APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

トップ > Zscaler > 【Zscaler】送信元IP固定のソリューション、ENATのご紹介

【Zscaler】送信元IP固定のソリューション、ENATのご紹介

Zscaler ゼロトラスト

■ はじめに

みなさまこんにちは!iTOC事業部の摺崎です。 今日の埼玉はあいにくの曇り空ですが、温かいコーヒーを淹れて集中力を高めつつ!リモートワークを実施しています。

今回は、ZIA(Zscaler Internet Access)で提供する Egress NAT(ENAT) という新機能についてご紹介します。

企業がSaaSや外部サービスと安全に通信する際、
送信元のIPアドレスを固定したいという要件はよくあるかと思います。 特に、取引先などでは静的な送信元IPの提示 が求められるケースが少なくありません。

この要件に応えるために今年度からZIAネイティブで動作する Egress NAT (ENAT) が提供されました。 (2025年5月より)

■ 背景:Zscalerの共有IPアーキテクチャ

Zscalerはマルチテナント型のクラウドサービスで、標準構成ではユーザーにはZscalerデータセンターの共有IPが割り当てられます。 このスケーラブルな設計は可用性の提供という意味では有用ですが、以下のような場面で課題となることがあります。

  • B2B接続でのホワイトリスト要件
    取引先のアクセスリストに自社のIPを登録してもらう必要がある場合、共有IP(レンジ)では対応が難しい。
  • APIアクセスの厳格な制御
    SaaSによっては「特定の固定IPからのみアクセスを許可」するため、専用の送信元IPが求められる。

その要件を満たすためにZscalerはいままで SIPA(Source IP Anchoring) を提供してきました。
そして、よりシンプルなアプローチとして登場したのが ENAT です。

■ Source IP Anchoring (SIPA)

通信経路

まずはSIPAについてです。 SIPAは、ZIAとZPAを組み合わせて送信元IPを固定化 する仕組みです。
通信は「ZIA → ZPA → App Connector」という経路を取り、最終的に App ConnectorのIP を送信元として外部に出ます。

SIPAの特徴

  • 実績が豊富:多くの企業が利用しているため実績が多い
  • 柔軟な設定:宛先をFQDNまたはIPで指定可能
  • セキュリティ維持:ZIAのセキュリティポリシーを通過した上で転送

一方で、以下のような課題もあります。

  • 構成が複雑:ZIAとZPAの両方で設定が必要
  • 遅延の可能性:ZIA→ZPA間のヘアピン構成
  • 容量制限:200M/month/userの利用制限が有
  • App Connector運用負荷:設置や保守が必要(※Managed版も有)
  • 専用ライセンスが必要:ライセンスによっては別途サブスクリプションが必要

■ Egress NAT (ENAT)

通信経路

一方でEgress NAT (ENAT) は、ZIAプラットフォーム上で直接、テナント専用の固定送信元IP を割り当てられる新機能です。
SIPAのようにZPAやApp Connectorを経由する必要がなく、ZIA内で完結 します。

ENATの特徴

  • 構成がシンプル:ZIAポータルのみで設定が完結
  • 通信効率の向上:トラフィックがZIA内で処理され、ヘアピン構成なし

一方で、以下も考慮が必要です。

  • 新しい機能のため実績は短い:PoC等で動作を検証することがお勧め

■ SIPAとENATの比較

項目 Source IP Anchoring (SIPA) Egress NAT (ENAT)
基本構成 ZIA → ZPA → App Connector ZIA内で完結
構成の複雑さ 複数ポータル・多段設定が必要 シンプルで管理しやすい
スケーラビリティ App Connectorの性能に依存 ZIAネイティブで高スケール
運用負荷 App Connectorの準備・保守が必要 Zscaler側で完結
ライセンス オプションが必要な場合も 基本ライセンスでも一定数のIPアドレス利用可能
トラフィック容量制限 有り(200M/user/month) 制限無し

■ENAT設定方法

SIPAの設定方法は様々なサイトで紹介されているので今回はENATの設定方法について概要をお伝えします。 複雑な設定は不要で、サポート依頼とポータルの数クリックだけで設定できます。

Step 1:サポートへの依頼とZIA管理ポータル設定

①サポートチケットをOpenしてENATの有効化を依頼します。経由させたいZscalerのDCも指定します。 ②有効化後にZIA管理ポータルにアクセスします。 ③IPアドレスが払い出されて表示されています。このIPを送信元IPアドレスとしてSaaS側に登録します。 ④「Gateway」タブをクリックし、「+Add Gateway」をクリック、ゲートウェイを追加します。 ⑤「Policy」>「Firewall」>「Forwarding Control」 >「Add Forwarding rule」をクリックします。 「Save」をクリックして」設定を保存します。

基本の設定は以上です。

Step 2:転送ログの確認

ENAT経由でトラフィック転送されていることをZIAのInsightLogで確認できます。

まとめ

ENATは、構成のシンプルさと運用負荷の軽減が大きな特徴です。
一方、SIPAは長年の実績があり、安定した環境ですでに運用している場合には、すぐに切り替える必要はありません。
どちらの機能も、お客様の環境や要件に合わせて柔軟に選択・併用していただくことが可能です。

■ 補足情報

  • 公式ドキュメント:

https://help.zscaler.com/zia/using-dedicated-ip

https://help.zscaler.com/zia/configuring-dedicated-ip-gateways

■ お知らせ

弊社では、Zscaler製品の導入設計について・構築・運用についてご相談を承っております。

「Zscalerを導入したい」、「導入したけれど設定に不安がある」「運用をもっと効率化したい」など、 お気軽にご相談くださいね。