変化が求められる企業ネットワークとセキュリティ――ネットワーク変革の現実的な進め方:従来型ネットワークではもう限界に
自宅などでのテレワークが求められる中、企業のクラウド利用は一層加速し、出張制限などで拠点間通信も増大している。快適かつ効率的な業務遂行のためには従来型ネットワークの変革が不可欠だが、具体的には何が「変革」のポイントになるのだろうか。
テレワーク時代に求められる「新たなネットワーク」とは
新型コロナウイルス感染症拡大の影響で、経営環境がデジタル化に向けて急速に変化する中、企業ネットワークをいかに変革するかが課題になっている。テレワークが加速し、場所を問わない働き方が求められる一方で、SaaSをはじめとしたクラウドサービスの利用拡大や出社・出張制限などを受けた通信量の増大など、もはや従来型ネットワークは現在の経営環境にふさわしくないものになりつつある。
こうした中、新しいネットワークの在り方について「ビジネス継続性(BCP)とデジタルトランスフォーメーション(DX)を両立するビジネスレジリエンスの実現」というコンセプトを提唱しているのがシスコシステムズだ。レガシーなIT基盤をモダナイズしてビジネス継続性を高めるとともに、クラウドを活用してDXを着実に推進できるネットワークへと変革していくことが重要だと説く。シスコシステムズの北かおり氏は、企業が直面している課題について、こう話す。
「テレワークの広がりとクラウドアプリの利用拡大に加えて、ビデオ会議の急増によって、閉域網で構成するWAN回線やVPN用のインターネット回線が逼迫(ひっぱく)するケースが大幅に増えました。さらに、ビデオ会議や一部のクラウドアプリはトラフィックの遅延がそのまま生産性の低下につながります。今後、オフィスと自宅などのワークスタイルのハイブリッド化、使用するアプリケーションのマルチクラウド化が進むことを考えれば、従業員の全通信を自社データセンターのプロキシサーバに集約してからインターネットに出す“1点集中型”の仕組みはもはや限界を迎えているといえます」
仮に従来型のネットワークのままで、テレワークやマルチクラウドに対応しようとすれば、トラフィックの流れは複雑化する。また、管理機器が増えてコストも増加し、パフォーマンスやセキュリティの課題を解消することはさらに難しくなる。シスコシステムズの若澤一善氏はこう付け加える。
「構成機器が増えれば、ネットワークの運用監視に多大な負荷がかかります。障害発生時の状況把握や原因の切り分けに苦労したり、不正端末などセキュリティ脅威を検知できなかったりするケースも増え、安全・安定的な運用すら難しくなります」
シスコシステムズでは、こうした課題を解決するソリューション群を提供しているが、その中核となるのが、拠点・クラウド間のネットワークを柔軟に運用できる「Cisco SD-WAN」と、キャンパスLANの多様なネットワーク機器とトラフィックを統合的に管理できる「Cisco DNA Center」だという。
「Cisco SD-WANとCisco DNA Centerは、企業の目前の課題を解消するだけではない点が特長です。BCPの強化、DXの実践に向けた“最初の一歩”と位置付けることで、新たな企業ネットワークの実現に向けて、段階的に効率良く仕組みを発展させていくことができるのです」(北氏)
段階的なクラウド対応、SASEの第一歩となる「Cisco SD-WAN」
では「段階的に効率良く」とは、どういうことだろうか。ここで、DXの実現、特にクラウド化に対してネットワークとセキュリティを包括的に提供するフレームワーク「SASE(Secure Access Service Edge)」に注目してみよう。
「SASEにはシスコも注力しています。SASEは、クラウドセキュリティだけではなく、快適なクラウド通信のためのネットワークや、認証の仕組みなど複数の要素からなります」(北氏)
具体的には、「Cisco SASE」として製品をポートフォリオ化しており、ネットワークサービスを提供するCisco SD-WAN、セキュリティサービスを提供する「Cisco Umbrella」、多要素認証&アクセス管理を提供する「Cisco Duo」「Cisco AnyConnect」、SASE環境全体をモニターする「ThousandEyes」が構成要素となる。北氏は「Cisco SASEのポイントは『どこからでも始められる』点にあります」と強調する。
クラウドサービスの本格利用には、SASEフレームワークが示す通り、複数の構成要素が求められる。実際は、これを一夜にして実現するのでなく、各要素間の機能連携や包括調達も意識しつつ、各社の実情に応じた段階的アプローチになるということ。シスコはそこに配慮している格好だ。
現在、回線逼迫などの問題を受けて、社内外から直接クラウドサービスにアクセスさせる手法「ローカルブレークアウト」が企業に浸透しつつある。クラウドアクセスの安全性をCisco Umbrellaが担う一方、クラウドへのきめ細かなトラフィック振り分けを行うのがCisco SD-WANだ。
「ローカルブレークアウトを本格導入する場合、外部向け・内部向けといった単純な振り分けでは不十分なことが多いのです。クラウドサービスでは上り方向のトラフィック量も大幅に増大するので、インターネット回線の総量規制や契約帯域を意識しながら選択的にブレークアウトするのが現実的です。Web会議サービスであれば、高帯域よりも安定した品質確保の方が重要なことがあります」(北氏)
