Paloalto社のファイアウォールはリモートアクセスVPN(GlobalProtect)が利用できます。
GlobalProtectは緊急事態宣言に伴うテレワーク化の対応でも非常に活躍した機能の一つですね。
GlobalProtectは無償版でも使いこなせると相当便利です。
この記事では無償版と有償版の違いを紹介します。

テレワークで活躍したGlobalProtectは有償ライセンス無しで利用可能
GlobalProtect自体は、有償ライセンス無しでも利用できる基本機能になっています。
あまり知られていない気がしますが、有償のGlobalProtectライセンスを購入せずともGlobalProtectを使ってリモートアクセスVPN接続をすることが可能なのです。
ただし、無償版では高度なセキュリティ制限ができないといった制約があります。
その制約を解除するために必要なのが有償のGlobalProtectライセンスです。
有償のGlobalProtectライセンスでできること
無償版で何ができるかを考えるには、逆に有償ライセンスでは何ができるかを見た方がはやいです。
例えば有償ライセンスでは以下のような機能を提供しています。
- iOSといったモバイル端末/OSからのGlobalProtect接続
- LinuxOSからのGlobalProtect接続
- IPv6環境からのGlobalProtect接続
- 端末のHIP(Host Integrity Protection)チェック機能
- 高度なスプリットトンネル機能
少々わかりづらいので解説します。
・iOSといったモバイル端末/OSからのGlobalProtect接続
例えばAppleStoreのアプリケーションでGlobalProtectを検索するとアプリが見つかります。
アプリ自体は無償でダウンロード&インストールすることが可能です。
ただ、使おうとすると有償ライセンスが必要という警告が表示されて利用できません。
有償ライセンス無しでは利用できないよう制限がかけられています。
LinuxOSからのGlobalProtect接続
これもiOSと同様の制限の話ですが、LinuxOS用のGlobalProtectソフトウェアはインストールできたとしても有償ライセンスがないと利用できません。
IPv6環境からのGlobalProtect接続
個人利用において支障になることはほぼないと思いますが、IPv6環境でGlobalProtectを使いたい場合には有償ライセンスが必要になります。
端末のHIP(Host Integrity Protection)チェック機能
GlobalProtectのHIP(Host Integrity Protection)チェックとは何かですが、簡単に言うとクライアント端末の情報に基づいてGlobalProtect接続端末の情報収集や、VPN接続の許可/拒否を制御するための仕組みとおもってください。
例えばGlobalProtectのHIPでは以下のような情報を収集できます。
- ホスト名などの端末情報
- OS種別
- パッチ適用状況
- アンチウイルスソフト
- ディスク暗号化
- 証明書
- レジストリ
HIPに基づくGlobalProtect接続制限の例としては、以下のようなものがあります。
- パッチ適用状況が設定した以上でない場合はVPN経由の通信を制御(許可/拒否)する
- 端末に特定のレジストリ情報がある場合は場合はVPN経由の通信を制御(許可/拒否)する
リモートアクセスVPN(GlobalProtect)は、外部からの不正侵入に対して適切な保護が必要ですので、こういった詳細なHIP制御ができることは重要です。
無償のGlobalProtectでは、VPN接続することはできても、高度な制限をかけることができないのです。
特に重要な情報を取り扱う業務環境に対するリモートアクセスなどでこういった高度な制御をかけられないのは致命的です。
こういう時には有償ライセンスを利用して制限をしていくようにしましょう。
高度なスプリットトンネル機能
無償のGlobalProtectでもスプリットトンネルをかけることができのでうsが、高度なスプリットトンネル制御ができません。
高度とは何かですが、例えば通信量が多いビデオ会議ツールのトラフィックのみスプリットトンネルをかけたい場合など、無償機能では厳しいです。
特に利用者数が多い環境でこのような柔軟なスプリットトンネル制御ができないというのは非常に困りますので、この時には有償ライセンスが必要になります。
GlobalProtect無償版でも結構すごい
有償ライセンスで利用できる機能を紹介しましたが、無償版でもリモートアクセスVPNは利用できるのです。
個人の自宅にPAシリーズのファイアウォールを設置して、GlobalProtectを使うための設定をすれば普通に使うことができます。
やろうと思えば、外出先から自宅のPaloaltoにVPN接続して、家にあるサーバやパソコン・ファイルサーバなどに接続することも可能ということです。
もちろん、セキュリティ面では十分注意が必要です。
逆に言うと勉強のために自宅でテストするぐらいなら問題ないですね。
素晴らしい機能なので使いこなせるようになると最高ですよ。
コメント