Strata Cloud Managerは単なる「クラウド版Panorama」ですか？

いいえ。SCMはSaaSベースの独立した管理プラットフォームです。Panoramaと同様の機能を提供しますが、異なるデータアーキテクチャ（Cortex Data Lake）と異なるポリシー継承モデル（テンプレートスタックではなくフォルダー）を使用しています。

PAN-OS 11.2の際立った機能は何ですか？

PAN-OS 11.2では、AIを活用したIoTデバイス識別の強化、Advanced Threat Prevention (ATP) の最適化、および最新のPA-1400およびPA-3400シリーズハードウェアへのネイティブ統合が導入されています。SCM管理に最適化されています。

Cortex Data LakeライセンスなしでSCMを使用できますか？

Cortex Data LakeはSCMに必須です。SCMはログをローカルに保存せず、すべてのテレメトリー、AIOps分析、およびレポート機能のためにData Lakeに依存しています。

既存のPanorama設定をSCMに移行できますか？

はい、SCM移行ツールを介して可能です。ただし、SCMはPanoramaの「テンプレートスタック」ロジックではなく「フォルダー」構造を使用するため、不要な複雑さを避けるために設定ロジックを再構築する必要があるでしょう。

2026年にPanoramaを使い続ける理由はありますか？

Panoramaは、完全にエアギャップされた（インターネット接続がない）環境では依然として必要です。SCMは、管理とロギングの両方でPalo Altoクラウドへの常時接続を必要とします。

SCMはConfig-as-Codeワークフローをどのように改善しますか？

SCMは、PanoramaのレガシーなXML APIと比較して、よりモダンなRESTful APIを提供します。これにより、最新のCI/CDパイプライン、Terraformプロバイダー、およびAnsibleプレイブックとの統合が大幅に容易になります。

Panoramaの終焉：Palo Alto PAN-OS 11.2とStrata Cloud Managerが示す未来

Palo Alto Networksはまだその言葉を使わないものの、Panoramaは公式に延命治療を受けている状態です。PAN-OS 11.2のリリースとStrata Cloud Manager (SCM) への積極的な移行は、レガシーなローカルディスクアプライアンスからの管理プレーンの根本的な分離を意味しています。もし2026年のインフラロードマップが、グローバルポリシーオーケストレーションのために階層型Panorama Mシリーズアプライアンスに依然として依存しているなら、セキュリティアーキテクチャに技術的負債を抱え込むことになります。

構造的変化：Strata Cloud Manager vs. Panorama

20年間、Panoramaは集中管理のゴールドスタンダードでした。しかし、そのアーキテクチャはXML APIと厳格なプッシュモデルに根ざしており、クラウドネイティブワークロードの ephemeral （一時的）な性質や、最新のAIOpsが要求するデータ量の多さに対応できません。SCMは「クラウドファースト」のパラダイムを表しており、管理プレーンはモノリシックなVMや物理ボックスではなく、分散型SaaSアプリケーションとして提供されます。

中核的な違いはUnified Data Platformにあります。Panoramaがログアグリゲーターおよび設定プッシャーとして機能するのに対し、SCMはData Lakeの上に構築されています。これにより、Panoramaでは膨大なコンピューティングオーバーヘッドなしには実現できないリアルタイムのテレメトリー相関が可能になります。11.2では、AIOpsがプロビジョニングワークフローに直接統合される初の事例が見られます。SCMは単にポリシーをプッシュするだけでなく、「コミット」する前にアクティブなトラフィックパターンに対してそのポリシーの影響を分析します。

主要なアーキテクチャの違い:

ステート管理: Panoramaは「テンプレートスタック」モデルを使用しており、監査が非常に困難です。SCMはPrisma Accessと同様の「フォルダー階層」を利用し、はるかにクリーンな継承を提供します。
スケーラビリティ: Panorama M-700はIOPSとディスク容量によって制限されます。SCMはPalo Altoによって弾力的にスケーリングされ、「ログ取り込み」ボトルネックを完全に解消します。
インテリジェンス: SCMには「ベストプラクティス評価 (BPA)」がネイティブに組み込まれており、シャドウされたルールやセキュリティギャップをタイプ入力中にリアルタイムで特定します。

PAN-OS 11.2: 「クラウド対応」OS

PAN-OS 11.2は単なるマイナーバージョンアップではありません。これは、機能が「SCM対応」となるように特別に開発された最初のOSバージョンです。Zero Trust Management (ZTM) と復号化のための強化されたハードウェアアクセラレーションへの大規模な推進が見られます。

11.2における最も重要なアップデートの1つは、強化されたApp-IDとDevice-IDの相関です。以前のバージョンでは、IoTデバイスはしばしば盲点となっていました。現在、NGFWはインライン機械学習を活用してデバイスタイプを識別し、セキュリティポリシールールを自動的に提案します。設定の観点からは、IPベースのルールから、オンプレミスのPA-1400シリーズとAWS/AzureのVM-Series全体でグローバルに一貫した、Identityベースのルールへと移行しています。

# AIを活用したIoTポリシーの11.2 CLIスニペット例
set deviceconfig setting iot-security insight-mode enable
set rulebase security rules "IoT-Isolation" to "Untrust" from "IoT-VLAN" 
set rulebase security rules "IoT-Isolation" source-id "Smart-Camera" 
set rulebase security rules "IoT-Isolation" action deny

Config-as-Code: Terraform、SCM、そしてGUIの終焉

2026年のエンジニアリングチームは、緊急トラブルシューティング以外の目的でWebUIをクリックすべきではありません。PAN-OS 11.2とSCMの組み合わせは、Version Control System (VCS) ワークフローのために設計されています。SCMは、老朽化したPanoramaのXML APIよりもはるかに堅牢なAPIサーフェスエリアを提供します。

