マイコミジャーナル主催の「2011 Webセキュリティセミナー」で、次世代ファイアウォール「PAシリーズ」を展開するパロアルトネットワークスが登壇。同社でマーケティング部長を務める菅原継顕氏と、PAシリーズの販売パートナーであるNECネッツエスアイのネットワークソリューション事業部 第六ICT・SI部の中村雄二氏が、次世代ファイアウォールの特徴やPAシリーズの成功事例を紹介した。
パロアルトネットワークスは、ファイアウォールの主要技術である「ステートフルインスペクション(SPI)ファイアウォール」を発明したニア・ズーク氏が、2005年に創業した米国のセキュリティベンダー。PAシリーズは、新しいアーキテクチャを持ったファイアウォール製品として、欧米を中心に急速にシェアを伸ばしている製品だ。ガートナーのマジッククオドランド(主要ベンダーのマトリックス図)では、ファイアウォール製品分野で最も「ビジョナリー」として位置づけられている。
必要性が高まる「アプリケーションの可視化」
|
|
|
パロアルトネットワークス マーケティング部長の菅原継顕氏 |
講演では、まず、菅原氏が「こうすればうまくいく次世代ファイアウォール導入の成功例と失敗例」と題して、企業におけるアプリケーションの利用実態やそれがもたらすリスク、PAシリーズの特徴を紹介した。
現在、企業内で用いられるアプリケーションは、社外ネットワークと連携しながら動作するものが増えている。Salesforce.com、SAPといった企業向けアプリケーションはクラウド環境から提供されるようになり、Gmail、Skypeといった個人向けアプリケーションやFacebook、Twitterといったソーシャルメディアをビジネスで利用する動きが進んでいる。DropboxやSugarSync、SkyDriveなどのように手軽にファイルを社外と共有できるサービスも人気を集めている。
本来、こうしたファイアウォールの外側にあるアプリケーション、特に個人向けのツールなどについては、利用ポリシーを定め、最新の注意を払って利用すべきものだ。企業情報や個人情報が社外とつながるアプリケーションを経由して漏洩するリスクがあるからだ。だが、実際は、ほとんど野放し状態にあるのが実態だ。
パロアルトネットワークスの調査によると、企業(オフィス)における2ちゃんねるの利用率は80%、Facebookは86%、Twitterは96%に達する。最近特に増えているのが、企業から動画投稿サイトを視聴するケースだ。企業におけるニコニコ動画の利用率は55%、YouTubeの利用率は89%にもなる。動画というトラフィック/帯域を大量に消費するアプリケーションが企業ネットワークに障害を引き起こすこともある。
「アプリケーションのリスクとしては、情報漏洩、脅威の侵入、生産性低下、不適切なソーシャルメディアの使用などがある。問題は、こうしたリスクを引き起こすアプリケーションを従来のファイアウォールではまったく管理できないことにある」(菅原氏)
現代のアプリケーションの多くは、ファイアウォールとポート番号ベースの制限があることを前提に開発されている。動的なポートスキャンや80/443ポートの活用、暗号化処理などによって、ファイアウォールをバイパスしてしまう。そうした事情から求められるようになったのが「次世代ファイアウォール」というわけだ。
|
|
「次世代」をうたうファイアウォール製品やUTM製品は、同社以外からも提供されている。だが、菅原氏によると、PAシリーズのアーキテクチャは、そうした製品とはまったく異なると話す。
「UTMは、ファイアウォール本来のアプリケーションの可視化と制御という役割を、IPSやProxy、URLフィルタリング、アンチウイルスなどの機能を付け加えることで成り立っている製品だ。それぞれの機能ごとに複数のエンジンを持つため、トラフィックを制御する際にパフォーマンスが大きく落ちる傾向が強い。一方、PAシリーズは、ファイアウォールが備える1つのエンジンですべてのトラフィックを制御するため、高速で安定した動作が可能だ」(菅原氏)
具体的には、PAシリーズでは、「User-ID」「Content-ID」「App-ID」など技術を使って、すべてのトラフィックを同時に分析してアプリケーションを可視化、制御する。NSS Labsによる2011年ネットワーク ファイアウォール比較テストでも、他社と比較して高いコスト効果を発揮する製品と格付けされていると説明した。
国内での導入事例も急速に増えているといい、「アプリケーションの不正利用が多いことにあらためて驚いた」「アプリケーション監視を行うことで、逆にアプリケーションを自由に使わせることができるようになった」といったユーザーからの声があることを紹介した。
