2026年1月9日 / 最終更新日時 : 2026年1月9日 テクバン ネットワークソリューション担当 Zscaler

ZscalerのENAT(Egress NAT)による送信元IPアドレス固定について

こんにちは。ネットワークソリューション特集 編集部です。
今回は、ZscalerのENATの設定について紹介します。

Zscalerでは、これまで送信元IPアドレスをユーザー固有のグローバルIPに固定するため、SIPAを利用して対応していました。

SIPAを利用することで、ユーザーは従来使用していたグローバルIPをそのままZscalerで利用できるというメリットがありました。一方でZPAとAppConnectorの管理が必要となるなど、運用面での課題がありました。

SIPAについては以下を参照ください。

バンブロ ! ネットワークソリューション特集
Zscaler Internet Access(ZIA)の送信元IPアドレス固定(SIPA)の設定方法
🕒️2024年9月12日
こんにちは。ネットワークソリューション特集 編集部です。今回はZscaler Internet Access(ZIA)での送信元IPアドレス固定の設定方法について紹介します。ZIA経由でインターネットへアクセスする際、送信元IPアドレスを自社固有のIPアドレスに固定してアクセスしたい場合、Source IP Anchoring(SIPA)という機能を利用します。SIPAを利用することで、IPアドレス制限をかけているサイトなどに接続する際、送信元IPアドレスを自社で所有するグローバルIPアドレスに固定化することができます。SIPA(送信元IPアドレス固定)についてはこちらの...

ZscalerのENAT(Egress NAT)

ENAT(Egress NAT)は、Zscalerが組織に対して専用のIPアドレスを提供しトラフィックの送信元IPアドレスとして利用できる機能です。

ユーザーが指定したデーターセンターに2つのIPアドレスが割り当てられます。
Zscalerでは冗長性を確保するために最低2つのデーターセンターに専用IPを配置することを推奨しています。利用できるIPアドレスの数は契約するライセンスの種類によって異なりますので、契約の際にご確認ください。

ENAT設定

ENATを利用するためには、事前にサポートへ依頼する必要があります。ケースをオープンし、専用IPを割り当てるデータセンターを指定して依頼してください。


1.Experience Centerの管理画面から割り当てられたIPアドレスを確認します。
Infrastructure > Network Polices > Dedicated IPを選択します。


IP Addressesタブを選択すると、専用IPが展開されたデータセンターとIPアドレスが確認できます。IPアドレス制限をかけているSaaSなどで、表示されたIPアドレスからのアクセスを許可するようにします。


2.ENATのゲートウェイを作成します。
Gatewayタブを選択し、「Add Gateway」を押します。


以下を入力して「Save」を押して保存します。
「Name」:任意でゲートウェイの名前を設定します。
「Primary Data Center」:プライマリのデータセンターを選択します。
「Secondary Data Center」:複数のデータセンターで専用IPを割当てられているときは、セカンダリのデータセンターを選択します。


3.転送ポリシーを作成して、指定のトラフィックをENATのゲートウェイへ転送します。
Forwarding Control Policyを選択し、「Add Forwarding Rule」を押します。


5.条件を指定してENATへ転送するトラフィックを指定します。
「Rule Name」:任意の名前を指定します。
「Forwarding Method」:Dedicated IPを選択します。


「Destination」タブを選択します。以下を入力し、「Save」を押して保存します。
「Destination IP Address/Wildcard FQDN」:固定IPを利用するサイトの宛先を入力して、「Add Items」を押します。
「Forward to Gateway」:先ほど作成したENATのGatewayを選択します。

※宛先の指定については、あらかじめカスタムURLカテゴリを作成しておき、「URL Category」で作成したカテゴリを選択して指定する方法もあります。

ENAT利用に必要なその他設定

ENAT利用にあたって、DNSとQUICのパケットがENATへ転送されることを除外する必要があります。

1.DNSの除外
以下のForwarding Control Policyを作成し、ENATのポリシーより上位に配置します。
「Forwarding Method」:Direct
「Network Service」:DNS

2.QUICの除外
以下のForwarding Control Policyを作成し、ENATのポリシーより上位に配置します。
「Forwarding Method」:Direct
「Network Service Groups」:QUIC ※事前にグループを作成する必要あります。
Policies > Firewall > Network Services > Services GroupsタブからQUICサービスを含めたサービスグループを作成しておきます。

まとめ

これまでも固定IPアドレスを利用する方法としてSIPAがありました。ENATとSIPAでは以下のような違いがあります。

  • ENATはZscaler側でNAT変換を行い、Zscalerが管理するグローバルIPをお客様専用のIPとして利用することができます。
  • ENATは構成がシンプルで、企業側の管理負荷が低いというメリットがあります。
  • SIPAは企業が従来使用していた自社のグローバルIPをそのまま維持できるため、これまでIP制限を設定していたサイトの設定変更が不要です。
  • SIPAを利用する場合は企業側でIP管理や設定が必要となり、運用負荷が増える点に注意が必要です。
  • どちらも利用可能となりますので、要件に合わせて選択ください。

今回はZscalerのENAT(Egress NAT)による送信元IPアドレス固定についてご紹介しました。

関連記事:

UmbrellaCisco Umbrellaの強み、弱み(メリット、デメリット) Cisco WIFI5対応AP(Aironet 18,28,3800シリーズ)の販売終了 Zscaler Internet Access(ZIA)、Zscaler Private Access(ZPA)の違い Cisco製品値上げ(2021年10月末より)
カテゴリー
Zscaler
タグ
Fortigate

前の記事

FortiAPの最大SSID数
2025年12月24日