SD-WAN導入徹底ガイド 導入のメリット、移行の注意点

テレワークシフトで注目されるSD-WAN。ソリューションの概要やメリット、導入の注意点などを解説する。

[酒井洋和，てんとまる社]

　働き方が大きく変化するなか、閉域網を中心としたWAN環境から、クラウドサービスの利用促進に向けてインターネット網を積極的に活用する企業が増えてきた。そこで注目されているソリューションがSD-WAN（Software Defined WAN）だ。

　SD-WANは、ソフトウェアによる制御によって広域ネットワークであるWANの柔軟な管理、運用を可能にする通信機器を含めたソリューションだ。拠点に設置されたルーターをSD-WAN対応のルーターに置き換え、集中管理可能なソフトウェアで通信経路を制御する。

　本稿では、SD-WANの概要や注目されるようになった背景、導入のメリット、導入時の注意点などを解説する。

クラウド利用の加速で注目されるSD-WAN

　もともとSD-WANは、海外においては高額なMPSL網からインターネット網へ効率的に切り替えることで、コスト削減を図るための手段として登場してきた背景があり、海外に比べて安価なMPSL網が利用できる日本では広く普及しなかった。しかし、昨今ではコロナ禍の影響でテレワークシフトが進み、SaaSを中心としたクラウドアプリケーションが広く普及している。そこで、通信の中身を判断して拠点からの通信を閉域網とインターネット網とで自動的に切り替え、トラフィックの最適化を図る手段としてSD-WANが注目されている。

　また、昨今ではゼロトラストセキュリティを整備するSASE（Secure Access Service Edge）におけるコンポーネントの一つとしてもSD-WANが位置付けられるなど、セキュリティ領域においても注目されている。SASEは、プロキシ機能やフィルタリング機能を提供するSWG（Secure Web Gateway）をはじめ、クラウドサービスにおける利用状況の可視化や制御を行うCASB（Cloud Access Security Broker）、SWGと併せて利用することで社内ネットワークへのアクセスも制御できるZTNA（Zero Trust Network Access）など、コンポーネントとしての各種セキュリティ機能が高度に統合されている。これらを組み合わせたSSE（Security Service Edge）と連携してSASEを形成するのがSD-WANの役割だ。

SD-WANとは何なのか？

　ここで、SD-WANとはどのようなソリューションなのか、改めて振り返っておきたい。SD-WANは、オーケストレータと呼ばれる集中管理の仕組みを活用し、各拠点に設置されたSD-WAN対応のルーターを制御する仕組みだ。そして、オーケストレータの管理画面にて拠点のSD-WAN対応ルーターを設定し、IPsecによるオフィス間VPNを構成することで、通信種別や回線状況を踏まえてインターネット網や閉域網など通信経路を選択できるようになる。

　また、従来のIPアドレスをベースにしたルーティングテーブルによるパケット転送ではなく、送信元アドレスやプロトコル、回線の使用状況などさまざまな条件をもとにパケットを転送するPBR（ポリシーベースルーティング）機能が強化されたソリューションだ。

図1　SD-WANのイメージ（出典：HPE Aruba Networking提供資料）

乱立するSD-WAN、できることは全然違う？

　SD-WANは、拠点に設置されたルーターを使いやすいソフトウェアで集中管理、制御できる仕組みの総称だ。ソリューションによって管理、統制の範囲が大きく異なるため、製品の選定が難しい。

　実際にSD-WANと呼ばれているソリューションを見ると、幾つかのカテゴリーに分けることができる。事前に設定された内容に応じてインターネット網と閉域網にパケットを振り分けるローカルブレークアウト機能を持ったものから、インターネットVPNを中心に企業WANをシンプルに構成できるもの、クラウドセキュリティ連携やWAN高速化も含めて複雑な企業ネットワークのニーズに対応できるもの、バックボーン提供も含めた環境整備が可能なものまで、多種多様だ。

図2　SD-WANソリューションの種類（出典：HPE Aruba Networking提供資料）

　一口にSD-WANといってもソリューションによって提供する機能はさまざまだ。ニーズや将来像も加味しながら選択する必要がある。

　なお、多くの企業では、SaaSをはじめとしたクラウドアプリケーションの利用が急増していることから、データセンター経由でインターネット網へアクセスする従来のネットワーク構成から、Web会議サービスなど特定のクラウドアプリケーションだけは拠点から直接インターネットにアクセスできるローカルブレークアウトの仕組みを検討している。シンプルにローカルブレークアウトだけを望むのであれば、どのカテゴリーのソリューションでも実現可能だ。

　ただし、コロナ禍で起きたテレワークシフトのように、働き方が再び大きく変わる可能性も十分考えられる。変化に強いネットワークを整備するためには、単にローカルブレークアウトだけでSD-WANを選択して良いのか、よく考えておきたい。

SD-WAN導入のメリット

　SD-WANを企業が導入した場合、どのようなメリットが得られるのか。ここではHPE Aruba Networkingが提供するSD-WANソリューションの導入を想定し、そのメリットを考察したい。

変化に強いネットワークが構築できる

　従来のように機器ごとに設定が必要だったネットワーク環境では、環境が変化するたびにネットワーク構成を再検討し、機器の設定からテスト、実装までに時間を要してしまい、柔軟性が低かった。

　しかし、集中管理されたソフトウェアでルーターを制御できるSD-WANであれば、企業買収など経営環境の変化や拠点の追加や縮退、利用するSaaSの追加、セキュリティ強化など、環境変化に応じて柔軟にネットワークを制御できる。結果として、ネットワーク管理者の負担軽減にもつながるなど、大きなメリットが得られるはずだ。

SWGへのパケット振り分けなど安全なインターネットアクセスの提供

　SWGをはじめとしたクラウドのセキュアな環境へパケットを振り分けるSASEの整備が可能になる点も大きなメリットだ。SD-WANによって、拠点からのインターネットアクセスを全てローカルブレークアウトすることも可能だが、当然セキュリティリスクを伴う。

　そこで、「Microsoft Teams」や「Zoom」といったWeb会議サービスや「Box」などのストレージサービスといったクラウドアプリケーションは直接接続させ、それ以外のインターネット通信は「Zscaler」などのSWGへパケットを振り向けることで、クラウドでのセキュアな環境を維持する仕組みをSD-WANで容易に構築できる。企業によっては、Oktaのような認証をつかさどるIDaaSへ全てのパケットを振り分けることで、クラウドアプリケーションの安全な利用を実現しているケースもある。いずれにせよ、ポリシーに応じてパケットを柔軟に振り分けられるメリットは大きい。

図3　SD-WANによるアクセス経路の使い分けのイメージ（出典：HPE Aruba Networking提供資料）

インターネット回線を束ねることで安価かつ迅速に帯域増強

　　複数の回線を束ねるボンディング機能を活用し、安価ながら迅速に回線の広帯域化を実現できるソリューションもある。従来は、拠点側で帯域が逼迫（ひっぱく）した際は、開通までに時間のかかる高価な専用線を増強する必要があった。SD-WANを利用すれば、安価なインターネット回線を含めた複数のWAN回線を束ねることで広帯域化できるようになり、柔軟なネットワーク環境を実現できる。

　海外拠点との通信が増えた場合でも、国際回線の手配には数カ月を要するケースもあるが、インターネット回線を複数用意し、それらをボンディングすることで、短期間で回線逼迫の課題を解決できる。

図4　ボンディング機能のイメージ（出典：HPE Aruba Networking提供資料）

　単に帯域を広げるだけでなく、回線の使い分けについても工夫できる。例えば、回線の冗長化として同じパケットを2つの回線に流したり、パケット単位で残帯域が大きい回線に切り分けることでシンプルな広帯域化を図ったりといった使い方まで、企業のニーズに応じて柔軟な回線の使い分けが可能だ。

詳細なセグメンテーションでワームのラテラルムーブメントを防ぐ

　最近では、自己増殖型のワームをはじめとした高度なマルウェアによってイントラネットで感染を広げるラテラルムーブメントがセキュリティ課題になっている。SD-WANが持つファイアウォール機能を活用することで通信のセグメンテーションを行い、必要な通信のみを許可するなどセキュアな環境づくりに大きく役立つこともメリットの一つだ。SD-WAN対応ルーターにはパケットの内容を動的に判断して通信の可否を判断するステートフルファイアウォールの機能が備わっており、設置された拠点の入口で許可されていないパケットを遮断できる。

　また、ゾーンベースファイアウォールと呼ばれる機能を持ち、詳細なポリシーに基づいて、特定のゾーンに対して本来あるべき通信以外のものを通さないといった設定も可能だ。オフィスというゾーンを設定した場合、そのゾーンにはWeb会議のパケットしか許容しないと設定しておけば、それ以外の通信を全て遮断するといった、詳細なセグメンテーションが可能になる。さらに、認証情報を基にした通信制限も可能で、デバイスの種別ごとにセグメンテーションを行える。

図5　デバイス種別ごとのセグメンテーションのイメージ（出典：HPE Aruba Networking提供資料）

SD-WANソリューションの例とその機能

　Hewlett Packard Enterprise（HPE）のネットワーク部門として、無線LANを中心にネットワーク関連ソリューションを幅広く提供しているHPE Aruba Networkingでは、大きく分けて3つのSD-WANソリューションを提供している。ホームオフィスやスモールオフィスなど小規模向けに提供している「EdgeConnect Microbranch」、有線無線ネットワークを統語的に管理可能な環境で利用する「Aruba EdgeConnect SD-WAN」、そして豊富かつ高度な機能を持つ旧Silver Peakのソリューションとなる「EdgeConnect Enterprise」だ。

