「次世代ファイアウォールはもう古い」
従来型のファイアウォールやアンチウイルスソフトの弱点を補うように登場したのが、次世代ファイアウォールやサンドボックス技術だ。http通信の監視や可視化、未知のマルウェアの検知など、従来型ファイアウォールやアンチウイルスソフトとは異なるアプローチで新しい脅威に対抗する。それぞれの代表格とされるのがPalo Alto NetworksとFireEyeだ。
チェックポイントと言うと、従来型ファイアウォールの最右翼といったイメージがある。だが、マノール氏は、こうした新しい技術はすでに同社の製品に取り込んでおり、同じアプローチで脅威に対抗できると主張する。たとえば、Threat Emulationという技術は、仮想環境でマルウェアを実行し脅威を検知するサンドボックス技術だ。また、同じアプローチをとっていても、1つ1つ機能には違いがあるという。
「チェックポイントのサンドボックス技術が他社と異なるのは、脅威の検知だけでなくブロックができる、SSL通信にも対応できるといった点だ」(マノール氏)
プリベンションというのは、単に脅威を検知するだけでなく、ブロックできるという意味だ。それを機能ごとに見ていくと「Palo Alto Networksの次世代ファイアウォールはSSL通信も含めて検知するがブロックはしない。FireEyeはメール経由のマルウェアはブロックするがSSL通信は見ないため、クラウドのファイル共有サービス上にあるファイルをブロックすることはできない」(同氏)などといった違いがでてくるという。
「サンドボックス技術で言えば、Web、メール、SSLという3つをプリベンションできるのはチェックポイントだけだという特徴がある。もっとも、当社は、アプリ可視化やサンドボックスといった技術だけでは、最近の脅威には対抗できないとも考えている。すべての脅威に対抗しようという『フルスレットプリベンション』を掲げているのもそのためだ」(同氏)
フルスレットプリベンションというのは、ファイアウォールで区切られた社内ネットワークだけでなく、ローミングユーザーやモバイルデバイスといった社外のエンドポイントやデータを含めて統合的に防御するものだという。
「次世代ファイアウォールは、3年ほど前はビッグワードだった。しかし、もう古く、最近の脅威に対応することはできなくなっている。結局は、ファイアウォールで内と外を分けていることに変わりはないからだ。われわれは、そういった社内外制約をなくし、ネットワークの完全な防御を目指している」(同氏)
