Tweet

ファイアウォール製品を強化、機能単位でアプリ制御を可能に

「単純な許可／ブロックでは解決できない」、パロアルト

2010/04/12

　パロアルトネットワークスは4月12日、同社のファイアウォール製品「PAシリーズ」のOSをバージョンアップした。同時に、KDDIが、法人向けネットワークサービス「KDDI Wide Area Virtual Switch」向けの仮想専用型ファイアウォールとして、PA-4050を採用したことも発表した。

　PAシリーズは、アプリケーションやコンテンツ、ユーザーといった情報を識別した上で処理を行い、システムを攻撃から保護するファイアウォールアプライアンスだ。

米パロアルトネットワークス 社長兼CEO レーン・ベス氏

　従来より存在したステートフルインスペクション型ファイアウォール製品では、ポート番号やIPアドレスを基に制御を行うが、この場合、同じポート番号を利用する異なるアプリケーションを区別し、コントロールすることができない。「現在ではアプリケーションが多様化した結果、ネットワークが複雑化し、脆弱性が増えている。これまでのファイアウォールテクノロジではこの問題を解決できない」（米パロアルトネットワークスの社長兼CEO、レーン・ベス氏）。

　これに対しPAシリーズは、アプリケーションを識別する「App-ID」、ユーザーを識別する「User-ID」、脅威を識別する「Content-ID」という3つの情報を組み合わせて、許可すべきトラフィックとそうでないトラフィックを識別し、細かな制御を行う。またこの結果、どのアプリケーションがどのように利用されているかという情報を把握し、トラフィックの可視化も可能にする。

　「アプリケーションプロキシやIPSでも『アプリケーションに対する制御が可能』とうたう製品があるが、単純にブロックするか、許可するかだけの二者択一。PAシリーズは、同じアプリケーションでもユーザーに応じてコントロールするという具合に、アプリケーションを許可しながら、きめ細かく制限を加えることができる」（同社 PAN-ONプロダクトマネージャ、クリス・キング氏）。

　キング氏は、ソーシャルネットワークサービスをはじめとするアプリケーションの多様化と普及によって、ファイアウォールにもアプリケーションレベルのインテリジェンスが求められていると述べた。「エンタープライズアプリケーションには大きな変化が起こっており、ソーシャルネットワークやコラボレーション用のアプリケーションが、企業ネットワークでも広く利用されるようになってきた。しかし不幸なことに、脅威の側もそれを認識し、こうしたアプリケーションに攻撃を集中させている」（同氏）。

　「問題は、こうしたアプリケーションというものは、単純にブロックすることも、許可することもできない性質を持つ。うまくメリットを享受しながら、リスクを排除していかなければならない」（同氏）。

　PAシリーズのソフトウェアの最新版「PAN-OS 3.1」では、こうした課題の解決に向け、各機能を強化した。例えばApp-IDに関しては、階層的にポリシーを設定できるようにしたという。これにより、例えば「Facebookの利用自体は許可するが、Facebook Chatは禁止する」といった具合に、同一のアプリケーションに含まれる複数の機能を制御できる。

　User-IDについては、Active Directoryに加え、eDirectoryやOpenLDAPに対応。さらに日本語を含む2バイトのユーザー名やグループ名に対応した。またContent-IDでは、ユーザー自身がカスタムシグニチャを作成してフィルタリングを行えるようにしたほか、JavaScriptでエンコードされたウイルスやマルウェアのスキャニングを可能にした。さらに、PPPoEやBGPのサポート、ポリシーベースのフォワーディング対応といった機能を追加したという。PAN-OS 3.1は、保守契約に加入している既存ユーザーには無償で提供される。