「Facebook禁止令はベルリンの壁と同じ」と創業者

パロアルトがファイアウォール強化、場所を問わずにセキュリティ適用

2011/03/02

 パロアルトネットワークスは3月2日、セキュリティアプライアンス「PAシリーズ」の基盤をなす専用OS「PAN-OS」をバージョンアップし、多数の新機能を追加した。同時に、データセンターなどをターゲットにした上位機種「PA-5000シリーズ」も発表した。

 PAシリーズは、アプリケーションとユーザーに基づいてアクセスを制御するセキュリティアプライアンス製品だ。アプリケーションを識別する「App-ID」とユーザー/グループを管理する「User-ID」に基づいてコンテンツをスキャンし、どのような通信が行われているか、マルウェアや外部に流出すべきでない情報が含まれていないかどうかを検査する。Facebookなど多様なアプリケーションの利用を許可しながら、チャットのような特定の機能だけは利用不可にするなど、きめ細かくコントロールできることが特徴だ。

 IPアドレスやポート番号だけで制御を行う従来型のファイアウォールに対比する形で、同社はこれを「次世代ファイアウォール」と表現している。

paloalto01.jpg 米パロアルトネットワークスの創業者兼CTO、ニア・ズーク氏

 「ファイアウォールをはじめとする従来のセキュリティ製品は、Webとメールしかなかった過去のインターネットを前提に開発されたもの。しかし、いまのインターネットには、Facebook、Twitter、WebExにSkype、P2Pファイル共有にブラウザベースのファイル共有、Dropbox、Gmail……こうした多様なアプリケーションがあり、それを多くのユーザーが使っている」(米パロアルトネットワークスの創業者兼CTO、ニア・ズーク氏)。

 ズーク氏はかつてチェック・ポイント・ソフトウェア・テクノロジーズやネットスクリーンに所属し、ステートフル・インスペクション方式の開発に当たった当の本人。だが、「過去のセキュリティ技術でスキャンできるのはWebと電子メールだけ。FacebookやWebEx、SharePointのトラフィックをスキャンし、マルウェアや情報漏えいを見つけ出すことはできない」とした。

 こうした従来の製品で、新しいアプリケーションを介したリスクを排除する最も単純な方法は、利用をブロックしてしまうこと。しかしそれは「まるでベルリンの壁を築くようなもの。企業が欲しているのは、Facebookなどのアプリケーションを安全に使う方法だ」(ズーク氏)。パロアルトの製品は、すべてのアプリケーションを対象にスキャンとコントロールを行い、「どこまでしていいのか、何はだめなのか」を明確にすると説明した。

社外にいても同じセキュリティを適用

 パロアルトは今回の機能強化で、まず「GlobalProtect」というオプションを追加した。

 クラウドの普及やコンシューマライゼーションによって、ユーザーは場所を問わずにアプリケーションを利用するようになった。この結果、かつて企業の内と外とを分けていた境界が、次第に意味をなさなくなっている。

 「アプリケーションもユーザーも企業の外に出ていっているのに、社内にいるのと同じようにセキュリティをコントロールしなければならない」(米パロアルトのマーケティング担当副社長 ルネー・ボンバニー氏)という狙いから追加した機能だ。

 特に「最近はモバイルWi-Fiルータや携帯電話などにより、たとえPC本体は社内の机の上にあっても、外にいるのと同じようにセキュリティを迂回できてしまう。これはとても危険な状態で、バックドアを持ち込んでいるのと同じことだ」(同社マーケティング部長 菅原継顕氏)。GlobalProtectは、場所にとらわれずに単一のポリシーに基づくセキュリティを適用するための仕組みだ。

 GlobalProtectは、エンドポイントに導入するエージェントと、パロアルトの顧客やパートナー企業が用意するファイアウォールが連動して動作する。エージェントはIPアドレスなどを元に自分の環境を把握し、社外にいる場合は、自動的に最寄りのファイアウォールにSSL VPNで接続する仕組みだ。あとは社内にいるときと同じように、App-IDやUser-IDに基づいてセキュリティが適用される。

 当初エージェントはWindows OSで動作するもののみだが、将来的にはMacintoshやiOSなどほかのプラットフォームやモバイル端末向けにも提供する予定だ。

 また、最新OS「PAN-OS 4.0」では、App-IDのカスタマイズ対応により、企業が独自に作り込んだアプリケーションについてもスキャンが可能になった。ほかに、ビヘイビア検出に基づくボットネットの検出、SSHトンネリングの管理、IPアドレスに基づく国単位でのアクセス制御など、50を越える機能を追加している。

 もう1つの発表は、新しいハードウェアプラットフォーム「PA-5000シリーズ」の追加だ。搭載CPUやメモリを強化したほか、並行プロセスによるアーキテクチャを採用することにより、最上位モデルの「PA-5060」では、ファイアウォールで20Gbps、IPSで10Gbpsののスループットを実現し、400万セッションをサポートする。

paloalto02.jpg データセンターなどでの利用も見据えたPA-5000シリーズ

 「次世代ファイアウォールは、機能をすべてオンにしてもパフォーマンスを犠牲にしない」(ズーク氏)。

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH