そもそもなぜ、次世代ファイアウォールが必要となったのか。乙部氏は「既存のファイアウォールをバイパスするアプリが急増したためだ」と指摘する。従来のファイアウォールでは、「送信元・送信先IPアドレス」「送信元・送信先ポート番号」「プロトコル」の情報から制御を行う「ステートフルパケットインスペクション」をベースに、ポートを開閉することで通信を制御する。一昔前のように、アプリとポート番号が1対1でひも付けられていたころは、この防御方法で問題なかった。

　ところが、Webメールやチャット、ストリーミング、P2P、VoIP、オンライン会議など、さまざまなアプリが登場する中で、多くのアプリがファイアウォールの「ポート番号ベースの制御」があることを前提に設計されるようになり、例えば、80番ポートを利用したり、空いているポートを動的にスキャンして利用したりするなど、既存のファイアウォールをバイパスするようになってしまったのだ。

　「このため、80番ポートにはHTTPだけでなく、P2Pなど想定外のトラフィックが流れるようになった。アプリを識別できない従来のファイアウォールでは、80番ポートを開放する以上、不必要な通信を遮断するすべを持たない。企業ではストリーミングなどのコンシューマ向けアプリの通信が帯域を圧迫し、Webメールやファイル転送サービスによる情報漏えいリスクを把握することも困難となった。また、アプリがウイルスを媒介することもあり、脅威を回避するために、ファイアウォールにネットワークの可視化と、本来の制御機能を取り戻す必要が出てきたのだ」（同氏）。

特定可能なアプリケーションは現在800種以上におよび、定期アップデートで随時拡充。Outlook、Oracle、SAPといったビジネスアプリケーションはもちろん、Winny、Share、Hamachi、PacketiX、ニコニコ動画、宅ファイル便、 2ちゃんねる（閲覧/書き込み）、mixiなど日本特有のアプリケーションもサポートしている。

「アプリの識別」で実現、パロアルトが提唱する新しい境界セキュリティ - Enterprise Watch Watch

このように、既存ファイアウォールとは一線を画すPAシリーズだが、1つ1つの技術は実はすべて既存のものだ。それらを組み合わせて、「アプリを識別するアルゴリズムを最適化しているのが特徴となる」（同氏）。では、従来のようにファイアウォールとIPSなどを組み合わせた場合と具体的にどう違うのか。

　実は、他社UTMなどでも「アプリを識別できる」とうたう製品が存在する。ところが「それらはふたを開ければ単なるIPS。基本はヘッダ情報で制御を行い、それで足りない場合にIPSへ処理をバトンタッチして制御しているに過ぎない。IPSはトラフィックに対し、シグネチャをすべて適用することで制御を行う。このため、処理がオーバーヘッドになるという弱点がある。また、きめ細かく制御を行うためには、デフォルトでOFFとなっているシグネチャを管理者自ら取捨選択し、ONにしていかなければならない。そしてONの数が増えるほど、ますますスループットは落ちていく」（同氏）という。

　一方でPAシリーズは、「根本的にアーキテクチャが異なり、無駄がない」（乙部氏）という。まずPAシリーズには、シグネチャのON/OFFという概念がない。すべてのトラフィックは平等にApp-IDを通過し、1つのフローで全処理が完結するシングルパスにより処理される。最初にアプリを識別するため、すべてのシグネチャを当てる必要がなくなり、複数の製品間で連携する必要もないため、スループットの減少が原則発生しないのだ。

「アプリの識別」で実現、パロアルトが提唱する新しい境界セキュリティ - Enterprise Watch Watch