ファイアウォールといえば、ネットワーク通信をIPやポート番号で制御するポピュラーなセキュリティ対策技術だ。その名が示すとおり、外部から企業内部のネットワークへ不正侵入されることを防御したり、内部から外部に向けた不正な通信を防ぐといった重要な役割を担っている。しかし一方で、普及に乗じてファイアウォール制御を回避するアプリケーションも拡大中だ。

マルウェアやボットなどはもちろん、メッセンジャーなど特に犯罪を目的に開発されたソフトではなくとも、利便性の追求からHTTPなど一般的に解放されているポートを利用するものが増えている。かといってこうれらポートを閉鎖することもできない。企業にとっては頭の痛い問題だ。

IPやポートによる制御には限界がある。通信をアプリケーションやユーザーで識別し、制御することが求められる。こうした問題へ対処できる「アプリケーションファイアウォール」の開発に取り組んでいるのが米Palo Alto Networksだ。

国内代理店において同社アプリケーションファイアウォールの取り扱いが開始されたのは2008年。2009年4月には国内法人が設立され、国内市場へより積極な展開を進めている。7月14日に帯域制御やSSL VPN機能を実現した最新OSや中小企業向けモデルが発表された。

今回、製品発表にあわせて来日した米Palo Alto NetworksでVice Presidentを務めるLarry Link氏と日本法人の乙部幸一郎氏に、アプリケーションファイアウォールの特徴や日本市場への取り組みなどインタビューを実施したので、その模様をお届けする。

■（Security NEXT）あたらしい分野の製品だが米国の売り上げ状況はどうか？　上位500社などの導入状況は。

Link氏（以下L氏）：非上場企業のため具体的な売上は公表していないが、前年比400％と大きな伸びを示している。フォーチュン500では、40社から50社が導入している。

■日本市場をどのような位置づけとして捉えているか。

L氏：スタートしたばかりだが、長期的に見ると全体の売上における12％から15％を期待している。国ベースで見るとこれは米国に次ぐ規模だ。

日本を非常に重要視している。たとえば多くの企業では、日本をアジア太平洋部門の一部として位置づける企業も多いが、Palo Altoでは米国と同様に日本を独立したリージョンとして考えている。

■その国ごとにローカルなアプリケーションが利用されていると思うが、日本市場に対してどのように対応しているか。

L氏：「Winny」や「Share」といったファイル共有ソフトのほか、「hamachi」「PacketiX」といったトネリングソフト、「mixi」「2ちゃんねる」、動画関連サイトなど、日本独自のアプリケーションについても二桁単位で対応しており、パートナーや顧客のフィードバックにも応えている。

またウェブベースのアプリケーションについては、ユーザーがシグネチャを独自に作成できる機能を最新OSに追加した。利用者が作成したシグネチャを逆に製品へ活かす試みもはじまっている。

■ウェブではさまざまな通信が行われている。「アプリケーション」をどのように定義しているか。

L氏：現在対応しているアプリケーションは850にのぼる。専任チームが主要なものから対応している。対応にあたっては、マルウェアやウイルスへ感染する危険が高かったりファイル転送サービスなど、ビジネスに対する影響が大きいものから行っている。

■マルウェアやウイルス、脆弱性への攻撃なども「アプリケーション」として認識され、処理されるのか。

乙部氏（以下O氏）：マルウェアやウイルスそのものについては、パフォーマンスやユーザーのニーズに配慮し、アプリケーションを識別するエンジン「App-ID」ではなく、コンテンツの認識エンジン「Contents-ID」で対応している。同エンジンにはIPSやウイルス対策、ウェブフィルタリングなど含まれている。

■IPSによりアプリケーションの通信制御を実現する製品も登場しているが、違いはなか。

O氏：IPSベースの製品では、アプリケーションの通信をファイアウォールでは制御できない。そのためすべてのトラフィックをIPSのモジュールでシグネチャとマッチングさせることが必要となる。アプリケーションの識別に最適化されていないため、スループットがでない。

Palo Altoの製品は、入ってくるトラフィックのすべてをデフォルトでアプリケーションを識別している。単にオンオフだけでなく、その情報をもとに一部のユーザーのみに通過させたり、一部のアプリケーションを通過させるといった制御が行える。

■カスタマーにとっては比較対象に「DLP」があると思うが、どのような面で差別化できると考えるか。

L氏：われわれが置き換えの対象と考えている製品は、旧来のファイアウォールのほかにDLP製品もそのひとつだ。DLP専用製品にはもちろん特化した機能も含まれており、それらすべてをカバーできるものではない。

だがわれわれの製品でも、ファイルタイプによるフィルタリングをはじめ、クレジットカード番号や文字列のパターンによるフィルタリングが「Contents-ID」で行うことが可能で、DLPを求める顧客のニーズに対して8割の機能を提供できる。またDLPには備わっていないアプリケーションによる制御やSSLの復号化してブロックできるユニークな機能もある。

■製品の拡大でどういった活動を進めているか。

L氏：現状、アプリケーション可視化制御については市場に競合がいない状況だ。同様の技術を持っている企業がいれば認知度が高まるが、いまはわれわれが高めていく必要があると考えている。

調査会社などを通じてアプリケーション通信の可視化や制御がファイアウォールに求められるか重要性を呼びかけたり、Facebookといったソーシャルネットワークを通じて認知度を高める活動を行っている。既存顧客などがコラボレーションでき、情報をシェアできるシステムなども活用されている。

インタビューを終えて

乙部氏によれば、マイクロソフトとパートナーシップにより、脆弱性情報もいち早く提供されており、製品にも反映されているという。

一方でインタビューを実施した翌日となる15日にマイクロソフトが月例セキュリティ更新プログラムを公開しているが、そのなかの「MS09-028」に含まれる2件の脆弱性は、同社リサーチチームのYamata Li氏が報告したものだった。

アプリケーション通信のプロトコルや挙動など脆弱性と大きく関係する。今後アプリケーション制御技術はもちろんだが、脆弱性対策の成果といった面からも同社の展開が気になるところだ。

（Security NEXT - 2009/07/22 ） ツイート

PR

関連記事

「PAN-OS」脆弱性の詳細や悪用コードが公開済み - 攻撃拡大のおそれ
「PAN-OS」脆弱性、攻撃条件を修正 - 一部緩和策が「効果なし」に
「PAN-OS」のアップデートが公開 - 旧版にも順次提供予定
「PAN-OS」に対するゼロデイ攻撃、国内被害は未確認
「PAN-OS」を狙う「Operation MidnightEclipse」 - 3月下旬より展開
Palo Alto Networksの「PAN-OS」にゼロデイ脆弱性 - パッチを準備中
「PAN-OS」に関する脆弱性7件を修正 - Palo Alto Networks
求職情報サイトで遠隔操作やデータ取得の形跡 - 日刊工業新聞
一部SonicWall製ファイアウォールの「SSL VPN機能」に脆弱性 - 認証バイパスのおそれ
LINEヤフーのサイバー攻撃被害、メールやSlack上でも - 対象件数を修正