10月16日、パロアルトネットワークスはプレスラウンドテーブルを開催した。日本市場では業界に先駆けて次世代ファイアウォールを展開してきた同社。従来型のファイアウォールやアンチウイルス、IPS、APT対策製品など、さまざまなマルウェア対策製品とどう違うのか、創業者のニア・ズーク氏が語った。
境界防御型で今もっとも優位なのはNGFW?
「シグネチャはもう使い物にならないという議論があるが、それはアンチウイルスベンダーがヘマしたからだ」。IPSアプライアンスを世に出したOneSecure(その後ネットスクリーンが買収)の共同創業者であり、ネットスクリーン(その後、ジュニパーネットワークスが買収)やチェック・ポイント・テクノロジーズで辣腕を振るったニア・ズーク氏は、そう容赦なく斬る。
パロアルトネットワークス 創業者 最高技術責任者 ニア・ズーク氏
パロアルトネットワークスの「PAシリーズ」は、疑わしい実行ファイルなどを自社のクラウドベース分析エンジン「WildFire」に送信し、マルウェアと判定されたものは即時シグネチャを生成。その後、すぐに世界中のPAシリーズへと適用される。
「収集、シグネチャ生成、適用までにかかる時間は30分以内。しかも、最新のシグネチャは随時配信される。このリアルタイム性が実現できていれば、〝シグネチャは使えない”などと言われることもなかったはずだ」(ズーク氏)。
マルウェア判定の精度についても、ズーク氏はどこよりも高いと述べる。実際、同社の調査によると、同社が検出した未知のマルウェアを1週間経っても検出できず、ブロックできていないアンチウイルスベンダーが4割近くあったという。
大手アンチウイルスベンダー5社による未知のマルウェア検出結果(パロアルト調査)
また、従来のポート型ファイアウォールやIPS、最近人気の標的型攻撃(APT)対策製品と比べても、NGFWの方が優位だと言う。たとえば従来のポート型ファイアウォールでは、アプリケーションの通信をブロックするか通すかの二択しかなく、「Facebookの閲覧は許可して、ゲームをブロックする」といったきめ細かな設定ができない。「NGFWは、アプリケーションを安全に使ってもらうという視点の製品。完全に利用禁止することはない」(ズーク氏)。
APT対策製品は、サンドボックス機能でメール添付の不正なPDFや実行ファイルなどを弾き出せるが、DropBoxなど外部アプリケーションサービスを経由したファイルについては基本的に検出できない。また、これら機能を追加実装する統合脅威管理(UTM)製品も、モジュールやブレードでエンジンを追加していくことから、機能を有効にするほどにパフォーマンスが落ちてしまい、実用性が下がるという。NGFWは1つのエンジンで高速処理するので、マルチギガビット環境にも十分耐えうる性能を出せる。
このほか、C&Cサーバーとの通信のブロックなどを含め、入口・内部・出口対策を総合的に実現し、1つのエンジンで高パフォーマンスを出せるのは、NGFWのPAシリーズしかないと同氏は断言する。「NGFWと称する製品も多くある。名乗るのは簡単だ。しかし、本当にそう呼べるかどうかは疑問だ」(ズーク氏)。
各種セキュリティ製品の対応状況を示した図。上部の絵の意味は、左から「従来のマルウェアの検知」「サンドボックス機能」「マルウェアをブロックするシグネチャ生成」「C&Cサーバのブロック用シグネチャ生成」「C&Cとの接続をブロックするDNSシグネチャ生成」「マルウェア配信サイトのURLリスト生成」
革新し続ける精神を忘れない
同社は、2013年に前年比50%の成長率を達成したという。その理由について、ズーク氏はイノベーションする心を忘れていないからと即答する。「どこの企業も、創業当初はイノベーションに重きを置いているが、時間が経つにつれ、どうしても販売やマーケティング中心に移行してしまう。2005年の創業当時、私は革新し続ける精神を絶対に忘れないと心に誓った。それを守り続けていくことが、会社の成長につながっていると信じている」(ズーク氏)。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
