0
会員になると、いいね!でマイページに保存できます。
共有する
デジタル活用によって企業の付加価値を高めようと、DXの取り組みが活発化している。DXを進める上でクラウドは必須である一方、ネットワークに関するクラウド対応はあまりなされていない。そこで企業が続々と導入しているのが、SD-WAN(Software Defined-Wide Area Network)だ。これは、ネットワークを外部ソフトウェアから制御するテクノロジーを指す。本記事では、アイ・ティ・アール(ITR)の甲元 宏明氏監修の下、SD-WANの仕組みやメリットなどについて初心者の方にもわかりやすく解説する。併せて、主要ベンダーや選定ポイント、導入ステップについても紹介する。
監修:アイ・ティ・アール プリンシパル・アナリスト 甲元 宏明、執筆:藤森 みすず
監修:アイ・ティ・アール プリンシパル・アナリスト 甲元 宏明、執筆:藤森 みすず
甲元 宏明 藤森 みすず
SD-WANとは何か
SD-WAN(Software Defined-Wide Area Network)とは、SDN(Software Defined Networking)の技術をWAN(広域通信網)に適用したもので、ネットワークを外部のソフトウェアから制御するテクノロジーを指す。
従来、ネットワークは専用ポータルサイトやコマンドラインにて、エンジニアが手動で設定することが一般的であった。SD-WANは
API を利用して、管理ツールや外部プログラムから動的に制御することが可能である。
具体的には、エンドユーザーが利用するアプリケーションごとにネットワーク制御の設定を変更したり(QoSなど)、複数の通信回線品質をリアルタイム測定し、それに応じてSD-WANで利用する通信回線を変更したりすることが可能になる。この仕組みにより、SD-WANは、ネットワークの流れを細かく制御し、必要に応じてネットワーク構成や制御条件を変えられるため、データの送受信がより効率的になるのだ。(図)。
SD-WANを構成する「3つの技術要素」
SD-WANは、主に以下の3つの技術要素から成り立っている。
1.SD-WANエッジ
一般的に、オフィスや店舗に設置され、その拠点でのネットワーク接続を管理する。SD-WANコントローラーからの指示に従って、ネットワーク制御を行う。
2.SD-WANコントローラー
SD-WAN全体の設定、管理、監視を行う。主に企業のIT部門が使用する。SD-WANポリシーの作成と配布、エッジの設定変更/状態監視/ロギング、ゼロタッチ・プロビジョニングなどを行う。また、SD-WAN管理者はコントローラーにWebブラウザでログインし、各種操作を行う。
3.SD-WANクラウド・ゲートウェイ
メガクラウドのような著名なクラウドサービスの提供拠点から物理的に近いロケーション(メガクラウドが利用するデータセンター内、など)にSD-WANエッジを設置し、ユーザー拠点に設置したエッジとの通信品質を制御することで、当該クラウドサービスの通信品質を担保する仕組みのこと。SD-WANベンダーによりサービス提供される。この仕組みがない場合、ユーザー拠点からインターネットブレークアウトでクラウドサービスに接続することになるが、ブレークアウト以降はインターネットの通信状態に依存するためクラウドサービスの通信品質を担保することが困難になる。
SD-WANの「3つのメリット」
SD-WANの導入による第一のメリットは、クラウド・コンピューティングとの親和性だ。従来の閉域WANの場合、ファイアウォールを通じてインターネットに接続しなければならず、クラウド・コンピューティングとの相性が悪いが、SD-WANはその必要が無い。
2つ目のメリットとしては、ネットワークの拡張性が挙げられる。事業が順調に拡大して新たな拠点が追加されるにつれて、ネットワークも拡張していかなければならない。SD-WANを導入していれば、新たな拠点にエッジを設置して回線をつなぎ、電源を入れるだけで、新しい拠点でも自動的にSD-WANにつなぐことができる。この機能をゼロタッチ・プロビジョニングと呼ぶ。
さらに、SD-WANの導入には経済的な優位性があることも、3つ目のメリットとして押さえておきたい。新しい装置を大量に追加する必要がなく、既存のシステムに組み込むことができるため、初期投資や運用コストの負担が軽減される。ネットワーク混雑を防ぐための負荷分散も、SD-WANならよりきめ細かに最適な状態を維持できるため、ネットワーク混雑下での通信の遅さによる業務への影響を最小限に抑えることが可能だ。
SD-WANとVPNの違い
コンピューターネットワークの世界では、SD-WANと
