パロアルトネットワークス合同会社のファイアウォール製品「PAシリーズ」は、ファイアウィールシステム上で900種類以上のアプリケーションを識別し、ユーザーごとに制御する機能を持つ。2010年4月12日、同社はPAシリーズ用OSの新版「PAN-OS 3.1」を発表した。アプリケーション識別機能、ユーザー識別機能をそれぞれ強化した。新OSの機能、リリースの背景と戦略について、米Palo Alto Networks社長兼CEOのレーン・ベス氏、米Palo Alto Networks PAN-OSプロダクトマネージャーのクリス・キング氏、およびパロアルトネットワークス社長の金城盛弘氏の3人に話を聞いた。
前版の「PAN-OS 3.0」発表は2009年7月だった。1年も空けずに新OSをリリースしたが、これはメジャーアップデートなのか。
ベス社長:我々は、メジャーアップデートと位置づけている。アプリケーション識別およびユーザー識別について、重要な機能拡張を行った。
キング氏:具体的には、アプリケーションを機能単位で識別し、トラフィックをコントロールする機能を追加した。また、米Novellの「eDirectory」、およびLDAPベースのディレクトリーサーバーと連携したユーザー識別が可能になった。PAN-OS 3.0までのユーザー識別は、米Microsoftの「Active Directory」のみに対応していた。
金城社長:日本のユーザーからの要望を反映した機能拡張も行った。新たに2バイト言語に対応したことで、日本語で登録されたユーザー名やグループ名も識別できるようになった。
ベス社長:ファイアウォール製品では、9カ月のOSリリースサイクルは決して短くない。Windows OSなどとは異なり、ファイアウォールの市場は寡占化されていないので、マーケットシェア拡大のためには、新しい技術を早い段階で提供していく必要がある。
アプリケーションを機能単位で識別することで、具体的にどのようなことが可能になるのか。
キング氏:Facebook内のチャット機能だけを遮断するなど、各アプリケーションをより細かくポリシー制御できるようになる。さらに、この機能をPAN-OSがもともと持っているユーザー識別機能およびQoS機能と組み合わせることで、例えば、人事担当者のみFacebookの閲覧を許可する、営業担当者のSalesforceへのアクセスを優先するなど、業務の実情に合わせたトラフィック制御が可能になる。
ファイアウォールでアプリケーションを細かく識別することで、処理の遅延は発生しないか。
キング氏:当社のファイアウォールは、アプリケーション識別やユーザー識別などの様々な処理を、シングルパスで行うように設計されている。そのため、アプリケーション識別機能が拡張されても、スループットに影響はない。スループットは、ハードウエアのスペックにのみ依存する。
ベス社長:ファイアウォールをインテリジェンスにすることで、スループット低下を懸念する人がいるが、そんなことはない。その証拠に、当社「PA-4050」は、KDDIの大規模な法人向けネットワークサービス「KDDI Wide Area Virtual Switch」にも採用されている。
今後の事業目標を教えてほしい。
ベス社長:現在、ファイアウォール市場における当社のシェアは約1%だ。今後5年間で、10%のマーケットシェア獲得を目指す。10%は、控えめかつ堅い数字だ。その根拠は、ファイアウォール市場に占めるアプリケーション識別型ファイアウォールの割合が、年々増加してきているためだ。2014年までには、60%がアプリケーション識別型ファイアウォールになると推測されている。当社製品は、もともとアプリケーション識別型ファイアウォールのために開発したエンジンを搭載している。この点で、競合他社より優位だ。
