Palo Altoに限らずモデル選定は難しいですよね。私も初めての時に苦労したので観点や選び方を備忘録としてまとめたいと思います。

比較対象を探す

いきなりゼロから検討するのは難易度が高いので、例えば既存機器のスペックと比較しようとか、社内もしくはインターネット上で見つかる事例の機器のスペックと比較するなど、何か比較する対象を見つけると検討しやすいです。

なければ、残念ですが、ゼロベースですね。

基準を考える

何に重きをおくかを考えます。例えば、大量のトラフィックを捌き、太いインターネット回線に対応しなければいけなければ、スループットが500Mbpsでは足りないだろう、2Gbpsは欲しいだろう、と言うアプローチができます。もちろんこの場合はインターネット回線がボトルネックとならないように確認をお忘れ無く。

他にも、昨今のテレワーク対応で、社外から社内へのリモートアクセス（Global Protect）のユーザ数が多いですといった場合には、この優先度は上がるでしょう。

機器選定を始める前に何故その機器を導入するのか目的を明確にすることが重要です。

必要な機能を考える（ライセンス）

大抵の機器はほとんどの機能をサポートしており、モデルによる差分はスペック、つまりどれだけの量に耐えられるかぐらいだと思います。

しかしながら機能の利用で重要になってくるのはライセンスです。例えばGlobal ProtectやTreat Prevention等はライセンス（サブスクリプション）を購入しないと使えません。

ユーザ数を算出する

現在のユーザ数はそれなりの精度で割り出せると思いますが、「算出」と表現したのは拡張性の観点から今後どれくらいユーザが増えるか予測するためです。

例えば、今は80人のユーザが使っているので、大体100ユーザに対応できるPA-xxxを選定するとします。大体EOLは5年かタイミングによっては3年（※）と考えると、3-5年の間に20人以上のユーザが増えると性能不足になります。

このように今後どれだけ拡張されるか（要件拡大）も考慮が必要です。

※EOLに伴う更改のための機器選定までの期間と捉えてください。

私が困った点（モデル名規則）

FortiGateの場合モデル名を見ると大体の規模と新しさが分かるのですが、パロアルトはそう見えず困りました。※本当はそうなってるのかも知れませんがまだ理解できてないです。

FortiGateであれば、例えば50Eよりは50Fの方が新しく、50Eよりは100Eの方が大きい（高スペック）です。

私が困った点（EOLの日付）

他のメーカーは覚えてないのですが、EOLの日付がまだ公開されていないと、公式サイトのリストに書いてないんです。少し不安になります。

「このモデルのEOLはまだですよ」と明記してくれると嬉しいのですが。

ベンダとして怖いところ

機器選定とライセンス選定は間違った状態でお客さんに発注してもらうと、後で修正するのが大変です。金額が増えるような追加購入等は特に怖いです。

「なんで間違ったもん買ってんだ」とか文句言われるのは良いとして、買い替えとなるとお金も時間もかかり、場合によってはEOLまでに更改できない等、色々な問題の種になります。怖いです。