こんにちは! エーピーコミュニケーションズ(APC)MBS部 ICTセールス&コンサルチームの永井です^^ 私が所属している本社請負チームで、Fortigateを使ったFW大規模ポリシーテストがあり、案件を担当した2名の若手のエンジニアにインタビューを実施いたしました。今回は、その内容をブログ記事にしてお届けいたします!
はじめに ~NEEDLEWORKとは~
NEEDLEWORKは、Ping/Tracerouteテスト、UTM/FW ポリシーテスト、ネットワーク負荷テストなど あらゆるネットワークテストを自動化するAPCのオリジナルプロダクトになります。
手作業で150時間かかっていた1,400ポリシーのテストが数秒で完了する(当社調べ)など、 テスト時の人的ミスを排除したり、テストにかかる時間を大幅に削減したりすることが可能です。 ※無償版あり www.ap-com.co.jp
インタビュイー紹介
Q.本日はよろしくお願いいたします! まず、改めて今回の案件概要について教えてください。
掛川さん: FortiGateリプレースに伴い、大規模なポリシーテストをネットワーク自動化ツールを用いて行いました。 大規模なポリシーテストは、工数・時間がかかってしまいお客様だけでの対応が難しい場合が多いため、 オリジナルプロダクト「NEEDLEWORK」を持つ当社にお声がけいただきました。
多数のポリシー試験に対応する必要があったので、NEEDLEWORKを用いていかに効率的に・正確に試験を進められるかが求められる案件でした。
当初は上手くいかないのではないかと不安だったのですが(笑)、結果的には納品日の3日前に出荷することができました。
Q.案件スケールはどのくらいでしたか?
杉野さん: 使用機器はFortiGate 1500D 2台(HA構成)、Vdom数は50個、検証対象のポリシー数は約1,500にも及びました。 Vdomの使用やポリシー数の多さから見ても、非常に大規模な案件でしたね。
Q.実際に現場で使用してみて、NEEDLEWORKにどんな強みや特長を感じましたか?
杉野さん: 3つあります。 一つ目は、自動シナリオ生成ツールによってポリシー試験項目の選定(シナリオ作成)を効率化できる点です。 大量のポリシーを試験する際には、抜粋してポリシー試験項目を選定する必要がありましたが、NEEDLEWORKでは自動シナリオ生成ツールによってポリシー試験項目が 抜け漏れなく生成され、 工数削減および品質向上に繋がりました。
configを読み込ませるだけでポリシー試験項目の選定が数秒~1分程度で自動で行われるので、 手動作業に比べて圧倒的な効率化につながりました。
二つ目は、エビデンス取得の自動化です。 納品の際に必要なエビデンスもNEEDLEWORKが自動で取得し、CSV形式で出力してくれます。通常の検証では、手動でエビデンスを取得しますが、この機能のおかげで1,500ポリシー分のエビデンスを短時間で取得することができました。
掛川さん: 三つ目は、ポリシーの正確性を自動でチェックする機能です。 NEEDLEWORKでは、試験結果が想定と異なるポリシーや不要なポリシーが色分けされて表示されます。
通常は、ポリシー数が多い場合は抜粋検証が一般的ですが、 NEEDLEWORKではポリシーを一括検証し、異常も可視化できるので非常に便利でした。
Q.多数のポリシー試験をNEEDLEWORKで行ったと思いますが、処理速度や安定性の面はどうでしたか?
杉野さん: 今回、送信元や宛先の組み合わせが複数ありましたが、約2,000項目(約50ポリシー分)を約15~20分、約60,000項目(1,500ポリシー分)を約500分で完了することができました。 通常の手動試験では1項目あたり5分ほどかかるため、NEEDLEWORKの処理速度と安定性は非常に優秀でした。
掛川さん: また、多少の設定投入は必要ですが、試験環境もNEEDLEWORKが自動で用意してくれるので、その点も良かったです。手動試験では試験環境を自ら構築する必要があるので、NEEDLEWORKを使用したことで作業時間が大幅に削減されました。
Q.NEEDLEWORKを使用するうえで、特に気を付けたことや意識したことはありましたか?
杉野さん: 対応ポリシー範囲の切り分けを行い、NEEDLEWORKでできることとできないことを事前に確認したことです。 検証を始める前に仕様確認をしっかり行い、NEEDLEWORKで試験できないポリシーはシナリオ作成含めて手動で検証対応しました。
現時点(2024年12月)ではUTM機能のすべてがNEEDLEWORKに対応しているわけではないので、 それを事前に把握したうえで工数の算出や、お客様との認識合わせを行うのが重要かなと思います。 NEEDLEWORKは頻繁にアップデートされているので、今後のさらなる機能拡充に期待しています!
Q.最後に、今回の案件やNEEDLEWORKに対する感想を教えてください
杉野さん: ポリシー数が少ない案件であれば手動で試験するのが早いと思いますが、大型案件になればなるほど自動化ツールの有用性は増すと思います。例えば、試験であまり馴染みのないプロトコルがあったとき、手動だとやり方を調査したり確認したりする必要がありますが、NEEDLEWORKを使えばボタンひとつで試験することができるので、大型案件の時は断然おすすめです。
掛川さん: データセンターに集約されているファイアウォールなどは、Vdomが設定されていたり、ポリシー数が多かったりすることで マンパワーだけで検証することが難しいケースもあると思うので、特にそのようなケースでご支援させていただきたいですね。NEEDLEWORKは無償版もあるので、ぜひ試験的に使用していただいて、まずは良さを実感していただきたいです!
まとめ
今回は、APCオリジナルプロダクト「NEEDLEWORK」を活用したFortiGate FWのポリシーテスト支援事例について、現場エンジニアの声をお届けしました。エーピーコミュニケーションズでは、FortiGateの支援はもちろん、自社プロダクトを活用したポリシーテストの自動化や大規模検証にも対応しています。
ネットワーク、セキュリティ、クラウド、ゼロトラストなどのインフラ周りで課題を感じているお客様がいらっしゃいましたら、ぜひAPCにご相談ください!