[Security Days 2014 インタビュー] 多機能でもパフォーマンスが落ちない専用設計の次世代ファイアウォール(パロアルトネットワークス)

3月6日から3月7日、情報セキュリティ総合カンファレンス「Security Days 2014」が今年も開催される。パロアルトネットワークス合同会社のシニアSEマネージャーである三輪賢一氏に、サイバー脅威動向のポイントと、同社ソリューション、展示の見どころなどについて話を聞いた。

──最近のサイバーセキュリティの動向をどう見ていますか

企業の機密情報を盗み出す攻撃手段が多様化していると思います。官公庁や金融機関、エンタープライズ企業などの「社外秘」の情報をたくさん持っているところはしっかり対策していますが、従業員が数千名以下の規模の企業になると「うちは秘密になるような情報はない」とおっしゃることが多いのが現状です。そういったところが狙われ始めているのです。攻撃者は対策していない「ゆるい」ところから入ってきます。

大規模企業でなくても、パートナー企業や委託元などの大企業とエクストラネットによってつながっているケースが少なくありません。攻撃の踏み台にされてしまうと、その企業は加害者になってしまい、損害賠償が発生したり風評被害を受けたりすることになります。セキュリティ対策をしっかり行っていれば、万一踏み台にされても何が起きていたのかを把握できます。これは未対策の場合に比べて大きな違いになります。

昨年末話題になった「Baidu IME」の件では、ある従業員3,000名規模のお客様で実際にどのくらい使われているかを当社が調査したところ、1日に約100件のログが出ました。管理者は、ネットワークデバイスで通信の見える化を行う必要があると思います。

──具体的にパロアルトの製品でどんな対策ができますか

標的型攻撃の侵入手口は一般的に、

1：対象ユーザの誘い込み
2：エクスプロイト
3：バックドア用の本体をダウンロード
4：バックチャネル通信を確立
5：調査＆データ盗難

という流れです。パロアルトでは、全アプリケーションを可視化するApp-IDや、URLフィルタ、脆弱性防御、アンチスパイウェア、アンチウイルス、ファイルブロッキング、WildFire（サンドボックス）、Botnet検知レポートといった多くの機能で、多面的に標的型攻撃対策を行います。

パロアルト製品の特長は、多機能と高いパフォーマンスです。それに大きく寄与するのが、専用設計のプロセッサです。FPGAと呼ばれるプログラミング可能なハードウェアにより高速処理を実現しています。

また、SP3というアーキテクチャによってネットワークやセキュリティの処理パスを効率化しました。他社製品はファイアウォールをベースにしたものが多く、そこにさまざまな機能を追加しています。このためパスが複雑になり、重複する処理が多くなり、それが遅延につながるのですが、パロアルトはアンチウイルス、IPS、URLフィルタリングといった機能のオン、オフに関わらず処理パスが同一となるため、パフォーマンスに影響しません。

実環境でのパフォーマンスが高いこともパロアルト製品の特長です。多くの他社製品は、もっともスループットの出やすいUDP1500バイトでの測定結果でカタログスペックを掲載しています。しかしパロアルトは、HTTPで測定した実環境に近い結果を載せています。

他社製品ではアプリ識別やコンテンツスキャンをオンにすると大きく性能が落ちます。そのため、カタログスペックで10Gbpsとなっていても、機能を全て有効にすると1Gbpsも出ないことがよくあります。パロアルト製品の脅威防御スループットはファイアウォールスループットの半分程度。実環境でのパフォーマンスでみれば、コストメリットが大きいこともご理解いただけると思います。

ポート番号に関係なくすべての通信を識別するため、1024以上の、いわゆる「ハイポート」を使った偽装通信の検出に対応していることも特長です。HTTPであれば80番ポートのみ、といった決められたリッスンポート上でしか通信を検査できない従来のプロキシやセキュリティ製品ではこのようなことはできず、偽装通信やセキュリティを回避するアプリケーションを識別できません。

──今後の重点ポイントはなんですか

これまでパロアルトは、次世代ファイアウォールを主力製品としてきました。それは今後も継続していきますが、トータルセキュリティベンダを目指して「4つの柱」に注力しています。

そのひとつが「ATP（アドバンスド・スレット・プリベンション）」です。これは最新の攻撃から防御するためのソリューションで、サンドボックス機能である「WildFire」が主軸となります。デフォルトでパブリッククラウドにホスティングされており、他のパロアルト製品ユーザーが新たに直面した脅威の情報をシグネチャやURLフィルタリングデータベースなどに素早く反映することができます。もちろん、クラウドを利用せずアプライアンス製品をオンプレミスで使用することもできます。

2つ目の柱は「バーチャリゼーション（仮想化）」です。パロアルトでは従来、上位モデルのデバイスに仮想システム（仮想ファイアウォール）をたくさん作るという手法がありましたが、VMwareのゲストOSとして動作する「VM-Serie」という製品もリリースしています。他のパロアルト製品と同様に「PAN-OS」のほぼすべての機能が利用でき、パロアルトの統合管理製品であるPanoramaやオーケストレーションシステムと連携することによって仮想環境でサーバの追加や変更、移動が行われたときに、ファイアウォールのセキュリティポリシーに素早く反映します。今後、VMware以外の他の仮想環境でも利用できる製品もリリースしていきます。

3つ目は「モバイル」です。モバイル向けソリューションとして「GlobalProtect」という機能がPAN-OSで提供されています。これは、PAシリーズと連携して、モバイルPCやスマートフォン、タブレットなどにネットワークセキュリティを提供するものです。端末上のエージェントが内部か外部かのロケーションを自動判別し、外部の場合にはVPN接続により強制的にPAシリーズ経由で通信を行うように経路を変更します。また、「GP-100」というMDM機能を提供するアプライアンスをリリースしました。

4つ目は「エンドポイント」です。現時点では、パロアルトはソリューションを持っていませんが、マルウェアに感染したときにホストそのものを防御できるようなソリューションを、サードパーティと連携して提供することを考えています。たとえば、「WildFire」で新しいマルウェア発見すると、そのハッシュ値がわかります。そのハッシュ値を持つアプリが実際にクライアント上で動こうとするときに、それを止めるような連携ソリューションです。

──「Security Days 2014」でのパロアルトの見どころを教えてください。

会場にデモサイトを設置し、実際に画面を見ながら操作できるようにする予定です。最新の「PAN-OS」のデモも行います。今までパロアルトをご存じなかった方でも、また既存のパロアルトユーザ様でも最新の機能を体験していただけますので、ぜひブースに立ち寄って触れて欲しいと思います。

──ありがとうございました。

（吉澤亨史）