　なお、EdgeConnect MicrobranchおよびAruba EdgeConnect SD-WANは、無線APや有線スイッチも一元管理できるクラウド管理ソリューション「HPE Aruba Networking Central」で、EdgeConnect Enterpriseはオーケストレータで管理することになる。現状は死活状態が把握できる程度だが、今後相互運用が可能な環境への移行が計画されている。

フローの可視化

　拠点などの通信経路上に設置してパケットを振り分けるSD-WANでは、通信の利用状況を可視化する機能が備わっている。可視化のレベルはソリューションによって異なり、単に統計情報を中心に可視化できるものもあれば、「誰がいつどのような通信を誰に対して行っているのか」の詳細なフロー情報が可視化できるものもある。EdgeConnect Enterpriseでは、詳細なフロー情報をリアルタイムに可視化でき、現場からの問い合わせやトラブルシューティングでは、現地に行かずに拠点の状況を把握できる。

図6　フロー可視化のイメージ（出典：HPE Aruba Networking提供資料）

SSEとの連携

　ゼロトラストを整備するためにSASEのコンポーネントの一つとして位置付けられているSD-WANだけに、統合的なクラウドセキュリティとしてのSSEとの連携は欠かせない。ソリューションによって連携のしやすさは異なるが、EdgeConnect EnterpriseではZscalerなど複数のクラウドセキュリティソリューションとAPIで連携させ、PoP（Point of Presence）に対して最適な経路を選択し、自動的にトンネルを設けることで安全に通信できるようにすることが可能だ。

WAN最適化やキャッシュによる高速化

　EdgeConnect Enterpriseでは、WAN最適化・高速化の機能をオプションで提供しており、TCPの遅延緩和だけでなく、ペイロード圧縮やキャッシュによる通信量削減機能を提供する。キャッシュ機能を使えば、WSUS（Windows Server Update Services）による更新プログラムを拠点側のSD-WAN側にキャッシュできるようになり、回線の細い拠点に対して更新プログラムを適用したい場合に役立つだろう。

SD-WAN導入の注意点

統計情報だけじゃ物足りない？　しっかり可視化できるものを選びたい

　拠点にSD-WAN対応ルーターを設置してSD-WANを構築、運用する場合、何かあれば遠隔で状況を把握し、対処する必要がある。本部から各拠点の詳細なフロー情報を可視化できていたほうが、迅速なトラブルシューティングにつながる。ポリシーを設定することである程度“好き勝手”にアクセスを制御できるため、運用も複雑になりがちだ。できるだけ詳細に可視化できるものを選択したい。

移行計画は綿密に

　SD-WAN環境を整備するためには、従来型のルーターを入れ替えて各拠点のポリシーを再設計する必要があるが、移行のためとはいえ、業務で利用するネットワークを簡単に止めるわけにはいかない。そのため、移行計画はしっかり立てておく必要がある。拠点が多いほど移行に必要な期間も長くなり、移行までに半年〜1年ほどかかるケースは少なくない。ソフトウェアで柔軟なネットワーク構成を組めるSD-WANだけに、簡単に実装できるという提案をよく見かけるものの、移行が重労働になる可能性もあるため、移行計画も選定ポイントに含めて考える必要がある。

　なお、移行中は既存のルーターとSD-WAN対応ルーターを混在させて運用することになるが、暗号化されていない既存のパケットと暗号化によるトンネル双方にSD-WAN対応ルーターが対応しているほうが、移行はシンプルになる。もし双方扱えないSD-WAN対応ルーターの場合、SD-WANの世界と従来型のルーターの橋渡しをするポイントをデータセンターなどに構築するといった手間も必要になるため、移行時にはそれなりの苦労を強いられることになるだろう。

PoCで発覚　まさかの運用にご注意

　ソフトウェアで制御するSD-WANは、設定次第で複雑かつ高度なネットワーク運用が可能だが、PoC（概念検証）で動作をしっかり確認したい。特に、複数の機能を同時に利用して問題なく動作するかどうかはきちんと確認しよう。

　またPoCのタイミングで、きちんと運用していけるのか確認しておくべきだ。ソリューションによっては年に1回強制的にバージョンアップが求められたり、設定変更のたびにリブートが強要されたりするものもあり、運用にまさかの対応を迫られることもある。安定して稼働しているネットワーク製品を簡単にバージョンアップすることはまれで、リブートもそう頻繁に行うものでもない。ネットワーク機器ベンダーが提供するSD-WANはよくネットワーク運用の現実を理解しているものの、シンプルなソフトウェアに強みを持つSD-WANの場合、ネットワークの現場をよく理解していないケースもあることに注意したい。自社での運用がきちんと成り立つのか、PoCで確認しておこう。