第12回次世代ネットワーク&サービスコンファレンス 講演抄録 キャリア網内の脅威を可視化し 制御する次世代ファイアウォール パロアルトネットワークス システムズ・エンジニア 宮澤祟博氏

アプリケーションの多様化やサイバー攻撃手法の進化により、旧来のファイアウォールではネットワークの安全性を保てなくなった。パロアルトネットワークスは、新たなセキュリティ脅威に対処するための可視性と制御機能を備えた次世代ファイアウォール「PAシリーズ」を展開。キャリア/SPの収益基盤となるネットワークの安全性確保に貢献する。

 現在のネットワークセキュリティを考えるうえで、ファイアウォールの役割は2つあります。まず、通信を制御して侵入をブロックすること。そして、攻撃を受けたり、情報が盗み出された場合に備えて、通信ログの記録もポイントになります。つまり、ネットワークに「制御性」と「可視性」が求められているのです。

 Webアプリケーションの利用が増えたことで、ファイアウォールに求められる要件は変化しました。

 Webアプリはすべて同じポート番号を使い、同じセッションの中で複数の通信が行われるため、旧来のファイアウォールでは個別の通信を制御できません。こうした課題に対して生まれたのが、アプリベースで制御する「次世代ファイアウォール」なのです。

 これで何ができるのか。

 1つ目は、使われているアプリを識別すること。2つ目がユーザーの識別です。また、トラフィックの中身を監視し、情報を盗み出したり、マルウェアを送り込むといった攻撃をリアルタイムに防御する機能も持ちます。

 最後が可視化です。誰がどの程度のトラフィックで何を使ったのか。監査に必要なデータを提供できます。

The Cloud Services Opportunity for Service Providers
画像をクリックして拡大

 こうした機能により、通信を適切に識別・制御し、また可視化できるようになります。ただし、ネットワークの防御線に置かれるファイアウォールには、非常にシビアな要件が求められます。すべてのトラフィックが通過するゲートウェイ部分に置かれるため、当然、処理の高速性が、非常に重要なポイントとなります。

 パロアルトネットワークスの次世代ファイアウォール「PAシリーズ」には、鍵となる3つの技術があります。

 (1)アプリケーション識別を行う「App-ID」、(2)ユーザー識別を行う「User-ID」、そして(3)コンテンツをスキャンする「Content-ID」の3つです。なかでもアプリ識別・制御技術に特徴があり、1500種以上のアプリを識別し、アプリベースで制御または記録を行う次世代ファイアウォールを実現しています。

 また、これらに加えて、シンプルかつ効率的な処理を行う独自のアーキテクチャも大きな特徴です。例えば、他社のUTM(統合脅威管理)では、ファイアウォールやURLフィルタリング等の機能ごとにユーザーとアプリの識別、ポリシーの適用といった処理を行うため、高いパフォーマンスが望めません。後付けで次々と機能を増やしてきたUTMの弊害と言えるでしょう。

 一方、PAシリーズは、“マルチセキュリティ”を前提に作られており、すべての機能を1回で処理します。他社のUTMは、パフォーマンスの問題により、実は大規模ユーザーではあまり使われていないという現状がありますが、無駄な処理のないPAシリーズは「きちんと使える」レベルで処理が行える点が評価されています。

 大規模環境で利用できることで、キャリア網で次のような利用法が可能になります。

HP Telco Big Data and Analytics Blueprint
画像をクリックして拡大

 App-IDによるアプリ識別を行うことで、例えば、情報漏えいの可能性の高いアプリが使われている、あるいは通信の中身がチェックできないアプリがどれだけ使われている、といった情報が得られます。トラフィック全体のうち、どういった種類のアプリがどの程度の割合を占めているのか、といったことも可視化できます。また、網内のセキュリティ脅威を測ることも可能です。脆弱性攻撃の種類や数、それに使われているアプリが判別できます。さらに、網内の端末やサーバーがボットに感染していたり、踏み台になっているような状況も見つけることが可能になります。

 今日、顧客へのセキュリティ確保は通信キャリアのビジネスの生命線のひとつでもあります。

 キャリア網やデータセンター内部に次世代ファイアウォールを導入し、ネットワークの安全性を強化することは、増大するセキュリティリスクからお客様を守り、さらに顧客からの信頼を得ることにつながるのです。

(文責・編集部)

トップページへ戻る
page top