最適インフラビルダーからの提言〜どこまでアウトソースするか?〜
特集:マネージド・サービスの選び方(前編)
「SSL-VPNサービス」の登場でアウトソースが変わる
2004/3/26
大宅宗次
あなたの会社も自社のネットワーク構築のために通信事業者の何らかのサービスを利用しているだろう。通信事業者は昔から企業向けに拠点間や外部から会社へのコネクティビティ(接続性)を提供するサービスを行ってきた。最近では利用されるコネクティビティの中心がIP-VPN、広域イーサネット、インターネットVPNに代表される安価なVPNサービスになってきている。
加えて「マネージド・サービス」などという名前を付けて、コネクティビティの提供を超える付加サービスへの展開を目指している。ユーザーがその気になれば企業ネットワークにかかわるすべてを通信事業者にアウトソースできるのだ。しかし、「マネージド・サービス」には取って付けたようなものも多く、ユーザーの方でどこまでアウトソースするかを見極めることが重要となる。ここで、VPNの世界で話題となっているSSL-VPNの導入を例に、通信事業者が提供するコネクティビティを超える付加サービスの選び方を考えてみる。
 |
WebクライアントとWebサーバの間に装置を置く構成 |
話題が先行しているSSL-VPNだが、最近になってようやく通信事業者が提供する「SSL-VPNサービス」が登場し始めた。SSL-VPNはHTTPのセキュリティを確保するために、通信の暗号化、および認証によるサーバ、クライアントの身元確認を行うSSL技術を応用した新しいVPN技術だ。IP-VPNなどのVPNサービスが収益を支える柱にまで成長した通信事業者にとって、新たなVPNサービスの提供はビジネス拡大の大きなチャンスとなる。ところが、「SSL-VPNサービス」に関していえば多くの通信事業者がサービス提供に慎重な姿勢を取っている。「SSL-VPNサービス」は従来のVPNサービスのように単にコネクティビティだけを提供するサービスではない。いうなればVPNサービスと付加サービスが一体化しているようなサービスなので、取って付けた「マネージド・サービス」のように簡単には提供することができないからだ。
どのようなサービスを「SSL-VPNサービス」と呼ぶかは議論の1つだが、その前にSSL-VPNを実現する方法を簡単に説明する。SSL-VPNはアプリケーションに依存するVPN技術といえる。SSL-VPN実現のためには、まず企業側で使っているアプリケーションのSSL対応が必要となる。HTTP以外のアプリケーションにも対応可能だが、基本となるWebベースで説明する。ご存じのとおり一般的なWebブラウザにはSSLが標準的に組み込まれているので、クライアント側は準備完了といえる。次にWebサーバ側の対応も必要となるが、一般的な構成としてはWebクライアントとWebサーバの間にSSL-VPN装置を入れる形になる(図1)。
 |
| 図1 SSL-VPNの基本的な構成例 |
SSL-VPN装置がHTTPSによる通信の暗号化と認証の代行、およびHTTPへの変換を行うので、Webサーバにとってはクライアントから通常のHTTP通信が行われているように見える。HTTPでは比較的簡単にSSL-VPNが導入できる。しかし、企業の業務がすべてHTTPを使って行えるわけではない。HTTP以外の対応アプリケーションを用意するか、HTTPで動作するアプリケーションに変更する必要があることがSSL-VPNの課題の1つだ。SSL-VPN装置とWebクライアントの間は、コネクティビティさえあればセキュリティが確保されていなくてもよい。SSLによりセキュリティが確保され結果的にVPNが実現されるからだ。よって、SSL-VPNのコネクティビティとしては最も安くてどこでも接続できるインターネットが使われるだろう。
|
ホスティングのオプションとしてのリモートアクセス |
ここで、通信事業者の「SSL-VPNサービス」の内容を見てみる。これまでのVPNサービスと同じコネクティビティだけを提供しても「SSL-VPNサービス」にはならない。先行して提供しているNTTコミュニケーションズのSSL-VPNサービス「Secure Smart Access」を参考にしてみる。このサービスはあくまで同社のホスティングサービスのオプションとしてリモートアクセスを提供するという位置付けだ。コネクティビティとなるインターネット接続やセキュリティの要となるSSL-VPN装置だけでなく、ホスティングとして業務アプリケーションを実現するサーバまでまとめて通信事業者にアウトソースする形だ。ホスティング自体は新しいサービスではない。しかし、「Secure Smart Access」ではアプリケーションに依存しているSSL-VPNで、業務アプリケーションそのものの提供を視野に入れていることに特徴がある。
先ほど説明したとおり、SSL-VPNはHTTP以外のアプリケーションを
利用する場合、そのアプリケーションをSSL-VPNに対応させるか、Webアプリケーションにに移行させる必要がある。SSL-VPNを利用するには、対応するアプリケーションがなければ導入する意味がないので、SSL-VPNに対応したアプリケーションをVPNサービスの付加サービスとして提供することが非常に重要である。つまり、好意的に見ればコネクティビィティを提供するVPNサービスでありながら、ユーザーにとって必要なアプリケーションの提供を「マネージド・サービス」として一体化したサービスになっている。ユーザーから見ればVPNサービスの選択にアプリケーションのアウトソースが関連してくることになる。
