GlobalProtect、そして最速のPA-5000を投入!
次にマーケティング担当副社長のルネー・ボンバニー氏が「会社設立以来、最大のローンチ」を謳う、新しい製品、ハードウェア、OSなどを紹介した。
米パロアルト マーケティング担当副社長のルネー・ボンバニー氏
モバイル環境のPCをPAシリーズで保護
まず「GlobalProtect」は昨年、開発表明が行なわれていたもので、モバイル環境向けのPAN-OSのオプションにあたる。物理的なロケーションにかかわらず、端末をPAシリーズの保護下に置くことが可能になる。
業務で使うPCは、いったん会社の外に出ると、ファイアウォールの保護から外れてしまう。これに対しては、今までさまざまなアプローチが試されており、「ソフトウェアのファイアウォールやIPSなどをPCに載せたり、全トラフィックを会社のネットワーク経由で通信させたり、プロキシを用いる方法」(ボンバニー氏)があったという。しかし、実際は管理が面倒、オーバーヘッドが高い、暗号化したトラフィックに対応できないといった問題があり、現実的ではなかった。
GlobalProtectの紹介
これに対して、GlobalProtectではPCに小型のエージェントを導入。自身がPAシリーズ配下に存在しない場合、自動的にPAシリーズにSSL-VPNを構築し、モバイル環境にありながら社内のPAシリーズ経由でアクセス制御できる。GlobalProtectがアクセスする接続先としては、顧客であるエンタープライズの企業自身が設置するほか、サービスプロバイダー経由から提供されるマネージドサービスを利用するというパターンもある。GlobalProtectはPAN-OS 4.0のオプションとして提供される。
最速の次世代ファイアウォール「PA-5000シリーズ」
次に紹介されたのは、最速の次世代ファイアウォールを謳うハイエンド機「PA-5000」シリーズだ。「設計、開発、製造まですべてカリフォルニアで行なわれた。これまでのどの製品よりも速いというだけではなく、最大400万という同時セッションをこなせる」(ボンバニー氏)。これを実現するためにSSL・IPsecの暗号化やシグネチャマッチング、QoS、スイッチングなどCPUの負荷をオフロードする40以上のチップが搭載されているほか、30GB以上という潤沢なメモリが用意されているという。チップは従来と同様、量産効果の高いかわりにアップグレードできないASICではなく、ロジックの書き換えが可能なFPGAが採用されている。
潤沢なハードウェアで速度を実現するPA-5000シリーズのアーキテクチャ
PA-5000シリーズは2Uのラックマウント筐体を採用しており、5Gbpsのファイアウォールを搭載する「PA-5020」、同じく10Gbpsの「PA-5050」、同じく20Gbpsの「PA-5060」の3機種が用意されている。ホットスワップ可能なファンと冗長化電源を搭載するほか、専用の管理やHA用のインターフェイスが用意されている。
20Gbpsのファイアウォールスループットを実現するPA-5000シリーズ
最新OS「PAN-OS 4.0」で見えないアプリはなくなった?
最後は最新OS「PAN-OS 4.0」が紹介された。PAN-0S 4.0はPAシリーズに搭載されているソフトウェアで暗号化トラフィックを含む全トラフィックの監視、ネットワーク迂回の管理といった機能に加え、新バージョンではセキュリティ機能を中心に50以上の新機能を追加したという。まずActive Directoryだけではなく、他の社内アプリケーションともユーザーIDが連携可能になったほか、ボットネット感染したクライアントPCのトラフィックを検知する機能が搭載されている。同社では、100%の可視化を実現するための努力を行なっており、ファイアウォールを回避するアプリケーションのほか、SSLやSSHでトンネリング、悪意のあるアプリケーション、プロキシ経由の通信などほとんどのアプリケーションを網羅しているという。
Drive By Download攻撃や国別フィルタも可能に
パロアルト マーケティング部長の菅原継顕氏
最後に、パロアルト マーケティング部長の菅原継顕氏が日本での展開や詳細な機能説明を補足した。まず、GlobalProtectに関しては、スマートフォンやモバイルWiFiルーターなどが普及している国内では特に需要が高いと見ている。PAN-OS 4.0では、Gumblerなどで多用されたDrive By Download攻撃への対応も実現したという。Drive By Download攻撃は、改ざんされたサイトやリダイレクトされたサイトからマルウェアを強制的にダウンロードさせられるもの。PAシリーズでは意図しないダウンロードを防ぐため、ポップアップでユーザーに許可を求めることが可能にある。
さらに国を条件としたフィルタやポリシー制御も可能になった。これはネットワークアドレスがどの国に所属しているかを登録したデータベースにより実現しているという。
GUIの改良やパフォーマンスに焦点を合わせるベンダーが増えている一方、次世代ファイアウォールの元祖としての自負を持つパロアルトは、実に正攻法ともいえるセキュリティ機能にフォーカスした強化を施し、新製品を投入してきた。今後は、リプレースを容易に行なわないエンタープライズのユーザーをいかに丁寧に次世代ファイアウォールに移行させていくかが、勝負となる。
