米パロアルトネットワークスの国内法人パロアルトネットワークスは2011年3月2日、東京で記者向け発表会を開催し、同社が次世代型ファイアウォールと位置付けるボックス型ファイアウォールの新製品「PA-5000」シリーズ(写真1)を発売したことなどをアナウンスした。
会場で最初に登壇したのは、米パロアルトネットワークスでCTO(最高技術責任者)を務めるニア・ズーク氏(写真2)。同氏は以前、イスラエルのチェック・ポイント・ソフトウェア・テクノロジーズで多機能ファイアウォールの代名詞ともなっている基本技術の一つ「ステートフルインスペクション」を発明した人物である。
ズーク氏は、まずファイアウォール(以下、FW)という製品カテゴリ全般について、「世の中のほとんどの製品は登場した1995年当時から技術的に進歩していない」とバッサリ切り捨てた。「基本的に単純なWebアクセスと電子メールを安全に使うための機能を提供しているだけ。様々なWebアプリの必要な機能を必要に応じて使いたいという現在の企業ユーザーのニーズをまったく満たせていない」(ズーク氏)。
同氏は、そうした旧式FWの限界が分かる一例としてソーシャルネットワークサービスの「Facebook」を利用するケースを挙げた。「今やほとんどの企業がFacebookを有効なマーケティングツールとして活用したがっている。しかし、Facebook内にその企業が従業員に使わせたくない機能が存在したり、特定のユーザーには使わせたくなかったりするケースは多い。こういう場合、旧式FWでは『Facebookを使わせるか、使わせないか』しか選べない。そんなFWは今の時代役に立たない」(ズーク氏)。
旧式FWに代わる次世代FW方式として、米パロアルトネットワークスが提唱しているのが「App ID」と「User ID」に基づいたフィルタリング方式である。これは、企業が利用したいアプリケーションの種類や機能と、利用させたいユーザーの情報などをそれぞれ固有のIDとして管理、このIDを基にトラフィックを制御するというもの。従来のIPアドレスやポート番号によるフィルタリングと合わせて統一したポリシー(ルール)として設定できるという。
パケットの中身を解析してトラフィックを制御する仕組みは、競合するベンダー各社も「DPI」(Deep Packet Inspection)などの技術呼称でFWに組み込んでいる。「アプリ単位の制御」を売りとしているベンダーもある。この点について尋ねると、「DPIというのはマーケティング用語。実際にパケットの何を見てアプリに対してどのような制御を実施できるかが重要だ。Facebookなどの新しいWebアプリを、機能やユーザー単位できめ細かく制御して“安全に利用できる仕組み”を提供できているのはわが社だけ」(ズーク氏)と胸を張った。
