あらためてSD-WANを基礎から知り、その本質を考える:SD-WANとクラウドネットワーキングの進化(1)
日本に入ってきてから8年近くになるSD-WAN。クラウド利用が本格化するいま、どのような意味を持つのでしょうか。あらためて基礎から解説し、その本質を探ります。
在宅勤務への対応でSASE(Secure Access Service Edge)やZTNA(Zero Trust Network Access)が注目され、SD-WANを語ることが少なくなってしまったように感じます。ですが、SD-WANは不要になったわけではありません。本記事では、SD-WANの本質と、今後の企業にとっての意味を、あらためて考えます。
SD-WANのスタートアップ企業が日本に入ってきたのは2014年頃だったでしょうか。筆者は当時から関係者を取材してきました。多数のSD-WANベンダーのCEO(最高経営責任者)にもインタビューしました。
CEOたちは企業WANを変革できることを熱く語っていました(SD-WANをテーマとした会社を起こし、資金を調達してビジネスを伸ばそうとしているのですから当然ではありますが)。中には、「専用線の呪縛から企業を解放する」といった表現をする人もいました。専用線からインターネット回線に移行することが解放だというわけです。
しかしいま振り返ってみると、それは結果として事実となりつつあるものの、SD-WANの本質だとは言えないことがよく分かります。では、 SD-WANの本質とは何でしょうか?
ネットワークは足手まとい?
「DX」という言葉を使っても使わなくてもどちらでもいいですが、 企業はクラウドの利用を拡大しています。AWS(Amazon Web Services)、Microsoft Azure、Google CloudのようなIaaS/PaaSから、SalesforceなどのSaaS、ZoomなどのWeb会議SaaSまで、多種多様のクラウドを使うようになってきました。
ビジネスに最短距離で使えるITツール、あるいはこうしたツールを思い通りに作って動かせる環境がクラウドです。「SoE(Systems of Engagement)」などとも呼ばれますが、まずITシステムがビジネスを成長させる基盤となるとの認識が広がり、さらにクラウドではこうしたシステムをスピーディーに、機動的に使える、作れるということで広がってきました。
ほとんどのクラウドではサーバ、ストレージ、ネットワークがソフトウェア化されています。もちろんサーバ機はあります。ですが、サーバ仮想化やコンテナにより、演算機能は仮想化されて必要な分だけ即座に調達でき、柔軟に拡張・縮退ができるようになっています。データ保存についても、ストレージ専用装置ではなく、サーバ機の上にソフトウェアとして構築でき、こちらも柔軟に拡張、縮退が可能です。
ビジネスを成長させるツールをスピーディーに使える、あるいは作れるためには、こうしたソフトウェア化が必要でした。IaaS/PaaSでは、システムをスピーディーに作れる環境が使えるようになったことで、新しい世代のアプリケーション開発者や構築者が急速に増えてきました。
では、WANはどうでしょうか。「10年以上何も考えずに使っている」という企業もあるでしょう。それで問題がないなら変える必要はないと思います。しかし、問題がないわけではないでしょう。上記のように「ビジネスに最短距離で使える機動的なIT」がテーマとなっているいま、WANもビジネスに最短距離で使えるようなものに変わっていく必要があるのではないでしょうか?
カギは回線サービスを操(あやつ)るということにあります。これまでは、回線サービスを選択したら、そのさまざまな制限を前提として受け入れて使うことが多かったと思います。これは「回線中心」の世界だったとも表現できます。しかし、これからはユーザーがビジネスの目的を達成するために回線を活用する、「ユーザー中心」の世界が望ましいと思います。
回線サービスをあやつり、ユーザー中心のWANを実現するためのツールとして使えるのがSD-WANです。
SD-WANの本質は、「ユーザーが操縦席に座る」こと
*以下に紹介する機能は、全ての製品で対応しているとは限りません
SD-WANとは、各種のWANサービスを活用し、ビジネスニーズに応じてさまざまな場所の間をVPNで安全に接続できる仕組みです。接続できるだけでなく、拠点間のパケットの流れをいろいろな形で制御できます。さらに、構築した仮想的なWANを監視し、監視結果に応じてアクションを取ることができます。
「各種のWANサービス」には当然ながらインターネット接続サービスを含みます。携帯通信に対応している 場合もあります。携帯通信を含むインターネット接続を活用することで、例えば新規拠点の接続までにかかる日数を短縮できます。
SD-WANでは接続したい各拠点に専用のルータを置き、これらの間の接続構成や監視を、クラウド上の管理コンソールで行えます。ルータは通常、ハードウェアとして提供されますが、ソフトウェアとしての動作も可能です。例えば、パブリッククラウドへのVPN接続にソフトウェアを使うことができます。
「グラフィカルに」「遠隔で」「まとめて」設定
VPN接続はWANルータでは当たり前の機能です。これとどこが違うのでしょうか?
