ここから本文です

SD-WANを、無理やり「定義」するとどうなるか

@IT 8月3日(水)6時10分配信

 今、ネットワークの世界で、潜在的に多くの企業や組織に影響を与え得る、もっとも興味深い動きと言えるのが「SD-WAN」だ。多数のスタートアップ企業が生まれている他、既存ネットワーク製品ベンダーの間でも、これに対応する動きが広がっている。また、通信事業者が、「SD-WANサービス」を提供開始する例が見られる。

 「SD-WAN」は「Software Defined WAN」の略、つまりこれは「Software Defined Networking (SDN)」から生み出された言葉だ。そう聞くと、「なぜSD-WANなどという新しい言葉が必要なのか、SDNでいいではないか」と不思議に思う人がいるはずだ。SDNの適用分野は、データセンター、LAN、そしてWANだ。「SD-WAN」などという言葉を作らずに、「WANにおけるSDN適用」と言えば十分なのではないかという意見が出てくるのは当然と言える。

 また、SD-WANは特定の技術を前提としたものではなく、厳密な定義が困難だ。「そんな言葉を、ベンダーが使うのは勝手だが、単なるマーケティング手法であり、ユーザーにとっては意味がない」と考える人もいるだろう。

 だが、「SD-WAN」という言葉は、ベンダーだけでなく、ユーザーである一般企業にとっても意味がある。これを説明するには、SD-WANの厳密な定義よりも、製品・サービスに共通なテーマ、すなわち「どのような課題を解決しようとしているか」を理解していただく必要がある。

●あえて、「SD-WAN」とは何か

 SD-WANの製品やサービスはバラエティに富んでおり、しかも動的に変化している。これを踏まえて、あえてSD-WAN製品・サービスを一括りで表現し、「定義」に近いものとして提示するとすれば、「企業WANの『仮想化』『抽象化』により、通信サービスの個別利用や、特定通信関連技術の利用に関わる制約から解放し、ビジネス視点で柔軟に運用する手助けを目指す製品・サービス」ということになる。

 「目指す」という言葉を使っている時点で、この表現が曖昧であることは十分に承知している。上記では、例えば次のような製品・サービスがSD-WANに含まれないことを示そうとしている。

○特定通信サービスを対象としたSDN的機能

 例えばNTTコミュニケーションズは、「Arcstar Universal One」で「フレキシブルイーサオプション」を提供している。これはユーザー組織がサービスポータルを通じ、オンデマンドで速度変更を実施できるサービス。SDN的であり、ユーザー組織にとってのメリットも明確だ。

 だが、これを「SD-WAN的機能」と形容するのは適切でない。個別の通信サービスの魅力を高める機能にとどまるからだ。SD-WANが目指しているのは、個別の通信サービスを使いやすくすることではない。特定通信サービスから独立して、(場合によっては)複数のプライベート/パブリック通信サービスを併用し、これらを抽象化して、あたかも均一なサービスであるかのように見せることだ。これに基づいて、ユーザー組織が仮想的に自社WANをビジネス視点で運用・展開できるようにすることにある。

○IPsec VPN機能を備えたルータ

 IPsec VPNは、多くの企業で当たり前のように利用されている。これは、パブリックな通信サービス上で、トンネリングプロトコルとしてIPsecを使い、仮想的にプライベートネットワークを構築・運用する技術だ。そこで、「企業WANの仮想化といっても、VPNルータがすでに実現しているではないか。だからSD-WANなどという言葉はいらないではないか」という議論もあり得る。しかも実際、多くのSD-WAN製品は、パブリックWANサービス上で仮想的にプライベートネットワークを構築するために、IPsecを使っている。

 だが、SD-WAN製品のIPsecの使い方は、従来型のVPNルータのIPsec接続機能とは異なる。これには、複数の説明の仕方がある。

 1つは、「SD-WANにとって、トンネリングプロトコルがIPsecでなくとも構わない」ということだ。IPsecは企業のWAN接続で広範に使われており、親しみを持っているネットワーク運用担当者が多い。そこで、新しいトンネリングプロトコルを持ち込むよりも、IPsecを使った方が、ユーザー組織には受け入れてもらいやすい。だから、IPsecを採用しているSD-WAN製品が多い。だが、SD-WAN製品にとって、IPsecはトンネリングプロトコルの1つでしかない。今後、IPsecを使うSD-WAN製品の中に、接続先や用途に応じて他のトンネリングプロトコルを併用できるようにするものが出てきたとしても不思議ではない。