こういったクラウド利用に特有の対応がやりやすいことが、SD-WAN採用の大きな理由だという。またCisco SD-WANでは、対応ルーターにファイアウォールの他、IPS(不正侵入防止システム)、AMP(高度なマルウェア防御)、URLフィルターのセキュリティ機能を統合しており、クラウドセキュリティではカバーできない拠点間の通信も保護して「ラテラルムーブメント」に対処できるのも、大きな特長だという。
Cisco SD-WANで実現する「6つのユースケース」
Cisco SD-WANのユースケースには、ローカルブレークアウトの他、「WAN利用の最適化」「パブリッククラウド拡張」「セグメンテーション」「一元管理・可視化・分析」「ゼロタッチプロビジョニング」がある。
「6つのユースケースは、クラウド化に対応するためのネットワーク側のビルディングブロックのようなもの。クラウドセキュリティ連携も含め、要件に応じて組み合わせることで、段階的な発展を目指すことができます」(北氏)
こうしたCisco SD-WANの特長を生かして導入を進めているのが北國銀行だ。同行では、全105店舗にCisco SD-WANのローカルブレークアウトを展開し、エンドポイントセキュリティとしてCisco Umbrella、AnyConnectを採用した。わずか3カ月で導入を完了し、快適で安全なクラウド活用を実施。今後はDuo多要素認証でのゼロトラスト対応、Thousand Eyesでのエンドエンドネットワーク品質可視化も目指すという。
システムが自律的に管理する「Cisco DNA Center」
新しいネットワークの在り方は、ユーザーがデバイスを利用する拠点内のキャンパスLAN領域でも求められている。この領域で、Connect/Control/Convergeを実現し、ユーザー体験を高めるのがサービス管理ツールのCisco DNA Centerだ。
若澤氏は、Cisco DNA Centerが求められる背景について、こう話す。
「ニューノーマルによる新しい働き方が広がり、サテライトオフィスやハブオフィスの増加によって拠点数、管理対象機器は増加し、クラウドアプリの利用増やビデオ・音声通信の増加によって、遅延の許されないトラフィックが急増していきます。そこでネットワークに対する新しい考え方が必要になってきています」(若澤氏)
新しい働き方を支えるネットワークには、大きく3つのポイントがあると若澤氏は指摘する。それは「迅速に展開できるネットワーク」「パフォーマンス管理」「セキュリティの確保」だ。
例えば、ネットワークのどこで、どのような端末が接続されているかを可視化することは簡単ではない。また、障害が発生した場合でも、誰のアプリケーションに影響がでているかを知ることも難しい。
こうしたネットワークの課題を解決に導くのが、Cisco DNA Centerとなる。
「現在、多くの企業が、障害の状況把握や原因の切り分けに苦労しています。また、不正な端末など、無線LANの脅威が検知できずに不安という声も聞きます。こうした課題や不安に対し、Cisco DNA Centerは、ネットワークの監視や運用をできるだけ自動化し、迅速かつ自律的に対処できるようにします。また、ネットワーク機器がどこに何台あっても、設定作業や状態監視を一元的に行い、ネットワーク品質とセキュリティを確保することができます」(若澤氏)
また、カフェスタイルオフィスの増加によって従来の場所と所属部署に応じたアクセス制御は限界を迎えている。三井物産では本社を社外に“開放”し、オフィス内をフリーアドレス化して場所に依存せず、適切なITリソースにシームレスにアクセスできる環境をCisco DNA Centerと「Cisco Identity Service Engine」を組み合わせた統合認証基盤によって実現している。
Cisco DNA Centerは、こうした自動化による作業の効率化やアクセス制御だけでなく、機械学習やAIを用いたユーザー体験を向上する機能も提供する。
「無線LANのチャネルや機器の干渉でうまく接続できないケースや、クラウドサービスが遅いときも、ユーザーの状況を『快適ではない』と判断し、適切な対処を自動で実行します。一般的なネットワーク管理システムでは、問題特定は人に依存していましたが、Cisco DNA Centerは問題特定までを自動で行い、ネットワークの健全性を色や点数で分かりやすく提示します。機械学習技術を活用して過去のノウハウを融合することで、障害対応を自動化することも可能です」(若澤氏)
ネットワークの健全性は10点満点で点数化され、フロアマップ上で問題が発生したデバイスやユーザーの状態をすぐに把握することが可能だ。無線LANにトラブルが発生した場合でも、障害を検知すると同時に、自動的にパケットキャプチャーと解析を行い、素早く修復する。さらに、セキュリティ脅威に感染したデバイスもすぐに見つけることができる。
「ネットワークが快適かどうかは、可視化できても対処が難しく、スキルも必要でした。Cisco DNA Centerは“人に代わってシステムが自律的に管理する世界”を実現します」(若澤氏)
冒頭で述べたように、ネットワークとセキュリティ関連の課題が山積する現在、SASEが注目され、ネットワークの変革の機運は高まっている。だが大切なのは、良いとされる概念やノウハウをうのみにすることなく、「自社に即した変革」を考え、実践することだ。その点、Cisco SD-WANとCisco DNA Centerで実現できることを基軸に改善を検討すれば、変革に向けた現実的なロードマップを描きやすくなるのではないだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:シスコシステムズ合同会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2021年5月25日