常時20Gbpsの通信速度を実現したデータセンター向け次世代ファイアウォール:NEWS
パロアルトネットワークスはデータセンターや大規模企業向けの次世代ファイアウォールを発表。同製品を含むノートPC向けセキュリティ対策製品なども提供開始した。
パロアルトネットワークスは3月2日、50以上の新機能を追加した新OS「PAN-OS 4.0」搭載の次世代ファイアウォール製品「PA-5000」シリーズと、同社の次世代ファイアウォール「PAシリーズ」を用いたノートPC向けのセキュリティ「GlobalProtect」を発表した。いずれも同日より提供しており、国内では代理店を通じて数日内に出荷開始される。
次世代ファイアウォールは、広義では従来のファイアウォールでは防ぎきれないWebアプリケーション経由のセキュリティ脅威に対応する製品である。以前はWebブラウザや電子メールを保護すればよかった企業のネットワーク環境だが、マーケティング目的などでFacebookやTwitterなどのWebアプリケーションを利用する企業が増加。従来とは異なる技術を用いたセキュリティ対策が求められている。
米Palo Alto Networks 創始者兼CTO ニア・ズーク(Nir Zuk)氏は「企業ネットワークを保護するIDS/IPS(侵入検知/防御システム)、ファイアウォールなどの従来型セキュリティはインターネットが普及した1950年に開発された技術であり、基本は当時から全く変わっていない。当時と2011年のインターネット環境は大きく異なり、中でもここ数年で爆発的に普及したWebアプリ経由の情報漏えいやマルウェア攻撃に従来のセキュリティ対策では対抗できない」と次世代ファイアウォールの必要性を語る。
「パロアルトネットワークスの次世代ファイアウォールであればGmailやFacebookなどのSSL暗号化されたトラフィックや、『TOR』『UltraSurf』など制御を迂回するソフトの利用も制限できる」とズーク氏
2010年は国内でもTwitterを中心に企業でのソーシャルメディア活用が盛んとなった。同時に、各ベンダーから次世代ファイアウォールをうたう製品が続々とリリースされた。パロアルトネットワークスはいち早く次世代ファイアウォール製品を市場投入した企業だが、「他社との差分はそれだけではない」とズーク氏は言う。
次世代ファイウォールの肝となる技術はアプリケーションを認識するDPI(ディープパケットインスペクション)で、同技術により「誰が」「どの」アプリケーションを使用しているかを認識、社内ポリシーに応じて利用を制御する。同社製品の場合は、SkypeやP2Pも含む全てのアプリケーションの識別を可能にしているが、それはIPアドレスベースではなくユーザーIDとWebアプリケーション情報をひも付けた制御を可能としているからだという。例えば「マーケティング部門の従業員AはFacebookの電子メール機能を利用している。営業部のBはFacebookのニュースフィード(登録している友人の投稿一覧)を閲覧している」など、どの部署の誰が、どのアプリを、どう使用しているか、Webアプリケーションとユーザーの識別だけではない詳細な情報を取得し、ポリシーに応じて利用を細かく制限できる。
データセンターなど大規模環境に対応するPA-5000シリーズ
これまでも大規模企業向けに製品を提供してきた同社だが、新製品はさらにパフォーマンスを強化し(通信速度は常時20Gbps)、データセンターなど大規模環境に対応した製品として投入する。
米Palo Alto Networks マーケティング担当副社長 ルネー・ボンバニー(Rune Bonvanie)氏は、「新OSも搭載し、これまでにないネットワーク速度と高可視性を持ったUIを実現した。大規模企業やサービスプロバイダー向けに訴求していきたい」と抱負を述べる。
同社 マーケティング部長 菅原継顕氏は国内企業向けにアピールしたい新OSの特徴として「Gumblarに代表される、Webサイトにアクセスするだけでマルウェアに感染する『Drive-by download(ドライブバイダウンロード)』攻撃の検知を可能にしたほか、送信先/宛先のIPアドレスを国別に制御できるポリシー設定が可能になった」点を挙げた。具体的には、ユーザーが意図しない(裏で不正に行われている)ID/パスワードのダウンロードが行われた場合にポップアップ画面を出し、ユーザーに確認を促すというものである。また、国別のポリシー設定については「一定期間内に特定の国から攻撃が相次いでいる場合に帯域制御をするなど、情報に応じて柔軟にポリシー変更が可能」だとした。
あらゆる接続環境下でユーザーを保護するGlobalProtect
GlobalProtectは、ユーザーが社内外どちらの環境にいても、PAシリーズでセキュアなWebアクセスを可能とするセキュリティ対策だ。エンドポイント自体を保護するのではなく、アクセス時にPAシリーズ保護下の社内ネットワークを経由することで、どの場所からアクセスしても同じポリシーが適用される。
仕組みとしては、まずエンドポイントに搭載するエージェントがユーザーの場所を特定し、エンドポイントがネットワーク接続を試みた際に自動でPAシリーズに接続する。その際、通信は暗号化されたSSL VPNを使用する。その後、エージェントがホスト情報をPAシリーズに提供。利用しようとしているWebアプリケーション、ユーザーIDを把握し、ポリシーに応じた制御が実行される。
菅原氏は、「スマートフォンやタブレット端末の普及でモバイルWi-Fiルータを利用している企業も多いと思うが、同ルータ経由の接続は端末の持ち出しよりも危険な状況であり、社内にいるからといって脅威の度合いは社外にいる場合と一切変わらない」とコメント。今後あらゆる業務形態が取り入れられていく中で、場所にとらわれずに統一したポリシーに応じた運用ができるGlobalProtectはセキュアなWebアクセスを実現するセキュリティ対策として有効だとした。
なお、GlobalProtectは新OSを搭載したPAシリーズであれば全て適応可能。対応機種は現在Windows搭載PCのみだが、今後はMacやiOS端末などにも順次対応していく予定だ。
Copyright © ITmedia, Inc. All Rights Reserved.