社用PCでクラウドサービスを利用する場合、本社やデータセンターにあるインターネットゲートウエイを経由して接続する形が一般的だ。集約されたゲートウエイ環境を経由することで、ファイアウオールやWebフィルタリング、アンチウイルスといったセキュリティー機能を利用できる。これにより通信の安全性を高められるからだ。
一方、昨今は働き方が多様化しており、Web会議やファイル共有など、SaaSを中心としたクラウドサービスの利用が当たり前になった。これによりインターネット向け通信が増加し、ゲートウエイ環境の負荷が高まっている。また最近ではOSやアプリのアップデートに伴う通信も突発的に発生することにより、インターネットゲートウエイなどの設備のリソースがこれまで以上に逼迫している。その結果、「遅い」「つながらない」「アプリケーションの動作が重い」といった状況が、業務遅延の要因になっている。
そこで、この解決策として企業が検討しているのが「ローカルブレイクアウト」だ。
本社やデータセンターのゲートウエイ環境を経由させず、任意のクラウドサービスとの通信を拠点から直接インターネットへ接続(ブレイクアウト)する。Microsoft 365やGoogle Workspaceなどネットワーク負荷の高いクラウドサービスの通信をブレイクアウトさせることで、スムーズなアプリケーションの利用、業務効率化を推進できる。業務部門ユーザーのクレームも減るため、IT部門にとってもメリットが大きい方式といえるだろう。
しかし、ローカルブレイクアウトを実現・維持する上ではいくつかの課題がある。
【1】専用の機器・回線追加による運用負荷とコストの増大
既存ネットワークにローカルブレイクアウトを追加する場合、一般的には拠点ごとに専用ルーターやインターネット回線の新規導入が必要になる。機器や回線の管理対象が増えることで、設定変更や障害対応の際の管理者の運用負荷が高まりやすい。さらには機器費用や回線費用も継続的に発生してしまうこととなり、コスト増加が課題になる。
【2】 クラウドサービスの宛先情報への追従が手間に
ローカルブレイクアウト環境は一度構築して終わりではない。クラウドサービスの宛先情報は不定期に変更されるため、情報を随時チェックして設定を変更する必要がある。これが遅れると「昨日までは快適に繋がったのに、今日は遅い」といったクレームにつながる。いつ変わるか分からない情報を追いかけるのは、管理者にとって大きな負担になるだろう。加えて、既存ネットワークにプロキシがある場合は併せてPACファイルの運用も必要になる。PACファイルを修正するための手間や時間も、見過ごすことはできないだろう。
IIJは、これらの課題を解決し、運用負荷とコストのバランスを取りながらローカルブレイクアウトを実現する方法を提案している。それが、「IIJ Omnibus(オムニバス)サービス」というSD-WANを利用する方法だ。SD-WANはローカルブレイクアウトの実装手段として広く利用される方法である。IIJはSD-WAN市場で4年連続シェアNo.1※を獲得しており、ローカルブレイクアウト導入においても豊富な実績を持つ。
IIJ Omnibusサービスは、ローカルブレイクアウト通信とVPN通信を拠点あたり1台のルーターに集約する構成も可能なため、機器台数を抑制しつつ運用性の向上を実現可能だ(図1)。
図1 IIJのサービスを用いたローカルブレイクアウトのイメージ
IIJ Omnibusサービスを利用することで、ローカルブレイクアウトを容易に実現できる。クラウドサービスの宛先変更にも自動で追従できるため、導入後の運用負荷も低減できる
[画像のクリックで拡大表示]
また、Microsoft 365やWindows Update、Google Workspace、Zoomなどの主要なクラウドサービスの宛先情報をテンプレートとして提供し、変更があった際にも自動で追従する仕組みを備えている。そのため管理者が更新作業を行うことなくローカルブレイクアウト構成を維持することができる。テンプレートにない通信も独自に設定可能だ。
さらに、PACファイルの生成・配信機能もクラウド上で提供しており、物理サーバの構築・運用が不要となる。これらの機能を統合することで、プロキシ環境が存在する場合でもローカルブレイクアウトの運用を効率的に実現できる。
本サービスは、独自開発のルーター「SEIL(ザイル)」シリーズによって支えられている。クラウドベースでSD-WAN環境を提供するため、拠点に置く物理ルーターをクラウド側から遠隔で管理できる。従来のWANに比べ柔軟なネットワークの構築・運用が可能だ。事前にクラウド側で設定を行うことで、現地では結線のみでセットアップが完了する「ゼロタッチプロビジョニング」を実現する。
※出典:富士キメラ総研「2022~2025 コミュニケーション関連マーケティング調査総覧」 2021~2024年度の年度末時点のサービス利用CPE(顧客構内設備)累計台数ベース、売上金額(SD-WANサービスの利用料収入)ベース
加えて、SD-WAN環境全体の管理性も高められる。これを担うのが、ネットワーク運用を効率化するオンラインの管理ポータルだ。
ネットワーク構成や拠点ごとのトラフィック推移をグラフィカルに表示可能(図2)。各拠点のルーターの稼働状況を確認できるほか、pingをはじめ主要な運用コマンドの実行もGUIで完結。トラブルがあった際の原因特定にも役立てることができるだろう。
図2 通信状況を可視化するグラフ(イメージ)
拠点ごとのトラフィックの推移を過去30日分まで表示できる。横軸が時間、縦軸がトラフィック量の分布だ。普段と違う傾向があれば、そこからドリルダウンして原因調査も行える
[画像のクリックで拡大表示]
ルーターのファームウエアのバージョンアップ作業も管理ポータル上で行える。機器を常に最新の状態に維持することは、脆弱性対策の観点で不可欠だ。抜け漏れのないアップデートによって、セキュアな環境を実現できるだろう。なお、SEILシリーズを含むIIJ Omnibusサービスはマネージド型のサービスであり、トラブル時は統合窓口であるサポートセンターが対応してくれる。不安なく利用できる点も大きなメリットといえる。
このように、IIJの一連のサービスを活用することで、過剰な設備投資を抑えつつ、運用負荷とコストの両面に配慮したローカルブレイクアウト環境を構築できる。クラウド型のため、サービスは柔軟にスケール可能。クラウドサービスの利用がさらに拡大しても企業ネットワークの負荷増大を回避できるだろう。
なお、クラウド時代のセキュリティーにおいて、主流になりつつあるのが「SASE(Secure Access Service Edge)」だ。あらゆる通信・デバイスを信用せず、都度の認証・認可を行うゼロトラストの考え方を軸に、複数のセキュリティー機能を組み合わせる手法だが、そこでもSD-WANは重要な役割を果たす。IIJのサービスを利用することで、ローカルブレイクアウトはもちろん、SASE実現に向けた一歩を踏み出すことが可能だ。
運用負荷とコストのバランスを取りながら、SD-WAN/ローカルブレイクアウトの仕組みを実現し、さらにその先のSASEまでを見据える――。これからの企業ネットワークを検討する上で、IIJの提案は重要な示唆を与えてくれるものといえるだろう。
