勤務先のNCADでは、IntraGuardian2という不正接続検知/排除システムを開発・販売しています。
要するに、LANへの接続許可がないコンピュータを接続した際に検知して、通信を遮断するという装置です。

こういったものは仕組みは意外と簡単なので、作るのは簡単なのですが、実は一番難しいのは運用だったりします。

ということで、勤務先では発売当初からずっと社内での運用を続けてお客さんからのお問い合わせなどに具体例を交えて説明できるように備えていたのですが、これが難しい。
開発会社特有の問題かもしれませんが、この装置はMACアドレスベースの認証なので、VMwareの仮想マシンなどを作る毎にきちんと申請、登録しないと検知され通信が遮断されてしまいます。
しかも新しい案件が立ち上がる毎に仮想マシンが増えていって、いつの間にか/24のネットワークめいっぱいにマシンが存在あるような状態になってしまっていました。
メンバーも気軽に仮想マシンを作って通信を遮断されてから利用申請をするような感じになりがちです。

そこで、昨日今日で、L3SWで開発用サブネットを個別にわけて、部内のネットワークには本当に限られたコンピュータしか繋がないような運用をはじめてみました。
許可リストもかなりすっきりし、ネットワークの見通しがよくなってなかなか快適です。

IntraGuardian2は不正接続の検知が主な機能ですが、それのため、ネットワークにあるコンピュータ一覧を列挙することもできるので、現在ネットワーク上にホストがどんな感じになっているかを見渡すツールにもなります。
見たところ、用途不明のコンピュータもなさそうで、良さそうです。

あまりまとまりがないですが、ネットワークの運用は難しいという話しでした。