次世代ファイアウォールができること
アプリケーション 利用制御
禁止したいアプリケーションのみを遮断し、認められたアプリケーションを特定のユーザーのみに許可します。
ポート、プロトコル、SSL暗号化の有無に関わらずアプリケーションを識別し、アクセスコントロールすることができます。
これにより、以下のようなノンビジネスアプリケーションだけを禁止することが可能となります。
- ファイル交換などウイルス感染の危険性が高いアプリケーション
- 動画配信など業務効率を低下させるアプリケーション
- ウェブメールなど情報漏洩の可能性があるアプリケーション
ネットワークの通信をIPアドレスではなく、ユーザー名で識別し、アクセスコントロールすることができます。
アプリケーション制御 (特許技術)
従来型ファイアウォールでは、ポート単位でしか識別/制御を行えません。
例えば通常業務のため、ポート80/443を開放した場合、
-
Winnyなどファイル交換ソフトウェアが利用可能
-
YouTubeなど動画配信が閲覧可能
-
Yahoo、Hotmailなどウェブメールが利用可能
など、管理者はネットワーク状況を把握できないため、危険性の高いアプリケーションを検知/防御することができません。
Palo Alto Networks社の特許技術App-IDを用いることで、これまでのファイアウォールではできなかった『アプリケーションの可視化』が可能となります。
これにより、各企業ポリシーにおいて業務上必要かどうか判断し、必要なアプリケーションのみを許可、不要なアプリケーションを禁止することができます。
Dropbox、2ちゃんねる、Torをはじめ4,000種類以上(2024年3月現在)のアプリケーションを自動認識し制御が可能です。
アプリケーションを制御することで、情報漏洩の経路を断つことが可能です。また、攻撃の踏み台として加害者側に立ってしまうリスクも軽減することができます。
ユーザー識別
ユーザー/部署単位での柔軟なアプリケーション制御を行うことで、業務効率の向上とリスクの回避をどちらも犠牲にすることなく、実現することができます。
例えば外部との連絡や外出先での業務が多い営業部と、社内技術を所持する開発部とでは、セキュリティの観点からも、許可されるアプリケーションは大きく異なります。
しかし現場レベルでは「便利だから」という理由で、規制されたアプリケーションを使用している場面が、数多く存在します。そのため、それぞれの業務に適した環境を、他部門の業務に影響を与えることなく構築する必要があります。
このように次世代ファイアウォールでは、ADサーバーとのシームレスな統合により、ユーザー/グループ単位でポリシー設定を行えます。情報漏洩を防止などのリスクを排除しつつ、新しいアプリケーション群を正しく適用できるので、さまざまな企業活動を活性化することができます。