このページの本文へ

ハードウェア新モデル「PA-400シリーズ」「PA-5450」もラインアップに追加

パロアルト、ゼロトラスト戦略実現に向けた新機能群を提供開始

2021年07月07日 07時00分更新

文● 大塚昭彦/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 パロアルトネットワークスは2021年7月6日、ネットワークセキュリティにおける企業のゼロトラスト戦略実現を支援するものとして、新機能群および次世代ファイアウォールのハードウェア新機種2モデルを提供開始した。

 同日には同社 技術本部 アーキテクトの林章氏が出席して、パロアルトが実現するエンドトゥエンドのゼロトラスト環境の全体像や、ID管理/Webセキュリティ/SaaSセキュリティの3領域における新機能、ハードウェア新モデルの詳細を紹介した。

パロアルトが新機能群および新ハードウェアを発表

パロアルトネットワークス 技術本部 アーキテクトの林章氏

ID管理/Webセキュリティ/SaaSセキュリティの3領域における新機能

 まず、ID管理領域の新機能としては「Cloud Identity Engine」が提供される。これは、オンプレミスのIDプロバイダ(マイクロソフト「Active Directory」など)と、クラウド上のID/SSO(シングルサインオン)プロバイダ(「Azure AD」「Okta」「Google Identity」など)を併用しているハイブリッドなID環境において、それらのID情報を統合し、次世代ファイアウォール「PA/VMシリーズ」やSASE「Prisma Access」などのパロアルト製品における認証/認可に利用できるようにするもの。クラウドサービスとして、無償で提供される。

 林氏は、SaaS利用とリモートワークが常態化したことで、現在はID/SSOプロバイダがオンプレミスとクラウドのそれぞれに分散しており、セキュリティ製品をそれらと個別に接続する構成を行うには非常に大きな手間がかかっていたと説明。Cloud Identity Engineに仲介させることで、既存のIDプロバイダはそのまま維持しつつ、パロアルト製品における接続設定が大幅に簡素化されると説明した。

「Cloud Identity Engine」の概要。パロアルトのセキュリティ製品が参照するIDプロバイダを統合することで、接続構成を大幅に簡素化できる

 続くWebセキュリティ領域の新機能としては、URLフィルタリングにおいて未知のURLに対する防御力を提供する「Advanced URL Filtering」機能、新種のDNS攻撃にも対抗するDNSセキュリティ機能の拡充を紹介した。これらは「PAN-OS」を搭載する同社の次世代ファイアウォールや、Prisma Accessで利用できる(サブスクリプション購入が必要)。

 Advanced URL Filtering機能は、従来のURLフィルタリング機能を補完、強化するもの。

 従来のURLフィルタリング機能では、データベースに登録/分類済みの、既知のURLに対する防御能力しか備えなかったが、Advanced URL Filteringは未知のURLに対するアクセスにおいて、機械学習技術も適用しながらWebコンテンツの内容をリアルタイムに解析。有害なコンテンツと判断した場合はアクセスをブロックする。

 林氏は、現在の攻撃者は日々大量のフィッシング用URLを新規作成しており、しかもそのURLがクローラーに収集されないよう隠す行為も行うため、URLデータベースに基づく従来型対策だけでは効果的な対策が難しくなっていると指摘。Advanced URL Filteringが未知のURLに対するリアルタイム防御能力を提供することで、新たな攻撃手法にも対応できると説明した。なお同社テストでは、この機能で検出された有害なURLのうち40%は、他社製品では検出できなかったという。

従来のURLフィルタリング機能で判断できない未知のURLを、レスポンスに基づきリアルタイム判断する「Advanced URL Filtering」

 DNSセキュリティにおいても、新たな攻撃手法に対抗できるよう機能拡張を行っている。これまでも有害/高リスクなドメインや、ドメイン名生成アルゴリズム(DGA)に基づくアクセスを検知していたが、新たに7つの攻撃検出/保護機能を追加して、より強固にDNS攻撃を防ぐとしている。なお、こちらでも機械学習技術を活用しているという。

DNSセキュリティに7つの機能を追加し、最新のDNS攻撃手法にも対応を拡大した

 SaaSセキュリティでは、これまで「Prisma SaaS」として提供してきたAPI経由のSaaSアプリスキャンに加えて、PAN-OSにインライン型スキャン機能を追加。これにエンタープライズDLP機能も加えて、より包括的なSaaSセキュリティを実現する。同社では「統合型CASB」と表現している。

 PAN-OSのSaaSインラインセキュリティでは、App-IDによるSaaSアプリ識別と利用状況の可視化、“シャドーIT”の報告といった従来の基本機能に加えて、リスクスコアやカテゴリのカスタマイズ、コンプライアンスレポート、詳細なSaaSアプリ管理(アップロードやダウンロードの無効化など)などを可能にしている。

 なお、SaaSインラインセキュリティ機能、エンタープライズDLP機能は、PAN-OSでサブスクリプション購入が必要。またSaaS APIセキュリティはユーザー単位でのサブスクリプション購入となる。

SaaSセキュリティは、API経由のスキャンに加えて次世代ファイアウォール(PAN-OS)でのトラフィック解析と可視化に対応。利用状況を統合的に可視化する

 なお、機械学習技術を活用するAdvanced URL Filtering機能やDNSセキュリティ機能では、あらかじめパロアルト側でトレーニングおよびチューニングを行ったモデルが提供されるため、ユーザー側での学習期間は必要ない。また、運用中の機械学習による判断結果はクラウド経由でパロアルトにフィードバックされ、精度や能力をより強化していくという。

そのほかの主要な新機能

小型モデル「PA-400 Series」とスケーラブルな「PA-5450」を追加

 次世代ファイアウォールのハードウェアとしては、ブランチオフィスや店舗などの小規模拠点向け「PA-400 Series」と、ハイパースケールデータセンターやインターネットエッジ向けの「PA-5450」が新たに追加された。

小規模拠点向け「PA-400 Series」とデータセンター向け「PA-5450」

 PA-400 Seriesは、デスクトップ設置が可能でファンレス設計の小型アプライアンス。4つのモデルで構成され、脅威防御スループットは500Mbps~2.1Gbpsとなっている。

 ゼロタッチプロビジョニング(ZTP)機能によって、IT担当者のいない拠点でも容易に設置ができる。林氏は「非常にアグレッシブな価格設定のローエンドモデル」「競合他社比でおよそ10倍のパフォーマンスを実現する」とアピールした。

PA-400 Seriesのラインアップ

 一方、データセンター向けのPA-5450は、スケーラブルなプラットフォームを持ち、30Gbps~120Gbpsの脅威防御スループットを実現する。林氏は、このスケーラビリティによって「他社製品比で最大70%のTCO削減を実現する」と説明した。

PA-5450のユースケース。スケーラブルなプラットフォームのため、幅広い用途で利用できると説明した

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード