2021/03/26
次世代基盤第一技術部 第一技術室
三井情報は2017年7月に米SD-WANベンダーであるVersaNetworks社との契約以降、本格的にSD-WAN製品の取り扱いを開始しています。いまでは同じく米国のCisco Systems社、Fortinet社などのSD-WANも取り扱っており、ユーザ企業への導入だけでなくSD-WANのサービスを提供するMSP企業への販売や技術支援も行っています。
そこで、三井情報がSD-WANビジネスの中で得てきた、SD-WANの導入メリットの整理、SD-WANの特徴的な技術要素の解説、今後SD-WANがどのように進展していくかの考察を全3回のコラムにてお届けします。
1. SD-WAN再入門
2. クラウドサービス利用におけるSD-WANの優位性
3. SD-WANの今後
第1回のコラムではSD-WAN再入門、第2回はご要望をいただくことの多いSD-WANのユースケースについてお伝えしました。最終回となる今回はSD-WANの今後として、今、私たちが目にしている企業ネットワークの変化をご紹介し、その中でSD-WANがどの様に利用されていくのかを考察しお届けします。
第2回のコラムでも触れましたが、総務省が公開した令和元年の調査結果※1によると、クラウドサービスを「全社的に」または「一部の事業所又は部門で」利用している企業は6割を超えており、多くの企業が利用を開始していることがわかります。これはテレワークなどオフィス外で業務をする際も、インターネットへのアクセス環境を用意するだけでオフィスと同等の業務環境が実現できる点が評価されているからだと考えます。さらに、2020年初頭から世界中に広がった新型コロナウイルス感染症がテレワークを加速させる中、クラウドサービスの重要性はますます増してきています。一方で、企業の業務データは社内の電算室やデータセンタにもあるため、それらとクラウド上のデータの両方へ安全にアクセスさせることが求められています。
※1 出展:「情報通信白書 令和2年版『(4)企業におけるクラウドサービスの利用動向』」(総務省)
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r02/html/nd252140.html
クラウドサービスの普及が進み便利になる一方で、これまでネットワークの境界で実現していたセキュリティ機能をそのまま適用することが難しいという課題が出てきました。さらに、テレワークが加速し利用者もその境界から出たことで、新たなセキュリティのアプローチが必要になってきました。その手法の一つとして最近よく耳にするのが、「SASE(サシー)」です。SASEは「Secure Access Service Edge」の略で、これまでばらばらに考えられていたWAN機能とネットワークセキュリティ機能を統合して提供する新たなネットワークアーキテクチャの概念です。
■SASEのイメージ
SASEはその構成要素から、以下の機能をまとめて提供するクラウドプラットフォームだと言えます。
●ネットワーク機能
・SD-WAN
・CDN
・WAN最適化
・その他必要なネットワーク機能
●ネットワークセキュリティ機能
・Cloud Secure Web Gateway
・CASB(Cloud Access Security Broker、キャスビー)
・Zero Trust Network Access
・Firewall as a Service
・その他必要なネットワークセキュリティ機能
またこのSASEを企業ネットワークに採用すると、以下の効果が期待できます。
●複雑さと運用負荷の軽減
・多くの機能がサービスとして提供されるため、ネットワーク構成の簡素化やセキュリティ管理の一元化が可能となり、運用管理の負荷が軽減できます。結果、生産性の向上やコストの削減が期待できます。
●統一されたセキュリティポリシの適用
・オフィスやテレワークなど勤務場所に依存せず、統一されたセキュリティポリシで管理できるため、セキュリティレベルの維持管理が容易となります。セキュリティリスクの低減が見込めます。
●パフォーマンスの改善
・オフィスやデータセンタへの接続に依存せず、レイテンシーや高可用性の考慮等ルーティングを最適化することで、パフォーマンスの改善を図ります。その結果、クラウド利用時の業務効率や利便性が向上し、快適なユーザ体感が期待できます。
特にパフォーマンスの改善はSD-WANと深くかかわる部分で、SD-WANのメリットを生かしながら利用者の体感を向上させることができると考えています。さらに、全体に統一されたセキュリティポリシが適用できるので、クラウド利用時もテレワーク時も、利用者が勤務場所ごとのセキュリティを意識せずに業務にあたれることは大きいと考えています。
前述のとおりSASEには様々な機能が包括されていますが、その中でSD-WANにはどのような役割を求められるでしょうか。SASEソリューションの足回りとして引き続き従来のSD-WANとしての機能が求められることに加え、ユーザのいる場所とデータが保存されているデータセンタやクラウドサービスを柔軟につなぐ役割を担っていくと考えます。
そこで、現在の企業ネットワークとSASE化が進んだ企業ネットワークの例を以下に示します。
●現在の企業ネットワーク
SD-WANで効率化された企業ネットワークは以下のようなメリットがあります。
・本社(Head Quarter)や各拠点(Branch)だけでなくIaaS/PaaSにもSD-WAN Edgeが配備され、そのコントロールをデータセンタ上のヘッドエンド(Head End、集中管理装置)で行えます。
・各拠点からのインターネット向けアクセスはこれまで通りデータセンタ経由で行いますが、SaaSの利用は各拠点のSD-WAN Edgeでローカルブレイクアウトさせます。拠点から直接インターネットにアクセスすることでデータセンタ設備の負荷を軽減します。
・Secure SD-WANの製品を採用している場合は、拠点から直接アクセスする通信にもセキュリティ機能を適用できるため、統一されたセキュリティポリシを適用することができます。
・テレワーカーや外出先からのモバイル端末(Mobile)は各拠点のエッジデバイスへVPN接続することで、オフィスで勤務する際と同等のメリットを享受できます。
■現在の企業ネットワーク
●SASE化が進んだ企業ネットワーク
・クラウド上のSASEを中心として、各拠点からのトラフィックを集約します。さらにSASE PoP(Point of Presence)は様々な機能を有し、SD-WAN Edgeと同様の経路選択の効率化も行います。加えてSASE化が進んだ企業ネットワークは以下のようなメリットがあります。
・現在の企業ネットワークと同様に本社や各拠点にSD-WAN Edgeが配備されますが、そのコントロールはクラウド上のヘッドエンドから行います。このSD-WANネットワークのデータセンタはアクセス先の一つとして含まれ、クラウドへ移行されないデータがここに集約されると考えます。
・テレワーカーや外出先からのモバイル端末はSASEクラウド上に用意されたSASE PoPからSD-WANネットワークへアクセスし、データセンタやIaaS/PaaS、SaaS上のデータへアクセスしていきます。このことで、各拠点のエッジデバイスが受けていたモバイルVPNの負荷が解消されます。
・ネットワークセキュリティ機能はクラウド上にあるSASEのサービスとして適用されます。そうすることで、テレワーク中もオフィスにいるときと同じセキュリティポリシが適用されます。
・各ロケーションのトラフィックはSD-WAN Edgeのオーバーレイ経由で一旦SASEクラウドに集められ、セキュリティ機能を適用した後、IaaS/PaaS、SaaSなど目的のロケーションに転送されるようになります。その結果、データセンタ設備の負荷が軽減され、利用者の体感もデータセンタ経由時より利用者の体感も向上します。
・SASE PoPへの接続はSSL-VPNよりオーバーヘッドが少ないIPsecを利用すると、遅延が発生しにくいため、より最適なパフォーマンスを体感いただけると考えています。
■SASE化が進んだ企業ネットワーク
両者を比較すると、SASE化が進むことでデータセンタの役割やモバイル端末のアクセス方法が変わり、クラウドの利用に最適化されていきます。ただ、その中でもSD-WANの役割は大きく変わらず効率化されたWANを提供していくと考えます。
今回ご紹介しましたように、SD-WANはSASEのような大きな枠組みに組み込まれていきますが、クラウドやテレワークの普及が進む中で安全なICT環境を支える重要な技術として、引き続き世の中に広まっていくものと考えています。三井情報では今後もその動向を調査し、お客様へ最新の技術を提供していきます。
全3回でお送りしてきました連載「SD-WANの今と未来」は今回が最終回となります。最後までお読みいただきありがとうございました。
幸 丈雄
次世代基盤第一技術部 第一技術室
2004年よりネットワークセキュリティ製品の技術支援をはじめ、2020年よりVersa Networks製品の技術支援業務に従事。検証及び提案・構築・PoCの支援などを行っています。
|
コラム本文内に記載されている社名・商品名は、各社の商標または登録商標です。
当社の公式な発表・見解の発信は、当社ウェブサイト、プレスリリースなどで行っており、当社又は当社社員が本コラムで発信する情報は必ずしも当社の公式発表及び見解を表すものではありません。
また、本コラムのすべての内容は作成日時点でのものであり、予告なく変更される場合があります。