 2つ目の説明の仕方は、「SD-WAN製品では、IPsecの技術的な構成・運用をユーザー組織が考えなくて済むようにしている」ということだ。IPsecによるVPN構築および運用は、その鍵交換の仕組みと、そもそもルータ1台単位で設定をしていかなければならない点から、複雑で面倒なものとなっている。これではビジネス視点で柔軟にWANを運用できない。SD-WANでは、機器(CPE)を遠隔拠点に導入する場合、遠隔拠点側では機器をネットワークケーブルに接続し、起動すると、ユーザー組織が望むWAN構成に基づく設定が、自動的にこの機器に送り込まれるようにしている(「ゼロタッチ・プロビジョニング」などと呼ばれる機能)。その一環として、鍵交換、鍵更新も自動化されている。こうして、IPsecの構築・運用にかかわる技術的な作業を不要とし、「拠点間をどのようにつなぎたいか」だけを考えればいいようにしている。

 上述の、SD-WANの「定義」では、「企業WANの『仮想化』『抽象化』により、通信サービスの個別利用や、特定通信関連技術の利用に関わる制約から解放し、ビジネス視点で柔軟に運用する手助けを目指す製品・サービス」と表現した。

 詳しくは後で述べるが、「通信サービスの個別利用や、特定通信関連技術の利用に関わる制約から解放し」という部分を分かりやすく言い換えれば、多くのSD-WAN製品は、一方で通信事業者のプライベートWANサービス(専用線、MPLS、広域イーサネットなど)、他方で既存のVPNルータと競合する。

 ただし、SD-WANにとって、個別の物理的接続サービスやトンネリングプロトコルはあくまでもツールだ。ユーザー組織がこれらを取捨選択あるいは併用し、自社のWANを自社のビジネスニーズに沿って、「抽象化された形で」「統合的に」運用できることを目指すのがSD-WANだ。

●SD-WANの主要なユースケース

 どこにでも、ビジネスニーズに応じて、技術的なことを考えずに社内ネットワークを仮想的に延伸できるなら、それに越したことはない。だが、ユーザー組織が既存のWANを新しい仕組みに移行する決断をするには、もっと具体的なメリットが必要だ。

 以下では、「SD-WANの主要なユースケース」として、3つのメリットを紹介する。全てのSD-WAN製品が、これらに一様に対応しているわけではないことは、ご注意いただきたい。

○ハイブリッドWANによる専用線利用コストの低減

 SD-WAN製品で、最も注目されてきたのは「ハイブリッドWAN」機能だ。これによって、専用線をはじめとするプライベートWANサービスの利用料金を、積極的に減らせる可能性が生まれる。

 これまでの「WAN最適化」製品では、専用線などの高価な通信サービスを通るトラフィックのデータ圧縮、キャッシング、送信処理効率化などを通じて、アプリケーション単位のQoS確保や帯域幅の有効利用を図っていた。SD-WANでは、アプローチを変えて、「企業向けIP接続サービスなどのパブリックWANサービスに、相対的な重要度の低いアプリケーションのトラフィックを積極的に逃がす」手段を提供している。

 具体的には、企業の各拠点に専用のネットワーク機器(あるいは仮想マシン)を置き、遠隔拠点と本社(あるいは企業データセンター)間の通信を、アプリケーションに応じて振り分ける機能を提供(振り分けの粒度などについては、製品間で違いがある)。これによって、例えば重要な社内業務アプリケーションへのアクセスはプライベートWANサービスを通すが、各拠点から社内ファイルサーバやクラウドサービスへのアクセスは、パブリックWANサービスを通すといったことができる。この仕組みを導入することにより、ユーザー組織は自社におけるプライベートWANサービスの利用状況を確認しながら、契約帯域幅を絞ることができる。これがSD-WANのハイブリッドWAN機能だ。

 SD-WANベンダーの中には、本社と拠点の接続で、プライベートWANサービスの利用をやめ、複数ネットワーク事業者のパブリックWANサービス併用に移行し、これらの間で負荷分散をすることで、「可用性およびパフォーマンス面でのリスクを減らしながら、専用線に依存する従来のやり方よりもコストを減らせる」という提案をするところもある。

 プライベートWANサービスを主な収益源としている通信事業者にとって、SD-WANのハイブリッドWAN機能は、実質的に大きな脅威となっている。このため対抗策として、逆にSD-WAN製品を活用し、回線サービス利用構成について、ユーザー組織にある程度の柔軟性を与えるサービスを提供する例も増えている。

 なお、日本では、プライベートWANサービスとパブリックWANサービスの料金差が米国ほど大きくなく、このため米国に比べてハイブリッドWAN機能を使ったWAN回線コストの削減効果がSD-WANの魅力とはなりにくいとされる。だが、例えば現在の回線コストで比較した場合に、直接的には大きなコスト削減効果が得られなくとも、SD-WANでは将来の帯域幅ニーズ増加に対し、容易に、高いコスト効率で対応できるし、将来、社内運用を変えずに回線サービスを臨機応変に選択していけるという自由度を得られることも確かだ。

 SD-WANサービスのハイブリッドWAN機能は、柔軟な回線バックアップにもつながる。日本では従来、WAN回線のバックアップのためにISDNを使うケースがよく見られた。だが、ISDNサービスの終了に伴い、適当な代替策が見つかりにくくなっている。

 例えば、遠隔拠点で、消費者向けのインターネット接続サービスを、バックアップ回線として契約し、これを平常時にも、プライベートWANサービスの補助として生かすことが考えられる。一方、SD-WAN製品では、LTEへの対応も進みつつある。プライベートWANサービス、有線のパブリックWANサービスとLTEを同列に位置付け、トラフィックを動的に振り分けられる。従って、LTEを「純粋にバックアップのためだけに使う」「平常時にも一部のトラフィックを流す」の、どちらの使い方もできる。

○多数の遠隔拠点のVPN接続をシンプル化

 多数の小規模拠点を展開している企業にとっては、IPsecによる接続とその運用を管理するだけでも、大きな負担となる。この負荷軽減は、多くのSD-WAN製品において第2のユースケースであり、具体的なメリットとなっている。

 前述の通り、多くのSD-WAN製品では、従来遠隔拠点で運用されてきたVPNルータを代替する機器を提供している。「ゼロタッチ・プロビジョニング」で、機器ごとに直接設定する必要なく起動し、適切な初期設定を遠隔適用できる。このため、遠隔拠点側にエキスパートは必要ない。その後の運用も、本社の運用担当者が、全て遠隔で実行できる。しかも、その担当者に、IPsecに関する専門知識は必要ない。

 また、SD-WAN製品の拠点用機器では、ルータ機能の他に、無線LANアクセスポイント機能を備えているものがある。こういう機器であれば、新拠点を突然開設しなければならなくなったとしても、ネットワーク接続サービスさえ用意されていれば、機器をその拠点に送り付けてネットワーク接続するだけで、VPN接続までを即座に設定できる。

 さらに、SD-WAN製品の中には、接続ユーザーによって接続先を制限できるものがある。こうした製品で、ルータに無線LANアクセスポイント機能を組み合わせた機器を使うと、業務用WAN環境と、ゲスト用のインターネットアクセス環境を1台でまかなえるようにもなる。つまり、ゲストのインターネットアクセスについては、本社を経由することなく、各拠点に引いたインターネットアクセス回線を通じて、インターネットに直接出ていくようにすればいい。

○クラウドへのVPNアクセスを変革

 Amazon Web ServicesやMicrosoft Azureなどのパブリッククラウドサービスには、専用線、あるいはIPsec接続で、企業拠点との間にプライベートな接続を提供するオプション機能がある。

 だが、これらは各パブリッククラウド専用のサービスであり、複数のパブリッククラウドを併用するユーザー組織は、接続するクラウドごとに、別個の手順で接続を設定し、運用しなければならない。また、パブリッククラウドのIPsec接続サービスは、運用上面倒な部分がある。

 そこでユーザー組織は、SD-WAN製品を使って、自社のプライベートネットワークを、統一的な運用管理の下で、任意のパブリッククラウドに延伸することができる。やり方はシンプルだ。パブリッククラウド上の自社仮想ネットワークセグメント(AWSでいえば「Amazon VPC」)でSD-WAN機器の仮想マシン版を動かし、これをVPNゲートウェイとして自社拠点とをIPsec接続できる。パブリッククラウドとの接続を、遠隔拠点との接続と同一に扱えるようになる。

 SD-WAN製品によるパブリッククラウドとの接続では、もう1つ面白い展開が考えられる。通常、企業拠点とパブリッククラウドをプライベート接続する場合、それは企業の本社あるいは自社データセンターとクラウドとの接続を意味する。だが、パブリッククラウドの各拠点から本社を経由せず、パブリッククラウドに直接VPN接続したいケースが増えてくる。SD-WANでは、こうした構成にも対応できる。当初は本社のみをパブリッククラウドに直接VPN接続しておき、後から各拠点をそれぞれ接続するように変更することも可能だ。

