パロアルトネットワークス合同会社は2010年4月12日、アプリケーション識別型ファイアウォール用OSの新版「PAN-OS 3.1」を発表した。新たに、アプリケーションの機能を個々に識別/コントロールする機能を実装。また、ユーザー識別機能を拡張し、日本語などの2バイト言語で登録されたユーザー名やグループ名も識別可能にした。保守契約に加入している既存ユーザーには無償で提供する。
同社のファイアウォール製品は、IPアドレスやポート番号を識別するアクセス制御だけでなく、アプリケーションや利用ユーザーを識別して制御できるのが特徴だ。米Palo Alto Networks社長兼CEOのレーン・ベス氏(写真1)は、「アプリケーション技術の発達により、今やIPアドレスでユーザーを識別することも、ポート番号でアプリケーションを識別することもできない。必要なのは、ポートを閉じることではなく、ポートを通過するネットワークトラフィック全体を可視化してコントロールすることだ」と説明する。
今回発表した新OSでは、アプリケーションの種類するだけでなく、アプリケーション内の機能を識別して個別に制御できるようになった。例えば、Twitterのようなアプリケーションについても、閲覧と投稿を個別に制御できる。これにより、情報収集のために社員がFacebookやTwitterを閲覧することは許可しつつ、投稿については禁止するといった制御が可能だ。「1つのアプリケーションIDに複数の機能を階層構造で紐付けることで、トラフィック監視/管理の簡易性を維持しながら、より詳細にセキュリティポリシーを設定できるようになった」(米Palo Alto Networks PAN-OSプロダクトマネージャーのクリス・キング氏、写真2)。さらに、PAN-OSのユーザー識別機能やQoS(帯域制御)機能と組み合わせることで、人事担当者のみFacebookの閲覧を許可する、マーケッターのTwitterへのアクセスを優先するなどの制御ができるようになる。
また、新OSは、米Novellの「eDirectory」、およびLDAPベースのディレクトリーサーバーと連携したユーザー識別に対応した。旧OS(PAN-OS 3.0)までのユーザー識別は、米Microsoftの「Active Directory」のみと連携して実現していた。その他、2バイト言語で登録されたユーザー名やグループ名が識別できるようになった。
