複数の機能を統合するUTMは、現在セキュリティ製品の主流だが、ファイアウォールのコンセプトで全部防いでしまおうという意欲的な製品が、パロアルトネットワークスの「PAシリーズ」だ
UTMではないファイアウォールで全部防げる?
不正アクセスを防ぐため、古くからインターネットとLANの間に設置されてきたのが、パケットの送受信を制御するファイアウォールである。しかし、ウイルスやスパイウェア、スパムメール、情報漏えいなど、セキュリティ侵害の手段が多様化してくると、ファイアウォールでは間に合わなくなった。そこで、現在ではウイルス対策やIDS・IPS、メールセキュリティなどをまとめてファイアウォールに統合したUTM(統合型脅威管理)と呼ばれるジャンルの製品が主流になっている。
UTM登場の背景には、不正アクセスにはファイアウォール、ウイルスにはウイルス対策、スパムメールにはメールセキュリティのように異なる脅威に対して、異なる技術を用いてきた点が挙げられる。しかし、そもそもファイアウォールがすべての攻撃を防いでくれたら、UTMのような積層型の製品は必要ない。不正なプログラムと通信を簡単に見極め、それを許可したり、遮断できるファイアウォールがあれば、それで済む。これを実現するのが、ネットワークインテグレータであるネットワンシステムズが発表した次世代ファイアウォール「PAシリーズ」である。
アプリケーションとユーザーを識別する
PAシリーズの開発元である米パロアルトネットワークスは、ジュニパー(旧ネットスクリーン)やチェックポイントなどの出身メンバーにより2005年に設立されたベンチャー。ネットワンシステムズは、このパロアルトネットワークスの「PA-2000シリーズ」「PA-4000シリーズ」を10月より国内で販売する。
既存のファイアウォールではホストをIPアドレス、アプリケーションをポートで識別し、ACL(AccessControlList)でアクセス制御をかけていた。これに対して、PAシリーズでは700種類以上のアプリケーションを識別し、さらにActiveDirectoryとの連携により、ユーザーを特定できる。簡単にいえば、同じポート80番を異なるアプリケーションが利用しても、いずれかを識別できるのだ。とはいえ、フィルタリングはACLをベースにしており、UTMのように異なる操作や設定を必要としないというのが、UTMではなく、ファイアウォールを謳う1つの根拠でもあるという。こうしたアプリケーションやユーザーの動作はGUIのツールで可視化されており、リスクや脅威ごとに分類して表示される。
また、やり取りされているトラフィックからウイルス、スパイウェア、脆弱性を突いた攻撃、不正なURLへのリクエストなどを検知し、不正アクセスを防ぐことができる。複数の技術を組み合わせるUTMと異なり、PAシリーズは同時検査するため、処理に無駄がない。
もちろん、こうした処理をこなすにはそれなりのハードウェアが要求される。そこで、PAシリーズではマルチコアのCPUと、複数の専用プロセッサを組み合わせて、10Gbpsのパフォーマンスを実現している。
価格は500Mbpsのスループットのエントリモデル「PA-2020」で、248万4000円からとなる。そのため、当初はトラフィックのパワーユーザーやユーザー動向を見える化したい大企業などがメインユーザーになると見ている。とはいえ、WANのギガビット化も進んでいることもあり、今後は中小企業でも検討するべき製品になってくるだろう。