アプリを細部まで制御するファイアウォールのメリット、米Palo Altoが訴求

「次世代ファイアウォール」を提唱するPalo Alto Networksは、日本での事業状況やユーザー事例を紹介した。

[國谷武史，ITmedia]

　米セキュリティ企業のPalo Alto Networksは、このほど2009年4月に日本法人を設立してからの事業状況を発表した。CEOのレーン・べス氏と日本法人社長の金城盛弘氏が導入実績や運用事例を説明した。

　同社では、ユーザー単位でアプリケーションを制御する機能をファイアウォールに実装した「次世代ファイアウォール」と呼ばれるセキュリティアプライアンスを開発・製造している。

　べス氏によれば、アプリケーションの通信をユーザー単位できめ細かく制御しようとすると、ネットワークのトラフィックが低下するという。しかし、同社ではハードとソフトの両面に独自のアーキテクチャを採用することで、この課題をクリアした。

　従来のファイアウォールは、不正な通信をポート単位で監視する。だが、現在ではHTTP／HTTPSのインターネットを利用するアプリケーションが増加しているといい、ポートを監視しているだけでは十分なセキュリティを確保するのが難しい。

　このため同社では、社員がどのような種類のアプリケーションをどの程度使っているのかをネットワーク管理者やセキュリティ管理者が把握できる技術に注力してきた。べス氏は、アプリケーションの利用実態に即したセキュリティ対策が、企業や組織でのIT投資効果を高めることにもなると主張する。

製品のコンセプトを説明するレーン・べスCEO

　同社が創業した2005年からの導入実績は、1100組織以上になる。金融や医療、製造、教育といった業界の大手企業や官公庁、教育機関が主要なユーザーだという。日本では信州大学や北九州市、KDDIなどが導入を表明した。金城氏によれば、50校以上の大学が導入済み、もしくは導入検証を実施しているという。KDDIのケースでは、自社で利用するだけでなく、同社が法人向けに提供するネットワークセキュリティサービス「KDDI Wide Area Virtual Switch」にもPalo Alto Networksの製品を使用する。

　製品の具体的な運用事例として、べス氏は自身の経験を紹介した。同氏は2007年にPalo Alto NetworksのCEOに就任したが、当時は社内でSkypeの利用が禁止されていた。就業時間中に社員がSkypeで仕事とは関係のないチャットをしたり、データをやりとりしたりするのを防ぐのが目的だったという。しかしべス氏は、国際電話で商談する機会が多く、通信コストを抑制するためにもSkypeの利用を社内のIT管理者に求めた。

　その結果、同社ではSkypeを商談の連絡に使いたいという社員にのみ許可し、それ以外の社員には従来のルールを適用した。現在ではSkypeを許可した社員がビジネス目的で正しく使っているかを、IT担当者が常に確認できるという。また金城氏は、国内の導入企業にも同様の事例があると話す。この企業では全社的にSkypeの利用を禁止していたが、導入後は営業担当者など全社員の10％にSkypeを許可し、残りは禁止するという運用ルールに改めた。Skypeの適正利用を促す仕組みにしたところ、通信コストの削減と生産性の向上が両立できたという。

　「当社の場合、わたしが申し出るまで誰もSkypeを業務に活用したいと言わなかった。セキュリティ管理者がリスクをコントロールできれば、アプリケーションを全社的に禁止しなくても必要とする人々に提供できる」（同氏）

　例えばソーシャルネットワーキングのようなアプリケーションは、営業やマーケティング担当者にとって、顧客と深いコミュニケーションを築くためには非常に有効な手段だ。しかし、それ以外の部門では生産性を下げてしまいかねない。使い手によって異なった影響をもたらすアプリケーションは、セキュリティ対策の点でやっかいな存在だろう。同社では創業時からこの課題を解決することに注力してきたという。

　同社は、このほどリリースした最新版OSでアプリケーション制御の機能を強化した。これにより、許可しているアプリケーションであっても、特定の機能は禁止するといった制御ができる。インスタントメッセンジャーでチャットや通話を許可し、ファイル転送は禁止するという具合だ。

　今後の製品展開についてべス氏は、ネットワークの仮想化やモバイルアクセス、クラウド型サービスといった運用ニーズにも対応していくとコメントした。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら