【解説】ZscalerのGREトンネル機能について解説します

この記事では、ZscalerのGRE（Generic Routing Encapsulation）トンネル機能について解説します。

Zscalerによるクラウド型Webセキュリティの仕組みやGREトンネルの導入メリット、設計・構成時のポイントなどを包括的にまとめました。ブログ記事としてご活用いただければ幸いです。

Table of Contents

1. はじめに

企業や組織のネットワーク構成がオンプレミス中心からクラウド中心へと移行する中、セキュリティ対策も従来型の境界防御だけでなく、クラウドベースのサービスを活用するケースが増えています。

Zscalerは、世界的に有名なクラウド型セキュリティプラットフォームプロバイダであり、Webフィルタリングやサンドボックス、CASB（Cloud Access Security Broker）など、多様な機能を提供しています。

Zscalerを導入する際のトラフィック転送手段としては、従来から利用されてきたプロキシ方式のほか、IPsec VPNトンネル、GREトンネルなどが代表的です。

本記事では、これらの中でも軽量かつシンプルな実装が可能とされるGREトンネルに焦点を当て、その概要・メリット・デメリット・構成例などについて詳しく解説します。

ITスキルを高めたい人におすすめのスクールはこちら!!!↓

2. GRE（Generic Routing Encapsulation）とは

GRE（Generic Routing Encapsulation）は、トンネルプロトコルの一種であり、IPパケットを別のIPパケットでカプセル化して転送する技術です。Cisco Systemsが開発した技術として広く知られ、汎用的なプロトコルをVPNトンネルのように取り扱える点が大きな特徴です。

具体的には、GREヘッダ（4バイト程度）を付与してオリジナルのIPパケットをカプセル化し、転送先で元のパケットを復元します。GRE自体には暗号化や認証機能はなく、あくまで「カプセル化」の役割を担うのみです。そのため必要に応じて、IPsecなど暗号化が可能な技術と組み合わせて利用されることもあります。

Zscalerでは、拠点やデータセンターとZscalerクラウドの間にGREトンネルを張ることで、拠点内ユーザのWebトラフィックをシームレスにZscalerへと転送し、検査・フィルタリングを適用する仕組みを整備しています。

3. ZscalerでGREを使う理由

Zscalerのクラウドにトラフィックを転送する手段としては、プロキシ設定（PACファイルやExplicit Proxy）、IPsecトンネル、GREトンネルと複数の方法があります。その中でGREトンネルが選ばれる理由は、主に次のようなものが挙げられます。

3-1.接続がシンプル

GREトンネルは暗号化や認証を伴わないため、トンネル設定が比較的容易です。暗号化が不要なケースでは導入のハードルが下がります。

3-2.トンネルあたりのトラフィック容量が多い

GREトンネルはZscaler側で1つあたり最大1Gbpsまでサポートされる場合が多く、高スループット環境に適しています。

3-3.機器への負荷が軽い

IPsecと比較すると、暗号化の処理がないためルータやファイアウォール機器にかかるCPU負荷が小さく、オーバーヘッドが抑えられます。

3-4.シンプルなルーティング統合

Zscalerクラウドへ送るための静的ルートやBGP（動的ルーティング）の設定が比較的簡単であり、運用負荷が低減します。

もちろん、企業ポリシーの要件や通信の秘匿性が求められるかどうかにより、GREではなくIPsecを選択する場合もあります。しかし、多くのケースにおいては、GREトンネルのシンプルさとパフォーマンスの高さが評価され、Zscaler導入時の第一候補として検討されることも少なくありません。

4. GREとIPsecの比較

GREと並んでよく利用されるVPN方式としてIPsecが挙げられます。Zscalerとのトラフィックを暗号化したい場合はIPsecトンネルが選択肢になりますが、機能や要件面でGREと違いがあります。

