「アプリの識別」で実現、パロアルトが提唱する新しい境界セキュリティ

技術本部長の乙部幸一朗氏

　ここ最近、複雑化する脅威に対して、次世代ファイアウォールをうたう製品が登場している。パロアルトネットワークス合同会社（以下、パロアルト）の「PAシリーズ」もその1つだ。同製品は何を持って「次世代」なのか。その秘密は、従来のファイアウォールやIPSではできなかった「アプリの識別方法」にあるという。今回は、技術本部長の乙部幸一朗氏に話を伺い、その詳細に迫る。

■ファイアウォールをすり抜けるアプリが急増

　そもそもなぜ、次世代ファイアウォールが必要となったのか。乙部氏は「既存のファイアウォールをバイパスするアプリが急増したためだ」と指摘する。従来のファイアウォールでは、「送信元・送信先IPアドレス」「送信元・送信先ポート番号」「プロトコル」の情報から制御を行う「ステートフルパケットインスペクション」をベースに、ポートを開閉することで通信を制御する。一昔前のように、アプリとポート番号が1対1でひも付けられていたころは、この防御方法で問題なかった。

　ところが、Webメールやチャット、ストリーミング、P2P、VoIP、オンライン会議など、さまざまなアプリが登場する中で、多くのアプリがファイアウォールの「ポート番号ベースの制御」があることを前提に設計されるようになり、例えば、80番ポートを利用したり、空いているポートを動的にスキャンして利用したりするなど、既存のファイアウォールをバイパスするようになってしまったのだ。

　「このため、80番ポートにはHTTPだけでなく、P2Pなど想定外のトラフィックが流れるようになった。アプリを識別できない従来のファイアウォールでは、80番ポートを開放する以上、不必要な通信を遮断するすべを持たない。企業ではストリーミングなどのコンシューマ向けアプリの通信が帯域を圧迫し、Webメールやファイル転送サービスによる情報漏えいリスクを把握することも困難となった。また、アプリがウイルスを媒介することもあり、脅威を回避するために、ファイアウォールにネットワークの可視化と、本来の制御機能を取り戻す必要が出てきたのだ」（同氏）。

■アプリを識別する中核技術「App-ID」

　これが次世代ファイアウォールが必要となった背景だ。そこでPAシリーズの出番となる。求められたのは、「アプリごとに最適な制御」を行うこと。そのためにはまず、トラフィックを発生させているアプリが何であるかを特定できなければならない。PAシリーズではこの点に着目し、独自のアプリ識別エンジンを採り入れた。

　「App-ID」と呼ばれる同エンジンでは、通過するすべてのトラフィックを解析し、遮断などのアクションを起こす前に、まずアプリの識別を行う。具体的には、1）HTTPやSMTPなどベースプロトコルを特定し、2）さらに、HTTPならメソッドは何で、どんなパラメータにどんな値がセットされているかなど、より詳細にパケット構造を解析する。そして、従来のステートフルパケットインスペクションで利用するヘッダ情報に加え、アプリ情報を基に、3）必要なシグネチャのみを適用し、4）それで足りない場合は振る舞い検知を実施するという仕組みだ。

　これにより、80番ポートを通る中でも、不必要なアプリの通信を特定することが可能になった。また、HTTPのWebブラウジングが途中でストリーミングに変わっても、App-IDなら追随して識別することができる。制御した通信からIPアドレスやポート情報をキャッシュするので、「一度、Winnyで特定のサーバーへ通信が行われてから、再度同じあて先へアクセスされた場合に、即座にWinnyと特定することも可能だ」（同氏）。こうして、刻々と通信の状況が変わる中でも、流れるアプリに応じて必要最低限のシグネチャだけで処理が済むのが、PAシリーズの「次世代」たるゆえんである。

　特定可能なアプリケーションは現在800種以上におよび、定期アップデートで随時拡充。Outlook、Oracle、SAPといったビジネスアプリケーションはもちろん、Winny、Share、Hamachi、PacketiX、ニコニコ動画、宅ファイル便、 2ちゃんねる（閲覧/書き込み）、mixiなど日本特有のアプリケーションもサポートしている。

■ユーザーごとの制御を実現を実現する「User-ID」

　加えて、「User-ID」と「Content-ID」と呼ばれるエンジンも搭載する。これらもPAシリーズに欠かせない技術だ。

　User-IDは、ユーザーを識別するもの。外部のActive Directoryと連携し、通信のIPアドレスと、グループ・ユーザー名をマッピングしていく。これにより、通信が“誰によるものか”が確認できる。また、識別したアプリの情報と組み合わせて、「技術部ではこのアプリは使用可能、営業部では使用不可」といった、従来のファイアウォールでは不可能だったきめ細かい制御を実現している。

