SD-WANを、無理やり「定義」するとどうなるか：SD-WANは、何をしてくれるのか（1）（1/2 ページ）

今、ネットワークの世界で注目される新ムーブメント、「SD-WAN」。具体的にユーザーにとって何を意味するのかを探る連載の第1回として、SD-WANの基本的な特徴および用途を解説する。

[三木泉，＠IT]

　今、ネットワークの世界で、潜在的に多くの企業や組織に影響を与え得る、もっとも興味深い動きと言えるのが「SD-WAN」だ。多数のスタートアップ企業が生まれている他、既存ネットワーク製品ベンダーの間でも、これに対応する動きが広がっている。また、通信事業者が、「SD-WANサービス」を提供開始する例が見られる。

　「SD-WAN」は「Software Defined WAN」の略、つまりこれは「Software Defined Networking （SDN）」から生み出された言葉だ。そう聞くと、「なぜSD-WANなどという新しい言葉が必要なのか、SDNでいいではないか」と不思議に思う人がいるはずだ。SDNの適用分野は、データセンター、LAN、そしてWANだ。「SD-WAN」などという言葉を作らずに、「WANにおけるSDN適用」と言えば十分なのではないかという意見が出てくるのは当然と言える。

　また、SD-WANは特定の技術を前提としたものではなく、厳密な定義が困難だ。「そんな言葉を、ベンダーが使うのは勝手だが、単なるマーケティング手法であり、ユーザーにとっては意味がない」と考える人もいるだろう。

　だが、「SD-WAN」という言葉は、ベンダーだけでなく、ユーザーである一般企業にとっても意味がある。これを説明するには、SD-WANの厳密な定義よりも、製品・サービスに共通なテーマ、すなわち「どのような課題を解決しようとしているか」を理解していただく必要がある。

あえて、「SD-WAN」とは何か

　SD-WANの製品やサービスはバラエティに富んでおり、しかも動的に変化している。これを踏まえて、あえてSD-WAN製品・サービスを一括りで表現し、「定義」に近いものとして提示するとすれば、「企業WANの『仮想化』『抽象化』により、通信サービスの個別利用や、特定通信関連技術の利用に関わる制約から解放し、ビジネス視点で柔軟に運用する手助けを目指す製品・サービス」ということになる。

　「目指す」という言葉を使っている時点で、この表現が曖昧であることは十分に承知している。上記では、例えば次のような製品・サービスがSD-WANに含まれないことを示そうとしている。

特定通信サービスを対象としたSDN的機能

　例えばNTTコミュニケーションズは、「Arcstar Universal One」で「フレキシブルイーサオプション」を提供している。これはユーザー組織がサービスポータルを通じ、オンデマンドで速度変更を実施できるサービス。SDN的であり、ユーザー組織にとってのメリットも明確だ。

　だが、これを「SD-WAN的機能」と形容するのは適切でない。個別の通信サービスの魅力を高める機能にとどまるからだ。SD-WANが目指しているのは、個別の通信サービスを使いやすくすることではない。特定通信サービスから独立して、（場合によっては）複数のプライベート／パブリック通信サービスを併用し、これらを抽象化して、あたかも均一なサービスであるかのように見せることだ。これに基づいて、ユーザー組織が仮想的に自社WANをビジネス視点で運用・展開できるようにすることにある。

IPsec VPN機能を備えたルータ

　IPsec VPNは、多くの企業で当たり前のように利用されている。これは、パブリックな通信サービス上で、トンネリングプロトコルとしてIPsecを使い、仮想的にプライベートネットワークを構築・運用する技術だ。そこで、「企業WANの仮想化といっても、VPNルータがすでに実現しているではないか。だからSD-WANなどという言葉はいらないではないか」という議論もあり得る。しかも実際、多くのSD-WAN製品は、パブリックWANサービス上で仮想的にプライベートネットワークを構築するために、IPsecを使っている。

　だが、SD-WAN製品のIPsecの使い方は、従来型のVPNルータのIPsec接続機能とは異なる。これには、複数の説明の仕方がある。

　1つは、「SD-WANにとって、トンネリングプロトコルがIPsecでなくとも構わない」ということだ。IPsecは企業のWAN接続で広範に使われており、親しみを持っているネットワーク運用担当者が多い。そこで、新しいトンネリングプロトコルを持ち込むよりも、IPsecを使った方が、ユーザー組織には受け入れてもらいやすい。だから、IPsecを採用しているSD-WAN製品が多い。だが、SD-WAN製品にとって、IPsecはトンネリングプロトコルの1つでしかない。今後、IPsecを使うSD-WAN製品の中に、接続先や用途に応じて他のトンネリングプロトコルを併用できるようにするものが出てきたとしても不思議ではない。

　2つ目の説明の仕方は、「SD-WAN製品では、IPsecの技術的な構成・運用をユーザー組織が考えなくて済むようにしている」ということだ。IPsecによるVPN構築および運用は、その鍵交換の仕組みと、そもそもルータ1台単位で設定をしていかなければならない点から、複雑で面倒なものとなっている。これではビジネス視点で柔軟にWANを運用できない。SD-WANでは、機器（CPE）を遠隔拠点に導入する場合、遠隔拠点側では機器をネットワークケーブルに接続し、起動すると、ユーザー組織が望むWAN構成に基づく設定が、自動的にこの機器に送り込まれるようにしている（「ゼロタッチ・プロビジョニング」などと呼ばれる機能）。その一環として、鍵交換、鍵更新も自動化されている。こうして、IPsecの構築・運用にかかわる技術的な作業を不要とし、「拠点間をどのようにつなぎたいか」だけを考えればいいようにしている。