暗号化の有無
- GRE：暗号化なし。
- IPsec：暗号化あり。
  機密データをインターネット上で保護したい場合、IPsecが要件を満たします。一方、暗号化が不要な場合はオーバーヘッドが少ないGREが好まれます。
機器への負荷
- GRE：暗号化がない分、CPU負荷は軽め。
- IPsec：暗号化処理や鍵交換プロトコルの負荷がかかる。
  スループットが重視される拠点や、大規模拠点ではGREが優位になる場合が多いです。
導入の容易さ
- GRE：シンプルなトンネル設定で済む。
- IPsec：フェーズ1・フェーズ2の設定や暗号アルゴリズムの選定が必要。
  セキュリティポリシーで暗号化が必須でない場合は、GREの構成に要する時間はIPsecと比べると短く済みます。
セキュリティポリシーとの整合性
企業や組織によっては「インターネット経由の通信はすべて暗号化せよ」というセキュリティ要件がある場合があります。その場合はIPsecを選ぶ必要があるでしょう。

上記の比較から、要件次第でGREとIPsecを選び分けるのが基本です。ZscalerはGREでもIPsecでも柔軟に対応が可能なため、自社のインフラ要件と照らし合わせて最適な方式を選定するとよいでしょう。

5. Zscaler GREの構成要素

ZscalerでGREトンネルを利用する際には、主に以下の要素について設定や考慮が必要です。

5-1.Zscalerの認定データセンター情報

GREトンネルを終端するZscalerデータセンターを選択し、対応するグローバルIPアドレス範囲やルータ情報を確認します。

5-2.オンプレミス側ルータまたはファイアウォール

GREトンネルを張るためには、拠点のルータやファイアウォール機能でGREをサポートしていることが必須です。Cisco、Juniper、Palo Altoなど主要ベンダの機器であれば、GRE設定は比較的容易に行えます。

5-3.GREトンネルのネクストホップとルーティング

トンネルインターフェイスを作成し、Zscaler側のIPアドレスをトンネルの相手先として指定します。

ユーザのWebトラフィックをZscalerへ転送するために、静的ルートやBGPを設定して0.0.0.0/0（または特定のCIDR）のトラフィックをトンネルに流すように構成する場合が一般的です。

5-4.GRE Keepaliveの設定（任意）

ZscalerはGRE Keepaliveにも対応しています。トンネルのヘルスチェックを行い、障害時の切り替えやアラート検知に活用できます。

5-5.ファイアウォールやACLの調整

GREパケット（プロトコル番号47）をインターネット側に通すように、ファイアウォールやACLを調整する必要があります。特に、NATが有効な環境ではGREが透過的に通過できるかも確認が必要です。

6. Zscaler GREのメリット

6.1 シンプルな導入

GREは暗号化を伴わない分、設定項目が少なく、初期導入がIPsecよりも簡単です。また、Zscalerポータル側でもGREトンネルの登録・設定は画面上で数ステップほどで完了します。

6.2 高スループット

GREトンネル1本あたり1Gbps程度の帯域をサポートするため、中規模～大規模拠点でも十分なパフォーマンスを確保できます。複数トンネルを併用すれば冗長化や帯域拡張も可能です。

6.3 機器負荷の軽減

暗号化がないため、ルータやファイアウォールのCPU負荷が相対的に低くなります。暗号化に対応したハードウェアアクセラレーションがない機器でも、スムーズに大容量トラフィックを処理できる可能性が高いです。

6.4 運用の容易さ

GREトンネルの管理は比較的単純で、トンネルインターフェイスとルーティングテーブルの設定が主となります。またZscalerポータル上でのGREステータスも確認しやすく、トラブルシューティングが行いやすい点も利点です。

7. Zscaler GREのデメリット・注意点

7.1 暗号化がない

GREは暗号化や認証を行わないため、通信内容が平文でインターネットを通過します。Webトラフィック自体がHTTPS暗号化されているケースが多いとはいえ、組織のセキュリティポリシーによってはIPsecが必須となる場合があります。

7.2 ファイアウォールでの設定が必要

GREはプロトコル番号47を使用するため、ネットワーク構成によってはファイアウォールやNAT機器で特別な設定が求められます。とくにCarrier-Grade NAT（CGN）環境などではGREパケットが通らないケースもあり、導入前の検証が欠かせません。

