「Facebook禁止令はベルリンの壁と同じ」と創業者
パロアルトがファイアウォール強化、場所を問わずにセキュリティ適用
2011/03/02
パロアルトネットワークスは3月2日、セキュリティアプライアンス「PAシリーズ」の基盤をなす専用OS「PAN-OS」をバージョンアップし、多数の新機能を追加した。同時に、データセンターなどをターゲットにした上位機種「PA-5000シリーズ」も発表した。
PAシリーズは、アプリケーションとユーザーに基づいてアクセスを制御するセキュリティアプライアンス製品だ。アプリケーションを識別する「App-ID」とユーザー/グループを管理する「User-ID」に基づいてコンテンツをスキャンし、どのような通信が行われているか、マルウェアや外部に流出すべきでない情報が含まれていないかどうかを検査する。Facebookなど多様なアプリケーションの利用を許可しながら、チャットのような特定の機能だけは利用不可にするなど、きめ細かくコントロールできることが特徴だ。
IPアドレスやポート番号だけで制御を行う従来型のファイアウォールに対比する形で、同社はこれを「次世代ファイアウォール」と表現している。
米パロアルトネットワークスの創業者兼CTO、ニア・ズーク氏「ファイアウォールをはじめとする従来のセキュリティ製品は、Webとメールしかなかった過去のインターネットを前提に開発されたもの。しかし、いまのインターネットには、Facebook、Twitter、WebExにSkype、P2Pファイル共有にブラウザベースのファイル共有、Dropbox、Gmail……こうした多様なアプリケーションがあり、それを多くのユーザーが使っている」(米パロアルトネットワークスの創業者兼CTO、ニア・ズーク氏)。
ズーク氏はかつてチェック・ポイント・ソフトウェア・テクノロジーズやネットスクリーンに所属し、ステートフル・インスペクション方式の開発に当たった当の本人。だが、「過去のセキュリティ技術でスキャンできるのはWebと電子メールだけ。FacebookやWebEx、SharePointのトラフィックをスキャンし、マルウェアや情報漏えいを見つけ出すことはできない」とした。
こうした従来の製品で、新しいアプリケーションを介したリスクを排除する最も単純な方法は、利用をブロックしてしまうこと。しかしそれは「まるでベルリンの壁を築くようなもの。企業が欲しているのは、Facebookなどのアプリケーションを安全に使う方法だ」(ズーク氏)。パロアルトの製品は、すべてのアプリケーションを対象にスキャンとコントロールを行い、「どこまでしていいのか、何はだめなのか」を明確にすると説明した。
社外にいても同じセキュリティを適用
パロアルトは今回の機能強化で、まず「GlobalProtect」というオプションを追加した。
クラウドの普及やコンシューマライゼーションによって、ユーザーは場所を問わずにアプリケーションを利用するようになった。この結果、かつて企業の内と外とを分けていた境界が、次第に意味をなさなくなっている。
「アプリケーションもユーザーも企業の外に出ていっているのに、社内にいるのと同じようにセキュリティをコントロールしなければならない」(米パロアルトのマーケティング担当副社長 ルネー・ボンバニー氏)という狙いから追加した機能だ。
特に「最近はモバイルWi-Fiルータや携帯電話などにより、たとえPC本体は社内の机の上にあっても、外にいるのと同じようにセキュリティを迂回できてしまう。これはとても危険な状態で、バックドアを持ち込んでいるのと同じことだ」(同社マーケティング部長 菅原継顕氏)。GlobalProtectは、場所にとらわれずに単一のポリシーに基づくセキュリティを適用するための仕組みだ。
GlobalProtectは、エンドポイントに導入するエージェントと、パロアルトの顧客やパートナー企業が用意するファイアウォールが連動して動作する。エージェントはIPアドレスなどを元に自分の環境を把握し、社外にいる場合は、自動的に最寄りのファイアウォールにSSL VPNで接続する仕組みだ。あとは社内にいるときと同じように、App-IDやUser-IDに基づいてセキュリティが適用される。
当初エージェントはWindows OSで動作するもののみだが、将来的にはMacintoshやiOSなどほかのプラットフォームやモバイル端末向けにも提供する予定だ。
また、最新OS「PAN-OS 4.0」では、App-IDのカスタマイズ対応により、企業が独自に作り込んだアプリケーションについてもスキャンが可能になった。ほかに、ビヘイビア検出に基づくボットネットの検出、SSHトンネリングの管理、IPアドレスに基づく国単位でのアクセス制御など、50を越える機能を追加している。
もう1つの発表は、新しいハードウェアプラットフォーム「PA-5000シリーズ」の追加だ。搭載CPUやメモリを強化したほか、並行プロセスによるアーキテクチャを採用することにより、最上位モデルの「PA-5060」では、ファイアウォールで20Gbps、IPSで10Gbpsののスループットを実現し、400万セッションをサポートする。
データセンターなどでの利用も見据えたPA-5000シリーズ「次世代ファイアウォールは、機能をすべてオンにしてもパフォーマンスを犠牲にしない」(ズーク氏)。
関連リンク
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
