完全なゼロトラスト実現のために企業のネットワークセキュリティを再定義--パロアルトネットワークス

渡邉利和

2021-07-07 10:35

 パロアルトネットワークスは7月6日、セキュリティソリューションの新機能と次世代ファイアウォールの新ハードウェアを国内で提供すると発表した。「Cloud Identity Engine」「ウェブセキュリティ(Advanced URL Filteringのインライン機械学習機能)」「SaaSセキュリティ(統合型CASB)」「新ハードウェア(PA-400 Series、PA-5450)」の大きく4つの機能/製品となる。

 同社 技術本部 アーキテクトの林章氏は「現在、オンプレミス中心の世界からクラウド中心の世界へと変化しつつある中、Palo Alto Networksはクラウド中心のエンタープライズ向けビジネスへのシフトが非常に上手くいっている」と強調。今回発表の新製品/新機能によってユーザー企業の「完全なゼロトラストネットワークセキュリティの実現に向けた支援」を行うとした。

パロアルトネットワークス 技術本部 アーキテクト 林章氏
パロアルトネットワークス 技術本部 アーキテクト 林章氏

 また、同氏は「多くのベンダーからゼロトラストを実現するためのソリューションや製品がリリースされているが、その多くがポイントソリューション中心で、限定的な機能のみを提供しているのが実態であるといえる」「Palo Alto Networksは、エンドツーエンドの包括的なゼロトラストの実現手段を提供している」とアピールした。

 ID管理の課題を解決する「Cloud Identity Engine」は、かつてのオンプレミス時代にはローカルのActive Directory(AD)のみで管理できていたシンプルな状況がクラウドベースの多数のIDプロバイダーのサービスを併用するようになって複雑化したことに対応。複数のIDプロバイダーを統合して「クラウドネイティブなシングルサインオン/ディレクトリーサービス」を提供する。同社製品のユーザーに対して無償提供される新機能となる。

 次に、ウェブセキュリティ機能の強化である「Advanced URL Filteringのインライン機械学習」は、ウェブベースのゼロデイ攻撃を阻止することを狙ったもの。データベースなどを用いた従来のURLフィルタリング機能に加え、リンク先のコンテンツを機械学習を活用してリアルタイムでチェックし、未知の有害URLをブロックするという。また、最新の攻撃手法で対象とされ、大きな被害につながっているDNS(Domain Name System)に対する新種の攻撃に対応する7種類の新しいDNSセキュリティ機能も提供される。

 なお、「ダングリングDNS攻撃」「NXNS DoS攻撃」「予測に基づく新規ドメインの検出」「“Ultra Slow”DNSトンネリング」の4つの攻撃に対応する保護機能の提供は業界初といい、同社のみが提供する機能だという。Advanced URL FilteringとDNSセキュリティはいずれも「PAN-OS 9.1」以上で提供される新機能で、同OSがサポートする次世代ファイアウォールを運用するユーザーは追加のサブスクリプションライセンスを購入することで利用可能になる。

 SaaSセキュリティでは、統合型CASB(Cloud Access Security Broker)として「SaaSセキュリティ」の提供を開始する。既存の多くのCASBソリューションが複雑かつ高コストであることに対応したものだという。SaaSセキュリティは、「SaaSインラインセキュリティ」「SaaS APIセキュリティ」「エンタープライズDLP」の3つのコンポーネントで構成される。

 SaaSインラインセキュリティは、シャドーITの可視化と制御を行う機能で、従来PAN-OSに実装されていたSaaSセキュリティ機能をさらに高度化したものと位置付けられる。機械学習技術も活用し、「急速に増加するSaaSアプリケーションのサポートの大幅な迅速化を実現した」という。

 SaaS APIセキュリティは、従来「Prisma SaaS」という名称で提供されていた機能が名称変更されたもので、「認可されたSaaSアプリケーションのセキュリティ対策に重点をおいたもの」となる。エンタープライズDLP(Data Loss Prevantion)は、プラットフォーム全体で一貫したデータセキュリティを提供する。

 SaaSインラインセキュリティとエンタープライズDLPはサブスクリプションライセンスで、SaaS APIセキュリティは従来のPrisma SaaSと同様のクラウドサービスとして利用ユーザー数ベースの課金体系となる。

 最後に、新ハードウェアとして機械学習機能を搭載した次世代ファイアウォール「PA-5450」と支社などでの導入を想定したローエンドモデル「PA-400 Series(PA-410、PA-440、PA-450、PA-460)」の2種類が提供される。PA-5450とPA-410以外のPA-400 Seriesは同日から、PA-410は9月以降の提供予定となっている。

 PA-5450は、価格競争力を高めるためにデザインされたスケーラブルなプラットフォームで「30G~120Gbpsの脅威防御スループットを実現」「競合他社製品に比べて最大70%のTCO削減を実現」するという。

 PA-400 Seriesは支社や小規模オフィスに展開することを目的としたモデルだが、他のモデルと同様に機械学習を活用した脅威防御機能を搭載しており、「競合他社製品に比べて約10倍のパフォーマンス」「ゼロタッチプロビジョニング」「可動部品のないハードウェア設計によるサービスコストの削減」などが特徴だという。

 最後に林氏は、これらの新機能/新製品の投入により、同社は「完全なゼロトラストの実現のために企業のネットワークセキュリティを再定義」すると語った。

Palo Alto Networksのゼロトラストソリューションの全体像

Palo Alto Networksのゼロトラストソリューションの全体像

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]