7.3 経路冗長の確保

GREトンネルが1本のみだと、障害発生時に全てのトラフィックが止まってしまうリスクがあります。Zscalerでは冗長構成を推奨しており、複数のデータセンターへトンネルを張る、あるいはGREとIPsecを併用するといった方法で可用性を高めることが可能です。

8. 構成例：Zscalerポータルとオンプレミスルータ間でのGRE設定の流れ

ここでは代表的な設定の流れを簡単にまとめます。実際の画面操作やコマンドは利用機器やバージョンによって異なるため、ご利用環境に合わせて修正してください。

Zscalerポータルで拠点情報を登録
- 「Administration」→「Location Management」から拠点を新規登録します。
- 拠点情報に対し、GREトンネル設定を追加し、Zscaler側のエンドポイント情報や拠点のパブリックIPを指定します。
Zscaler側のGREエンドポイント情報の取得
- ポータル画面に表示される「Zscaler側GRE IPアドレス」を控えておきます。これがオンプレミスルータからのGREトンネル接続先IPアドレスとなります。
オンプレミス側でGREインターフェイスを作成
- 例：Cisco IOSルータの場合 nginxコピーするinterface Tunnel1 ip address 192.168.100.1 255.255.255.252 tunnel source <拠点側のWANインターフェイスIP> tunnel destination <Zscaler側GRE IPアドレス> keepalive 10 3 (任意)
- トンネルのソースにWAN側インターフェイスやパブリックIPを指定し、デスティネーションにZscalerが示すGREエンドポイントを指定します。
ルーティング設定
- 例：トンネルインターフェイスをネクストホップとしたデフォルトルートを設定する場合 nginxコピーするip route 0.0.0.0 0.0.0.0 Tunnel1
- ただしローカルのトラフィックや外部向けに直接アクセスする必要がある場合は、ポリシーベースルーティング（PBR）やACLを併用し、Webトラフィックのみトンネル経由にする方法なども検討します。
ファイアウォール・ACLの調整
- GRE（プロトコル番号47）を許可。
- WANインターフェイスでアウトバウンドに対して必要なルールが通っているか確認します。
Zscalerポータルでトンネル状態を確認
- 登録した拠点のステータスが「UP」になれば、GREトンネルが正常に確立できている可能性が高いです。
- 実際にユーザ端末からインターネットアクセスして、Zscalerのログにトラフィックが表示されることを確認します。

9. 運用・トラブルシューティングのポイント

GRE Keepaliveの有効化
- ルータ側でKeepaliveを設定することで、トンネルが切れた際に即座に検知できます。Zscaler側もKeepalive応答を返せるため、冗長経路へ自動で切り替える運用が可能です。
ルート監視
- BGPを使っている場合はピア関係が適切に確立されているかを常にモニタします。静的ルートの場合も定期的に疎通確認を行い、障害を早期発見できる仕組みを整備しましょう。
Zscalerのデータセンターアップグレード時の影響
- Zscaler側でメンテナンスやアップグレードが行われる場合、GREセッションが一時的にリセットされる可能性があります。事前に冗長化していれば影響を最小限に抑えられます。
帯域不足への対処
- 拠点からZscalerへのアップリンク回線の速度が十分でないと、トラフィック量の増加に伴いパフォーマンス問題が発生します。GREトンネルを増設する、回線を増強するなどの検討が必要です。

10. まとめ

ZscalerのGREトンネルは、クラウド型Webセキュリティを利用する上で非常に有用な手段の一つです。暗号化を行わないシンプルなカプセル化プロトコルであるため、高速かつ低オーバーヘッドでZscalerクラウドと接続できるというメリットがあります。その一方で、暗号化や認証が不要な通信に限定されるため、セキュリティ要件によってはIPsecとの併用や切り替えが必要です。

導入に際しては以下の点を押さえておくとよいでしょう。