WinnyをWinnyと認識することの重要性
では、同社の次世代ファイアウォールはこの5条件をどのように満たしているのか。最新の「PA」ファミリでは、「App-ID」「User-ID」「Content-ID」によるコントロールが主要機能になるという。
まず、アプリケーションを可視化するApp-IDは、アプリケーションプロトコルの検知とデコーディング、アプリケーションシグネチャ(痕跡)、ヒューリスティックとの組み合わせで実現する。
現在750以上のアプリケーションを特定するシグネチャデータを持ち、それを基に直接アプリケーションを識別して許されたものだけを通す。シグネチャは毎週新たに追加され、特定できるアプリケーションの数を増やしているという。
このApp-IDを使うことによって、オラクルやウェブ会議の「Webex」といった従来型のビジネスアプリケーションのほか、Winny、BitTorrent、ニコニコ動画など最新のイベーシブ性の高いパーソナルアプリケーションまで特定することができる。
例えば、IMをサポートするチャットサイト「Meebo」をApp-IDではちゃんとMeeboと認識するのに対し、従来型のファイアウォールではHTTPもしくはSSLと認識してしまったり、Winnyやトンネリングアプリケーションの「TOR」も、「Any」もしくはポート番号で表示されてしまったりするという。
次に、User-IDによって全てのネットワークトラフィックと実際のユーザーをひも付けることができる。これは、Active Directoryと見えない形で統合することで、仮にユーザー名を詐称し、毎日異なるIPアドレスを使ったとしても、セキュリティポリシーを常に個人ユーザー、もしくは特定のユーザーグループに対して適用することが可能だ。
さらに、アプリケーション、ユーザーを特定した後は、Content-IDによってデータ、脅威、URL別にコンテンツのスキャニングを行う。1つのパスを適用したストリームベースのシグネチャエンジンを使うことで、リアルタイムに全てをスキャニングすることを可能にする。
これは、ファイルプロキシを活用する他のUTMやゲートウェイ、アンチウイルスなどのコンテンツスキャニング製品では実現が難しいという。社会保障番号(SSN)やクレジットカード番号、ファイルタイプも定義に基づいて特定し、脆弱性の悪用、ウイルス、スパイウェアなどの脅威の発見や、URLをクラシフィケーションすることでユーザーが閲覧できるWebサイトを制限することもできる。