VPN はよく使われる用語である。しかし、これらの技術は何を意味し、どのように違うのだろうか。ここでは、それぞれの定義と主な違いについて解説する。
VPNとは、インターネット上に特定の人やコンピューターだけが利用できるネットワーク構築技術を指す。主に、通信の安全性を高めるために利用される。VPNは「Virtual Private Network」の略で、和訳すると「仮想専用線」「仮想専用ネットワーク」といった意味だ。
VPNは、実際に新しいケーブルを敷設するのではなく、既存のインターネット回線を仮想的に専用のものとして使用する点で、SD-WANと類似している。
SD-WANとVPNは、「それぞれがネットワーク接続とデータのセキュリティを確保する」という共通点がある。しかし、運用方法と機能性にはいくつか重要な違いがあるため、押さえておきたい。主な違いを3つ紹介する。
1.接続の管理と最適化
2.スケーラビリティ
3.セキュリティの手法
SD-WANがVPNに代わる技術と言えるワケ
ここまで見てきた通り、SD-WANとVPNは似た技術だ。しかし、SD-WANの方が優れている部分が多いため、今後はVPNに取って代わると見られている。主な理由を整理すると以下の通りだ。
SD-WANは、複数種類のネットワーク接続を使って自動的に混雑状況を最適化するため、VPNよりもネットワーク性能の向上が見込める。また、中央集権的なネットワーク管理や柔軟な拡張性により、ネットワーク回線の拡張やトラブル対応の工数もVPNより抑えることが可能な上、高度なセキュリティ機能により、サイバー攻撃からの防御体制を強化できる。
SD-WANの主要ベンダー6社
SD-WAN市場は、競争が激しく多くのベンダーが独自のソリューションを提供している。ここでは、その中でも特に注目すべきベンダーを紹介しよう。
SD-WAN市場の主要ベンダーは、以下の通りだ。
Aryaka
Cisco Systems
Citrix
Fortinet
HPE/Aruba Networks
VMware
※
並びはABC順
次項では、主要なベンダーとそのSD-WANソリューションの特徴を紹介する。
SD-WANのベンダー・ツールの特徴
主要ベンダーと、各社のSD-WANソリューションの特徴は以下の通りだ。
■Aryaka
自社でグローバルネットワークを持っているベンダーで、SD-WANのマネージドサービスを提供する。大規模な初期投資なしで高品質なネットワークを享受できる点が大きな特徴だ。
■Cisco Systems
SD-WAN専業ベンダーであったViptela社を2017年にCisco社が買収した。幅広いネットワークソリューションを提供する大手ベンダーで、全方位のSD-WANソリューションを提供する。
■Citrix
自社の仮想デスクトップ基盤(VDI)との連携が強みのSD-WANソリューションを提供する。リモートワークや分散環境でも一貫したユーザーエクスペリエンスが大きな強みだ。
■Fortinet
自社のセキュリティアプライアンスと統合されたSD-WANソリューションを提供する。これにより、ネットワークの性能を向上させつつ、セキュリティも確保できる。
■HPE/Aruba Networks
WAN高速化ソリューションの分野で実績のあるSilverPeak社はSD-WANの製品も提供していたが、HPE社が2020年にSilverPeak社を買収し、現在は傘下のAruba Networks社の製品として販売している。
■VMware
SD-WAN専業ベンダーであったVeloCloud社を2017年にVMware社が買収した。幅広いポートフォリオとの連携が強みで、一貫したネットワーク体験と高度なセキュリティを提供する。
SD-WANの選定ポイント
SD-WANの特徴や主要ベンダーのソリューションの特徴を確認したところで、SD-WANの選定ポイントについて解説する。
SD-WAN製品を選ぶ際には、Open Networking User Group(ONUG)という団体が定義した10個の技術要件およびSD-WAN2.0での追加技術要件をどれだけ満たしているかをチェックすると良いだろう。
■SD-WANに求められる10個の技術要件
Ability for remote site/branch to leverage public and private WANs in an active-active fashion for business applications.(アクティブ・アクティブ構成でさまざまなWAN回線を制御可能)
