パロアルトネットワークスは2012年11月26日、ファイアウォール機器の新OS「PAN-OS 5.0」を発表した(写真1)。新版では、仮想環境向けに、管理ホストのIPアドレスを外部から簡単に変更できるようにした。未知のマルウエア向けに、シグネチャを30分で取得できるようにした。保守契約を交わしているユーザーは新OSに無償でアップグレードできる。開発会社は、米Palo Alto Networks。
同社のファイアウォール機器の特徴は、アプリケーションの種類や、アプリケーションを使用中のユーザーが誰かといった情報を識別し、これをアクセス制御に利用する点である。IPアドレス/ポート番号だけを使った古典的なフィルタリングとは異なり、例えばHTTPでやりとりしている通信の中身まで判別して制御する。
今回、ファイアウォールのOSをバージョンアップし、「60種類以上の新機能を追加」(同社)した。中でも、大きく二つの強化を施している。一つは、主に仮想環境向けに追加した機能「ダイナミックアドレスオブジェクト」である。もう一つは、標的型攻撃などに見られる未知のマルウエアに対抗するためのクラウドサービス型機能「WildFire」(2011年11月から提供中)の強化である。
管理対象のIPアドレスをREST APIで簡単に変更可能に
ダイナミックアドレスオブジェクトは、ファイアウォールの管理対象ホストを外部システムから動的に変更する機能である。仮想サーバーの場所(IPアドレス)が移動する仮想環境(クラウド環境)に合わせた機能である。仮想環境のオーケストレーションソフト側から、簡単な手続きだけで、アクセス制御の対象となるホストのIPアドレスを変更できる。
前提として、同社のファイアウォールは、設定内容を外部システムから変更するためのREST APIを提供している。今回、このREST APIのコマンド体系を拡充し、管理対象ホストの所属グループ(ラベル名)とIPアドレスを外部から与えて変更できるようにした。例えば、データベースサーバーAに属するIPアドレスを追加/変更/削除/移動できる。
サンドボックスのクラウドを強化、30分でシグネチャ提供
WildFireは、未知の実行ファイルをクラウド側のサンドボックスで実行させてシグネチャを作成する機能であり、2011年11月から利用が可能となっている。ファイアウォールが未知の実行ファイルを見つけると、そのコピーをクラウドにアップロードする。それをサンドボックス上で実行させて振る舞いを調査した結果、マルウエアであった場合は全ユーザーで共有しているシグネチャに反映させる。
今回のPAN-OS 5.0では、WildFireを強化し、既存のマルウエア対策用の有償ライセンス「脅威対策サブスクリプション」とは別に、WildFireに特化した専用の有償ライセンス「WildFireサブスクリプション」を用意した。既存ライセンスでは未知のファイルがマルウエアかどうかはクラウドのポータル画面にアクセスしない限り分からず、シグネチャも24時間に1回しか配信されなかった。
新しいWildFireサブスクリプションでは、アップロードした未知の実行ファイルがマルウエアと判定されたかどうかをファイアウォールの管理画面上でレポートとして得られるようになったほか、30分に1回という短いインターバルでシグネチャを更新できるようにした。これにより、情報漏えいなど、未知のマルウエアによる行動の影響を、以前よりも少なくできる。企業によっては、未知の実行ファイルを提供することなくシグネチャだけを得る運用も可能である。
WildFireではまた、マルウエアかどうかを検査したい実行ファイルを、任意の外部システムからファイアウォールに委託するためのXML APIを、ファイアウォールに追加した。気になるファイルがあった場合、ファイアウォールを介してクラウド上のサンドボックスで実行させることができる。
仮想アプライアンスなど新機種を追加
同社では、今回の新OSに合わせて、三つのファイアウォール新機種を同時に発表した。(1)仮想アプライアンス版の「VM-Series」、(2)物理アプライアンスのミッドレンジ機種「PA-3000シリーズ」(写真2)、(3)運用管理用の物理アプライアンス「M-100」、である。
(1)VM-Seriesは、同社としては初となる、仮想アプライアンス型のファイアウォール機器である。VMware ESX上で動作する1台の仮想サーバー機として動作する。機能は物理アプライアンスとまったく同じだが、VMware vSwitch環境で、仮想サーバー(VM)同士の通信を制御する用途を想定している。参考価格(税別、以下同)は、最小構成の「VM-100」で55万8000円(税別)から。
(2)PA-3000シリーズは、物理アプライアンスのミッドレンジ機器である。既存の「PA-2000シリーズ」と「PA-4000シリーズ」の中間に位置する。複数台を専用ポートでつないでHA(高可用性)構成をとれる機器としては、これまでのPA-4000シリーズに代わって、最もエントリーに相当する。参考価格は、下位モデルの「PA-3020」で289万8000円(税別)から。
(3)M-100は、これまで仮想アプライアンスの形態に限って提供してきたファイアウォールの集中管理サーバー機能「Panorama」を、新たに物理アプライアンスの形態で提供する製品である。機能は主に、ファイアウォールのコンフィグを集中管理/反映する機能と、ファイアウォールのログを収集/格納して管理する機能で構成する。既存の仮想アプライアンス版(管理対象10台まで程度)と比べて、単体で100台程度まで、分散構成で1000台程度までのファイアウォールを管理できるようになった。M-100の参考価格は207万円(税別)から。
なお、同社の国内販売代理店はネットワンシステムズ、日立ソリューションズ、テクマトリックス、SCSKの4社。パロアルトネットワークスは、2011年11月中旬に代理店からの受注を開始しているが、ユーザー企業に対する販売/出荷時期と価格は、それぞれの代理店によって異なる。
