パロアルト、次世代ファイアウォール新型「PA-5000」や新OSを出荷
“論理的境界”を実現する新機能「GlobalProtect」も
パロアルトネットワークス合同会社(パロアルト)は2日、次世代ファイアウォール(NGFW)の新製品「GlobalProtect」「PA-5000」「PAN-OS 4.0」を発売した。同日より順次出荷を開始する。
■ユーザーがどこにいるかに依存しないセキュリティ「GlobalProtect」
米Palo Alto Networks マーケティング担当副社長のルネー・ボンバニー氏 |
GlobalProtectは、ユーザーがどこにいるかに関係なく、接続されたあらゆる環境でユーザーとデータを保護する新機能。仕組みは、微小なエージェントがPCのロケーションを特定し、企業ネットワーク内にいない場合、自動で最寄りのPAシリーズにSSL VPNで接続。クライアントPCのプロファイルが分析され、それに基づいてPAシリーズのセキュリティポリシーが適用される。
これにより、ユーザーは社内外を問わずどこにいても同じセキュリティを享受できる。社内でモバイルWi-Fiを使ってゲートウェイを迂回した場合も、適切なポリシー適用が可能だ。マーケティング部長の菅原継顕氏は「モバイルWi-Fiを社内で使うのは、社外でノートPCを使う以上に危険なことで、外部からのデータをフィルタを通さずに社内に持ち込むという意味で、社内にバックドアを作るのと同じ。この場合もGlobalProtectで保護できる」とメリットを語る。
また、米Palo Alto Networks マーケティング担当副社長のルネー・ボンバニー氏は、「今日のセキュリティはロケーションに捕らわれている」と、従来のポートベース・セキュリティの問題点を指摘。「当社はGlobalProtectにより、 “ポリシーを物理的制約とどのように切り離せるか”という議論を活発にしたい。アクセス手段やアクセス場所にかかわらず、すべてのネットワークに標準化され一貫したアプローチを統合する“論理的境界”の概念を提唱する」と説明した。
同機能は、PAシリーズ共通のオプション機能としてライセンスが販売される。当初はWindows版のみだが、順次Mac版やスマートフォン版なども投入する計画。
GlobalProtectの仕組み | “論理的境界”を提唱 |
■最大20Gbpsの新ハードウェア「PA-5000シリーズ」
PA-5000 |
PA-5000は、最上位に位置する新型ハードウェア。内部に40以上のプロセッサ、30GB以上のメモリ、SSDを搭載。従来通り、コントロールプレーンとデータプレーンを分離してパフォーマンスを発揮する仕組みも採り入れることで、アプリケーションとユーザーの可視化、FW機能について20Gbpsの速度を実現している。
ラインアップは、FWスループット5Gbpsの「PA-5020」、同10Gbpsの「PA-5050」、同20Gbpsの「PA-5060」の3種類。PA-5060では、400万セッション/秒の処理が可能だ。
PA-5000シリーズの特徴 | 3種のラインアップ |
■“100%の可視化”を目指す「PAN-OS 4.0」
PAN-OS 4.0は、PAシリーズに搭載されるOS新版。「エンタープライズトラフィックと脅威を完全に可視化するための統合されたさまざまな機能を提供し、実に50を超える新機能が搭載されている」(ボンバニー氏)。
例としては、社内開発されたアプリケーションにもアプリケーション識別エンジン「App-ID」を提供できる「App-IDのカスタマイズ機能」を搭載。クライアントPCのボットネット感染を示すネットワークパターンを検知する「疑わしいボットネット検知機能」や、トンネリングやポートフォワーディングを阻止しつつ、SSH利用の権限を許可する「SSHトンネリング管理機能」なども実装された。
さらに、ガンブラーなどで有名になった「ドライブ・バイ・ダウンロード攻撃」にも対応した。同攻撃は、改ざんされた正規サイトから不正なサイトへユーザーを誘導し、クライアントPCに不正なプログラムを自動的にダウンロードするもの。これに対してファイルブロッキング機能を拡張し、Webアプリ上でのファイル転送イベントをユーザーに通知し、かつ意図しないファイルのダウンロードを防止するポップアップが上がるようにした。
また、「国によるポリシー制御機能」も搭載。ソースIPがどの国に属しているかのデータベースを持つことで、国単位でアクセスを遮断できる。不要な国からのアクセスを遮断しての帯域節約や、大規模な攻撃が発せられている国の一時的な遮断などが可能という。
PA-5000シリーズの特徴 | 3種のラインアップ |
■ズークCTOが軽快にネガティブキャンペーン
Palo Alto創設者・CTOのニア・ズーク氏 |
発表会の冒頭では、Palo Alto創設者・CTOのニア・ズーク氏も登壇した。NetScreen/JuniperのCTOも務め、ハードウェアFWやIPS、ステートフルインスペクション技術を発明した人物だ。同氏は、NGFWについて軽快な語り口でネガティブキャンペーンを展開した。
まずWebもメールも貧弱だった1995年にさかのぼり、「FWやIPSなどはこの時代に生まれた古い技術。これらはWebとメールだけをセキュアにするもので、ネットワークが複雑になり、アプリケーションも多彩になった今の時代にはマッチしない」と、従来型セキュリティを一蹴。
こうした技術はナンセンスだとして次のように例えた。「フランスは昔、ドイツ国境にいくつもの要塞群を建造した“マジノ線”を築いた。ドイツにに対して難攻不落と思われたが、結局、同じくフランスと接したベルギーを迂回してきたドイツ軍に攻め込まれた。従来型のポイントソリューションもこれと同じだ。同じものをいくつも配備するアプローチでは自ずと限界を迎える。なぜだろうか。アインシュタインがこう語っている。『同じことを何度も試し、違う結果を期待することは狂気である』」(同氏)。
また、従来型のセキュリティは許可するか、ブロックするかの二択で、不要なものはブロックするしかない。これについて、「ベルリンの壁を築くようなもの。求められているのは、従業員に不要だからと言ってFacebookを禁止するのではなく、Facebookを使わせながらもセキュアに保護することだ。当社はここを目指している」とした。
Palo Altoには、“可視化と制御”に最初からこだわってきた自負がある。「真のNGFWとは、すべての脅威を1つのエンジンでスキャンできるもの。実現できているのは、Palo Altoだけだ。バラバラのIPS、アンチウイルス、DLPを“ブレード”で提供するのはNGFWではない。他ベンダーは“ブレード”であなたを混乱させる」(同氏)。
「また、真のNGFWはアクセス制御ポリシーが1つだけ。ポートベースでも別のアプリケーションベースでもない。このため、効率よく未知のアプリケーションも制御できる。“ブレード”はただ通過させるだけだ。さらにNGFWなら、IM/SharePoint/Google Docsの脅威とデータもスキャンできる。“ブレード”はしてくれない。しないものは“ガラクタ”だ。加えて、“ブレード”は機能ごとにスループットを低下させる。真のNGFWはそんなことにはならない」(同氏)。
さまざまな面から優位性をアピールしたズーク氏。最後には「Nokiaはスマートフォンを日本市場に持ち込もうとして失敗した。日本には受け入れられない市場とも思われたが、Appleは大成功した。なぜか。AppleにはNokiaにないイノベーションがあったからだ」とし、同社をAppleになぞらえてみせた。