Ability to deploy CPE in a physical or virtual form factor on commodity hardware.(コモディティHW上で仮想的にCPEを提供)
A secure hybrid WAN architecture that allows for dynamic traffic engineering capability across private and public WAN paths as specified by application policy, prevailing network WAN availability and/or degradation at transport or application layer performance.(アプリケーションなどのポリシーに基づき動的にトラフィック制御可能)
Visibility, prioritization and steering of business critical and real-time applications as per security and corporate governance and compliance policies.(セキュリティ・企業ガバナンス・コンプライアンスごとに個別のアプリに対して可視化・優先度付け・ステアリング〈インターネットブレークアウト〉が可能)
A highly available and resilient hybrid WAN environment for optimal client and application experience.(可用性・柔軟性の高いハイブリッドなWANを構成可能)
Layer 2 and 3 interoperability with directly connected switch and/or router.(スイッチ・ルーターと直接相互接続可能なL2/L3に対応)
Site, Application and VPN performance level dashboard reporting.(拠点、アプリケーション、VPN品質といったレベルでダッシュボードレポーティングが可能)
Open north-bound API for controller access and management, ability to forward specific log events to network event co-relation manager and/or Security Incident & Event Manager(SIEM).(オープンなノースバウンドAPIを持ち、コントローラーへのアクセス・制御が可能)
Capability to effect zero touch deployment at branch site with minimal to no configuration changes on directly connected infrastructure, ensuring agility in provisioning and deployment.(ゼロタッチプロビジョニングに対応)
FIPS 140-2 validation certification for cryptography modules/encryption with automated certificate life cycle management and reporting. (FIPS-140-2を取得している)
(出典:ONUG Software-Defined WAN Use Case )
■SD-WAN2.0での追加技術要件
Branch office direct access to SaaS and IaaS(支店からSaaSとIaaSへの直接アクセス)
Multi-cloud attachment to the SD-WAN fabric(SD-WANファブリックへのマルチクラウド接続)
Security for branch offices and the cloud(支店とクラウドのセキュリティ)
Integrated cloud APIs via SDWAN controllers(SD-WANコントローラー経由の統合されたクラウドAPI)
SDWAN client for end users(エンドユーザーのためのSD-WANクライアント)
上記のほか、ソリューションの選定ポイントとなる点を一覧にまとめたので参考にしてほしい。
選定ポイント チェック内容
パフォーマンス
