米Palo Alto Networksは,2005年に設立された新興ファイアウォール機器ベンダーである。同社製品は,IPアドレスやポート番号をベースとした古典的なアクセス制御だけでなく,アプリケーションの種類や利用ユーザーを識別した上での制御を実現する。国内ではネットワンシステムズが2008年10月に販売/出荷を開始した。ITproは,来日した製品管理担当バイス・プレジデントのLee Klarich氏に,ファイアウォール製品の動向を聞いた。

(聞き手は日川 佳三=ITpro

米Palo Alto NetworksでVice President, Product Managementを務めるLee Klarich氏
米Palo Alto NetworksでVice President, Product Managementを務めるLee Klarich氏
[画像のクリックで拡大表示]

米Palo Alto Networksの事業内容は。

 米Palo Alto Networksは,ファイアウォール機器「Palo Alto Networks PAシリーズ」を開発しているベンダーだ。私,すなわちLee Klarichの前職は,米Juniper Networksのファイアウォール製品(NetScreen)の責任者である。Palo Altoの創設者であるNir Zukは,イスラエルCheck Point Software Technologiesで開発者をしていた。Nir Zukの名前は,(ホスト間に論理的なセッションが存在しているかどうかを判断して外部からのSYNパケットを内部に通す)ステートフル・インスペクション技術の特許関連文書に載っている。

会社設立の背景と目的は何か。

 伝統的なファイアウォールは,TCPポート番号でアクセスを制御している。IPヘッダーに書かれている情報,つまりIPアドレス/ポート番号と送信者/受信者の組み合わせでアクセスを通すか否かを決める。以前はポート番号でアプリケーションを識別できたため,ポート番号でアクセス制御できていさえすれば,それで事足りていたためである。

 ところが,事情は変わった。アプリケーションの開発者は,「いかにファイアウォールをバイパスするか」に着目している。ファイアウォールがあっても問題なく利用できるように開発するのが当たり前となっているのだ。多くの企業が開けているWebアクセス用のTCP80番ポートを通信に使うとか,空いているポート群の中から動的にポートを割り当てて通信ポリシーを回避するとか,暗号化して通信内容をファイアウォールに対して隠ぺいする,といった具合だ。

 これは問題だ。ファイアウォール自身が変わらなければいけない。こうして登場したのが,次世代ファイアウォールという定義だ。次世代ファイアウォールでは,次から次へと開発される新規アプリケーションに対して,個々のアプリケーションの違いや仕組みを識別した上で,(利用可能性やスループットなどの)利便性と(脅威対策などの)安全性を両立する。

Palo Alto Networks PAシリーズの特徴は何か。

 コア機能は3つある。(1)アプリケーションを識別する「App-ID」,(2)ユーザーを識別する「User-ID」,(3)コンテンツの中身を走査する「Content-ID」,である。これらのコア機能を,コントローラとデータ処理機構を分離した独自のハードウエア・アーキテクチャと16コアのマルチコア・プロセッサにより,高速に処理する。最上位モデル「PA-4060」のスループットは10Gビット/秒に達し,最下位モデル「PA-2020」でも500Mビット/秒に達する。また,アプリケーションやユーザーを識別した詳細な情報を取得できるため,管理ソフトからトラフィックを可視化できる点もメリットだ。

 (1)App-IDは,トラフィックが何のアプリケーションによる通信なのかを示す機能である。2008年12月4日現在,全世界で750種類以上のアプリケーションを識別できる。OracleやSAPなどの基幹系業務アプリケーションやグループウエア,IM(インスタント・メッセンジャ),WinnyやShareなどのP2P,ニコニコ動画などのストリーミング,SalesforceなどのSaaS,といった,各種のアプリケーションを識別する。アプリケーションのシグネチャは週に1回更新しており,「この業務に対応してくれ」というユーザーの要望にも応える。

 (2)User-IDは,トラフィックが誰による通信なのかを示す機能である。IPアドレスではなく,ユーザー名ベースでアクセス・ポリシーを制御できるのだ。具体的には,Active Directoryと連携し,該当するIPアドレスに対応するユーザーを調べ,そのユーザーの情報を得る。このための専用エージェント・ソフトを用意している。エージェントはActive Directoryや他のPCサーバー上で動作し,ユーザーのWindowsログオン/ログオフの履歴やプリンタ印刷ジョブ履歴などの各種ログを取得して,該当するIPアドレスを現在まさに使用中のユーザーを突き止める。

 (3)Content-IDは,App-IDやUser-IDなどを組み合わせた個々のトラフィック群に含まれるセキュリティ上のリスクを走査してフィルタリングするための機能である。ウイルスやスパイウエアなどの脅威とURL,データに含まれるテキスト文字列などを,シグネチャ・ベースで走査する。テキスト文字列は,ファイルの種類やクレジット・カード番号列のようにテンプレートとして定義されているルールに加え,ユーザーが望む文字列を走査することが可能だ。

導入時には既存のファイアウォールを置き換えるのか。

 主な使い方は2つある。1つは既存のファイアウォールと同じようにセキュリティ・ルーター機器として動作するL2/L3モードである。既存のファイアウォール製品を置き換えることができる。もう1つは,ブリッジのようにアクセス透過型(トランスペアレント)で動作する“VWIRE”モードである。アクセス経路上にインラインで設置して利用しつつ,ユーザーやアプリケーションからは機器の存在を意識させない使い方だ。いずれの場合であっても,利用できる機能には違いがない。