Winnyもニコ動もブロックする――ファイアウォールの米パロアルトが日本進出：NEWS

新世代型のファイアウォール技術を有するベンチャー企業が近く日本法人を設立すると発表。既存のファイアウォール製品やUTMの置き換えを狙う。

[堀見誠司，TechTargetジャパン]

　セキュリティベンダーの米Palo Alto Networks（パロアルトネットワークス）は4月6日、日本法人を近日設立すると発表した。代表取締役社長にはブルーコートシステムズの社長を務めた金城盛弘氏が就任する。同社の多機能ファイアウォール製品「PAシリーズ」の技術サポートを充実させ、代理店契約を結ぶネットワンシステムズ、日立システムアンドサービスを通じて拡販していく。3年間で15～20億円の売り上げを見込む。

パロアルトが“次世代ファイアウォール”と呼ぶ「PA-4060」

　パロアルトネットワークスは、チェック・ポイント・ソフトウェア・テクノロジーズでFireWall-1のステートフルインスペクション技術を開発したニア・ズーク氏が2005年に設立したベンチャー企業。アプリケーションやユーザーレベルでのきめ細かなアクセスコントロール機能と高性能を生かした、既存製品の枠に収まらないファイアウォールアプライアンス「PA-4000シリーズ」を主力とする。マルチコアCPUを4基搭載したハイエンドモデルでは、10Gbpsのファイアウォールスループットを実現した。

　中でも、暗号化を行ったり動的にポートを変更してファイアウォールをバイパスするような多様なアプリケーション通信を、パターンマッチングや振る舞い検知などで可視化するトラフィック識別機能「App-ID」が特徴。App-IDはパケットの中身を精査するディープパケットインスペクションと同様の機能だが、専用のハードウェアエンジンを搭載し、IM（インスタントメッセンジャー）は許可するがファイル転送はブロックするといった、アプリケーションごとの詳細な制御を可能にしたという。識別できるアプリケーションは800種類以上で、「Winnyやニコニコ動画、2ちゃんねる、mixiなど日本独自のコンテンツにも対応する」（同社技術本部長の乙部幸一朗氏）。導入サイトにActive Directory環境があれば、ユーザーや部署単位でのトラフィック制御も行える。

同じ80番ポートを使うアプリケーションでも詳細に識別する

　さらにPAシリーズでは、IPS（侵入防御システム）やウイルス検出、URLフィルタといった脅威管理部分を個別にコンテンツ防御専用エンジンでサポートし、UTMの機能をも統合しているが、「UTM製品」という位置付けにはされたくないと同社は言う。

　「制御プレーンとデータ転送プレーンそれぞれにCPUを搭載し、単一パスのソフトウェアでまとめ上げたPAのアーキテクチャが持つ拡張性は、単機能の積み重ねで成り立つUTMでは実現できない。われわれはあくまでこれを“次世代ファイアウォール”と呼んでいる。既存のファイアウォール、UTM、IPSなどいろいろなリプレースでコスト削減が図れるだろう」（米Palo Alto Networks社長兼CEOのレーン・ベス氏）

　国内で販売されるPAシリーズは、1RUモデルの「PA-2020／2050」、2RUモデルの「PA-4020／4050／4060」など。価格はオープンプライス。

関連ホワイトペーパー

ファイアウォール | UTM | IPS | アクセス制御 | Active Directory | 暗号化 | ウイルス