GlobalProtect 無償・有償版の違い

Paloalto社のファイアウォールはリモートアクセスVPN（GlobalProtect）が利用できます。

GlobalProtectは緊急事態宣言に伴うテレワーク化の対応でも非常に活躍した機能の一つですね。

GlobalProtectは無償版でも使いこなせると相当便利です。

この記事では無償版と有償版の違いを紹介します。

テレワークで活躍したGlobalProtectは有償ライセンス無しで利用可能

GlobalProtect自体は、有償ライセンス無しでも利用できる基本機能になっています。

あまり知られていない気がしますが、有償のGlobalProtectライセンスを購入せずともGlobalProtectを使ってリモートアクセスVPN接続をすることが可能なのです。

ただし、無償版では高度なセキュリティ制限ができないといった制約があります。

その制約を解除するために必要なのが有償のGlobalProtectライセンスです。

無償版で何ができるかを考えるには、逆に有償ライセンスでは何ができるかを見た方がはやいです。

例えば有償ライセンスでは以下のような機能を提供しています。

少々わかりづらいので解説します。

例えばAppleStoreのアプリケーションでGlobalProtectを検索するとアプリが見つかります。

アプリ自体は無償でダウンロード＆インストールすることが可能です。

ただ、使おうとすると有償ライセンスが必要という警告が表示されて利用できません。

有償ライセンス無しでは利用できないよう制限がかけられています。

これもiOSと同様の制限の話ですが、LinuxOS用のGlobalProtectソフトウェアはインストールできたとしても有償ライセンスがないと利用できません。

個人利用において支障になることはほぼないと思いますが、IPv6環境でGlobalProtectを使いたい場合には有償ライセンスが必要になります。

GlobalProtectのHIP（Host Integrity Protection）チェックとは何かですが、簡単に言うとクライアント端末の情報に基づいてGlobalProtect接続端末の情報収集や、VPN接続の許可/拒否を制御するための仕組みとおもってください。

例えばGlobalProtectのHIPでは以下のような情報を収集できます。

HIPに基づくGlobalProtect接続制限の例としては、以下のようなものがあります。

リモートアクセスVPN（GlobalProtect)は、外部からの不正侵入に対して適切な保護が必要ですので、こういった詳細なHIP制御ができることは重要です。

無償のGlobalProtectでは、VPN接続することはできても、高度な制限をかけることができないのです。

特に重要な情報を取り扱う業務環境に対するリモートアクセスなどでこういった高度な制御をかけられないのは致命的です。

こういう時には有償ライセンスを利用して制限をしていくようにしましょう。

無償のGlobalProtectでもスプリットトンネルをかけることができのでうｓが、高度なスプリットトンネル制御ができません。

高度とは何かですが、例えば通信量が多いビデオ会議ツールのトラフィックのみスプリットトンネルをかけたい場合など、無償機能では厳しいです。

特に利用者数が多い環境でこのような柔軟なスプリットトンネル制御ができないというのは非常に困りますので、この時には有償ライセンスが必要になります。

有償ライセンスで利用できる機能を紹介しましたが、無償版でもリモートアクセスVPNは利用できるのです。

個人の自宅にPAシリーズのファイアウォールを設置して、GlobalProtectを使うための設定をすれば普通に使うことができます。

やろうと思えば、外出先から自宅のPaloaltoにVPN接続して、家にあるサーバやパソコン・ファイルサーバなどに接続することも可能ということです。

もちろん、セキュリティ面では十分注意が必要です。

逆に言うと勉強のために自宅でテストするぐらいなら問題ないですね。

素晴らしい機能なので使いこなせるようになると最高ですよ。