順を追って説明しましょう。一般に、Webアクセスも含めたインターネット上の通信は、OSI参照モデルに基づいて7つの階層（レイヤ）に分かれ、各レイヤごとに異なるプロトコルで処理されます。ユーザーが意識するのは「Webにアクセスしている」という操作ですが、その裏側ではプロキシサーバがヘッダーを確認してソケットを処理し、TCP/IPを処理し、さらにイーサネットを処理して適切に振り分ける……という具合に、順番に多段の処理が実行されているのです。

zscaler

問題は、避けられないオーバーヘッドです。前の処理が終わらないと次の処理に取りかかることができないため、遅延がどんどん積み重なってしまいます。処理を実施する場所がオンプレミスであろうとクラウドであろうと、前のパケットの処理が終わるまで待たされる以上、遅延が避けられないのです。

ゼットスケーラーではこれに対し、クラウドネイティブの新しいアーキテクチャを一から開発し、複数のプロトコルヘッダを並列で処理する仕組みを実現しました。不要な待ち時間がなくなるため、100倍以上の速度でパケットを処理できるようになっています。

Zscaler

セキュリティロジックも並列化、将来にわたって拡張性を確保

並列処理されるのは、ネットワーク処理だけではありません。ゼットスケーラーのアーキテクチャでは、複数のセキュリティ機能もパラレルに処理しています。

これまで、企業ネットワークを守る典型的なセキュリティ対策では、ファイアウォールで不要なポートをブロックし、それを通り抜けてくるトラフィックにアンチウイルスやURLフィルタリングを適用し、さらに疑わしいコンテンツがあればサンドボックスや機械学習による解析をかけ……という具合に多段の網をはりめぐらせるものでした。順番に複数のセキュリティロジックを適用することで、怪しいものが入り込まないよう防御すると言うアプローチですが、先ほどのネットワーク処理同様、順繰りにセキュリティ上の処理を行うため、多層防御にすればするほどオーバヘッドが増大する問題は避けられませんでした。

zscaler

最近では、オンプレミスで運用してきたセキュリティロジックをパブリッククラウドサービス上に仮想マシン・仮想アプライアンスの形で実装するサービスも登場しています。しかし、パケットを紐解いて、複数のセキュリティロジックを順に走らせるというアーキテクチャ自体に変化はないため、根本的な問題解決にはなりませんでした。

ゼットスケーラーではこれに対し、「Single Scan Multi Analysis」（SSMA）というアーキテクチャを実装しています。複数のセキュリティ処理をパラレルで進め、必要なロジックを一度の処理で終わらせることで、セキュリティを担保しながらユーザー体験、レスポンスを維持する仕組みです。

zscaler

SSMAにはもう1つ利点があります。日進月歩のこの世界ですから、いずれこの先、サンドボックスや機械学習技術に続く新しいセキュリティロジックが登場してくるでしょう。そんな新しいセキュリティ技術を追加しても、パラレルに処理されることは変わりなく、遅延がまったく生じないことを担保できるのです。これは、今後の拡張性を考えると大きな利点となります。

ゼットスケーラーではユーザーに近いエッジ側でこうした並列処理を実施すると同時に、主要なクラウドサービス事業者とダイレクトに接続する「ピアリング」を提供し、遅延を最小限に抑える工夫を凝らしています。こうしたさまざまな技術の積み重ねによって、クラウド内部でのパケット処理という他の事業者では類を見ないSLAを設定し、守っているのです。

3つのレベルで冗長性を確保し、類を見ないSLAを実現

ゼットスケーラーのクラウドセキュリティプラットフォームとしてのもう1つのポイントは、冗長性の確保です。

世の中に100％の稼働率はあり得ません。主要なインターネットサービスを見ても、年に1回程度は何らかの障害が起き、Twitterのトレンドになったりしています。ゼットスケーラーでも、様々なレベルでの不具合は起こりうることを前提に、それぞれに冗長化し、サービスが途切れないようにしています。

まず、グローバルで複数のクラウドを「面」として存在させることにより、クラウドベースの冗長化を実施しています。次に、各データセンター内で動作するログやストレージといったコンポーネントごとに、n+1、もしくはn+2で冗長化を行い、何か問題が起きても切り替えて動作するようにしています。さらに、コンポーネントを構成する電源などの各モジュールも、当然ですが冗長化しています。

zscaler