「次世代ファイアウォール」を手がけるパロアルト・ネットワークスのCTOがまた吠えた! 昨年、「もはやファイアウォールはなんの役割も果たしていない」という提言をしてくれた同社のCTOのニル・ズーク氏に、他社製品との違いについて存分に語ってもらった。
拡がりはじめた次世代ファイアウォールの概念
5月の情報セキュリティEXPO、6月のInterop Tokyo 2010などのセキュリティ関連イベントでキーワードを挙げるとすれば、その1つは「次世代ファイアウォール」になるだろう。次世代ファイアウォールは、数多くのトラフィックがすでにポート80番に集中している現状を前提に、アプリケーションの動きを可視化し、ユーザー、コンテンツと結びつけて細かい制御ができるセキュリティ製品を指す。複数のセキュリティ機能を統合化したUTMとは異なる製品ジャンルとして、この次世代ファイアウォールのコンセプトを拡げたのが、パロアルトネットワークスである。
パルアルト・ネットワークスのCTOであるニル・ズーク氏
パロアルトネットワークスのCTOであるニル・ズーク氏にこの1年の動向を聞くと、この「次世代ファイアウォール」の認知が向上したこととそれにともなう同社の好調な業績が挙げられるという。「昨年、調査会社のガートナーが『もはやファイアウォールもIPSも買うべきではない。次世代ファイアウォールこそ導入すべきだ』といった内容の報告書を出した。そしてこの分野では私たちはリーダーであり、パロアルトの次世代ファイアウォールの定義自体をガートナーが受け入れた」(ズーク氏)とのことで、他社も次々と次世代ファイアウォールと謳い出した状況だ。
確かに最近ではソニックウォールやマカフィーを筆頭に、次世代ファイアウォールを謳うベンダーは増えてきた。しかし、ズーク氏は「次世代ファイアウォールは特殊なハードウェアが必要。ソフトウェアや研究機関などの精度もあるので、他社は追いつくのは3年かかる」と一刀両断。元チェック・ポイントやジュニパーの経験者たちが作った会社だけに、まったくベンチャーながら老かいで余裕すら感じる。
複数の脅威に一台で対抗できるという点では、UTMと次世代ファイアウォールは似ている部分もあるが、設計自体が実は大きく異なるという。「たとえば、スパイウェアの検知を見てみると、UTMの場合はスパイウェアによるWebサイトへのアクセス遮断はWebフィルタリング、ダウンロードを検出するのがアンチウイルス、そしてスパイウェア自体が載っているを調べるのはIPSといったように、3つのエンジンを使う。しかし、次世代ファイアウォールは単一のエンジンでスパイウェアの検知を処理できるため、異なる機器の統合化が図れるし、パフォーマンスもよい」(ズーク氏)。
ハイエンドモデル「PA-4060」
また、市場の観点でも「そもそも(ソニックウォールのような)UTMは、中堅中小企業向けのソリューションなので、エンタープライズにフォーカスする私たちの競合製品ではない。あくまで敵はシスコ、ジュニパー、チェック・ポイント」とコメント。確かに同社の次世代ファイアウォールは、価格的にも完全に大企業向け。ローエンド製品を中堅中小企業が、あえて手が出せない価格設定にする一方で、高価な価格に見合ったサポートを提供するという。
一方、アンチウイルスやIPSに対する競合ポイントは、やはりアプリケーションレベルでの制御の可否だという。ズーク氏は「SNSを用いた攻撃は非常に巧妙になっている。これに対抗するためには、Twitterなり、Flashなりアプリケーションレベルを細かく識別しないと、攻撃は防げない。こうした部分に関しては、アンチウイルスやIPSに比べて優れている」と語る。
見える化から目をそらす顧客もいる
とはいえ、パロアルト製品がすべての企業や機関で障壁なく入っているのではない。一番、障壁になるのは「見える化することによって、問題が顕在化することを認めること」だという。「課題を理解している人はすぐにテストを行ない、導入を決定する。しかし、問題があるけど、顕在化していないと導入にまで進まない」(ズーク氏)。また、日本ではセキュリティの管理担当者がさまざまな部署に散っていたりするのも、難しいポイントのようだ。
今後の予定としては、より高速なハードウェアプラットフォームの予定があるほか、IPv6のルーティングやマルチキャストなどのネットワーク機能の充実を図る予定。来年インタビューするときには、また威勢のいいコメントを期待したい。
