SD-WANを、無理やり「定義」するとどうなるか：SD-WANは、何をしてくれるのか（1）（2/2 ページ）

[三木泉，＠IT]

多数の遠隔拠点のVPN接続をシンプル化

　多数の小規模拠点を展開している企業にとっては、IPsecによる接続とその運用を管理するだけでも、大きな負担となる。この負荷軽減は、多くのSD-WAN製品において第2のユースケースであり、具体的なメリットとなっている。

　前述の通り、多くのSD-WAN製品では、従来遠隔拠点で運用されてきたVPNルータを代替する機器を提供している。「ゼロタッチ・プロビジョニング」で、機器ごとに直接設定する必要なく起動し、適切な初期設定を遠隔適用できる。このため、遠隔拠点側にエキスパートは必要ない。その後の運用も、本社の運用担当者が、全て遠隔で実行できる。しかも、その担当者に、IPsecに関する専門知識は必要ない。

　また、SD-WAN製品の拠点用機器では、ルータ機能の他に、無線LANアクセスポイント機能を備えているものがある。こういう機器であれば、新拠点を突然開設しなければならなくなったとしても、ネットワーク接続サービスさえ用意されていれば、機器をその拠点に送り付けてネットワーク接続するだけで、VPN接続までを即座に設定できる。

　さらに、SD-WAN製品の中には、接続ユーザーによって接続先を制限できるものがある。こうした製品で、ルータに無線LANアクセスポイント機能を組み合わせた機器を使うと、業務用WAN環境と、ゲスト用のインターネットアクセス環境を1台でまかなえるようにもなる。つまり、ゲストのインターネットアクセスについては、本社を経由することなく、各拠点に引いたインターネットアクセス回線を通じて、インターネットに直接出ていくようにすればいい。

クラウドへのVPNアクセスを変革

　Amazon Web ServicesやMicrosoft Azureなどのパブリッククラウドサービスには、専用線、あるいはIPsec接続で、企業拠点との間にプライベートな接続を提供するオプション機能がある。

　だが、これらは各パブリッククラウド専用のサービスであり、複数のパブリッククラウドを併用するユーザー組織は、接続するクラウドごとに、別個の手順で接続を設定し、運用しなければならない。また、パブリッククラウドのIPsec接続サービスは、運用上面倒な部分がある。

　そこでユーザー組織は、SD-WAN製品を使って、自社のプライベートネットワークを、統一的な運用管理の下で、任意のパブリッククラウドに延伸することができる。やり方はシンプルだ。パブリッククラウド上の自社仮想ネットワークセグメント（AWSでいえば「Amazon VPC」）でSD-WAN機器の仮想マシン版を動かし、これをVPNゲートウェイとして自社拠点とをIPsec接続できる。パブリッククラウドとの接続を、遠隔拠点との接続と同一に扱えるようになる。

　SD-WAN製品によるパブリッククラウドとの接続では、もう1つ面白い展開が考えられる。通常、企業拠点とパブリッククラウドをプライベート接続する場合、それは企業の本社あるいは自社データセンターとクラウドとの接続を意味する。だが、パブリッククラウドの各拠点から本社を経由せず、パブリッククラウドに直接VPN接続したいケースが増えてくる。SD-WANでは、こうした構成にも対応できる。当初は本社のみをパブリッククラウドに直接VPN接続しておき、後から各拠点をそれぞれ接続するように変更することも可能だ。

SD-WAN製品にはいろいろなバリエーションがある

　全てのSD-WAN製品が上記の機能を共通に備えているわけではない。例えばハイブリッドWAN機能は魅力的だが、SD-WAN製品と呼ばれるための前提ではない。SD-WAN製品は多様であり、分類は難しいが、便宜的に下記のように分けることができる。

カスタムソリューションとしてのSD-WAN

　ジュニパーネットワークス、ブロケードは、「Universal CPE」と総称されるソリューションを提供し始めている。これは、ハイブリッドWAN機能を備えたVPNルータに、仮想化環境を搭載、モニタリングやセキュリティなど、さまざまなアプリケーションを動かせるようにしている。その上で、これらのCPEをSDNコントローラで制御できるようにしている。2社のソリューションは、特に機能が厳密に決まっているものではない。主に通信事業者などのサービス事業者を顧客として想定したものだ。

