パロアルトネットワークスは7月6日、次世代ファイアウォールの新製品、次世代ファイアウォールの新機能、クラウドネイティブなシングルサインオン・サービス「Cloud Identity Engine」を日本市場で提供開始すると発表した。今回発表された新製品、新機能、新サービスは以下の通り。

技術本部 アーキテクトの林章氏は、現在提供されているゼロトラストネットワークを実現する製品の多くは限定的な機能しか提供していないが、同社はエンド・ツー・エンドのゼロトラストセキュリティを提供することを目指し、今回、新製品や新機能を提供すると述べた。

  • パロアルトネットワークス 技術本部 アーキテクト 林章氏

ID管理の課題解決

現在、クラウドベースのアプリケーションの利用が増えたことでIDが多様化しており、これに伴い、複数のIDプロバイダーが利用されるようになっている。加えて、ユーザーがIDを利用する場所も増えており、IDの管理が煩雑になっている。

こうした背景の下、Cloud Identity Engineは、オンプレミスのIDプロバイダーとクラウドネイティブなID&SSOプロバイダーの統合管理を実現する。同サービスは、IDを一貫した手法で検証し、使用するIDプロバイダーはマウス操作で容易に統合でき、すべてのインフラでIDを統一できる。同社の製品を利用しているユーザーは無償で利用できる。

  • Cloud Identity Engineの概要

Webセキュリティの課題解決

加えて、今回Webセキュリティを強化するため、ファイアウォール製品に追加された機能の1つが、Advanced URL Filteringだ。Webベースの攻撃に対する防御策にURLフィルタリングがあるが、毎日数千個のフィッシング用URLが作成されるため、従来の製品が用いているURLデータベースでは防御が追い付かない。そこで、Advanced URL Filteringでは機械学習によって、URLに加えてコンテンツをチェックすることで、未知の有害なURLをブロックしてゼロデイ攻撃を阻止する。

また、Webべ-スの攻撃における課題として、DNSを悪用した攻撃が増加しているが、一般的なセキュリティソリューションは最新のDNSレイヤーの脅威を保護できないことがある。そこで、同社はDNSを保護する機能として、以下を追加した。

  • ファストフラックス ドメイン(特定のホスト名に多くのIPアドレスを短期間で設定する技術)
  • DNSリバインディング攻撃(ドメインに対応する IP アドレスを短時間に変更し、同一生成元ポリシーの範囲で攻撃)
  • Dictionary DGA(ランダムな辞書単語を組み合わせたドメイン生成アルゴリズム)
  • ダングリングDNS 攻撃(利用後のドメインをハイジャックする攻撃)
  • NXNS DoS攻撃(DNS サーバーに対する DoS 攻撃)
  • 予測に基づく新規ドメインの検出
  • Ultra Slow DNS トンネリング

SaaSセキュリティの課題解決

企業のクラウド利用と共に増えているのが、SaaSの利用だ。それに伴い、クラウドにおけるセキュリティのリスクも高まっている。数年前から、クラウドセキュリティのソリューションとして、CASB(Cloud access security broker)が注目を集めているが、今回、「API」「インライン」「エンタープライズDLP」という3つのコンポーネントに再定義した統合型CASBの国内提供を開始した。

3つのコンポーネントのうち、「API」は以前から提供している標準的なSaaS向けの機能であり、PAN OS(ファイアウォール製品のOS)に搭載される。インラインを含む高度なSaaSセキュリティは、有償のサブスクリプションによって提供される。統合型CASBは、未承認・承認中・承認済みとあらゆるSaaSアプリを自動で可視化・監査・制御を行う。

  • 「SaaSセキュリティ」の概要

そして、発売が開始されるファイアウォール製品は「PA 5450」と「PA400 Series」になる。「PA 5450」は機械学習を搭載しており、大規模なデータセンター、インターネットエッジ、構内ネットワークのセグメント化に対応している。

  • 次世代ファイアウォール「PA 5450」の特徴

一方、「PA400 Series」は企業の支社などブランチ向けにエンタープライズレベルのセキュリティを提供する製品だ。こちらも機械学習を搭載している。今回発表した新機能は、PAN OS10.1を搭載しているファイアウォール製品で利用可能。

  • 次世代ファイアウォール「PA400 Series」のラインアップ