常時20Gbpsの通信速度を実現したデータセンター向け次世代ファイアウォールNEWS

パロアルトネットワークスはデータセンターや大規模企業向けの次世代ファイアウォールを発表。同製品を含むノートPC向けセキュリティ対策製品なども提供開始した。

2011年03月02日 20時21分 公開
[上口翔子,TechTargetジャパン]

 パロアルトネットワークスは3月2日、50以上の新機能を追加した新OS「PAN-OS 4.0」搭載の次世代ファイアウォール製品「PA-5000」シリーズと、同社の次世代ファイアウォール「PAシリーズ」を用いたノートPC向けのセキュリティ「GlobalProtect」を発表した。いずれも同日より提供しており、国内では代理店を通じて数日内に出荷開始される。

 次世代ファイアウォールは、広義では従来のファイアウォールでは防ぎきれないWebアプリケーション経由のセキュリティ脅威に対応する製品である。以前はWebブラウザや電子メールを保護すればよかった企業のネットワーク環境だが、マーケティング目的などでFacebookやTwitterなどのWebアプリケーションを利用する企業が増加。従来とは異なる技術を用いたセキュリティ対策が求められている。

 米Palo Alto Networks 創始者兼CTO ニア・ズーク(Nir Zuk)氏は「企業ネットワークを保護するIDSIPS(侵入検知/防御システム)、ファイアウォールなどの従来型セキュリティはインターネットが普及した1950年に開発された技術であり、基本は当時から全く変わっていない。当時と2011年のインターネット環境は大きく異なり、中でもここ数年で爆発的に普及したWebアプリ経由の情報漏えいやマルウェア攻撃に従来のセキュリティ対策では対抗できない」と次世代ファイアウォールの必要性を語る。

alt 「パロアルトネットワークスの次世代ファイアウォールであればGmailやFacebookなどのSSL暗号化されたトラフィックや、『TOR』『UltraSurf』など制御を迂回するソフトの利用も制限できる」とズーク氏

 2010年は国内でもTwitterを中心に企業でのソーシャルメディア活用が盛んとなった。同時に、各ベンダーから次世代ファイアウォールをうたう製品が続々とリリースされた。パロアルトネットワークスはいち早く次世代ファイアウォール製品を市場投入した企業だが、「他社との差分はそれだけではない」とズーク氏は言う。

 次世代ファイウォールの肝となる技術はアプリケーションを認識するDPI(ディープパケットインスペクション)で、同技術により「誰が」「どの」アプリケーションを使用しているかを認識、社内ポリシーに応じて利用を制御する。同社製品の場合は、SkypeやP2Pも含む全てのアプリケーションの識別を可能にしているが、それはIPアドレスベースではなくユーザーIDとWebアプリケーション情報をひも付けた制御を可能としているからだという。例えば「マーケティング部門の従業員AはFacebookの電子メール機能を利用している。営業部のBはFacebookのニュースフィード(登録している友人の投稿一覧)を閲覧している」など、どの部署の誰が、どのアプリを、どう使用しているか、Webアプリケーションとユーザーの識別だけではない詳細な情報を取得し、ポリシーに応じて利用を細かく制限できる。

データセンターなど大規模環境に対応するPA-5000シリーズ

alt 米Palo Alto Networks マーケティング担当副社長 ルネー・ボンバニー氏

 これまでも大規模企業向けに製品を提供してきた同社だが、新製品はさらにパフォーマンスを強化し(通信速度は常時20Gbps)、データセンターなど大規模環境に対応した製品として投入する。

 米Palo Alto Networks マーケティング担当副社長 ルネー・ボンバニー(Rune Bonvanie)氏は、「新OSも搭載し、これまでにないネットワーク速度と高可視性を持ったUIを実現した。大規模企業やサービスプロバイダー向けに訴求していきたい」と抱負を述べる。

 同社 マーケティング部長 菅原継顕氏は国内企業向けにアピールしたい新OSの特徴として「Gumblarに代表される、Webサイトにアクセスするだけでマルウェアに感染する『Drive-by download(ドライブバイダウンロード)』攻撃の検知を可能にしたほか、送信先/宛先のIPアドレスを国別に制御できるポリシー設定が可能になった」点を挙げた。具体的には、ユーザーが意図しない(裏で不正に行われている)ID/パスワードのダウンロードが行われた場合にポップアップ画面を出し、ユーザーに確認を促すというものである。また、国別のポリシー設定については「一定期間内に特定の国から攻撃が相次いでいる場合に帯域制御をするなど、情報に応じて柔軟にポリシー変更が可能」だとした。

altalt PA-5000シリーズのラインアップ(画像=左)と、新OSと既存OSの比較(画像=右)。新OSは、既存のPAシリーズでもバージョンアップ可能《クリックで拡大》

あらゆる接続環境下でユーザーを保護するGlobalProtect

 GlobalProtectは、ユーザーが社内外どちらの環境にいても、PAシリーズでセキュアなWebアクセスを可能とするセキュリティ対策だ。エンドポイント自体を保護するのではなく、アクセス時にPAシリーズ保護下の社内ネットワークを経由することで、どの場所からアクセスしても同じポリシーが適用される。

 仕組みとしては、まずエンドポイントに搭載するエージェントがユーザーの場所を特定し、エンドポイントがネットワーク接続を試みた際に自動でPAシリーズに接続する。その際、通信は暗号化されたSSL VPNを使用する。その後、エージェントがホスト情報をPAシリーズに提供。利用しようとしているWebアプリケーション、ユーザーIDを把握し、ポリシーに応じた制御が実行される。

alt パロアルトネットワークス マーケティング部長 菅原継顕氏

 菅原氏は、「スマートフォンやタブレット端末の普及でモバイルWi-Fiルータを利用している企業も多いと思うが、同ルータ経由の接続は端末の持ち出しよりも危険な状況であり、社内にいるからといって脅威の度合いは社外にいる場合と一切変わらない」とコメント。今後あらゆる業務形態が取り入れられていく中で、場所にとらわれずに統一したポリシーに応じた運用ができるGlobalProtectはセキュアなWebアクセスを実現するセキュリティ対策として有効だとした。

 なお、GlobalProtectは新OSを搭載したPAシリーズであれば全て適応可能。対応機種は現在Windows搭載PCのみだが、今後はMacやiOS端末などにも順次対応していく予定だ。

ITmedia マーケティング新着記事

news084.jpg

生成AIが生み出す「バーチャル生活者」の声を聴くメリットとは?
博報堂は、独自の大規模生活者調査データベースに生成AI技術を組み合わせて作り出した「...

news038.jpg

生活者の生成AI利用動向 10代後半はすでに5割近くが経験――リクルート調査
テキスト型生成AIサービスの利用経験者の割合は若い年代ほど高く、特に10代後半はすでに5...