クラウドの活用が高まるにつれ、企業ネットワークからクラウドサービスへの通信量が増加し、データセンターと拠点間におけるアプリケーションのレスポンス遅延などの課題が生じている。

　この課題への有効策としてSD-WANのローカルブレイクアウト技術が注目を集めているが、この技術を利用することで新たなセキュリティリスクを招く可能性がある。

　そこで本記事では、SD-WANに注目している情報システム担当者に向け、ローカルブレイクアウトの見落としがちなセキュリティリスクと解決策について解説する。

▼ 目次
・企業ネットワークの課題を解消する「SD-WAN」
・ローカルブレイクアウトの利点とセキュリティリスク
・ローカルブレイクアウトの欠点を補う解決策とは
・SD-WANを安全に導入するための選択肢

1. 企業ネットワークの課題を解消する「SD-WAN」

　この数年の間にさまざまな業種・業態の企業でクラウドの採用が急速に進んでいる。

　その反面、顕在化し始めた課題がネットワークのパフォーマンスである。

　課題の原因は、企業のWAN構成の多くに見られる「ハブ＆スポーク型」構成にある。

　複数の拠点を抱える企業の場合、インターネットへの通信は各拠点から直接ではなく、専用線や VPN を使ってハブとなるデータセンターを経由して行われるケースが多い。この「ハブ&スポーク型」のネットワーク構成を採用する理由は、WAN 接続に対して全拠点共通のセキュリティを適用し、ガバナンスを確保するためだ。

　テレワークを支えるリモートアクセスにおいても、この構成が踏襲されていることが多く、自宅からVPNを経由して社内のネットワークに接続し、そこからクラウドサービスを含む業務アプリケーションを利用する形が一般的だ。

　しかし、クラウド利用の増加に伴う拠点とインターネットとの間に流れる通信量の増加により、ネットワークの課題を招いている。理由は、拠点とインターネットのハブとなるデータセンターに通信トラフィックが集中することで、通信遅延が生じ始めているのだ。

　そこで、この課題を解消できるソリューションとしてSD-WANの技術「インターネット（ローカル）ブレイクアウト」に注目が集まっているのである。

2. ローカルブレイクアウトの利点とセキュリティリスク

　SD-WANとは、インターネット上で仮想的なWAN を構築して、各拠点に設置したルーター（エッジ）を一元管理することでWANトラフィックを制御する技術である。

　このSD-WANの主要技術には、複数のキャリア回線を束ねることができる「リンクステアリング」による通信の最適化や、通信品質劣化の補正、アプリケーションの可視化などさまざまな機能があるが、特に注目されているのが「ローカルブレイクアウト」である。

　ローカルブレイクアウトは特定のアプリケーションのみを各拠点から直接インターネットに接続できるようにするもので、前述したクラウドと拠点間の通信がデータセンターに集中することによる通信の遅延を解消できるのだ。

　ローカルブレイクアウトを利用することによって、例えば利用頻度が高いMicrosoft 365（旧Office 365）やGoogle Workspace（旧G Suite）に対しては、拠点から直接アクセスさせることで、同サービスのパフォーマンス改善や社内ネットワーク経由で利用する業務アプリケーションの帯域確保が可能になる。

　しかし、ローカルブレイクアウトにはリスクも存在するのだ。

　インターネット向けの通信がデータセンターのプロキシを経由しなくなれば、既存のセキュリティ機能が適用されなくなってしまうからだ。

3. ローカルブレイクアウトの欠点を補う解決策とは

　ネットワークの課題に悩む企業にとって、ローカルブレイクアウトの利用は欠かせない。

　しかし、従来と同等のセキュリティレベルを維持する方法はないのだろうか。

　安易な選択肢としては下記が考えられるが、いずれもデメリットが大きい。

• 拠点のプロキシを介してインターネット接続を行う
  • 数人の小規模拠点にもプロキシが必要になり導入コストや機器の運用管理の負荷がかかってしまう
• 拠点のクライアントPC そのものにプロキシ除外設定を行い、特定のIPやFQDN宛の通信はプロキシを経由させない
  • Microsoft 365 などのようにIP やFQDNが定期的に変わるサービスの場合、その度に設定し直さなければならない
  • いずれのプロキシも経由しなくなるため、ユーザーが機密情報をクラウドにあげてしまうといったシャドーIT を防ぐことができない

　以上のように、ローカルブレイクアウトによるインターネットアクセスには、リスク、運用負荷、コストなど、解決すべき課題が多数存在する。

　しかし、落胆せずに安心して欲しい。

　これらをまとめて解消できる解決策がある。

　それが「Zscaler Internet Access」とSD-WANの組み合わせだ。

　Zscaler Internet Accessとは、クラウド型のセキュアインターネットゲートウェイで、ローカルブレイクアウトのセキュリティを強化できる。

　Zscalerは、従来のオンプレのプロキシと同等またはそれ以上であり、主な機能に下記が含まれている。

• アクセス制御
  • クラウドファイアウォール
  • URL フィルタリング
  • DNSフィルタリング
  • 帯域制御
• 脅威除去
  • IPS & 高度な脅威保護
  • クラウドサンドボックス
  • アンチウイルス
  • DNS セキュリティ
• データ保護
  • DLP（Data Loss Prevention: 情報漏えい対策）
  • クラウドアプリ制御
  • ファイルタイプ制御

　もちろん、クラウドサービスであるため各拠点の導入作業や運用の負荷はほとんどかからない。

　そして嬉しいことに、ユーザー数に応じた課金体系のため、コストを抑えながらガバナンス強化を図ることが可能だ。

　本サービスについて言及すると、Zscalerには前述したInternet Accessの他、Zscaler Private Access がある。Private Access はクラウド型のリモートアクセスに特化したサービスである。

　Zscaler Private Accessを用い1万人の社員がどこでも働けるテレワーク環境を構築した事例をなどもある。この事例は以下よりご欄いただくことができる。

　尚、Zscaler の詳細については、以下よりご覧いただきたい。

4. SD-WANを安全に導入するための選択肢

　マルチベンダーの伊藤忠テクノソリューションズ（以下、CTC）ではSD-WANによるローカルブレイクアウトに、ZscalerによるセキュアなWebアクセスを組み合わせたソリューションを提供することで、パフォーマンスとセキュリティを両立したクラウドサービス利用を支援している。

　さらにCTCは、SD-WANの導入と運用フェーズに生じる下記の課題を解決するサービスを提供している。

• 導入フェーズで生じる課題
  • 拠点にSD-WANルーターを設置する作業が必要
• 運用フェーズで生じる課題
  • SD-WANは新しい技術であるために情報が少なく、自社だけで運用をまわすには相応のスキルが必要
  • SD-WANルーターの設定変更やバージョンアップ対応、稼働監視などが必要

　そのサービスとは「マネージドSD-WANサービス」である。

　マネージドSD-WANサービスは、SD-WANの導入から運用までをワンストップでサポートし、設定変更作業や24 時間365 日の障害対応までカバーする。

　クラウドサービスの利用がさらに普及する中で、SD-WANの果たす役割も大きい。こうした中、「SD-WANのマネージドサービス」と「セキュアインターネットゲートウェイのZscaler」をワンストップで提供できるCTCは、ビジネスの支えとなり大きな価値をもたらすはずである。

　マネージドSD-WANサービスの詳細については、以下よりご覧いただきたい。