このページの本文へ

他社のNGFWやUTM、APT対策製品との違いを語り尽くす!

簡単にNGFWと名乗るな!パロアルト創業者がいろいろ斬る

2013年10月17日 06時00分更新

文● 谷崎朋子

  • この記事をはてなブックマークに追加
  • 本文印刷

10月16日、パロアルトネットワークスはプレスラウンドテーブルを開催した。日本市場では業界に先駆けて次世代ファイアウォールを展開してきた同社。従来型のファイアウォールやアンチウイルス、IPS、APT対策製品など、さまざまなマルウェア対策製品とどう違うのか、創業者のニア・ズーク氏が語った。

境界防御型で今もっとも優位なのはNGFW?

 「シグネチャはもう使い物にならないという議論があるが、それはアンチウイルスベンダーがヘマしたからだ」。IPSアプライアンスを世に出したOneSecure(その後ネットスクリーンが買収)の共同創業者であり、ネットスクリーン(その後、ジュニパーネットワークスが買収)やチェック・ポイント・テクノロジーズで辣腕を振るったニア・ズーク氏は、そう容赦なく斬る。

パロアルトネットワークス 創業者 最高技術責任者 ニア・ズーク氏

 パロアルトネットワークスの「PAシリーズ」は、疑わしい実行ファイルなどを自社のクラウドベース分析エンジン「WildFire」に送信し、マルウェアと判定されたものは即時シグネチャを生成。その後、すぐに世界中のPAシリーズへと適用される。

 「収集、シグネチャ生成、適用までにかかる時間は30分以内。しかも、最新のシグネチャは随時配信される。このリアルタイム性が実現できていれば、〝シグネチャは使えない”などと言われることもなかったはずだ」(ズーク氏)。

 マルウェア判定の精度についても、ズーク氏はどこよりも高いと述べる。実際、同社の調査によると、同社が検出した未知のマルウェアを1週間経っても検出できず、ブロックできていないアンチウイルスベンダーが4割近くあったという。

大手アンチウイルスベンダー5社による未知のマルウェア検出結果(パロアルト調査)

 また、従来のポート型ファイアウォールやIPS、最近人気の標的型攻撃(APT)対策製品と比べても、NGFWの方が優位だと言う。たとえば従来のポート型ファイアウォールでは、アプリケーションの通信をブロックするか通すかの二択しかなく、「Facebookの閲覧は許可して、ゲームをブロックする」といったきめ細かな設定ができない。「NGFWは、アプリケーションを安全に使ってもらうという視点の製品。完全に利用禁止することはない」(ズーク氏)。

 APT対策製品は、サンドボックス機能でメール添付の不正なPDFや実行ファイルなどを弾き出せるが、DropBoxなど外部アプリケーションサービスを経由したファイルについては基本的に検出できない。また、これら機能を追加実装する統合脅威管理(UTM)製品も、モジュールやブレードでエンジンを追加していくことから、機能を有効にするほどにパフォーマンスが落ちてしまい、実用性が下がるという。NGFWは1つのエンジンで高速処理するので、マルチギガビット環境にも十分耐えうる性能を出せる。

 このほか、C&Cサーバーとの通信のブロックなどを含め、入口・内部・出口対策を総合的に実現し、1つのエンジンで高パフォーマンスを出せるのは、NGFWのPAシリーズしかないと同氏は断言する。「NGFWと称する製品も多くある。名乗るのは簡単だ。しかし、本当にそう呼べるかどうかは疑問だ」(ズーク氏)。

各種セキュリティ製品の対応状況を示した図。上部の絵の意味は、左から「従来のマルウェアの検知」「サンドボックス機能」「マルウェアをブロックするシグネチャ生成」「C&Cサーバのブロック用シグネチャ生成」「C&Cとの接続をブロックするDNSシグネチャ生成」「マルウェア配信サイトのURLリスト生成」

革新し続ける精神を忘れない

 同社は、2013年に前年比50%の成長率を達成したという。その理由について、ズーク氏はイノベーションする心を忘れていないからと即答する。「どこの企業も、創業当初はイノベーションに重きを置いているが、時間が経つにつれ、どうしても販売やマーケティング中心に移行してしまう。2005年の創業当時、私は革新し続ける精神を絶対に忘れないと心に誓った。それを守り続けていくことが、会社の成長につながっていると信じている」(ズーク氏)。

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード