Cato構築してみたよ②(要件定義編)

CATO

こんにちは、事業開発部の山田です。

 

コロナが猛威を振るい始めてもう3年が経つんですね....

SDCもリモートワークが定着していますが、自宅がメインの仕事場になっている方も多いかと思います。

技術者にとっては効率よく業務をこなすには問題はないのですが、何故か物がどんどん増えています。私も部屋がギターだらけになり、スタンドに立てたギターがまるで竹林のようです。

 

 

さて、前回はSDCでのCatoの取り組みと社内への導入などを皆さんにお伝えしました。今回からは実際に案件としてお客様の環境にCatoを導入した際のより具体的な内容を数回に分けて触れてみたいと思います。これを読んで頂いている皆さんも「Cato大丈夫なのか??」、「Cato案件、泥沼になったのでは??」などと期待?されている方もいらっしゃるかもしれません。

2回目の連載である今回はプロジェクトで避けては通れない、「要件定義」を行った際の振り返りをご紹介したいと思います。

要件定義の期間

 

要件定義にはおよそ1ヵ月程度の時間を使いました。

数万人規模の巨大多国籍企業がお客様でなければ、十分に要件の吸い上げ、ドキュメント化が期間内に出来ると思います。

実施後に振り返ってみますと、下記の部分が後々の後続設計タスクのキモになると感じました。

ポイントとしては、

 

・Catoでカバーする物理的・機能的な範囲を明確にすること

 物理的にどの拠点を対象にするのかは勿論ですが、既存のセキュリティ、ネットワーク要件のどの部分を残して、どの部分を置き換えるかを明確に決定する事。これが曖昧だとCatoでカバー出来ない部分をどう対処するのか、後続タスクで時間を食いつぶす事になります。

 

・拠点の構成・特徴をパターン化しておくこと

 物理構成、論理構成の細部に至るまで拠点の特徴をパターン化しておく事で、移行・現地作業手順等をシンプルにまとめる事が出来ます。

 

・拠点毎の通信フローを洗い出しておくこと

 どの拠点がどの拠点とやり取りする必要があるのか、ないのか、を明確にしておく事でCatoで設定するポリシーのイメージを固める事が出来ます。ここを曖昧にすると後々策定する事になる「WAN Firewall」なるもので時間を取られる事になってしまいます。この部分はあいまいにしたままプロジェクトを完了させることが出来ないので、後で泣くくらいならこの段階で明確化に時間を掛けるべきと思いました。

 

・インターネット境界のファイアウォールのポリシー

 要件定義の段階で既存インターネットファイアウォールのルールを細かく洗い出す必要はないのですが、通常、インターネット境界のファイアウォールは「ホワイトリスト」で書かれている事がほとんどだと思います。Catoのインターネットファイアウォール(機能)は「ブラックリスト」のコンセプトで開発されている為、この段階でお客様と「既存のファイアウォールポリシーは移植しない(できない)」事を握っておくべきです。この部分に抵抗を示すお客様もいらっしゃるかと思います。ただ、運用段階のお客様の負荷を考えた際には「ブラックリスト方式」が最も負荷が低く、現在のインターネット中心のビジネス面での親和性にも理に適っていると感じています。その部分をお客様にも腹落ちしていただく事が大事だと思います。なによりもお客様が将来的に楽をする為のブラックリスト方針なのです。実際にブラックリストで問題になっているとプロジェクト終了後に聞いた事がありません。現状と180度の変化は誰でも怖いものですが、実際にやってみると大きな問題ではない事に気が付かれると思います。

 

VPNクライアントの使い方

 当初はここに時間を掛ける事はしていませんでしたが、実際に使用する一般社員の方に最も触られる部分です。「常時立ち上げっぱなし」、「オンデマンドで社員の方がオフ・オン」、「ブート時に自動起動」などなど、細かい要望が最も出てくるのがこの部分かと思います。要件定義時にはお客様もあまりこだわらない場合でも、実際の配布が始まる直前になると色々と出てくる事になり、出来る事と出来ない事がはっきりしているCatoソリューションの性格上、細かい要望に応えにくい箇所になります。それでも一般社員の方に最も関わってくる部分故にITご担当者様も簡単には「じゃあそれで...」とはなり難いです。要件定義に出来る事、どうしても出来ない事を前提に後続設計タスクに引き渡さないと時間を取られることになります。

 

・セキュリティ

意外に時間が掛からない部分です。Catoはセキュリティソリューションと考えれば、この部分がメインになりそうなイメージもありますが、カスタマイズオプションがない為、Cato側にお任せするしかない部分です。その他のセキュリティソリューションと比較して構築側としては嬉しい要素です。とはいってもデフォルトの設定で十分実用に耐える(今の所....)為、ここに時間を掛ける必要はないと思います。ただし、お客様にこの部分に拘りたい、セキュリティチューニングにやる気満々の場合、提案段階で見極めるべきです。受注後に色々ご要望を頂いてももう後戻りは出来ません....

 

いかがでしたでしょうか。セキュリティの要素の要件は提案段階でしっかりとお客様と機能の可否を握れておけば、要件定義で要望を吸い上げる必要はないと思います。VPNクライアントの部分は、認証・配布・使い方等、パターンが幾つか出てくる為、必然的に時間が掛かると思います。

ネットワーク移行案件の要件定義経験がある方であれば、Catoの機能、出来る事、出来ない事をある程度抑えておくことで、あまり違和感なくプロジェクトを進める事が出来ると思います。

それでも「初めてだから不安なんだよ!」、「横にいて分からない時だけ教えて欲しいんだよ!」などなど、欲張りなご要望や頭を抱えてお困りの際はご相談ください。

 

ではまたお会いしましょう!