SD-WANでは、個々のルータに対してコマンドラインで設定していく必要がないというのが、大きな違いです。管理コンソール上でグラフィカルに拠点間の接続を設計・構成できます。すると、個々のルータに対して設定ファイルが生成され、これを遠隔から各拠点のルータに送り込むことになります。
つまり、ルータのコマンドを熟知した人でなくても設定が可能です。これによりユーザー組織側でWANを操作できる層が大幅に広がります。ネットワークの設定をインテグレーターに丸投げしていた組織でも、「操縦席に座る」ことができるわけです。
ネットワークに詳しい人にとっても、遠隔で、まとめてあらゆる拠点のルータを設定できるというのは便利です。
日本では、インターネット接続にPPPoEというプロトコルを使っており、これに対応する設定が必要で、海外のSD-WANベンダーが当初アピールした「ゼロタッチプロビジョニング」の完全実現は困難です。それでもいったんインターネット接続さえできれば、全拠点のルータに対して設定を送り込めるため、時間の短縮とミスの防止につながります。
WANトポロジーの変更が容易
拠点間のVPN接続構成は、ある程度複雑な設定が可能です。ハブ・アンド・スポーク、メッシュ、デイジーチェーン、その組み合わせなど、さまざまな接続が可能です。また、いったん構成したWANを、後から容易に変更できます。拠点の追加・削除はもちろんのこと、既存接続拠点間のつなぎ方を必要に応じて自由に変更できます。従来はWANを一度構築してしまうと、その後は変更を考えないようにしていた企業でも、SD-WANを使えば、これを積極的に検討できます。
インターネット接続と専用線などとの最適な併用を探れる
上記の説明の多くは、インターネット接続を前提としています。インターネット接続を使うからこそ、その上にVPNを張って仮想的な閉域網を機動的に作れますし、変更できます。しかし、専用線などとの併用についてもさまざまな工夫ができるようにしているのは、SD-WANの大きな魅力です。
後述しますが、専用線などとインターネット回線で、アプリケーションに応じてトラフィックを分担して流すなどが可能です。多くの企業では、専用線の必要性が低下していく傾向にあるとは思います。それでも、各企業の状況に合わせて、まずインターネット回線で専用線を補完するところから始めることができます。
複数レベルの「インターネットブレークアウト」が可能
よく言われる「インターネットブレークアウト(正確にはローカルインターネットブレークアウト)」は、各拠点でインターネット向けの通信を全てインターネットにVPNなしで流し、社内向けの通信は閉域網サービスやインターネットVPNに流すという意味で語られることがあります。それは可能ですが、セキュリティについての対応が必要になります(これについては次の項目で述べます)。
SD-WANでは、インターネットブレークアウトを特定のアプリケーションについてのみ行うこともできます。例えばZoomやMicrosoft 365などの、httpsで保護された業務上必要な高負荷サービスのみをインターネット回線に直接流し、他のインターネット利用は従来通り、本社のセキュリティゲートウェイを通すといった設定が考えられます。
クラウドプロキシ(SWG)などとの連携ができる
SD-WANの中には、各拠点のルータにファイアウォールなどの基本的なセキュリティ機能を備えた製品があります。さらに高度なセキュリティでは、SWG(Secure Web Gateway:クラウドとして提供されるセキュリティゲートウェイサービス)との連携を可能にしている製品があります。
この場合、SWGに対して拠点からVPN接続を行い、その上でSASEとも呼ばれるセキュリティ機能群を適用します。
このような機能を使うと、特定のアプリケーション利用に限らず、一般的なインターネットアクセスを保護できるようになります。
そうすると、本社データセンターで運用されるセキュリティゲートウェイの仕事は、本社ユーザー(とデータセンターのアプリケーション、データ)の保護だけになります。さらに本社ユーザーの保護についても、クラウドプロキシの活用を目指す企業は増えていくでしょう。
SD-WANベンダーの中には、SWGやSASE、さらに在宅勤務者などからのリモートアクセスVPNを、自社製品として揃え、統合的に使えるようにする動きが見られます。
