パロアルトネットワークスは7月6日、次世代ファイアウォールの新製品、次世代ファイアウォールの新機能、クラウドネイティブなシングルサインオン・サービス「Cloud Identity Engine」を日本市場で提供開始すると発表した。今回発表された新製品、新機能、新サービスは以下の通り。
技術本部 アーキテクトの林章氏は、現在提供されているゼロトラストネットワークを実現する製品の多くは限定的な機能しか提供していないが、同社はエンド・ツー・エンドのゼロトラストセキュリティを提供することを目指し、今回、新製品や新機能を提供すると述べた。
ID管理の課題解決
現在、クラウドベースのアプリケーションの利用が増えたことでIDが多様化しており、これに伴い、複数のIDプロバイダーが利用されるようになっている。加えて、ユーザーがIDを利用する場所も増えており、IDの管理が煩雑になっている。
こうした背景の下、Cloud Identity Engineは、オンプレミスのIDプロバイダーとクラウドネイティブなID&SSOプロバイダーの統合管理を実現する。同サービスは、IDを一貫した手法で検証し、使用するIDプロバイダーはマウス操作で容易に統合でき、すべてのインフラでIDを統一できる。同社の製品を利用しているユーザーは無償で利用できる。
Webセキュリティの課題解決
加えて、今回Webセキュリティを強化するため、ファイアウォール製品に追加された機能の1つが、Advanced URL Filteringだ。Webベースの攻撃に対する防御策にURLフィルタリングがあるが、毎日数千個のフィッシング用URLが作成されるため、従来の製品が用いているURLデータベースでは防御が追い付かない。そこで、Advanced URL Filteringでは機械学習によって、URLに加えてコンテンツをチェックすることで、未知の有害なURLをブロックしてゼロデイ攻撃を阻止する。
また、Webべ-スの攻撃における課題として、DNSを悪用した攻撃が増加しているが、一般的なセキュリティソリューションは最新のDNSレイヤーの脅威を保護できないことがある。そこで、同社はDNSを保護する機能として、以下を追加した。
- ファストフラックス ドメイン(特定のホスト名に多くのIPアドレスを短期間で設定する技術)
- DNSリバインディング攻撃(ドメインに対応する IP アドレスを短時間に変更し、同一生成元ポリシーの範囲で攻撃)
- Dictionary DGA(ランダムな辞書単語を組み合わせたドメイン生成アルゴリズム)
- ダングリングDNS 攻撃(利用後のドメインをハイジャックする攻撃)
- NXNS DoS攻撃(DNS サーバーに対する DoS 攻撃)
- 予測に基づく新規ドメインの検出
- Ultra Slow DNS トンネリング
SaaSセキュリティの課題解決
企業のクラウド利用と共に増えているのが、SaaSの利用だ。それに伴い、クラウドにおけるセキュリティのリスクも高まっている。数年前から、クラウドセキュリティのソリューションとして、CASB(Cloud access security broker)が注目を集めているが、今回、「API」「インライン」「エンタープライズDLP」という3つのコンポーネントに再定義した統合型CASBの国内提供を開始した。
3つのコンポーネントのうち、「API」は以前から提供している標準的なSaaS向けの機能であり、PAN OS(ファイアウォール製品のOS)に搭載される。インラインを含む高度なSaaSセキュリティは、有償のサブスクリプションによって提供される。統合型CASBは、未承認・承認中・承認済みとあらゆるSaaSアプリを自動で可視化・監査・制御を行う。
そして、発売が開始されるファイアウォール製品は「PA 5450」と「PA400 Series」になる。「PA 5450」は機械学習を搭載しており、大規模なデータセンター、インターネットエッジ、構内ネットワークのセグメント化に対応している。
一方、「PA400 Series」は企業の支社などブランチ向けにエンタープライズレベルのセキュリティを提供する製品だ。こちらも機械学習を搭載している。今回発表した新機能は、PAN OS10.1を搭載しているファイアウォール製品で利用可能。