GlobalProtect ぐろーばるぷろてくと
簡単に言うとこんな感じ!
GlobalProtectは、Palo Alto Networksが作ったVPNの仕組みだよ。「社外にいるパソコンにも、まるで社内にいるときと同じセキュリティチェックをかけ続ける」のが最大の特徴なんだ。普通のVPNが「つながる手段」なのに対して、GlobalProtectは「つながった後もずっと安全かどうか見張ってくれる番人」みたいなイメージだね!
GlobalProtectとは
GlobalProtectは、次世代ファイアウォールで知られるPalo Alto Networksが提供するリモートアクセスVPNソリューションです。単に社外から社内ネットワークへのトンネルを張るだけでなく、接続端末のセキュリティ状態を常時監視・評価し、ポリシーに合わない端末はアクセスを制限するという「エンドポイント連携型VPN」として設計されています。
GlobalProtectは、Palo Alto NetworksのファイアウォールOS「PAN-OS」上で動作するPanorama(集中管理基盤)や、クラウド型セキュリティサービス「Prisma Access」とも緊密に統合されます。これにより、社内・社外・クラウドを問わず、すべてのトラフィックを一貫したセキュリティポリシーで検査するゼロトラストネットワークの実現を支援します。
従来のVPNは「つなぐこと」が主目的でしたが、GlobalProtectは「つないだ後の安全性」にも責任を持つ点が大きな違いです。テレワークが普及した現代において、端末の状態(OSのバージョン・ウイルス対策ソフトの稼働状況など)をリアルタイムに把握しながらアクセス制御を行う仕組みは、情報セキュリティ担当者にとって非常に重要な機能となっています。
GlobalProtectの構成要素と仕組み
GlobalProtectは複数のコンポーネントが連携して動作します。それぞれの役割を整理しておきましょう。
| コンポーネント | 役割 | 設置場所 |
|---|---|---|
| GlobalProtect Gateway | VPNトンネルの終端。トラフィックを検査・制御する | 社内またはクラウド(Prisma Access) |
| GlobalProtect Portal | クライアントの設定配布・認証の入口 | 社内またはクラウド |
| GlobalProtect Agent(クライアント) | ユーザーのPC・スマホにインストールするアプリ | 各ユーザー端末 |
| HIP(Host Information Profile) | 端末の状態情報を収集・送信する仕組み | エージェントが実行 |
HIP(ホスト情報プロファイル)とは
HIP(Host Information Profile)は、GlobalProtect独自の機能で、接続してきた端末の「健康診断」を行います。具体的には以下のような情報を収集します:
- OSのバージョン・パッチ適用状況
- ウイルス対策ソフトの導入有無・定義ファイルの更新状態
- ディスク暗号化の有無
- 企業管理端末かどうか(MDM登録状況)
HIPで収集した情報をもとに「HIPプロファイル」を作成し、それをファイアウォールのポリシーと紐付けることで、「ウイルス対策ソフトが古い端末は社内の重要システムへのアクセスをブロックする」といった条件付きアクセス制御が実現できます。
Always-On VPNモードとは
GlobalProtectにはAlways-On(常時接続)モードがあります。端末が起動してインターネットに接続した瞬間から自動的にVPNトンネルを張り、ユーザーが意識しなくても常にセキュリティポリシー下に置かれる仕組みです。
通常VPN: ユーザーが手動でVPN接続 → 業務 → 手動で切断
↑ この間だけ保護
Always-On: 端末起動 → 自動でVPN接続 → 常時保護 → シャットダウン
↑ 常にセキュリティポリシーが適用される歴史と背景
- 2005年頃〜 — Palo Alto Networksが創業。「アプリケーションを識別する次世代ファイアウォール」というコンセプトで市場に登場
- 2007年 — PAN-OS上にGlobalProtect機能を組み込んだ形でリリース。ファイアウォールとVPNを一体化するというアプローチが注目を集める
- 2010年代前半 — スマートデバイスの普及に合わせ、iOS・Androidへの対応を強化。BYOD(個人端末の業務利用)への対応が課題となり、HIPによる端末管理の重要性が増す
- 2017年頃〜 — クラウドシフトが加速。Palo Alto NetworksはPrisma Access(旧称 GlobalProtect Cloud Service)を展開し、VPNゲートウェイをクラウドに置く形態を提供開始
- 2020年 — 新型コロナウイルスによる世界的なテレワーク需要の急増で、GlobalProtectの導入企業が急拡大。オンプレミスのゲートウェイが逼迫し、Prisma Accessへの移行も加速
- 2020年代〜 — ZTNA(ゼロトラストネットワークアクセス)の概念が普及。GlobalProtectもゼロトラスト実現の構成要素として位置付けられ、Prisma SASE(Secure Access Service Edge)ブランドに統合される流れへ
GlobalProtectと他のVPN・リモートアクセス製品の比較
GlobalProtectの特徴を、よく比較される他のソリューションと並べて見てみましょう。
| 製品・技術 | 提供元 | 端末状態チェック | ゼロトラスト対応 | クラウド型 |
|---|---|---|---|---|
| GlobalProtect | Palo Alto Networks | ◎(HIPで詳細) | ◎ | ◎(Prisma Access) |
| Cisco AnyConnect / Secure Client | Cisco | ○(ISE連携) | ○ | △ |
| Pulse Secure(Ivanti) | Ivanti | ○ | ○ | ○ |
| OpenVPN | OpenVPN Inc. | △(追加実装が必要) | △ | △ |
| WireGuard | オープンソース | ✕(単体では不可) | ✕ | ✕ |
GlobalProtectの強みは、Palo Alto Networksのファイアウォール(PAN-OS)と完全に統合されている点です。VPNトンネル経由のトラフィックも、社内通信と同じ次世代ファイアウォールのルールで検査されるため、セキュリティポリシーを一元管理できます。
以下の図は、GlobalProtectの主要コンポーネントがどのように連携するかを示しています。
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 4301 | IPsecアーキテクチャの基本仕様。GlobalProtectのIPsecトンネルの基盤 |
| RFC 4302 | IPsec AH(Authentication Header)の仕様 |
| RFC 4303 | IPsec ESP(Encapsulating Security Payload)の仕様 |
| RFC 8446 | TLS 1.3の仕様。SSL-VPNモードで利用されるTLSの最新規格 |
| RFC 7296 | IKEv2(Internet Key Exchange version 2)の仕様。IPsecトンネル確立に使用 |
関連用語
- VPN(仮想プライベートネットワーク) — 公衆回線上に暗号化されたプライベートな通信路を作る技術
- IPsec — IP層でパケットを暗号化・認証するプロトコル群。GlobalProtectのトンネル通信に使われる
- SSL-VPN — SSL/TLSを使ってWebブラウザ等からVPN接続する方式
- ゼロトラストネットワーク — 「すべてを信頼しない」を前提としたセキュリティモデル
- ZTNA(ゼロトラストネットワークアクセス) — ゼロトラストの考え方をリモートアクセスに適用した技術・概念
- Prisma Access — Palo Alto Networksが提供するクラウド型SASE基盤。GlobalProtectのクラウド版
- 次世代ファイアウォール(NGFW) — アプリケーション識別や侵入防止を備えた高機能ファイアウォール
- MDM(モバイルデバイス管理) — スマートフォン・タブレットなどの端末を企業が一元管理する仕組み