もしも未経験の製品を運用・システム変更することになったら

客先常駐で大手で働く場合、有償の製品を担当することが多いです。
ここでは、私がどのようにして未経験の製品の運用が出来るようになったのかを説明したいと思います。

1.まずはシステムの構成・仕組みを把握しよう
ある日突然、自分の全く知らない製品の運用を担当して欲しいと言われました。
前任から引継ぎを受けたのは、システムの概要説明、メーカマニュアル、担当サーバへの接続情報、
製品の管理画面の簡単な使い方、決まった対処方法です。
上位の方からは他システムと連携させることで同じ機能を持った製品の片方を廃止したいとの要望があります。

(システム概要)
対象のシステムは社内PCでウィルス対策ソフトなどの必要なソフトがインストールされていなければ、
社内PCにインストールされているPC検疫ソフトが検知してインストーラーの置き場所や認証サーバなど最低限度接続が必要な個所
(以後検疫NWと呼びます)にしかNW接続させないというものです。
PC検疫ソフトがインストールされていない場合は、不正防止接続用のアプライアンスによって社内PCがNW遮断されます。
資産管理用のシステムも存在していて、資産管理システムの方でもウィルス対策ソフトなどの必要なソフトがインストールされていなければ
検疫NWにしかNW接続させない機能があり、現在その機能は使用されていないとのことでした。
不正接続防止用のアプライアンスを管理するサーバには資産管理システムと連携する機能があり、
資産管理システムのNW遮断機能とPC検疫ソフトのNW遮断機能が重複していていてPC検疫ソフトのライセンスが勿体ないので
資産管理システムと不正接続防止サーバを連携させることでPC検疫ソフトの廃止および資産管理システムでの一元管理を実現したいとの要望です。

まず、初めに、
前任者から引継ぎを受けた、システム構成図とメーカマニュアルを読んで、
どんな製品なのかを把握しようとしました。
しかし、メーカマニュアル、メーカWEBサイトにもどのような仕組みで不正防止接続用アプライアンスでNW遮断が
実現されているのか詳しくは記載されていませんでした。
そこで私は、メーカサポートに社内PCを社内NWに接続した際にNW遮断がされるまで、各機器がどのような動作をするのか
質問しました。有償の製品はGoogleで検索しても詳しい情報を入手することが出来ないことが多いのでメーカサポートに問い合わせて情報を得ないことには
仕事が前には進みません。

きっちり腹落ちするまでメーカサポート2社(資産管理システムとPC検疫システムの2社)と何度もメールの往復を繰り返し、
回答頂いた内容を図にまとめて、「この図の認識で良いですか?」と確認しました。

(まとめた話)
システム登場機器
1.PC検疫サーバ:PC検疫ソフトのインストールされた社内PCを管理
2.PC検疫ソフト(社内PCにインストール)
3.不正接続防止サーバ:不正接続防止アプライアンスを管理
4.不正接続防止用アプライアンス:PC検疫ソフトがインストールされていない機器を検知してNW遮断
5.資産管理サーバ:資産管理エージェントのインストールされた社内PCを管理
6.資産管理エージェント(社内PCにインストール)

不正接続防止用アプライアンスはアプライアンス設置セグメントにPCなどの機器が接続されると、
PC検疫ソフトが発生させる存在通知パケット(宛先PortA)を検知するとNW接続を許可。
不正接続防止サーバにNW接続許可機器として登録されておらず、且つ存在通知パケットが検知されなければNW遮断。
NW遮断はNW遮断対象機器に対して、偽装ARPを送出してNW遮断対象機器のARPテーブルを
強制的に不正接続防止アプライアンスのMACアドレスに書き換える事で実現する。
NW遮断中も不正接続防止アプライアンス経由で指定の場所へはアクセスが可能で、通知画面を出すことも可能。
資産管理サーバと連携させると、
資産管理サーバのもつ資産管理エージェント一覧が不正接続防止サーバに送信されNW接続許可機器一覧に追加される。
連携後は、不正接続防止用アプライアンスの設定を変更することで、
資産管理エージェントがインストールされていない社内PCをNW遮断することが出来る。

というように理解することが出来ました。

2.やっぱりテストは必要

上記のように理解は出来ましたが、実際に設定変更をして話に聞いた通りにいくのかは
テストしてみなければわかりません。
私は上位の方にテスト環境を構築させて欲しいとお願いをしました。
願いは聞き入れられ、テスト環境の構築をすることになりました。

テスト環境の構成はNW遮断時の動作が既存環境に影響を与えないように
既存本番環境とは別のNWセグメントをNWチームに用意してもらい、
そこでテスト環境を構築することになりました。

サーバの構築手順はメーカマニュアルに記載されていましたので、
手順通りにインストール/設定して稼働させることが出来ました。
後は本番環境の設定を確認しながら、テスト環境の設定を可能な限り本番環境に近づけて設定します。

テストの項目、手順を考えて、
上位の方にレビューしてもらい、テストを進めます。

するとテスト結果がメーカサポートに聞いていたのと少し違う結果になりました。

「資産管理サーバと連携させると、
資産管理サーバのもつ資産管理エージェント一覧が不正接続防止サーバに送信されNW接続許可機器一覧に追加される。」
と聞いていましたが、
不正接続防止サーバの持つNW接続許可機器一覧が資産管理サーバのもの資産管理エージェント一覧と同じ状態になってしまいました。

この動作だと既存のプリンタやNW機器などNW接続を許可したいリストの一部が消えてしまって障害になります。

私はこの結果を元にサポートに問い合わせ、
NW接続許可一覧は資産管理サーバのものと同一のものになるので、資産管理サーバ側に既存の許可一覧を追加登録する必要がある
との回答を得る事が出来ました。

聞いていた話と違うということがあるので、やっぱりテストは必要です。

3.次は本番システム変更

テストが完了したので、次は本番適用です。
テスト結果を元に本番システム変更手順を作成し、認識誤りが無いかをメーカサポート2社に懸念点が無いかを意見を伺いました。
2社とも自社で作成した手順ではないので保証は出来ないが、懸念点は特にございませんとの回答でした。
職場に製品に精通している方がいる場合は、その方にレビューして意見を貰えば良いと思いますが、
ユーザ企業だとメーカサポート以上に製品に精通している方はまずいません。
NW遮断などという、一般的に広く使われているようなもので無ければなおさらです。

メーカサポートより懸念点が無いとのお墨付きを得たので、
タスクを洗い出して、おおまかなスケジュールを決めます。

あとは粛々とスケジュール通りに進めていくだけです。
※執筆時点で本番作業はまだですので、結果は記載できません。

4.まとめ(未経験の製品でも対応は可能)
ここまで記した通り、私はNW遮断のシステムなど今まで扱った事は全くありませんでしたし、
製品の存在すら知りませんでした。
しかし、保守契約が存在してメーカサポートの支援を受ける事が出来るのであれば、
十分に対応が可能な事が分かって頂けたかと思います。

Comments are closed.