　一方のContent-IDは、ウイルスやスパイウェア、不正なファイル転送などをブロックするもので、いわばDLP機能を提供する技術だ。

■IPSやUTMとはどう違う？

シングルパスによる高いパフォーマンス

　このように、既存ファイアウォールとは一線を画すPAシリーズだが、1つ1つの技術は実はすべて既存のものだ。それらを組み合わせて、「アプリを識別するアルゴリズムを最適化しているのが特徴となる」（同氏）。では、従来のようにファイアウォールとIPSなどを組み合わせた場合と具体的にどう違うのか。

　実は、他社UTMなどでも「アプリを識別できる」とうたう製品が存在する。ところが「それらはふたを開ければ単なるIPS。基本はヘッダ情報で制御を行い、それで足りない場合にIPSへ処理をバトンタッチして制御しているに過ぎない。IPSはトラフィックに対し、シグネチャをすべて適用することで制御を行う。このため、処理がオーバーヘッドになるという弱点がある。また、きめ細かく制御を行うためには、デフォルトでOFFとなっているシグネチャを管理者自ら取捨選択し、ONにしていかなければならない。そしてONの数が増えるほど、ますますスループットは落ちていく」（同氏）という。

　一方でPAシリーズは、「根本的にアーキテクチャが異なり、無駄がない」（乙部氏）という。まずPAシリーズには、シグネチャのON/OFFという概念がない。すべてのトラフィックは平等にApp-IDを通過し、1つのフローで全処理が完結するシングルパスにより処理される。最初にアプリを識別するため、すべてのシグネチャを当てる必要がなくなり、複数の製品間で連携する必要もないため、スループットの減少が原則発生しないのだ。

■スループットを落とさないハードウェア的な仕組みも

コントロールプレーンとデータプレーンの完全分離

　ハードウェア的にもスループットを落とさない仕掛けがある。それが「コントロールプレーンとデータプレーンの完全分離」である。PAシリーズでは、ロギングやルーティングなどを行う「制御領域」と、実データトラフィックの処理を行う「データ転送領域」を完全に分離したアーキテクチャを採用している。

　データ転送領域はさらに、3つの領域に分離。1）QoS/NAT/ルーティング/v6フォワーディング/DoSプロテクションなどをつかさどる「10Gネットワークプロセッサ」、2）アプリ識別/SSL復号/ユーザー識別などをつかさどるセキュリティプロセッサ、3）IPS/アンチウイルス/フィルタリングなどのUTM機能をつかさどるフラッシュマッチングプロセッサに分けて、複数の処理が相互に影響を及ぼさないような仕組みとしている。

■既存ファイアウォールの置き換えを狙う

柔軟な導入方法

　昨今、次世代ファイアウォールをうたう製品が各社からリリースされている。乙部氏によれば「それらは既存の技術をただ組み合わせているに過ぎない。例えば、他社のファイアウォール製品の中にも1000種のアプリ識別に対応しているとうたっているものもあるが、それは普通のIPSのシグネチャが対応しているだけに過ぎない。昨今の問題は、複数のセキュリティ製品をバラバラと導入した結果、管理が複雑になった上に、それでも制御しきれないほどアプリが多様化し、ユーザー好き勝手振る舞うようになった点だ。次世代ファイアウォールをうたうからには、これまでと違ったアプローチで、この状況に対応できる性能を実現しなくてはならない」と説明。

　「当社の製品では、UTM、IPS、URLフィルタリングを1台に集約することで、最大80％のコスト削減効果が見込める。しかも、動的なアプリ識別という仕組みを採り入れることで、UTMのように機能の増加に伴うスループット劣化を招かずに済むのが特徴だ」とPAシリーズを訴求。「UTMとの対抗ではなく、あくまでファイアウォール市場で、既存ファイアウォールの置き換えニーズを狙う」との意向を示した。そこには、ファイアウォールが再び本来の目的を果たせば、UTMのように機能を複雑に複合せずとも、脅威には対抗できるとの考えがあるという。

　PAシリーズなら乗り換えも容易だ。「同製品には、既存ファイアウォールを完全に置き換えて動作させるモードのほか、スイッチのミラーポートにつないで監視するモード、既存ファイアウォールの背後にレイヤ1レベルで導入し、既存環境に変更なくアプリの識別・制御が可能なモードも用意されている。これにより、柔軟で安全なファイアウォールリプレースを進めることが可能」（乙部氏）としている。