|
データセンタの提供する複合型サービス |
話が変わるが、少し前にデータセンタビジネスがブームとなった時期があった。通信事業者だけでなく異業種からも参入し、強固なファシリティを持ったデータセンタを競って建設した。データセンタが成功している例は少ないが、その中でも企業が外部に公開するWebサーバのホスティングだけは割と多くの企業が利用している。インターネットから参照されるWebサーバはインターネットに近い場所に設置した方が良い。インターネットと直接コネクティビティが提供できるデータセンタにサーバを置く価値が出てくるのだ。これもユーザーにとって必要なコネクティビティとアプリケーションが一体化したサービスの良い例だろう。事実、ユーザーにとって必要性が少ないコロケーションや企業の業務サーバのホスティングは成功しているサービスとはいえないだろう(図2)。
 |
|
図2 ユーザーに必要なコネクティビティとアプリケーションが一体化するiDCのサービス |
最初に触れたとおり、通信事業者が「SSL-VPNサービス」の提供に慎重なのは、コネクティビティに取って付けた「マネージド・サービス」を加えるだけでは実現できないからだ。こうした観点から「SSL-VPNサービス」の選び方はユーザーがどこまでアウトソースするかによって大きく変わってくる。
|
現段階ではリモートアクセス優先のアウトソース志向 |
今後、多くの通信事業者が「SSL-VPNサービス」を提供するようになると予想される。SSL-VPN自体が成熟していない現時点では、リモートアクセスというコネクティビティが欲しくて「SSL-VPNサービス」(図3)を選択するユーザーにアウトソース志向の変化が求められるだろう。
 |
| 図3 現在人気のリモートアクセス |
もっとも、「SSL-VPNサービス」はコネクティビティとアプリケーションが一体化されたサービスが前提ではない。例えばNTTコムウェアが提供しているSSL-VPNサービス「Mobilis」はユーザーが最低限必要なセキュリティの部分だけを効率よく提供しているサービスといえる。「Mobilis」はSSL-VPNのSSL-VPN装置と認証に関する部分だけをアウトソースする形のサービスだ。ホスティングも提供しているがアプリケーションとなる業務サーバは企業側にあってもよい。また、インターネット回線などのコネクティビティもバンドルされていない(図4)。
 |
| 図4 SSL-VPN装置と認証に関する部分だけをアウトソースできるサービス |
セキュリティに関しては単に通信事業者側でSSL-VPN装置の運用とパスワード管理を代行するだけでなく、ユーザーの端末で使用するUSB型認証キーを標準的に配布することで独自性を打ち出している。ユーザーから見ればSSL-VPNの面倒なセキュリティの部分だけアウトソースにすることができる。「SSL-VPNサービス」はユーザーのアウトソース志向の違いによって今後もユニークな提供方法が提案されるだろう。ユーザーはどこまでアウトソースするかを明確にする必要があるが、結果的にアウトソースしてしまったというVPNサービスがもっと増えれば非常に面白いと思う。また、ユーザーのアウトソース志向が変化すれば単にコネクティビティだけを提供してきたこれまでのVPNサービスに、本当の「マネージド・サービス」(図5)がくっついてくるようになるだろう。
 |
| 図5 迂回経路が提供される理想のマネージド・サービス |
| 関連記事 | |
| 連載:監視を自動化するSNMP ネットワークを管理するプロトコル 連載:24×365のシステム管理 運用管理に必須のツール/コマンド群 書評:SNMPを使ったネットワーク管理に役立つ3冊 |
|
 |
「Master of IP Network総合インデックス」 |
- 完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る (2017/7/13)
2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った - ソラコムは、あなたの気が付かないうちに、少しずつ「次」へ進んでいる (2017/7/6)
ソラコムは、「トランスポート技術への非依存」度を高めている。当初はIoT用格安SIMというイメージもあったが、徐々に脱皮しようとしている。パブリッククラウドと同様、付加サービスでユーザーをつかんでいるからだ - Cisco SystemsのIntent-based Networkingは、どうネットワークエンジニアの仕事を変えるか (2017/7/4)
Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、「THE NETWORK. INTUITIVE.」あるいは「Intent-based Networking」といった言葉を使い、ネットワークの構築・運用、そしてネットワークエンジニアの仕事を変えていくと説明した。これはどういうことなのだろうか - ifconfig 〜(IP)ネットワーク環境の確認/設定を行う (2017/7/3)
ifconfigは、LinuxやmacOSなど、主にUNIX系OSで用いるネットワーク環境の状態確認、設定のためのコマンドだ。IPアドレスやサブネットマスク、ブロードキャストアドレスなどの基本的な設定ができる他、イーサネットフレームの最大転送サイズ(MTU)の変更や、VLAN疑似デバイスの作成も可能だ。
 |
|
|
|
|
注目のテーマ
Master of IP Network 記事ランキング
転職/派遣情報を探す
