SaaSやオフィス系アプリのクラウドサービス利用が広がりとともに、Webベースでのメールやスケジュール管理、更には業務系サービスのクラウド利用が加速する中で、社内からクラウドサービスへのクラウドトラフィックが急増している。

　結果、クラウドを活用する企業においては、クラウドトラフィックの増加によりネットワークのボトルネックが顕著に表面化し、業務スピードに影響を及ぼしている。

　そこで、伊藤忠テクノソリューションズ（以下、CTC）のクラウド接続の匠こと大竹岳氏と倉石将治氏に、企業とクラウドを繋ぐネットワークの解決策について尋ねてみた。

• 大竹岳
  • 伊藤忠テクノソリューションズ株式会社在籍
    • マネージドサービス部ネットワークソリューション課　課長
    • マネージドサービスの企画・設計・構築を担当
• 倉石将治
  • 伊藤忠テクノソリューションズ株式会社在籍
    • マネージドサービス部ネットワークソリューション課　主任
    • マネージドサービスの企画・設計・構築を担当

▼ 目次
・クラウド通信の増加が招くネットワークの課題
・SD-WANによるクラウドと社内ネットワークの接続
・SD-WANの管理
・SD-WANのネットワークセキュリティ

1. クラウド通信の増加が招くネットワークの課題

　クラウド活用の拡大に伴う企業ネットワークの変化と影響について尋ねてみた。

Q1-1. クラウド活用の拡大に伴い、ネットワークに変化は起きていますか？

大竹　ネットワークにおける最大の変化は、クラウド、特にSaaS向けの通信が増加したことです。

Q1-2. SaaS向けの通信が増加したことによって、ネットワークに影響が生じていますか？

大竹　従来のネットワークはデータセンターを中心としたハブ & スポーク型で構成されており、企業の多くのネットワークトラフィックは、データセンターと拠点の間で流れていました。

　これは、プライベートクラウドやオンプレミス上で構築された社内リソースがデータセンターに存在したためです。

　また、社内のインターネットの出口も、多くの場合、データセンターに設置されていました。

　これは、出口を一元化する事で、セキュリティポリシーを一元化するという目的が多いかと思います。

　しかし、クラウドと拠点との通信が増えるにつれ、クラウドトラフィックが企業ネットワークの中心となるデータセンターの経路上の帯域の逼迫を引き起こし、通信遅延が生じるようになりました。

Q1-3. 通信遅延によってエンドユーザーには、どの様な問題が発生していますか？

大竹　例えば、Microsoft 365やBoxといったクラウドアプリケーションの応答性が低下するなど、日々の業務でクラウドアプリケーションを利用しているユーザーのエクスペリエンスを低下させる事態が招かれ始めていると聞きます。

　また、クラウドトラフィックに圧迫され、従来のデータセンターへのアクセスにも影響が引き起こされている事が考えられます。

Q1-4. クラウド利用を促進する国内企業では、どのような対策を講じていますか？

大竹　ネットワークのボトルネックの対策として、データセンターの設備増強や回線増強を実施されていると聞きます。

　しかし、クラウド利用は年々増加傾向にあります。

　そのため、これは一過性の問題ではなく、根本的にクラウド接続の在り方を見なおす、ターニングポイントであると考えております。

Q1-5. クラウド時代のネットワークの課題を克服する上で、企業は何に注目すべきですか？

大竹　2019年にガートナ社が提唱し、多くの企業が取り組みを始めている、SASE（サシー）です。

Q1-6. SASEとは何ですか？

大竹　SASEは、ネットワークとセキュリティという２つのレイヤーから構成されるクラウド提供型のネットワークセキュリティモデルです。

　この2つのレイヤーの中で、「クラウドを繋ぐ」ためのネットワークにおいて、中核を補っているのがSD-WANです。

2. SD-WANによるクラウドと企業ネットワークの接続

　SD-WANに期待できる効果、SD-WANの構成について尋ねてみた。

Q2-1. SD-WANを用いると、SaaSと社内ネットワークの接続はどう変わりますか？

倉石　例えば、Microsoft 365やBoxをはじめとするクラウドサービス利用が増加し、SaaSトラフィックがネットワークの帯域を逼迫させていたとします。

　この問題に対して、SD-WANの「ローカルブレイクアウト」機能が効果を発揮します。

Q2-2.「ローカルブレイクアウト」とは

倉石　「ローカルブレイクアウト」は、ブランチ(拠点)から直接インターネットに接続して、SaaSなどを利用する機能です。

　トラフィック量の多いSaaS向けの通信のみ、拠点から直接インターネットに接続することで、ハブ拠点となっているデータセンターの局所的なトラフィックの集中を回避できます。

