【インタビュー】多機能とパフォーマンスを両立するアーキテクチャ……パロアルト次世代FW 2ページ目

　実環境でのパフォーマンスが高いこともパロアルト製品の特長です。多くの他社製品は、もっともスループットの出やすいUDP1500バイトでの測定結果でカタログスペックを掲載しています。しかしパロアルトは、HTTPで測定した実環境に近い結果を載せています。

　他社製品ではアプリ識別やコンテンツスキャンをオンにすると大きく性能が落ちます。そのため、カタログスペックで10Gbpsとなっていても、機能を全て有効にすると1Gbpsも出ないことがよくあります。パロアルト製品の脅威防御スループットはファイアウォールスループットの半分程度。実環境でのパフォーマンスでみれば、コストメリットが大きいこともご理解いただけると思います。

　ポート番号に関係なくすべての通信を識別するため、1024以上の、いわゆる「ハイポート」を使った偽装通信の検出に対応していることも特長です。HTTPであれば80番ポートのみ、といった決められたリッスンポート上でしか通信を検査できない従来のプロキシやセキュリティ製品ではこのようなことはできず、偽装通信やセキュリティを回避するアプリケーションを識別できません。

--- 今後の重点ポイントはなんですか。

三輪 --- これまでパロアルトは、次世代ファイアウォールを主力製品としてきました。それは今後も継続していきますが、トータルセキュリティベンダを目指して「4つの柱」に注力しています。

　そのひとつが「ATP（アドバンスド・スレット・プリベンション）」です。これは最新の攻撃から防御するためのソリューションで、サンドボックス機能である「WildFire」が主軸となります。デフォルトでパブリッククラウドにホスティングされており、他のパロアルト製品ユーザーが新たに直面した脅威の情報をシグネチャやURLフィルタリングデータベースなどに素早く反映することができます。もちろん、クラウドを利用せずアプライアンス製品をオンプレミスで使用することもできます。

　2つ目の柱は「バーチャリゼーション（仮想化）」です。パロアルトでは従来、上位モデルのデバイスに仮想システム（仮想ファイアウォール）をたくさん作るという手法がありましたが、VMwareのゲストOSとして動作する「VM-Serie」という製品もリリースしています。他のパロアルト製品と同様に「PAN-OS」のほぼすべての機能が利用でき、パロアルトの統合管理製品であるPanoramaやオーケストレーションシステムと連携することによって仮想環境でサーバの追加や変更、移動が行われたときに、ファイアウォールのセキュリティポリシーに素早く反映します。今後、VMware以外の他の仮想環境でも利用できる製品もリリースしていきます。

　3つ目は「モバイル」です。モバイル向けソリューションとして「GlobalProtect」という機能がPAN-OSで提供されています。これは、PAシリーズと連携して、モバイルPCやスマートフォン、タブレットなどにネットワークセキュリティを提供するものです。端末上のエージェントが内部か外部かのロケーションを自動判別し、外部の場合にはVPN接続により強制的にPAシリーズ経由で通信を行うように経路を変更します。また、「GP-100」というMDM機能を提供するアプライアンスをリリースしました。

　4つ目は「エンドポイント」です。現時点では、パロアルトはソリューションを持っていませんが、マルウェアに感染したときにホストそのものを防御できるようなソリューションを、サードパーティと連携して提供することを考えています。たとえば、「WildFire」で新しいマルウェア発見すると、そのハッシュ値がわかります。そのハッシュ値を持つアプリが実際にクライアント上で動こうとするときに、それを止めるような連携ソリューションです。

--- ありがとうございました。

【インタビュー】多機能とパフォーマンスを両立するアーキテクチャ……パロアルト次世代FW

関連リンク

関連ニュース

特集

セキュリティ

UTM