パロアルトネットワークスは2010年7月8日、次世代ファイアウォールの適用範囲を“社内”だけでなく、“社外”にまで拡張する新ソリューション「GlobalProtect」を発表した。同社のPAシリーズのオプション機能として2010年末に提供を始める予定だ。
GlobalProtectの説明に入る前に、次世代ファイアウォールとは何かについて整理しておこう。従来型のファイアウォールがポート番号やIPアドレスにより通信を制御するのに対し、次世代ファイアウォールはレイヤ7レベルでアプリケーションやユーザー、コンテンツを可視化し、コントロールするものだ。その登場の背景には、アプリ側の変化がある。
クラウドへのアプリケーションの移行が、次世代ファイアウォール登場の1つの背景になっている |
「ファイアウォールが登場した1995年当時、インターネットのアプリといえば、WebブラウジングやEメールくらいしかなかった。ところがここ数年で、多くのアプリが企業の“建物”を離れ、クラウドの中に入って行っている」と、米パロアルトネットワークス・マーケティング担当副社長のルネー・ボンバニー氏はまず説明。そのうえで、アプリには仕事に役立つ「良いアプリ」もあれば、従業員の時間を浪費させたりセキュリティ上の問題がある「悪いアプリ」もあるとした。これが、業務アプリ以外はブロックするなど、アプリ/ユーザー/コンテンツによるポリシー制御が行える次世代ファイアウォールへの注目が近年高まっている理由である。
米パロアルトネットワークス マーケティング担当副社長 ルネー・ボンバニー氏 |
さて、以上が次世代ファイアウォールの簡単な説明だが、冒頭で説明した通り、今回パロアルトが発表したGlobalProtectは、外出先や自宅など社外ネットワーク上のリモート端末への次世代ファイアウォールの適用を可能にするものだ。
GlobalProtectにより、社外にある端末において次世代ファイアウォールによりアプリの可視化と制御が可能になる |
その仕組みは次の通りである。リモート端末に専用のクライアントソフトをインストール。すると、その端末が社外からネットワークにアクセスする際には、企業の本社や支店などに設置された複数のパロアルトの次世代ファイアウォールのうち最短距離にあるものに自動接続するため、社内と同じポリシーを適用できるのである。GlobalProtectが当初サポートするOSはWindows 7/Vista/XPで、今後iPhone/iPadなど、その他のモバイル端末にも対応していきたいという。
では、従来からあるリモート環境向けのセキュリティソリューションと比べて、パロアルトのGlobalProtectにはどのようなメリットがあるのだろうか。ボンバニー氏は従来型アプローチを3つに分類したうえで、その優位性を説明した。
まず端末にソフトウェアをインストールしてセキュリティを確保するアプローチについては「ユーザー数が多いと管理が複雑になり、またコストも非常に高くなる」とした。次に、クラウドベースのプロキシを使った方法については「アイデアはいいが、対象がポート80やWebアプリだけに限られ、ウィルスや情報漏えいには適しているとはいえない」と語った。
3番目は一番古くからあるフルトンネルVPNだ。これの問題は第一に「ゲートウェイが高価。また、すべてのトラフィックが中央に集約するためパフォーマンスが大きく低下すること」だという。加えて、従来型のファイアウォールとの組み合わせでは「アプリやユーザー、コンテンツを理解できないため、実際にネットワーク上の脅威を防ぐことはできない」とボンバニー氏は指摘した。
GlobalProtectのライセンス価格は次世代ファイアウォールのモデルごとに異なり、「1台当たり3000~1万5000ドルの間くらい」とのこと。ボンバニー氏は「フルトンネルVPNの場合は25万ドル以上、またクライアントソフトの場合も通常ラップトップPC1台につき約400ドルかかる」とし、コスト競争力の観点から見ても「我々は非常に成功できると考えている」と自信を見せた。