　ただし、拠点にインターネット回線が無い場合は、新たにインターネット回線を敷設する必要があります。

Q2-3. SD-WANにより、データセンターと拠点間の接続はどのように変わりますか？

倉石　SD-WANでデータセンターと拠点を接続する構成は、2通りあります。

• 安価なインターネット回線を利用したシンプルな構成
• インターネット回線と閉域網を組み合わせた構成

Q2-4. 安価なインターネット回線を用いたシンプルな構成とは

倉石　SD-WANでは、インターネット上に仮想WANを構築して、セキュアな通信を実現できます。

　さらに、異なるキャリアのインターネット回線を束ねて、論理的に1本の仮想WAN回線にできるため、接続の可用性も高められます。加えて、SD-WAN製品にもよりますが、回線補正機能が働くことで、より良い品質の仮想WANを、安価に準備できます。

Q2-5. インターネット回線と閉域網を組み合わせた構成は、どのようになりますか？

倉石　インターネット回線と閉域網を組み合わせることによって、利用頻度やコストに合わせた回線の使い分けが可能になります。

　例えば、「増加傾向にあるSaaS向けの通信は安価なインターネット回線」に「重要な基幹系通信は閉域網を利用する」といった回線の使い分けが考えられます。

　また、トラフィック単位での回線利用も選択できるので、「一部の通信だけ、閉域網ではなくインターネット回線を利用する」など、細かな回線制御も可能です。

　通信の重要度に合わせて、インターネット回線と閉域網をハイブリッドに活用したWAN利用を実現します。

Q2-6. ハイブリッドWANのメリットとは

倉石　大きく3つのメリットが認められます。

• トラフィックの重要度で回線を選択できる
• 自由な回線の組み合わせも可能
• 拠点ごとに利用する回線を選択できる

　複数の異なる回線を束ね、用途別に回線を利用するハイブリットWANは、通信品質の確保や安定性に加え、コスト削減などにも効果があります。

　このように、データセンターと拠点の間の接続に関しては、セキュリティや可用性、またお客様のご要望に合わせてWANを構成することができる点も、SD-WANを利用するメリットになります。

Q2-7. SD-WANはパブリッククラウドと社内ネットワークの接続をどのように変えますか

倉石　SD-WANを用いたパブリッククラウドと社内ネットワークの接続は、データセンター利用の有無によって、2つのケースに分類できます。

• データセンターを利用している場合
• データセンターを利用していない場合

Q2-8. データセンターを利用している場合について教えてください

倉石　データセンターを利用している場合は、パブリッククラウド提供事業者が提供する専用線接続を用いた接続になります。

　SD-WANの接続先であるデータセンターに、クラウド提供事業者が提供する専用線を敷設してパブリッククラウドとオンプレミスを接続します。

　代表的なサービスとして、AWSではダイレクトコネクト、AzureではExpress Routeがあります。

　尚、専用線接続には利点と欠点があります。

• 利点
  • セキュリティの確保
  • パフォーマンスの向上
• 欠点
  • パブリッククラウド毎に契約が必要
  • パブリッククラウド毎にゲートウェイの調達、設定、管理、専用線の疎通監視が必要

Q2-9. 専用線接続の欠点を補うには、どうしたらいいのでしょうか？

倉石　こうした欠点を解消するために、最近の主流となりつつあるのが「マルチクラウド接続サービス」です。弊社でも「CTCクラウドコネクト」というサービスを提供しています。

　「マルチクラウド接続サービス」では、サービス提供事業者がパブリッククラウドに接続するゲートウェイを用意します。その利点は、次の3点です。

• サービス提供事業者がパブリッククラウドと接続するためのクラウド接続点までの回線とゲートウェイを用意
• 企業はゲートウェイと接続するだけで、複数のパブリッククラウドとオンプレミスを接続できる
• 企業はゲートウェイの管理、回線の監視が不要

Q2-10. データセンターを利用していない場合は、パブリッククラウドとの接続は、どのように変わるのでしょうか？

倉石　この場合の構成は、クラウド上で仮想Edgeを提供するNaaSを用いたパブリッククラウド接続になります。

　NaaSを用いる利点は下記になります。

• 約1時間程度で、マルチクラウド接続の環境を構築できる
• NaaSの事業者は海外データセンターとのリーチャビリティがある

3. SD-WANの管理

　SaaSトラフィックの増加が引き起こす通信遅延に対して、SD-WANが効果的であることは理解できた。では、SD-WANの管理や運用面はどうだろうか？

Q3-1. 拠点のSD-WANルーターの管理は従来と比較してどう変わりますか？

大竹　従来は、拠点ルーターの設定変更の都度に大掛かりな計画や現地作業が発生していました。

　例えば、SaaSトラフィックの制御で拠点ルーターの優先制御処理（QoS）の設定を変更するために、現地に赴くといった作業を強いられていました。

　SD-WANでは、クラウド型のコントローラが拠点ルーターを一元管理できるので、拠点ルーターの設定変更やメンテンナンスの負荷が大幅に削減できます。
　
　また、WAN全体の一元管理も可能になり、拠点ごとに異なっていたポリシーを統一して管理・制御できます。