どの程度のネットワーク最適化を提供できるか
セキュリティ
暗号化、IDS/IPS、ファイアウォール、マルウェア保護など自社に必要な機能が提供されているか
スケーラビリティ
新しい拠点を容易に追加できるような拡張性があるか
サポート
サポートの内容とレベルを確認
価格
導入コストおよび運用コストが予算内に収まるか
使いやすさ
実際に操作するネットワーク管理者にとって使いやすい画面か
クラウド対応
クラウドサービスとの連携がスムーズに行えるか
マルチキャリア対応
ネットワークの柔軟性と耐障害性を高められるか
ベンダーの評価
ベンダーの信頼性、導入実績を確認
SD-WANの導入までの「3ステップ」
SD-WANの導入プロセスは、3段階に分けられる。以下の通りだ。
自社が何の目的のためにどのようなクラウドサービスを使うのか、またオンプレミスシステムやデータセンターの将来像をどう考えているかなど、クラウド・コンピューティングの近未来像を明確にする。
そのクラウド・コンピューティングの近未来像のために必要なネットワークはどのようなものなのか、先述したSD-WANの全体像の図のようなイメージでデザインする。
そのデザインを実現するための要件を明確化にし、ソリューションを選定する。
SD-WAN導入時の注意点
SD-WANの導入は、大きなメリットをもたらすが、以下の点には注意しておきたい。
SD-WANは動的にネットワークを制御できる。このため、旧来のネットワークと新たなネットワーク(SD-WAN)を同時に稼働させ、新たなネットワークに切り替えた後にもし問題が発生しても、瞬時に旧来のネットワークに切り戻すことが可能だ。この点を配慮しながら、業務に支障が出ないようなSD-WANへの切り替えタイミングを見計らう必要がある。
また、動的なネットワーク変更やゼロタッチ・プロビジョニングといった迅速なネットワーク運用がSD-WANの特徴であるため、すべての運用・保守作業をネットワーク・インテグレーター(NIer)やSD-WANベンダーに依存していてはスピード感に欠けてしまう。そうした問題を避けるためにも、自社の担当範囲を検討すべきである。
SD-WANの事例:朝日新聞&東京海上日動
■朝日新聞社
朝日新聞社では動画といったデジタルコンテンツの拡充に注力するとともに、日常業務にクラウドサービスを積極的に導入した結果、ネットワークトラフィックが急増。インターネットへの出口を集約していた東京と大阪の本社にインターネットトラフィックが集中した。
これまでも、拠点間を結ぶ社内WANの構築など、ネットワーク増強に投資してきたが、その取り組みにも限界を迎えると見極め、SD-WANの導入に至った。
解決すべき課題は、本社に集中しているインターネットトラフィックを、他の拠点にも分散することだ。それに対し同社は、SD-WANによって、各拠点から直接インターネットに抜ける方法(インターネットブレークアウト)を選択した。
■東京海上日動火災保険
東京海上日動火災保険では、テレワーク対象者を全社員に拡大するといった働き方変革に積極的に取り組むとともに、ファットアプリケーションやクラウド利用などのデジタル化を推進。これらの取り組みに対応できるネットワーク整備を必要としていた。
こうした中、業務要件ごとに通信トラフィックが分離され、重要な業務を安定的かつ確実に稼働できるSD-WANを導入した。
数あるSD-WANソリューションの中でも、最大の決定要因となったのがセキュリティ対策。検討段階で、金融機関に必要なセキュリティ対応要件を能動的に示したことが選定に大きく影響したという。
まとめ
SD-WANの基本的な概念から、ビジネス上のメリットやVPNとの違い、主要ベンダーの比較、導入のステップを確認してきた。SD-WANは、複数の拠点間でのネットワーク接続を効率的に管理する強力なツールだ。SD-WANを導入することで、企業はネットワークのパフォーマンスを向上させ、管理の効率性を高めると同時に、コストを抑えることが可能となる。
また、SD-WANの導入を検討する際には、選定ポイントや導入プロセス、導入の際の注意点を理解することが不可欠だ。各ベンダーのSD-WANソリューションの特徴と利点を確認しつつ、最適なソリューションを選択したい。
SD-WANの選択と導入は、より効率的なネットワーク運用を実現し、ビジネスの拡大に対応するための重要なステップとなるだろう。SD-WANを活用し、ネットワーク環境を改善してより生産的で効率的なネットワーク運用の実現につなげてほしい。
評価する
いいね!でぜひ著者を応援してください
会員になると、いいね!でマイページに保存できます。
関連タグ
