Palo Alto Networks Productsの導入事例

大阪情報コンピュータ専門学校様

導入前の課題

導入前、OICではセキュリティ対策において、いくつかの課題がありました。

• 課題1）従来型ファイアウォールで制御しきれない、アプリケーションごとの利用制御を行いたい（校内からのP2Pトラフィックの遮断等）
• 課題2）インターネット上の掲示板への書き込みをコントロールしたい。
• 課題3）トラフィックの可視化を行いたい（どのようなアプリケーションが帯域を圧迫しているのか把握したい）

「現存のシステムでは、従来型のファイアウォールによるIPアドレスならびにポート番号での制御しか行っておらず、インターネット上の脅威から学生を守る為、よりきめ細かくアプリケーションを制御できるシステムを検討しておりました。」（情報メディアセンター　山口雅樹氏）

選択のプロセスとポイント

上記の課題を解決するために、製品・ソリューションの選定を開始しました。当初は、別メーカのファイアウォールを検討していました。しかし課題を全て解決することができず、他の製品を検討していた際に、KDDI様よりPalo Alto NetworksのPAシリーズを御紹介いただきました。 「PAシリーズの導入に至った第一の理由は、容易にアプリケーションの制御と可視化が出来る事です。また、実際にデモを見て、レポート等のユーザインターフェースがわかりやすかったこともポイントでした。」

容易にアプリケーションの制御・可視化ができる、ということに加え、下記の点でもPAシリーズは高く評価できます。

• GUI（設定時や運用時に見やすく操作性が良い）
• レポート機能（見たいレポート項目がテンプレートとして既に準備されている）
• 性能面（UTM機能を使用すると他のFWは性能劣化が著しいがPAシリーズは性能劣化が少ない）
• ハードの設計（通信基盤と管理基盤が分かれている）
• サポート面（Juniper製品で実績がある日立ソリューションズ（(旧)日立システム）のサポートは安心できる）

導入後の効果

PAシリーズの導入はユニアデックス様が担当しました。導入後も大きなトラブルはなく、スムーズに導入作業を終えることができました。導入時のパラメータシートも分かりやすかったです。

【構成図】

導入後まだ間もないので、効果はこれからだと思いますが、PAシリーズを設置後、数分でアプリケーションの可視化が開始された事には驚きました。また、ACCというGUIの機能ではホスト名が解決されており、不正にアプリケーションの使用を試みた端末の特定が迅速に行え、PAシリーズの運用面での使いやすさも評価できます。

今後の期待

今後もアプリケーションは増え続けますので、特に日本特有のアプリケーションへの対応（シグネチャ提供）に期待します。また、IPv6化も検討しており、PAシリーズのIPv6サポートにも期待しています。
「また、初期導入時にはThreat PreventionやURL Filteringのライセンスは導入していませんが、今後はPAシリーズでウイルス対策やURLのフィルタリングの実施を検討しています。ADサーバを構築しているので、今後はADと連携し、User-ID機能も使用したいと考えています。」（情報メディアセンター　山口雅樹氏）