私たちは、TerraformのSCM「プロバイダー」がグローバルステートを管理するモデルへと移行しています。これにより、ファイアウォール向けのGitOpsが容易になります。開発者は新しいサービスを開放する必要がある場合、PRを提出します。SCM APIは、AIOpsエンジンを使用して既存のセキュリティ体制に対して変更を検証し、関連する「フォルダー」（旧「デバイスグループ」）全体に変更を複製します。

ブランチオフィスに展開されているPA-400またはPA-1400シリーズについて考えてみましょう。SCMを介して管理される11.2のZero Touch Provisioning (ZTP) は、工場出荷状態のボックスを遠隔地に発送し、そのシリアル番号とハードウェア証明書のみに基づいて、複雑なIPsecトンネルやGlobalProtect設定を含む完全な設定を取得できるようにします。

NGFW向けAIOps: バズワードを超えて

SCMにおけるAIOpsは、単なるマーケティングの謳い文句として軽視されることがありますが、11.2ではプロアクティブなヘルスモニタリングと予測分析へと結実しています。システムは、フリート内のすべてのファイアウォールの「期待される挙動」を監視します。もしPA-3410が毎週火曜日の午前10時にCPU使用率が5%増加し始めた場合、SCMはこれを特定のApp-ID署名やSSL復号化のオーバーヘッドと関連付けます。

「影響分析」機能は特に強力です。BGP Peeringを破断させたり、ミッションクリティカルなアプリケーションをブロックしたりする可能性のある変更をコミットする前に、SCMは提案された設定を過去7日間のトラフィックログに対して実行します。もし新しいルールが正当なトラフィックの1,200セッションをブロックしていたであろう場合、SCMは高深刻度のアラートを発行します。これにより、大規模な企業環境を悩ませる「変更管理」の不安が軽減されます。

費用面では、SCMライセンスはPanoramaに比べてプレミアム価格（多くの場合、「Core」または「Ultra」セキュリティサブスクリプションに統合）がかかりますが、平均復旧時間 (MTTR) の短縮と、Panoramaハードウェアのリフレッシュサイクル（高可用性Mシリーズで平均5万ドル～15万ドル）の排除により、ROIは明確です。

移行パターン: PanoramaからSCMへ

PanoramaをSCMに単純に「アップグレード」することはできません。それはロジックの移行です。2026年に推奨されるアプローチは、Strata Cloud Manager移行ツールを使用した段階的なカットオーバーです。

フェーズ1: ログ転送。 管理にはPanoramaを維持しつつ、すべてのNGFWログをCortex Data Lakeに転送し始めます。これによりAIOpsエンジンがログデータを取り込みます。
フェーズ2: シャドウイング。 NGFWをSCMに「読み取り専用」モードで取り込みます。SCM BPAを使用して、Panoramaテンプレートの不整合を特定します。
フェーズ3: ピボット。 「フォルダー」を一度に一つずつ移動させます。まず開発/テスト環境やブランチオフィス（PA-400シリーズ）から始め、その後、高スループットのPA-5400/7000シリーズデータセンターコアへと移行します。

ハードウェアライフサイクル計画の詳細については、PA-5450パフォーマンスベンチマークと、それらが11.xソフトウェアブランチとどのように統合されるかガイドをご覧ください。

11.2における高度なポリシー管理

11.2リリースでは、厳密にクラウド配信される「Advanced Threat Prevention」(ATP) 機能が導入されています。管理プレーンがオフラインまたはローカルのみ（古いPanorama）の場合、0-day脅威のインライン Deep Learning ベース分析を実行する機能が失われます。SCMは、ローカルファイアウォールのインラインMLエンジンが、Palo Altoの全顧客のグローバルデータセットによって常にチューニングされることを保証します。

また、Universal Policyの正式化も進んでいます。GlobalProtect経由で接続するユーザー、PA-1410で保護されたオフィス、またはCN-Seriesファイアウォールで保護されたコンテナのいずれであっても、SCMにおけるポリシーオブジェクトは同じです。この「一度作成すればどこにでも適用できる」ロジックこそが、ネットワークセキュリティの最終目標です。

# グローバルアドレスオブジェクトを更新するSCM APIコール
POST https://api.strata.paloaltonetworks.com/config/v1/address-objects
{
  "name": "Critical-Financial-Apps",
  "ip_netmask": "10.50.0.0/16",
  "description": "2026 Multi-Cloud Backbone",
  "folder": "Global-Shared"
}

結論: SCMは必須

11.2リリースは明確な分岐点です。Panoramaは、エアギャップ環境や、厳格な「オンプレミス専用」要件を持つ超保守的な組織向けのレガシーツールとなりました。将来を見据える企業にとって、Strata Cloud Managerは唯一の実現可能な道です。AIOpsの統合、SCM APIを介したConfig-as-Codeへのシフト、そして2026年のハードウェアラインアップのネイティブサポートが、それを優れた選択肢にしています。

Panoramaを使い続けると、最終的には「機能ギャップ」が生じ、新しいPAN-OS機能が古いインターフェースから管理できなくなるでしょう。今日から Greenfield デプロイメントを開始するなら、Panoramaライセンスは購入せず、直接SCMに移行してください。Brownfield環境であれば、次のハードウェアリフレッシュと合わせて移行計画を今すぐ開始してください。

レガシーPanoramaからSCMへの移行をナビゲートするには、既存のポリシー負債と新しいAIOps駆動型ワークフローの両方について深い理解が必要です。この移行を自動化し、2026年のインフラストラクチャを安全に保つための私たちの専門コンサルティングパッケージについては、techleague.ioをご覧ください。