パロアルト、スケーラビリティ重視の次世代ファイアウォールを発表社内をセキュアに分割し、情報漏えいを防げ

パロアルトネットワークスは安全とパフォーマンスを両立させた、次世代ファイアウォール「PA-7050」を発表した。

» 2014年02月13日 18時00分 公開
[宮田健,@IT]

 パロアルトネットワークスは2014年2月13日、同社ファイアウォール製品の新機種「PA-7050」を発表した。最大120Gbpsのスループットを実現し、エンタープライズ環境やデータセンターなど、パフォーマンスが必要なエリアでの利用を想定した製品としている。

 これまでのファイアウォール製品は、DMZ/インターネットゲートウェイ部分での利用が多かった。だがコンテンツが多様化し大容量化するにつれ、より大きな帯域幅が必要とされている。また、社内でネットワークセグメントを分けるためにファイアウォールを利用するというニーズも増えてきている。社内を流れるトラフィックはインターネットゲートウェイ以上に広い帯域が必要であるだけでなく、セキュリティの機能も必須となる。

 PA-7050は、同社が提供するクラウド型マルウェア分析仮想サンドボックス「WildFire」の実行が可能で、ポートベースのファイアウォールやシグネチャベースのIPSを含み、同社は次世代ファイアウォールと定義している。これまでの製品同様、クラウド型マルウェア分析仮想サンドボックス「WildFire」や同社の「PAN-OS」を搭載する一方、シャーシ設計は一新し、ロードバランシングの機能やログ取得専用サブシステムを搭載することで、最大120Gbpsのパフォーマンスとスケーラビリティを実現している。

PA-7050は最大6枚のカードを搭載可能

パロアルトネットワークスが考える「本物の次世代ファイアウォール」とは

米パロアルトネットワークス ソリューションディレクター ダネル・オー氏

 米パロアルトネットワークス ソリューションディレクターのダネル・オー氏は、次世代ファイアウォールの定義として「全てのポート、トラフィック、通信内容を問わずスキャンが行える」「脅威となるようなアプリケーションをブロックする」などの機能が備わっていることを挙げ、既知、未知の脅威を防ぎつつ、高いパフォーマンス要件を両立しなければならないとした。

 オー氏は他社の“自称次世代ファイアウォール”について「さまざまな機能を切り貼りしただけ。それぞれが異なる要素となっているため、スケールアップしようとするとオーバーヘッドが無視できない」と述べる。同社のPA-7050はスケーラビリティを前提に設計しており、最大6枚追加できるカードを挿すだけで帯域幅を拡張できるとした。プロトコル問わず全てのトラフィックを安全かどうか調査することを前提として設計しており、セキュリティ機能をオンにしても性能を損なわなずに運用できるとした。

公表されているデータシートの性能値において、全てのセキュリティ機能を明示的に有効化したときのパフォーマンスがどれだけ変化するかを比較したグラフ。

 次世代ファイアウォールが必要とされる場所について、オー氏は米小売大手のTargetで発生した情報漏えいを例に「空調業者のネットワークを踏み台にして、顧客情報管理システムに入り込んだとされている。本来はそこを別セグメントとすべきだった」とした。従来のゲートウェイ部分の防御だけでなく、次世代ファイアウォールを活用してセキュアなセグメンテーションを作ることをパロアルトネットワークスは提案している。

 PA-7050は2014年2月13日より、各パートナー経由にて提供を開始する。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。