お疲れ様です。

普段はPaloaltを提案する側からのコメントになりますが...。

PaloAltは、正直高いですが、使い方によっては今までブロックできなかった通信ができるようになるとても優れた製品です。
従来のFWのような通信のフィルターリングやルーティングをメインと考えるのであれば、PaloaltよりもSSG(Netscreen)やCiscoのASAとかをおすすめします。

Paloaltの売りは、AD連携をすることで、ユーザーごとにアプリケーション別のフィルターができたりします。従来はIPアドレスベースでの判断だったのが、ADのユーザーベースで判断ができるのは大きな違いです。

ログ取りの意味を含めてここまでの機能が必要かどうかが採用の可否ポイントだと思います。

アプリケーションFWとしては、UTM市場で幅をきかすFortigateでも可能です。ただし、Fortigateでは、ADによるユーザーごとのポリシーは組めません。

ネットワークの幅が広がり、IP管理の限界を感じるケースや、どのユーザーが何をしているかを具体的に監視管理するためには、この製品しか選択がないと思います。

優れたアプリケーションFWの例としては、AさんはSkypeはOKだけど、BさんはNGとか、もっといえば、CさんはFaceBookは使ってOKだが、Dさんはログを記録させるなんていうことができるようになります。
その他にもWEBフィルタリング等もユーザーにひも付けできたように記憶しています。

いわば、UTMのちょっと便利バージョンと考えるのがよいかと思います。

Paloaltは、規模に合った機種を入れれば比較的パフォーマンスはよいです。
ただ、保守が継続3年までしかできないとか海外製品であるネックはまだ持ち得ている側面があります。

管理している側からすればおもしろい製品ですが、IPS機能＋１の部分を価格当てはめてみたときにメリットがあるかが判断ポイントかと思います。

ちなみに弊社では、Fortigateを採用しており、IPベースですがIPSの機能を利用し、同じようにアプリケーションFWの機能を利用し、evernoteは禁止とか設定をしています。やはりAD連携は魅力的ですが、コストから考えると弊社ではFortiでやりたいことができているのでよしとしています...。