • %d{filesize}
      • %s{file_msg_mod_time}
      • %s{filepath}
      • %s{component}
      • %s{sha}

      詳しくは、NSSフィード出力形式:SaaSセキュリティログを参照してください。

February 01, 2021
  • 機能一覧
    • SaaS セキュリティポスチャレポートおよびポリシー

      新規SaaS セキュリティポスチャレポートは、推奨されるセキュリティ基準に関連する組織のSaaSアプリケーションのセキュリティポスチャの現状を表示します。また、推奨されるセキュリティポリシー、セキュリティ脅威とそのリスクレベル、改善アクティビティに関する情報を確認することができます。

      SaaS SaaSセキュリティポスチャポリシーでは、SaaSセキュリティポスチャレポートが組織のセキュリティポスチャの分析に含める推奨セキュリティポリシーの数を構成することができます。

      詳細情報は、 SaaSセキュリティポスチャレポート および SaaSセキュリティポスチャポリシーの構成 を参照してください。

January 29, 2021
January 22, 2021
January 15, 2021
  • 機能一覧
    • SaaSセキュリティAPI

      SaaS Security APIにおいて、以下の機能強化を行いました。

      新規SaaSアプリケーション対応

      Citrix ShareFileのテナントを設定できるようになりました。

      詳しくは、SaaSアプリケーションのテナントを追加するを参照してください。

      SaaSセキュリティAPIポリシーおよびスキャン構成の更新

      ファイル共有アプリケーションであるShareFileのSaaS Security APIポリシーとスキャンスケジュールを設定することができるようになりました。

      SaaS Assets Summary Reportの更新について

      [SaaS Assets Summary Report]でShareFileを表示できるようになりました。

      詳しくは、SaaS Assets Summary Reportを参照してください。

      SaaSアセットレポートの更新

      [SaaS Assets Report]でShareFileを表示できるようになりました。

      詳しくは、SaaS Assets Reportを参照してください。

      SaaSセキュリティ分析および解析ログの更新について

      [SaaS Security Insights]と[Insights Logs]でShareFileを表示できるようになりました。

      詳細については、SaaS Security InsightsSaaS Security Insights Logsを参照してください。

関連記事s
リリース アップグレードの概要(2025)リリース アップグレードの概要(2024)アップグレードのリリースのサマリー(2023年)リリースのアップグレード概要(2022)リリースのアップグレード概要(2021)リリースのアップグレード概要(2020)リリースのアップグレード概要(2019)