4月12日、パロアルトネットワークス(以下、パロアルト)は同社の次世代ファイアウォール製品に搭載されるソフトウェアの最新バージョン「PAN-OS 3.1」を発表した。また、他社との差別化ポイントや大手キャリアへの採用事例なども合わせて披露された。
次世代ファイアウォールの定義とは?
パロアルトが標榜する「次世代ファイアウォール」(Next Generation Firewall:NGFW)は、既存のファイアウォール製品がトラフィックの制御をポート番号やプロトコル種別に基づく比較的単純な判断で実施しているという問題点を解消する概念や製品を指す。現在のネットワーク環境では、“80番ポート(HTTP)ならファイアウォールを通過できる”ことから、さまざまなアプリケーションがHTTPをトランスポートプロトコルとして利用するようになっている。逆にいえば、特定のアプリケーションを対象とした処理をファイアウォールに実装することがきわめて困難になっているということになる。また、仮に特定のアプリケーションを対象とした制御が実現しても、取り得るアクションは「許可」か「遮断」かのいずれか、という機械的なものとなる。
「次世代ファイアウォール」を謳う同社のPAシリーズのハイエンドモデル「PA-4060」
これに対してパロアルトでは、ファイアウォール上でアプリケーションの識別を行なう“App-ID”という技術を開発した。さらにアクションについてもより柔軟に「トラフィックの通過を許可するが○○もする」といった複合的な動作を指定できる。これらを実装するソフトウェアが同社のファイアウォールアプライアンスに搭載される「PAN-OS」である。
「従来型ファイアウォール+IPS」(上)とパロアルトの「次世代ファイアウォール」の違い
最新バージョン「PAN-OS 3.1」では、同社独自の技術である「アプリケーション/ユーザー/コンテンツ」それぞれに対するポリシーベース制御の機能をさらに強化。以前は、同一アプリケーションであっても、異なる機能ごとに異なるApp-IDを登録していた。しかし、PAN-OS 3.1ではApp-IDが階層化され、“複数の機能を含むアプリケーション”という単位で登録できるようになった。これによって、より柔軟なアクションを指定することができ、可視化や制御も容易になったという。
PAN-OS 3.1の主な拡張ポイント
また、対応ルーティングプロトコルとして、従来のOSPFとRIPに加えてBGPもサポートされたほか、特に日本市場でニーズが高いPPPoEサポートが追加されるなどの機能拡張が行なわれた。同日付で提供開始され、保守契約加入ユーザーは無償でバージョンアップが可能になっている。
「KDDI Wide Area Virtual Switch」に採用
また、事前予告なしの“サプライズ”的な演出で、同社のハイエンド・モデルであるPA-4050がKDDIの「KDDI Wide Area Virtual Switch(KDDI WVS)」の仮想専用型ファイアウォールとして採用されたことも発表された。KDDI WVSは、「広域仮想スイッチ」という新しい概念に基づく広域データ・ネットワーク・サービスだ。
パロアルトネットワークス合同会社(日本法人)社長 金城 盛弘氏
パロアルトネットワークス社長の金城 盛弘氏は、「パロアルトが日本で事業を開始してまだ1年しか経っていない。当社のコンセプトの先進性はかなり知られるようになってきたが、日本のユーザー企業は新しい技術には強い関心を持つ反面、受け入れには極めて慎重だという傾向が強い。にも関わらず、国内の主要キャリアであるKDDIが採用したということは製品の優秀さの証明といえる」とした。また、国内の大学50校で導入された実績もあるといい、短期間で急速に市場に受け入れられつつあることを強調した。
米本社パロアルトネットワークス 社長兼CEOレーン・ベス氏
発表会には、米本社の社長兼CEOであるレーン・ベス氏も顔を揃えた。同氏は、「現在のファイアウォール市場で次世代ファイアウォールが占める割合は1%だが、2014年には60%に達するだろう」というガートナーの予測を紹介し、さらに「現在パロアルトは次世代ファイアウォールのリーダー企業だと認知されているが、2014年の段階でも引き続きリーダーの地位を維持していると予想されている」とした上で、「現在当社は次世代ファイアウォールの代表的な企業と目されているが、2014年には誰も“次世代ファイアウォール”のことを話題にすることはなく、“ネットワークセキュリティとはパロアルトのこと”という認識が一般化しているだろう」という強烈な自信を語った。
アプリケーションレイヤでのトラフィック制御は、競合他社にも「できる」とされている製品があるが、金城氏は「パロアルト製品では複雑なルール設定を行なってもワイヤスピードでの処理が維持されるが、他社製品では額面通りのパフォーマンスを発揮できると実証できたものはなく、そのことが採用拡大につながっている」と語り、技術面で大きなアドバンテージがあることを強調した。