●SD-WAN製品にはいろいろなバリエーションがある

 全てのSD-WAN製品が上記の機能を共通に備えているわけではない。例えばハイブリッドWAN機能は魅力的だが、SD-WAN製品と呼ばれるための前提ではない。SD-WAN製品は多様であり、分類は難しいが、便宜的に下記のように分けることができる。

○カスタムソリューションとしてのSD-WAN

 ジュニパーネットワークス、ブロケードは、「Universal CPE」と総称されるソリューションを提供し始めている。これは、ハイブリッドWAN機能を備えたVPNルータに、仮想化環境を搭載、モニタリングやセキュリティなど、さまざまなアプリケーションを動かせるようにしている。その上で、これらのCPEをSDNコントローラで制御できるようにしている。2社のソリューションは、特に機能が厳密に決まっているものではない。主に通信事業者などのサービス事業者を顧客として想定したものだ。

○パッケージとしてのSD-WAN

 一般企業にとって比較しやすいのは、パッケージ化されたSD-WANソリューションだ。日本で活動しているベンダーには、VeloCloud、Viptela、Riverbed(現在は試験提供)、CloudGenixがある。これらのソリューションには、機器のみ、機器+サービスの2形態がある。また、提供主体についても、ベンダーがリセラーを通じてソリューションを自ら提供する場合と、サービス事業者がこうしたソリューションのOEM供給を受け、自社サービスに組み込んで提供する場合の2通りがある。例えばネットワンシステムズはVeloCloud製品の供給を受け、同社としてSD-WANサービスを運営している。Verizonやシンガポールテレコムは、Viptela製品を使って、SD-WANサービスを提供している。

 VeloCloud、Viptela、Riverbed、CloudGenixについては、ハイブリッドWAN、ゼロタッチ・プロビジョニング、パブリッククラウドへのVPNといった機能を、程度の差はあっても基本的に全て備えている。

 これらのソリューション間の違いとしては、下記の点を挙げることができる。

・ハイブリッドWAN機能におけるトラフィック振り分けの粒度
・ハイブリッドWAN機能におけるLTEのサポート有無
・対応する拠点の規模(どこまで小規模な拠点に対応するか、どこまで大規模な本社接続に対応するか)
・各拠点内のゾーン分割への対応
・セキュリティ機能の実装方式
・ビジネスモデル、すなわち機器価格とサービス料金の相対比率、およびそれぞれの絶対価格

●今後の焦点の1つはセキュリティ機能

 筆者は、パッケージ的なSD-WANソリューションの今後の普及に向けたカギの1つとして、セキュリティ機能への対応があると考えている。

 各拠点からパブリッククラウドに直接VPN機能を張ることのできる可能性については、すでに述べた。これと同じように、各拠点からの一般的なインターネットへのアクセスについても、本社接続からオフロードできる可能性がある。実際、パッケージ型SD-WAN接続ソリューションの提供ベンダーからは、これまでのような本社経由のインターネットアクセスは、時代遅れだという意見が頻繁に聞かれる。

 だが、多くの一般企業が、全てのインターネットアクセスを本社あるいは自社データセンター経由としているのは、「自社が必要だと考えるセキュリティを確実に適用したい」ということにある。

 遠隔拠点からのインターネットアクセスを本社接続からオフロードしたとき、ユーザー組織はどのように統合的なネットワークセキュリティ管理ができるのか。各拠点でセキュリティ機能を動かしたとき、それは逆にコスト高とならないのか。この点については、セキュリティベンダーとの連携が絡む点であるため、解決は容易ではない。SD-WANベンダーの間でも、現時点では模索が続いている印象がある。

[三木 泉,@IT]

最終更新:8月3日(水)6時10分

@IT

TEDカンファレンスのプレゼンテーション動画

暗闇で光るサメと驚くほど美しい海洋生物たち
波のほんの数メートル下で、海洋生物学者であり、ナショナルジオグラフィックのエクスプローラーかつ写真家のデビッド・グルーバーは、素晴らしいものを発見しました。海の薄暗い青い光の中で様々な色の蛍光を発する驚くべき新しい海洋生物たちです。彼と一緒に生体蛍光のサメ、タツノオトシゴ、ウミガメ、その他の海洋生物を探し求める旅に出て、この光る生物たちがどのように私たちの脳への新たな理解を明らかにしたのかを探りましょう。[new]