Q3-2. 拠点のSD-WANルーターが処理するトラフィックの可視化は可能ですか？

倉石　可能です。SD-WANコントローラを用いることで、拠点SD-WANルーターが処理するアプリケーションのトラフィックをモニタリングできます。

　昨今、クラウドサービスが多く登場していますので、シャドーITによるトラブルも増加傾向にあります。

　例えば、会社の端末から、許可していないクラウドサービスを利用して、いつの間にかマルウェアに感染していたという可能性もありますし、企業の重要な情報がいつの間にか漏えいされてしまうといった懸念もあると思います。

　こういったシャドーITを排除するためには、先ずシャドーITの実態を調査することから開始されると思いますが、それには、ネットワークをモニタリングして、どのような通信が行われているのか把握する必要があります。

　SD-WAN製品のベンダーにもよりますが、SD-WANでは、ネットワークのモニタリング機能もありますので、「いつ」「どのアプリが」「どの程度の通信量で」利用されているかを、クラウドコンソールから確認することができます。

Q3-3. SD-WANの運用課題はありますか？

倉石　残念ながら次に挙げる運用課題があります。

• SD-WANルーターのアップデート対応
• SD-WANルーターのアップデート内容の確認

　多くのSD-WANソリューションは、クラウドサービスとして提供されるコンポーネントを利用しています。これらはメーカーにより不定期にアップデートされるため、情報システム部門はそれに追従して、拠点に設置する機器（エッジルーターなど）のアップデートを行う必要があります。アップデート作業ひとつにとっても、アップデート手順の作成、有事の際の切り戻し検討など対応しなければならない作業は数多いのです。　

　当然、アップデート後に追加されている機能を確認した際は、その機能が何であるのか、また自社にどのような影響をもたらすかなどを確認する作業も発生します。

　しかし、これらの課題を解決する方法はあります。詳細については、以下が参考になりますので、合わせてご覧ください。

4. SD-WANのネットワークセキュリティ

　最後に、気になるネットワークセキュリティについて尋ねてみた。

Q4-1. SD-WANはセキュリティ機能を有していますか？

大竹　SD-WANはファイアウォール機能を有している場合が多いです。

　しかし、製品によっては、脅威攻撃やアンチウイルス、またDLPと言った昨今のセキュリティに欠かせない機能までは持ち合わせていません。

Q4-2. SD-WANのセキュリティ面で注意すべき点はありますか？

倉石　SD-WANのローカルブレイクアウトを利用すると、インターネット向けの通信がデータセンターのプロキシを経由しなくなることに注意する必要があります。

　つまり、既存のセキュリティ機能が適用されなくなるということです。

　しかし、この課題を解決する方法はあり、下記にて解説していますので、合わせてご覧ください。

Q4-3. セキュリティを担保するには、他に何を実装する必要がありますか？

倉石　SD-WANは次の機能との連携が必要になります。

• SWG
  • ユーザー端末からインターネット向けの通信に対して、不正なWEBサイトやクラウドサービスへのアクセスするのを遮断するとともに、マルウェアなども防ぐ
• CASB
  • 「シャドーIT」を防ぐために、許可していないクラウドサービスのアクセス制御する
  • 「DLP」で機密情報の流出を防ぐ

　昨今では金銭目的のサイバー攻撃が増えていますので、このようにSD-WANとセキュリティ機能を連携させてセキュアなネットワーク構成を組むことが強く推奨されております。

　SWGとCASBについては、以下をご欄いただくことをお勧めします。

Q4-4. SD-WANを安全かつスムーズに導入するためには何が必要ですか？

倉石　SD-WANのPoCの計画をお勧めします。PoCで確認するポイントの一例を挙げると、例えば次のような点になります。

• 既存環境との整合性や親和性

  • ネットワーク
    • 既存のWAN 構成をSD-WAN 構成に置き換えできるのか
  • セキュリティ
    • 既存セキュリティ機器と組み合わせて、全体として動作するのか
• 移行
  • ネットワーク断が短い移行方法はあるか
• 運用
  • 拠点やネットワークセグメントを追加・削除する際の対応の把握

　上記の以外にも確認すべきことがあります。

　詳細は、下記にて解説していますので、合わせてご覧ください。

まとめ

　クラウド時代に最適なネットワークを導入するには、SD-WANだけではなく、NaaSや各種セキュリティ対策など、複数のソリューションを組み合わせて実現しなければならない。

　そのため、製品ごとの相性や製品仕様の確認のために、PoCが重要となるだろう。

　仮に、動いているように思われても、設計通りの動作ではない恐れもあるため、事前検証と事後確認が必要となる。

　また、クラウド製品は、気づかずアップグレードされている場合があるので、変更や更新に対する日々の確認が必要である。


　CTCのマネージドサービスでは、こうした課題をクリアするために下記を担う専任体制を整備している。

• 市場の動向やプロダクト方針の確認
• 推奨バージョンの機能検証
• 新機能検証

　マルチクラウド接続についても、データセンターから提供されるCTCクラウドコネクトに加えて、クラウド上からマルチクラウド接続を提供するNaaSを検証している。

　今後は、こうしたサービスを組み合わせて、一元的に提供できるようする予定だ。