コロナ禍以降、企業ネットワークは2つの変化が急速に進んだ。「テレワークの普及」と「SaaSの利用拡大」である。これにより、つながる端末やサービスが社外に広がり、守るべきネットワークは社内WANだけではなくなった。

それ以上に大きなインパクトをもたらしているのが、トラフィックの集中だ。企業ネットワークの多くは、データセンターや本社などを中心としたセンター集約型ネットワークで構成されている。社外からSaaSを利用する場合も、一旦、社内WANを経由する。ファイアウオールやWebフィルタリングなどのセキュリティー機能に加え、ログ収集や監査を行う企業ネットワークを経由することで、セキュアな通信が可能になるからだ。「2つの変化によって、企業ネットワークを経由するインターネットトラフィックが爆発的に増大しているのです」とIIJの福本 翔氏は指摘する。

コロナ禍を経て、リモートワークは減少傾向にある。オフィス回帰が進んでいるが、「脱レガシー」や「脱オンプレミス」の流れの中でクラウドシフトは加速している。「こうしたことから、クラウドの利用はコロナ禍以降も増加の一途を辿っています」と福本氏は続ける。

なかでも顕著なのが、デジタルコミュニケーションを支えるサービスの拡大だ（図1）。情報共有基盤のクラウドストレージ、Web会議系通信などが代表格だ。これらのサービスなどによるトラフィック増大が企業ネットワークのふくそうによる通信遅延を引き起こしていた。

図1　インターネットトラフィック増加の背景

SaaSの中でもオンラインストレージやWeb会議といったデジタルコミュニケーション系のサービスはトラフィックが大きい。SaaSアプリのアップデートも頻度やデータ量が多く、トラフィック量の予測がつかない

近年はここに新たな要素も加わった。生成AIをはじめとするAI技術の利用拡大である。「トラフィックが増大しているだけでなく、その予測がつかないことも大きな問題です」と福本氏は説く。アプリの通信だけでなく、予期せぬアップデートなどもあるからだ。

いつ、誰が、どんな使い方をするかだけでなく、サービス事業者が実施するアップデートのスケジュールや規模も事前に把握することは難しい。キャパシティを超えるようなトラフィックが突然発生する可能性があるわけだ。

それがWANやインターネットゲートウエイなどの設備リソースを圧迫すると、企業ネットワークのふくそうや遅延を引き起こす。「これによってアプリケーションの動作が重くなったり、システムへのアクセスやレスポンスが遅くなったりすれば、業務に大きな影響を及ぼします」と福本氏は警鐘を鳴らす。

デジタル化を背景とする大きな変化は、トラフィック量の不確実性を高めた。企業ネットワークはこの変化に対応した柔軟性を備えることが求められる。

課題解決の手立てとして、様々な技術・サービスが提唱されている。その1つが「SASE（Secure Access Service Edge）」だ。個々のセキュリティーやネットワーク機能をクラウド上からトータルで提供する。「これによって企業のセキュリティーやネットワーク全体をクラウドベースで再構築することが可能です。クラウド前提の通信になるため、インターネットトラフィックの増大にも柔軟に対応できます」と福本氏は説明する。

ただし、拠点から発行される全通信は1つの接続POPに集約される。福本氏は「SaaSの利用増加などで通信量が増えると、通信コストが大幅に増加する可能性があります」と指摘する。

そこで注目されているのが「ローカルブレイクアウト」である。自社のインターネットゲートウエイなどのネットワーク環境を経由せず、企業が許可した特定のクラウドサービスへの通信を直接インターネットへ脱出（ブレイクアウト）させる負荷分散手法だ。「通信量の多い特定のSaaSサービス宛通信を直接インターネットへ抜けるようにすることで、企業ネットワークの負荷を軽減できます」と福本氏は述べる。

ローカルブレイクアウトを実現する方法は大きく3つある。「SSE（Security Service Edge）型」「SD-WAN型」「ゲートウエイ型」だ。

まずSSE型は端末から直接ブレイクアウトさせる手法だ。セキュアWebゲートウエイなどSASEのセキュリティー機能を利用して実現する。

次にSD-WAN型はWAN回線の経路や帯域をソフトウエアで制御可能なSD-WANを構築し、拠点から特定通信を分離させる。

最後のゲートウエイ型は一般Web通信と特定クラウド通信をインターネットゲートウエイで分離させる方法。インターネットトラフィックはインターネットゲートウエイを経由することで通信経路を統一させ、ここでログも集中管理する。

このように一口にブレイクアウトといっても、3つの手法はそれぞれで方法が異なり、考慮点もある。どこで、何の通信を、どこに振り分けたいか。用途やトラフィック特性に応じたブレイクアウト設計を考えることが肝要だ。

IaaSを利用している場合は特に注意が必要となる。IaaSへの接続はプライベートIP環境をベースにした閉域接続が一般的だからだ。「そのためSaaSやPaaSとは別に、IaaSへのローカルブレイクアウト時に閉域接続できる環境が必要です。インターネット環境と閉域環境での二重利用になるため、コストや運用面の負担が大きくなります」と福本氏は語る。

トラフィックの不確実性に対応した、セキュアかつ柔軟な企業ネットワークをいかに実現するか。このためにIIJでは、多様なネットワークサービス、セキュリティーサービス、運用支援サービスを組み合わせ、AI／クラウド時代に最適な「オーバーレイネットワーク」の実現を支援している（図2）。

図2　オーバーレイネットワークの実現例

社内／社外を問わず、セキュアで快適な通信を実現する。必要に応じて柔軟なローカルブレイクアウトも可能だ。集中管理と負荷分散を使い分け、コストパフォーマンスも最適化する

具体的にはデータセンターとお客様拠点をIIJのWANサービスでつなぎ、SASEに必要な機能を実装したセキュアなクラウド基盤でトラフィックを制御する。IaaS環境とはクラウド基盤から直接低遅延で安定した閉域接続が可能だ。SaaSやPaaSはクラウドゲートウエイを経由するセキュアなインターネット接続によって安全に利用できる。

大量トラフィックが発生するSaaSなどを利用する場合は、拠点や社外からのローカルブレイクアウトにも対応する。「ブレイクアウトさせたいサービスをあらかじめ定義しておくことで、企業ネットワークへのトラフィック集中を軽減し、ふくそうや遅延による業務への影響を未然に防げます。社外からのリモートアクセス時は強制VPNを張ることで、必ずクラウドゲートウエイを通るようにできますので、場所を選ばずセキュリティーの統制も担保できます」と福本氏はメリットを述べる。

IIJは日本で初めて商用インターネットサービスを開始したISP事業者。その技術力とノウハウを生かし、今後もトラフィック増加にも対応できるセキュアで柔軟性の高い企業ネットワークの実現をトータルに支援していく考えだ。