パッケージとしてのSD-WAN

　一般企業にとって比較しやすいのは、パッケージ化されたSD-WANソリューションだ。日本で活動しているベンダーには、VeloCloud、Viptela、Riverbed（現在は試験提供）、CloudGenixがある。これらのソリューションには、機器のみ、機器＋サービスの2形態がある。また、提供主体についても、ベンダーがリセラーを通じてソリューションを自ら提供する場合と、サービス事業者がこうしたソリューションのOEM供給を受け、自社サービスに組み込んで提供する場合の2通りがある。例えばネットワンシステムズはVeloCloud製品の供給を受け、同社としてSD-WANサービスを運営している。Verizonやシンガポールテレコムは、Viptela製品を使って、SD-WANサービスを提供している。

　VeloCloud、Viptela、Riverbed、CloudGenixについては、ハイブリッドWAN、ゼロタッチ・プロビジョニング、パブリッククラウドへのVPNといった機能を、程度の差はあっても基本的に全て備えている。

　これらのソリューション間の違いとしては、下記の点を挙げることができる。

• ハイブリッドWAN機能におけるトラフィック振り分けの粒度
• ハイブリッドWAN機能におけるLTEのサポート有無
• 対応する拠点の規模（どこまで小規模な拠点に対応するか、どこまで大規模な本社接続に対応するか）
• 各拠点内のゾーン分割への対応
• ユーザー認証に基づくアクセス制限
• セキュリティ機能の実装方式
• ビジネスモデル、すなわち機器価格とサービス料金の相対比率、およびそれぞれの絶対価格

　ここで、上記の分類には当てはまりにくいユニークなSD-WANソリューションとして、Cradlepointの「NetCloud」を紹介しておきたい。これは同社がPertinoを買収してリリースしたもので、仕組みはPertinoの「Cloud Network Engine」と同じ。パブリッククラウド上で運営される各ユーザー企業専用の仮想スイッチに対し、エージェントソフトウェアを導入したサーバおよびユーザー端末がSSL-VPN接続することで、仮想のLANを構成する。中小企業に向いている。日本では、ソフトバンクが2016年7月27日、「ホワイトクラウド OneLayer on Cradlepoint NetCloud」という名称でサービスを提供開始した。同社はNetCloudを自社クラウドで運用、インターネットアクセスセキュリティサービスを付加するなどしている。

今後の焦点の1つはセキュリティ機能

　筆者は、パッケージ的なSD-WANソリューションの今後の普及に向けたカギの1つとして、セキュリティ機能への対応があると考えている。

　SD-WAN製品のハイブリッドWAN機能では、ユーザー組織の遠隔拠点から本社への接続において、比較的重要性の低いトラフィックをプライベートWANサービスからパブリックWANサービスに移行することで、コスト効率を高めることを狙っている。各拠点からの一般的なインターネットアクセスも、こうしたトラフィックに含まれる。

　さらに一歩進んで、一般的なインターネットアクセスで、そもそも本社を経由する必要があるのかという考え方もある。SD-WAN接続ソリューションの提供ベンダーの多くは、「これまでのような本社経由のインターネットアクセスは、時代遅れだ」という。

　だが、多くの一般企業が、全てのインターネットアクセスを本社あるいは自社データセンター経由としているのは、「自社が必要だと考えるセキュリティを確実に適用したい」ということにある。

　遠隔拠点からのインターネットアクセスを本社接続からオフロードしたとき、ユーザー組織はどのように統合的なネットワークセキュリティ管理ができるのか。これに対する回答は、各拠点（のCPE）でセキュリティ機能を動かすか、一部の拠点でセキュリティ機能を動かし、これに対して他の拠点がアクセスするようにするか、ホステッドセキュリティサービスを使うかのいずれかになる。

　一部のSD-WANソリューションは、各拠点用のCPEにファイアウォール機能を搭載するなどしている。だが、各拠点（あるいは一部拠点）でユーザー組織が十分と思えるセキュリティ機能を動かしたとき、それは現状に比べ、逆にコスト高とならないのか。ホステッドセキュリティについても、同様に、本末転倒となる可能性がなくはない。この点については、セキュリティベンダーとの連携が絡む点であるため、解決は容易ではない。SD-WANベンダーの間でも、現時点では模索が続いている印象がある。