　上述の、SD-WANの「定義」では、「企業WANの『仮想化』『抽象化』により、通信サービスの個別利用や、特定通信関連技術の利用に関わる制約から解放し、ビジネス視点で柔軟に運用する手助けを目指す製品・サービス」と表現した。

　詳しくは後で述べるが、「通信サービスの個別利用や、特定通信関連技術の利用に関わる制約から解放し」という部分を分かりやすく言い換えれば、多くのSD-WAN製品は、一方で通信事業者のプライベートWANサービス（専用線、MPLS、広域イーサネットなど）、他方で既存のVPNルータと競合する。

　ただし、SD-WANにとって、個別の物理的接続サービスやトンネリングプロトコルはあくまでもツールだ。ユーザー組織がこれらを取捨選択あるいは併用し、自社のWANを自社のビジネスニーズに沿って、「抽象化された形で」「統合的に」運用できることを目指すのがSD-WANだ。

SD-WANの主要なユースケース

　どこにでも、ビジネスニーズに応じて、技術的なことを考えずに社内ネットワークを仮想的に延伸できるなら、それに越したことはない。だが、ユーザー組織が既存のWANを新しい仕組みに移行する決断をするには、もっと具体的なメリットが必要だ。

　以下では、「SD-WANの主要なユースケース」として、3つのメリットを紹介する。全てのSD-WAN製品が、これらに一様に対応しているわけではないことは、ご注意いただきたい。

ハイブリッドWANによる専用線利用コストの低減

　SD-WAN製品で、最も注目されてきたのは「ハイブリッドWAN」機能だ。これによって、専用線をはじめとするプライベートWANサービスの利用料金を、積極的に減らせる可能性が生まれる。

　これまでの「WAN最適化」製品では、専用線などの高価な通信サービスを通るトラフィックのデータ圧縮、キャッシング、送信処理効率化などを通じて、アプリケーション単位のQoS確保や帯域幅の有効利用を図っていた。SD-WANでは、アプローチを変えて、「企業向けIP接続サービスなどのパブリックWANサービスに、相対的な重要度の低いアプリケーションのトラフィックを積極的に逃がす」手段を提供している。

　具体的には、企業の各拠点に専用のネットワーク機器（あるいは仮想マシン）を置き、遠隔拠点と本社（あるいは企業データセンター）間の通信を、アプリケーションに応じて振り分ける機能を提供（振り分けの粒度などについては、製品間で違いがある）。これによって、例えば重要な社内業務アプリケーションへのアクセスはプライベートWANサービスを通すが、各拠点から社内ファイルサーバやクラウドサービスへのアクセスは、パブリックWANサービスを通すといったことができる。この仕組みを導入することにより、ユーザー組織は自社におけるプライベートWANサービスの利用状況を確認しながら、契約帯域幅を絞ることができる。これがSD-WANのハイブリッドWAN機能だ。

　SD-WANベンダーの中には、本社と拠点の接続で、プライベートWANサービスの利用をやめ、複数ネットワーク事業者のパブリックWANサービス併用に移行し、これらの間で負荷分散をすることで、「可用性およびパフォーマンス面でのリスクを減らしながら、専用線に依存する従来のやり方よりもコストを減らせる」という提案をするところもある。

　プライベートWANサービスを主な収益源としている通信事業者にとって、SD-WANのハイブリッドWAN機能は、実質的に大きな脅威となっている。このため対抗策として、逆にSD-WAN製品を活用し、回線サービス利用構成について、ユーザー組織にある程度の柔軟性を与えるサービスを提供する例も増えている。

　なお、日本では、プライベートWANサービスとパブリックWANサービスの料金差が米国ほど大きくなく、このため米国に比べてハイブリッドWAN機能を使ったWAN回線コストの削減効果がSD-WANの魅力とはなりにくいとされる。だが、例えば現在の回線コストで比較した場合に、直接的には大きなコスト削減効果が得られなくとも、SD-WANでは将来の帯域幅ニーズ増加に対し、容易に、高いコスト効率で対応できるし、将来、社内運用を変えずに回線サービスを臨機応変に選択していけるという自由度を得られることも確かだ。

　SD-WANサービスのハイブリッドWAN機能は、柔軟な回線バックアップにもつながる。日本では従来、WAN回線のバックアップのためにISDNを使うケースがよく見られた。だが、ISDNサービスの終了に伴い、適当な代替策が見つかりにくくなっている。

　例えば、遠隔拠点で、消費者向けのインターネット接続サービスを、バックアップ回線として契約し、これを平常時にも、プライベートWANサービスの補助として生かすことが考えられる。一方、SD-WAN製品では、LTEへの対応も進みつつある。プライベートWANサービス、有線のパブリックWANサービスとLTEを同列に位置付け、トラフィックを動的に振り分けられる。従って、LTEを「純粋にバックアップのためだけに使う」「平常時にも一部のトラフィックを流す」の、どちらの使い方もできる。

　新たな展開として、国際的なプライベートWAN網を構築している企業が、これをユーザー組織に対し、通信事業者の同種サービスよりも低料金で切り売りするようなものが登場する可能性がある。こうした国際プライベートWANサービスとSD-WAN製品を組み合わせれば、グローバルに展開する企業が、国際的な通信で安定したプライベート網と帯域コストの低いインターネットを機動的に組み合わせられるようになるかもしれない。