トラフィックステアリングではアプリケーションも考慮
SD-WANでは、複数回線間の「トラフィックステアリング」(トラフィックの流し方)でさまざまな工夫が行えます。2本の回線の帯域幅を単純に結合して使う、レスポンスの良い回線を使う、アプリケーションによって使う回線を固定する、一部のアプリケーションを優先する、などです。きめ細かい設定ができるとは言えませんが、アプリケーション単位の制御は容易であり、このあたりも「ユーザーが操縦席に座る」という表現がしっくり来る点の一つです。
専用線の利用を効率化する
拠点Aと拠点Bの間を専用線で結んでいた場合、この2拠点間の接続をインターネットVPNで補うことができます。
専用線を2本使ってバックアップ構成をとっているなら、1本をインターネットVPNに変えることができます。そして、残した専用線とインターネットVPNの双方にトラフィックを流すことができます。専用線によるバックアップでは、1本が通常使われないという効率の悪さがありますが、SD-WANを使って専用線とインターネット回線の2本を併用できます。
さらに、アプリケーションや通信先によって、どちらを通すかを選択できます。例えばローカルインターネットブレークアウトを行って大容量通信を減らした上で、社外向けの通信は(本社のセキュリティゲートウェイを通すために)インターネット回線、社内システム向けの通信は専用線を使うといった使い分けが可能です。
通信の状況をモニターする
筆者がSD-WANの特徴で重要だと思うのは通信のモニタリング機能です。回線の混雑度、遅延などを知ることで、「アプリケーションへのアクセスが遅い」などのユーザーからの苦情を受けた際に、自社のWANが原因なのか、そうだとしたらどの回線でどのような問題が起きているのかを探ることができます。
従来はこうした問題が起きたとき、必ず業者に調査を依頼するしかなかったような企業でも、自社で切り分けができ、時間とコストの節約につながります。
また、回線のモニタリングによって、増速の必要があるのかどうか、回線の利用方法を変えたほうがいいのかなどを判断できます。これは、無駄な投資を避けることにもつながります。
アプリケーションやユーザーごとの通信をチェックすることで、きめ細かな対策が打てることもあります。
無線LANなどとの統合管理と機械学習/AIによるトラブルシューティング
SD-WANベンダーの中には、無線LANアクセスポイントやイーサネットスイッチを提供しているところがあります。こうしたベンダーでは、拠点内ネットワークからSD-WANまでの統合管理を進めています。ユーザーにとってのサービスレベルが把握でき、いわゆる「エンド・ツー・エンド」でのトラブルシューティングができるというわけです。
さらにトラブルシューティングで機械学習/AIを活用する動きも進んでいます。
グローバルWANの管理
グローバルWANの運用には課題があります。日本ほど通信事情が良くない国も多いからです。SD-WANで各国の拠点を結び、通信のモニタリングをすることで、「どこの国のどの通信サービスのサービスレベルが低い」などが分かり、次に打つ手を検討しやすくなります。
あらためて、SD-WANでは「ユーザーが操縦席に座る」ことができる
このように、SD-WANは通信回線をビジネス観点で機動的に使うことにつなげられます。
また、業者に通信関係の対応全てを任せていたような組織でも、回線利用状況を自ら確認した上で、対策の検討に参加できるようになります。
また、将来は自社の閉域網がインターネット上に全面移行することになるかもしれないとしても、その時々で自社に最も適した閉域網のあり方を形にしていくことができます。
SD-WANはユーザー自らが操縦席に座ることのできるようにするツールです。このことは、WANをクラウド時代に対応させるために重要だと考えます。
特集:2022年、SD-WANとゼロトラストネットワーキングの進化
SD-WANとデータセンターのゼロトラストネットワーキング(マイクロセグメンテーション)。アプローチは若干異なるが、いずれもソフトウェア化(サービス化)によって、ネットワーキングの機動性、柔軟性、制御性といったメリットを生み出している。本特集では、これらの技術はどう進化しているのか2022年最新動向を追う。
Copyright © ITmedia, Inc. All Rights Reserved.