このページの本文へ

パロアルトネットワークスの次世代ファイアウォールを斬る

パルアルトがあえてUTMを謳わない理由は?

2008年11月05日 04時00分更新

文● 大谷イビサ/ネットワークマガジン編集部

  • この記事をはてなブックマークに追加
  • 本文印刷

複数の機能を統合するUTMは、現在セキュリティ製品の主流だが、ファイアウォールのコンセプトで全部防いでしまおうという意欲的な製品が、パロアルトネットワークスの「PAシリーズ」だ

UTMではないファイアウォールで全部防げる?

 不正アクセスを防ぐため、古くからインターネットとLANの間に設置されてきたのが、パケットの送受信を制御するファイアウォールである。しかし、ウイルスやスパイウェア、スパムメール、情報漏えいなど、セキュリティ侵害の手段が多様化してくると、ファイアウォールでは間に合わなくなった。そこで、現在ではウイルス対策やIDS・IPS、メールセキュリティなどをまとめてファイアウォールに統合したUTM(統合型脅威管理)と呼ばれるジャンルの製品が主流になっている。

パロアルトネットワークスの「PAシリーズ」

パロアルトネットワークスの「PAシリーズ」

 UTM登場の背景には、不正アクセスにはファイアウォール、ウイルスにはウイルス対策、スパムメールにはメールセキュリティのように異なる脅威に対して、異なる技術を用いてきた点が挙げられる。しかし、そもそもファイアウォールがすべての攻撃を防いでくれたら、UTMのような積層型の製品は必要ない。不正なプログラムと通信を簡単に見極め、それを許可したり、遮断できるファイアウォールがあれば、それで済む。これを実現するのが、ネットワークインテグレータであるネットワンシステムズが発表した次世代ファイアウォール「PAシリーズ」である。

アプリケーションとユーザーを識別する

 PAシリーズの開発元である米パロアルトネットワークスは、ジュニパー(旧ネットスクリーン)やチェックポイントなどの出身メンバーにより2005年に設立されたベンチャー。ネットワンシステムズは、このパロアルトネットワークスの「PA-2000シリーズ」「PA-4000シリーズ」を10月より国内で販売する。

 既存のファイアウォールではホストをIPアドレス、アプリケーションをポートで識別し、ACL(AccessControlList)でアクセス制御をかけていた。これに対して、PAシリーズでは700種類以上のアプリケーションを識別し、さらにActiveDirectoryとの連携により、ユーザーを特定できる。簡単にいえば、同じポート80番を異なるアプリケーションが利用しても、いずれかを識別できるのだ。とはいえ、フィルタリングはACLをベースにしており、UTMのように異なる操作や設定を必要としないというのが、UTMではなく、ファイアウォールを謳う1つの根拠でもあるという。こうしたアプリケーションやユーザーの動作はGUIのツールで可視化されており、リスクや脅威ごとに分類して表示される。

アプリケーションの可視化画面

アプリケーションの可視化画面

ファイアウォールと同じように使えるポリシーの設定画面

ファイアウォールと同じように使えるポリシーの設定画面

 また、やり取りされているトラフィックからウイルス、スパイウェア、脆弱性を突いた攻撃、不正なURLへのリクエストなどを検知し、不正アクセスを防ぐことができる。複数の技術を組み合わせるUTMと異なり、PAシリーズは同時検査するため、処理に無駄がない。

 もちろん、こうした処理をこなすにはそれなりのハードウェアが要求される。そこで、PAシリーズではマルチコアのCPUと、複数の専用プロセッサを組み合わせて、10Gbpsのパフォーマンスを実現している。

 価格は500Mbpsのスループットのエントリモデル「PA-2020」で、248万4000円からとなる。そのため、当初はトラフィックのパワーユーザーやユーザー動向を見える化したい大企業などがメインユーザーになると見ている。とはいえ、WANのギガビット化も進んでいることもあり、今後は中小企業でも検討するべき製品になってくるだろう。

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード