ファイアウォールベンダーのパロアルトネットワークスは、最新のソフトウェア「PAN-OS 3.0」と新機種「PA-500」を投入した。アプリケーション可視化を実現する「次世代ファイアウォール」を謳う同社の製品は、機能面の拡充を図り、より精度を高めつつある。
アプリケーションまで識別するPAシリーズ
2005年に設立されたパロアルトネットワークスは、次世代ファイアウォールを謳う「PAシリーズ」を提供するベンチャー。先頃日本法人も設立され、ネットワンシステムズと日立システムが製品を扱っている。
米パロアルトネットワークス ワールドワイド セールス担当 バイスプレジデント ラリー・リンク氏
PAシリーズの最大の特徴はアプリケーション、ユーザー、コンテンツを適切に識別できるという点だ。米パロアルトネットワークスのラリー・リンク氏によると「現在、ほとんどの会社のエンドユーザーは好きなアプリケーションを勝手に使っています。しかもこうしたアプリケーションはポートをくぐったり、トンネルを構築したり、ファイアウォールを回避するような仕掛けを持っています」というのが現状。同社の調査によると「8割以上のアプリケーションがセキュリティ装置を迂回できるようになっています。また、P2Pは9割以上、ブラウザベースのファイル共有は7割以上の企業で確認しました。しかも、これらの企業の多くは、すでにファイアウォールやIPSなどを導入済みという結果です」(パロアルトネットワークス合同会社 技術本部長 乙部幸一朗氏)となっており、アプリケーション制御の重要性が明らかになっているという。
ポートやIPアドレスなどに依存せず、アプリケーションやユーザーを識別するのが、ファイアウォール本来の仕事だという
これに対してPAシリーズでは、アプリケーション、ユーザー、コンテンツを認識し、アクセス制御の対象とする。特にアプリケーションに関しては、同じポートを使った異なるアプリケーションを識別でき、約850種類のアプリケーションをサポートするという。「たとえば、同じ80番のポートを使いつつ、Facebookのトラフィックのみをブロックすることも可能です」(ラリー氏)。このようにファイアウォールを名乗りながら、ポートベースやIPアドレス、プロトコルのみをフィルタリングするのではない点が「次世代」を謳う最大のポイントといえる。
QoS、SSL-VPN、IPv6の新機能が追加
パロアルトネットワークス合同会社 技術本部長 乙部幸一朗氏
今回発表されたのは、PAシリーズに搭載されるソフトウェアの新バージョン「PAN-OS 3.0」。新機能としては、トラフィックに対して優先制御や帯域確保を実現するQoS(Quality of Service)、リモートアクセスのSSL-VPN、IPv6のサポート(レイヤ1での透過を可能にする「Vwire」というモード上でのみ動作)などが挙げられる。「QoSを使うと、識別したアプリケーションやユーザー単位でトラフィックシェーピングをかけられます。また、VPNに関しては、トンネル内のトラフィックに関しても、詳細に制御可能です。いずれも追加ライセンスなしで利用できます」(乙部氏)とのこと。ファイアウォールという名称ながらも、機能面では完全にUTMと同等の機能を実現したといえよう。
また、同社のエントリモデルとして「PA-500」を発表した。PA500は8つのギガビットポートを搭載し、ファイアウォールスループット250Mbps、脅威防御スループット100Mbpsを実現。同社製品では初めて100万円を切る価格を実現するという。
新プラットフォーム「PA-500」は低価格で導入しやすい
PAシリーズ登場時に「アプリケーショントラフィックを識別できる新しいファイアウォール」を謳ったパロアルトのメッセージが、他のUTM・ファイアウォールベンダーに影響を与えたのは間違いない。最近は多くのベンダーが制御可能なアプリケーションの数を競っている状態だ。
こうした他社との差別化に関してラリー氏は「アプリケーションの可視化という業界全体の方向性は正しいと思いますが、PAシリーズと同じことをやろうと思ったら、レガシーのファイアウォールベンダーは製品をイチから作り直さなければなりません。他社はIPSのシグネチャをオンにすれば、ブロックできるといったレベルだと思います」と述べている。
