大手金融系企業におけるFW(ファイアウォール)ポリシー関連設定の一元化プロジェクト。
事前に共有いただいた通信要件と基本設計書の内容をもとに、既存及び新規FW(ファイアウォール)のパラメータシートの作成、修正対応しました。加えて、パラメータシートの内容から、新規導入するFWの設定、検証用機器を利用した検証の実施及び現地導入作業を行いました。
課 題 |
OA業務と金融業務の2つのネットワーク間の通信設定が曖昧で許可されていない通信も通ってしまう状況であった。 |
---|---|
解 決 策 |
FWのポリシー制御によるネットワーク環境の分離及び製品のファームウェアバージョンアップも含めた一元管理対応をおこなった。すべての拠点にPalo Alto Network社のFWを導入し、一元管理できるようにした。 |
効 果 |
通信が制御されセキュリティが強固になったと共に、拠点すべてのFWが一元管理できるようになり、設定変更に費やす時間やコストの削減などの運用面が効率化された。 |
金融系企業におけるFW(ファイアウォール)ポリシー関連設定の一元化プロジェクトを行ったM氏に詳しいお話を伺いました。
プロジェクト背景
お客様の既存ネットワーク環境におけるセキュリティ強化のため、FWのポリシー制御によるネットワーク環境の分離(金融業務とOA業務環境への分離)及び製品のファームウェアバージョンアップも含めた一元管理対応を実施してほしいとの依頼があり、参画しました。
FWのポリシー制御によるネットワーク環境の分離及び製品のファームウェアバージョンアップも含めた一元管理対応を行いました。金融系企業様の既存ネットワーク環境におけるセキュリティ強化が主な目的です。OA業務を行うネットワークと金融業務を行うネットワークの2つのネットワーク間の通信設定が曖昧で、許可された通信のみを通し、それ以外は制御する必要がありました。そのため、セキュリティ強化対策として、FWによるポリシー制御を実施しました。
今回ご依頼頂いた金融系企業は、全国に約8~9箇所の拠点をお持ちで、拠点によっては、FW機器自体が導入されていない状況でした。そのような拠点にはFW機器を新規に導入し、新規導入したFWに関しては、設定変更に費やす時間やコストの削減などの運用面の効率化を図るため、Panorama(FWのポリシー設定等を一元管理できる統合アプライアンス製品)の管理下への移行も行いました。
■プロジェクトの流れ
期間:2023年4月~2023年12月
※本来は検証→現地導入だが、管理アプライアンス(PA)に関しても4月に検証済み
※(PA)は「Paloalto PA」を指す
プロジェクトのポイント
今回のプロジェクトは、Paloalto社のFWを取り扱うということで、過去の対応実績、製品に関するナレッジが多数あるICにお声がけいただきました。
FW製品によるポリシー制御は、通信要件の精査とその実装及び検証を確実に行うことが非常に重要であり、精査には多くの時間をかけました。そのため、設計どおりの通信制御されているのか、つまり、許可されるべき通信は許可され、それ以外の通信は遮断されているかを、特に入念に確認する必要がありました。
詳細設計の際、パラメータシートに落とし込んだTCP/IPプロトコルやアプリケーションの許可、ユーザー認識の設定などのポリシーは、通信要件にそわない動作になるようなことがないか、漏らさず確認が取れるような対応を実施しました。
このプロジェクトで最も苦労したのは場内での検証対応です。
例えば、新規導入のFWをPanorama管理下におくための移行手順検証では、移行が問題なく実施できることの確認だけでなく、移行の前段階として、Panoramaのバージョンアップの検証も実施する必要があります。
弊社としてPaloalto PAのバージョンアップの実績はあったので、ある程度の手順は押さえていました。しかし、一般的にバージョンアップといえば【1→2】といったイメージですが、Panoramaのバージョンアップはアップグレードパスを使用します。そのため【1→1.5→2】のように途中のバージョンを経由してバージョンアップを行う必要がありました。そのアップグレードパスを事前に精査したところ、今回はかなりの段階を踏む必要があることが予想されました。
実際に検証を開始したところ、想定していたルート(マニュアルに載っていたルート)ではアップグレードできませんでした。理由は販売会社にもわからず、サポート窓口とやり取りしながらアップグレードパスを見直し、再度の検証でバージョンアップを行うことができました。加えて、本番環境での作業時に安全に切り戻しを行えるようダウングレードの検証も実施し、かなりの工数を費やす形となりました。
プロジェクトの効果
通信要件の精査とその実装及び検証を精査しながら、丁寧な作業を行ったことで、プロジェクトは問題なく完了することができました。
FWによるポリシー制御を確実に行ったことで、通信セキュリティが強固になりました。
さらに、各拠点にFW機器を新規に導入し新規導入したFWに関して、Panoramaの管理下へ移行したことで、FWの一元管理ができるようになり、設定変更に費やす時間やコストの削減などの運用面が効率化されました。
プロジェクト進行中に、要件定義に含まれていない設定の不備がありました。その際、より良いシステムになるよう、ご指摘させていただく等の対応も行いました。また、お客様が気付いていなかった通信制御の予期せぬ問題についても、適切な設定かどうかを確認、判断し、当社側から見直しの提案をしました。これらの対応について、お客様から喜びの声をいただきました。
ICは今後も、お客様のシステムがより良いものとなるよう、提案型ソリューションを進めてまいります。
システムは日々アップデートされ、サポート期限切れは脆弱性や不具合の原因となります。システムのアップデートにお困りの方はぜひ一度株式会社ICにご相談ください。
※記載されている会社名、製品名およびサービス名は、各社の登録商標または商標です。