モバイル/リモート拠点保護の「GlobalProtect cloud service」、同時にログ収集サービスも
次世代への布石、パロアルトが新クラウドサービス国内提供開始
2017年09月13日 07時00分更新
パロアルトネットワークスは9月12日、クラウド型セキュリティサービス「GlobalProtect cloud service」の国内提供開始を発表した。次世代ファイアウォール(NGFW)基盤をクラウドサービスとして提供することで、自社ゲートウェイを経由することなく、モバイルユーザーやリモート拠点向けのセキュアなインターネットアクセスを提供できる。
同サービスでは、大量のログデータをクラウド上で蓄積、可視化、活用可能にする仕組みとなっており、今年6月に構想を発表した「Application Framework」の提供に向けた布石ともなっている。
今月末から国内提供を開始する「GlobalProtect cloud service」の概要
発表会に出席した、米パロアルトネットワークス クラウド セキュリティ プロダクトマーケティングのクリス・モロスコ(Chris Morosco)氏
次世代ファイアウォールをクラウドで提供するサービス
パロアルトでは、2010年から「GlobalProtect」の名称でモバイルエンドポイント(PCやスマートデバイス)向けのセキュリティ対策ソリューションを提供してきた。これは、エンドポイントデバイスのインターネットトラフィックを、オンプレミス環境や自社クラウド環境に設置したパロアルトの次世代ファイアウォールを経由させることで、トラフィックの検査や一元的なポリシー適用を可能にするソリューションだ。ただし、あくまでも自社環境で次世代ファイアウォールを運用していることが利用の前提となっている。
一方、今回提供を開始するGlobalProtect cloud serviceは、クラウドインフラおよび次世代ファイアウォール(インスタンス)をパロアルトがクラウドサービスとして提供する。次世代ファイアウォールを自社で導入/構築する必要がなく、基本的な運用(プロビジョニング、OSなどの更新、サービス監視など)もパロアルトが行う。
顧客企業(または顧客のパートナーやマネージドセキュリティサービスプロバイダ)がユーザー設定やポリシー設定などを行うと、次世代ファイアウォールのインスタンスは日本を含むグローバルの拠点に分散配置される。モバイルユーザーがインターネットアクセスする際は、最寄りの拠点に配置されたインスタンスに接続される仕組みだ。また顧客のIT管理者は、管理ツールの「Panorama」を通じて一元的に管理や監視ができる。本社にはオンプレミス版を導入し、海外拠点など他の拠点では同サービスを利用するという形態も可能だ。
GlobalProtect cloud serviceと、従来型導入形態とを比較。導入の複雑さや運用負荷を解消できるとしている
米パロアルトでプロダクトマーケティングを務めるクリス・モロスコ氏は、従来方式のソリューションには高コスト/低パフォーマンス、ポリシー/セキュリティ機能の一貫性欠如、構築の複雑さと運用負荷の高さといった課題があったことを指摘。GlobalProtect cloud serviceは短期間で導入でき、一貫性があり、グローバルなスケーラビリティが確保されているうえ、運用負荷も低いと、その特徴を説明した。
従来、リモート拠点/モバイルデバイスにセキュリティ保護を適用するうえでは幾つもの課題があった
GlobalProtect cloud serviceは、「リモート拠点接続」と「モバイルユーザー接続」という2つの導入形態が用意されている。いずれもクラウド上の顧客専用ネットワークセグメントに対し、各拠点/モバイルデバイスがIPsec/SSL VPN(リモート拠点の場合はSD-WANも可)経由で接続するかたちとなる。
利用料金プラン(ライセンス形態)は、リモート拠点接続の場合は帯域幅のプール量(200Mbps~10Gbps)、モバイルユーザー接続の場合はユーザー数に基づいて設定される。同サービスは9月末から各国内販売パートナー/マネージドサービスプロバイダ経由で販売を開始することになっており、最終的な利用料金は販売元により異なる。
なお、同サービスにはすべてのセキュリティサブスクリプション(脅威防御、URLフィルタリング、WildFire)が含まれており、オプションとしてSaaSセキュリティ(Aperture)、 脅威アナリティクス(AutoFocus)もアドオンすることができる。
「Application Framework」の中核をなすログ収集サービスも提供
前述のとおり、GlobalProtect cloud serviceには大量のログデータをクラウドで蓄積するLogging Serviceも含まれる(契約は別途必要)。ただしLogging Serviceは、GlobalProtect cloud serviceからだけでなく、従来型(アプライアンスなど)の次世代ファイアウォールからもログデータを収集、統合する。
GlobalProtect cloud serviceに含まれる「Logging Service」の概要。次世代ファイアウォールからログデータを収集、蓄積し、可視化/分析可能にする
このLogging Service(と収集されるログデータ)は、「6月に発表されたApplication Frameworkの中核をなすものだ」と、モロスコ氏は説明した。
Application Frameworkは、ユーザー環境から取得した大量のログデータとパロアルトが提供する脅威インテリジェンスをクラウド上で蓄積/可視化/分析可能にし、そのビッグデータを多様なセキュリティサービス(アプリケーション)で活用できるようにする次世代プラットフォームだ。パロアルトではこのプラットフォームをサードパーティにも開放する計画で、6月時点ですでに30社が開発パートナーとして名乗りを上げている。
6月に発表された「Application Framework」のアーキテクチャ図。Logging Serviceがコアコンポーネントとして含まれる
つまり、今回のGlobalProtect cloud serviceは、従来のGlobalProtectにあった課題を解決し、顧客企業により柔軟な導入/購入形態の選択肢を提供すると同時に、セキュリティのクラウドサービス化を進めるApplication Frameworkへの布石ともなっている。
Logging Serviceのクラウドデータセンターは、現在は米国とEMEAに配置されており、パロアルトでは将来的に日本での配置も検討していくと述べている。また、Application Frameworkの本格提供開始は2018年前半を予定している(日本市場での提供予定は未発表)。
