SD-WANについて、基本概念に始まり、注目を集めている背景や導入のメリットや課題などを、事例を交えながら解説していく本連載。最終回となる今回は、SD-WAN導入事例をもとに、SD-WANメリットが得ることが可能なユーザー像を明らかにするとともに、SD-WAN導入におけるセキュリティの考え方を整理する。
製造業A社の場合
顧客A社
業種 : 製造業
拠点数 : 30拠点
既存WAN回線 : MPLS
既存インターネット接続 : DC集約型
移行理由1 : Office365利用によるローカルブレイクアウト
移行理由2 : AWS利用に伴うVPC-オンプレ間のVPN
移行理由3 : 追加20拠点の即時運用開始
A社の場合、拠点増加に伴う新規投資の一環としてSD-WANが導入されている。SD-WANに移行した理由は複数あるが、インターネットへの接続形態をローカルブレイクアウトへ移行することを決めたことがSD-WAN導入の最も大きな動機となっている。
Office365利用に伴うMPLS回線の逼迫という課題の解決を、MPLS帯域の増加に求めなかったところが、そのほかの課題にもSD-WANを積極活用することにつながっている。
これはヨーロッパの事例だが、MPLS帯域の増加に伴うコストの大きさが、ローカルブレイクアウトへの移行を促していると言える。日本国内ではこのMPLSコストが欧米よりも低いと言われており、この点はSD-WAN普及の障壁になりうる。
小売流通業B社の場合
顧客B社
業種 : 小売流通業
拠点数 : 4000拠点
既存WAN回線 : 20センター拠点間はMPLS、各店舗からセンターはインターネットVPN
既存インターネット接続 : ローカルブレイクアウト
移行理由1 : 運用コストの削減
移行理由2 : 新規店舗の即時運用開始
B社の場合、クラウド利用がSD-WAN利用の契機となっていない。WANの構成も大きく変えたわけではない。しかし、頻繁に繰り返される店舗の出店と閉店に対応しながら、WANの運用を行うことに多くの手間を割いており、この課題を解決する必要があった。
新規出店の際は、ゼロタッチでの導入というSD-WANの特徴が生かしやすく、すべての機器の統合管理によって大きく運用コストを削減できる。インターネット回線の敷設が間に合わない場合は、LTE回線も活用して出店時のIT運用開始を速めている。
店舗、建築工事現場、イベント会場など、短期間で移行して多拠点となる環境へのSD-WAN導入は典型的な事例の1つである。これはアメリカの事例だが、日本では運用コスト試算の難しさと既設VPN国産ルータの価格の低さが、SD-WAN導入の障壁となりうる。
製造業C社の場合
顧客C社
業種 : 製造業
拠点数 : 世界400拠点, 4つのデータセンター
既存WAN回線 : MPLS(複数キャリア)
既存インターネット接続 : DC集約型
移行理由1 : MPLSコスト削減
移行理由2 : SaaS利用によるローカルブレイクアウト
移行理由3 : AWS利用に伴うVPC-オンプレ間のVPN
C社の場合、MPLSコストの削減が最も大きな動機である。複数のMPLSキャリアと契約キャリアによるロックからは脱しており、コストは既に抑えているが、SaaSとIaaSのトラフィック増加に伴いローカルブレイクアウトの導入を決めた。
今まではデータセンタのセキュリティゲートウェイ経由してインターネットアクセスを行っていたが、SD-WANのセキュリティに対する懸念はクラウドセキュリティサービスとの契約により解決している。インターネットVPNの活用により、MPLSの契約帯域を減らすことができ、コスト削減を実現できた。もともと、複数キャリアを使うほどMPLSコストに対して意識の高い企業であったことが、早期のSD-WAN導入につながったと考えられる。
日本では、日本語によるサポートを考えればキャリアの選択肢が少なく、それがキャリアロックを作り出し、コスト面での不利益が生じているケースも多い。日本のMPLSキャリアによる国外での接続は、かなり高額になるため、MPLSコスト削減というこのSD-WAN事例は日本おいても今後十分に当てはまるだろう。
以上が、当社でSD-WANを導入した事例となる。どのようなユーザーがSD-WANを必要とするかについて、ヒントになれば幸いである。
SD-WAN導入におけるセキュリティの考え方
最後に、SD-WAN導入において必ず大きな課題となるセキュリティについて触れておきたい。
インターネットVPNを構築済みであっても、拠点からのローカルブレイクアウトを許している企業の数は多くない。それは、インターネットにアクセスする境界を堅いセキュリティで守っていくことが、今までのセキュリティの考え方だったからだ。また、インターネットとの境界を中央集権型のデータセンターに設置されたセキュリティゲートウェイで守っていた。
しかし、SD-WANはその製品思想からして、この従来のセキュリティポリシーと相反する。近頃はSD-WANでのセキュリティを確保すべく、インターネット上のセキュリティサービスとの連携が目立っている。多くのSD-WAN機器は、導入のシンプルさを標榜する製品の思想上、あまりセキュリティを重視した設計にはなっておらず、SD-WAN機器単独でセキュリティを強化していくには限界があるからだ。
SaaS型セキュリティゲートウェイやCASB(Cloud Access Security Broker)と呼ばれるインターネット上で提供するセキュリティサービスは、分散したユーザーを分散したワークロードに安全につなぐ、という思想になっている。そのため、SD-WANとの親和性が極めて高く、今後SD-WANの導入にはクラウド系セキュリティサービスの導入が必須となっていく可能性がある。
これで連載は終了となるが、2018年前半の現在、SD-WANはまだまだ始まったばかりであり、その技術も市場も未成熟だ。それでも極めて魅力的なソリューションであることは確かであり、今までキャリアが中心であったWANを取り巻くビジネス構造さえも変えていく可能性を持っている。
ネットワークの専門知識がないユーザーがWANを自ら運用する――今まではできなかったことをSD-WANは可能にできるかもしれない。SD-WANの未来を願いつつ、本稿がSD-WANについて考える読者の助けになれば幸いである。
著者プロフィール
草薙 伸(くさなぎ しん)
リバーベッドテクノロジー株式会社 技術本部長。リバーベッド日本法人の技術本部長として、製品・技術開発、および日本市場への導入全般に責務を持ち、セールスエンジニアを統括している。またアプリケーション性能に貢献するリバーベッドソリューション普及のための啓蒙活動も行っている。