パロアルトネットワークスは7月14日、機械学習を搭載した次世代ファイアウォールを実現するセキュリティプラットフォームの最新OS「PAN-OS 10.0」を7月中に日本市場で提供開始すると発表した。

日本担当最高セキュリティ責任者(Field CSO)の林薫氏は、「セキュリティのリスクに変化が見られ、それらによって生じる課題を解決するため、PAN-OS 10.0を開発した」と述べた。

パロアルトネットワークス 日本担当最高セキュリティ責任者(Field CSO)林薫氏

リスクの変化とは、「攻撃の加速度と量の爆発的増加」「接続されるデバイスの急増」「攻撃面の増加」を指す。例えば、「攻撃の加速度と量の爆発的増加」については、攻撃者がマルウェアを配布するプロセスにおいて、未知化と配布を自動化することで、配布のスピードが上がり、配布されるマルウェアの数が爆発的に増えているという。

このようにリスクが変化する中、林氏は解決すべき課題として、以下を挙げた。

爆発的に増加し、速度を増す攻撃に備える

接続されるデバイスやシステムの管理

場所を問わず一貫したセキュリティ

「PAN-OS 10.0」には、新機能として、「機械学習に基づくインラインマルウェア防御とフィッシング防止機能」「遅延のないシグネチャ更新」「機械学習に基づくIoTセキュリティの統合」「機械学習に基づくセキュリティポリシー」が追加されている。

技術本部 SEマネージャーの寺前滋人氏は、これらのうち、特に重要な機能として、「機械学習に基づくインラインマルウェア防御とフィッシング防止機能」と「遅延のないシグネチャ更新」を挙げた。

パロアルトネットワークス 技術本部 SEマネージャーの寺前滋人氏

これまでネットワークセキュリティ製品では、専用ネットワークによるアウトオブバンド検出でのみ機械学習モデルを利用していたが、同社の機械学習搭載次世代ファイアウォールは、インラインで機械学習モデルによりこれまで未知と判断されていた攻撃も防ぐことを目指す。

具体的には、まずは次世代ファイアウォールの機械学習で脅威の分析を行い、対処しきれなかった脅威のみクラウドベースの分析を行うことで、防御率を上げるとともに、防御のスピードを上げる。寺前氏によると、同社の検証では、最大95%の一般的なファイルとWebベースの脅威をインラインで防御できたという。

機械学習に基づいたインライン防御の仕組み

また、シグネチャの配信については、WildFireが次世代ファイアウォールがインストールされた3万5000カ所で脅威を検出し、コンテンツベースでシグネチャを作成するという分散型の仕組みにより、時間を短縮している。これまでは最短5分でシグネチャの配信を行っていたが、数秒で次世代ファイアウォールへの適用が可能になったそうだ。

数秒でシグネチャの配信が可能になった

寺前氏は、今年6月に米国で発表されたKubernetes向けの次世代ファイアウォールも紹介した。既存の製品ではコンテナの可視性が不足していることから、コンテナ化されたPAN-OSを搭載した次世代ファイアウォールが開発された。Kubernetes環境向けの次世代ファイアウォールでは、コンテナ環境に対してもレイヤ7の可視性を適用して、ネームスペースまたはポッドレベルで、すべてのインバウンド、イーストウェスト、アウトバウンドトラフィックを保護できるという。

PAN-OS 10.0における70種以上の新機能