目から鱗のASAとFortiGate ~構築SI教育プロジェクトを受講して~
◼ はじめに
パートナーブログをお読みいただいている皆様、はじめまして。ネットワンパートナーズ株式会社(以下、当社またはNOP)の若手SEが、日々の技術業務の中でどのように過ごしているかの一端を紹介する「Challenge Blog」 記事の第7弾になります。
前回に引き続き、今回も新卒1年目のメンバーが担当します。今回は、NOP独自の4か月間の研修である「新卒OJT」を終えて、TechDesk配属後に社内で開催している「構築SI教育プロジェクト」について、1年目の受講者の視点から紹介します。
◼ 構築SIプロジェクトとは?
「構築SI教育プロジェクト」は、新卒1年目や最近入社した社員等を対象にしたカリキュラムの一つです。このカリキュラムは、「テクニカルセンター」と呼ばれる、製品の評価・検証を行っている当社の技術研究施設内で開催されました。我々1年目の社員にとっては、実際に機器を操作することで、現在の技術QA対応業務、ひいては次年度の各チームへの異動に向けて、より実践的な製品知識や経験を積むことが目的です。当日は、若手の先輩方を中心とする講師陣が、他チームの先輩方の意見も交えながら指導してくださいました。
本記事を書いている時点では、10月の検証環境構築編、11月のCisco Security ASA編、12月のCisco RT/SW IOS-XE編、1月のFortiGate編、及び2月の構築SI Cisco無線編と、計5つのハンズオンを受講し終えたところです。その中でも特に印象深かった2件について取り上げます。
◼ その1 Cisco Security ASA編
一つ目は、Cisco Security ASA編です。筆者は、TechDeskでASAやCisco Secure Clientの技術QAのチケットを取ることが多いのですが、自身で一から設定をしたことがない領域だったので印象に残りました。当日は、Firewallの概要やASAの機能の座学、実機操作の解説から始まり、Access-list(ACL)やNetwork Address Translation(NAT)などの具体的な設定を学びました。このハンズオンでは、ACLの設定においてコマンドの入力ミスや設定の漏れが頻発しました。特にACLの設定では設定資料と見比べても、間違いや入力漏れを目視では見付けることが難しく、その度に先輩が設定とログを照らし合わせて、足りない設定や間違っている値を探し出してくれました。その際に、show running-configなどの大量のログ出力であっても丁寧に調査しながら解決していたので、面倒がらずに逐一確認することの大切さを感じました。また先輩は、ログ調査の中でも、機器の動作から設定できていない箇所を推測して、「このコマンドのこの項目を見れば良いよ。」と、要点を把握していたところから、経験の豊富さを感じました。筆者が技術QAで対応する分野はライセンスやOSに関するものが多く、本演習ではこれまで知らなかったことを多く学ぶことができ、とても有意義なものとなりました。
◼ その2 FortiGate編
二つ目は、FortiGate編です。こちらもCisco ASAと同様に、TechDeskのQA業務で対応する機会が多く、勉強の必要性を感じている分野の一つでした。主に、構築チームに配属された3年目の先輩と2年目の先輩に講師をしていただき、1年目同士でペアを組んで受講しました。このハンズオンでは、Fortinet社の主な製品の概要やFortiGateの商品ラインナップの紹介といった座学から始まり、インターネットに接続するためのWANインターフェース設定などの初期設定、ファイアウォールポリシー、UTM、アンチウイルス+SSLインスペクション、Webフィルタ、アプリケーションコントロール、リストアやバージョンアップ手順など、さまざまな実機操作を行いました。
この中で最も苦戦したのは、UTMにおけるURLフィルタリングの設定です。
フィルタリング機能で「競馬サイト」を正しくブロックする設定をしたはずなのに、なぜかうまくブロックされませんでした。そこで、講師の方々の指示に従い「ファイアウォールポリシー」のインスペクションモードをプロキシベースに、「セキュリティプロファイル」のWebフィルタをフローベースに修正したことで事象が改善しました。この時点では正確な原因まで解明することはできず、一時しのぎの対応となりましたが、今後は自分で調査して解決できるようになりたいです。また、URLフィルタリング設定では、Webフィルタ(カテゴリー&URL)の項目において、優先度が 「URLフィルタ>カテゴリフィルタ」 になる仕様があります。こうした部分は、机上でドキュメントを一読しただけではイメージしづらいのですが、実際にダッシュボード上の設定を行うことで、具体的な機能の名称と内容や、どの設定を変更するとどのように機能するのか、といったつながりを理解することができました。これまでの技術QA業務では、調査・確認のために検証機器に触れてみたいと思いつつ、設定を変更して問題を起こすことを恐れ、対応を避けていました。今回のハンズオンで設定の入れ方と戻し方が分かったので、これからは積極的に触ってみたいと思います。
◼ 最後に
本記事では、TechDeskの配属直後から始まった構築SI教育プロジェクトの一端をご紹介しました。今回取り上げた内容以外も含めて、どれも大変勉強になるものばかりでした。講師を務めてくださった先輩方には、わかりやすくご説明していただき、そして何度も助けていただいて、とても感謝しています。同時に、筆者たちも1年後には後輩に教えられるほどの知識や経験を身に付けなければならないと思うと、身が引き締まる思いでした。今後は先輩方から学んだ知識を活かして技術QA対応に取り組むとともに、より一層、勉強に励みたいと思います。
本記事が、NOPに関心をお持ちの皆様には、NOP独自の研修内容とその様子を、そして、私たちと同じようにこれから学ばれる方々には、実機演習での経験を、それぞれ少しでもお伝えできましたら幸いです。最後までお読みいただきありがとうございました。
