SD-WANとは?その仕組みとメリット、VPNとの違い

情報保護について無料で相談する 30日間無料トライアルを試す

定義

SD-WAN (Software-Defined Wide Area Network) は、トラフィックの「オン/オフ」環境を利用するステレオタイプなハードウェアインフラではなく、ソフトウェアによる最適化を利用してネットワークの運用方法を制御するものです。SD-WANソフトウェアは、フレームリレーまたはMPLS (Multiprotocol Label Switching) を使用して、ネットワーク全体の通信と、組織の拠点とインターネットサービスプロバイダがサポートするデータセンター間の接続を制御します。ルーター、スイッチ、リモートインフラなど既存のハードウェアを使用することもできますが、ネットワークトラフィックとセキュリティを制御するためのソフトウェアが主要なコンポーネントとなります。これは基本的に、データセンターへの安全な接続と、地理的に離れた多くのオフィス間のブロードバンド接続を使用して企業ネットワークを設定する最新の方法です。データのルーティングは、ルーティングテーブルを持つ従来のルーターの代わりに、トランスポートサービス用のソフトウェアを使用して仮想的に処理されます。パケットにはラベルが付けられ、送信者から受信者に送信される際にあらかじめ決められた経路が設定されるため、パフォーマンスが向上します。SD-WAN技術により、クラウド接続はより柔軟で便利、かつ安全なものになります。

無料トライアルのお申し込み手順

  • 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
  • 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
  • プルーフポイントのテクノロジーを実際にご体験いただきます。
  • 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。

フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。

Proofpointの担当者がまもなくご連絡いたします。

SD-WANの仕組み

従来、インターネット上のトラフィックを誘導するためにルーターが使用されており、現在でも広く普及しています。インターネット上で通信を行う場合、データは中央の場所に送られ、そこでパケットの解析とルーティングが行われます。ルーターテーブルは、データ通信の際にボトルネックとなる膨大なリソースです。最速経路のルックアップが実行され、動的に作成されます。SD-WANを活用する企業は、まずデータセンターのリソースを設定します。データセンターに物理的なハードウェアがあり、従業員がいる多くのビルはSD-WAN接続を使用してデータセンターに接続します。SD-WANはソフトウェアベースのネットワークシステムなので、管理者はクラウドプロバイダが提供する集中ダッシュボードからすべての設定をコントロールすることができます。

SD-WAN環境では、データがパケットに予め決められた経路でラベル付けされます。これにより、経路を動的に決定する中央拠点にパケットを送信する非効率性を排除することができます。SD-WANは、パケットの経路を決定するために中央オフィスを使用する代わりに、アプリケーションに依存します。トラフィックの制御を各アプリケーションに分散させることで、データ転送速度が向上します。大規模な企業ネットワークでは、データ転送速度が顧客満足度や従業員の生産性にとって非常に重要です。

SD-WANは、IPアドレスや従来のルーターを使用する代わりに、リアルタイムの情報を使用してネットワークトラフィックの最適な経路を決定します。単純なWANアーキテクチャでは、ルーターはTCP/IPプロトコルとアクセス制御を使用してトラフィックの方向を決定しますが、SD-WANはデータを分析し、ソフトウェアベースの設定を使用してより効率的にデータを送信します。ソフトウェアを使用することで、データは最適な経路を辿って目的の相手に届きます。

SD-WANが重要な理由

多くの企業がクラウドコンピューティングをアーキテクチャに統合する中、移行時のパフォーマンスを維持する必要があります。また、ビジネスアプリケーションをサポートするインフラストラクチャも同様に重要です。SD-WANのような最新技術を活用することで、企業は常に最新の情報を得ることができ、時代遅れのレガシーなアーキテクチャのサポートを回避することができます。

SD-WANはクラウドプラットフォームとよく統合され、これがWAN技術に対する主な利点となります。例えば、Salesforceは営業部門で一般的に使用されていますが、ローカルリソースと連携するように設定するのは、組織にとって大きなプロジェクトとなります。しかし、SD-WANは、SaaS(Software as a Service)やPaaS(Platform as a Service)プロバイダーと相性が良いです。そのため、Salesforce、Office 365、Dropbox、その他広く使われているプラットフォームとうまく統合できます。

WANとSD-WANの比較

優れたネットワーク通信の中心的な要素は、QoS (Quality of Service) です。QoS は、ネットワークの全体的なパフォーマンスを決定します。パフォーマンスは、Web サービスの品質を決定する主要な要素です。例えば、クラウドコンピューティングネットワークや通信事業者における音声データ通信では、QoSが最適でなければなりません。QoSは、ハードウェアインフラに依存するのではなく、リアルタイムのデータ解析とトラフィックモニタリングによって、ルーターやスイッチにデータを送信する場所を指示します。

SD-WANはQoSを重視しており、QoSではリアルタイムに監視してトラフィックを制御するため、従来のWANよりも迅速かつ効率的に対応することができます。従来のWANは、通信データの方向を決定するために「オン/オフ」というイベントを使用しており、これはうまく機能しますが、同じようなパフォーマンス上の利点は得られません。

WANとSD-WANの違い

ほとんどのITプロフェッショナルは、従来のWAN (Wide Area Network) 設定に慣れています。インターネットそのものが1つの大きなWANで、データはまずインターネットサービス プロバイダー (ISP) に送られ、その後、世界中にある目的の場所に送られます。従来のWANは、地理的に異なる場所にある複数のローカルエリアネットワーク (LAN) 接続に過ぎません。例えば、道路を挟んだ向かい側にある2つのビルや、異なる州にある2つのオフィスなどです。接続にはルーターとスイッチングを使用し、トラフィックに優先順位をつけます。

SD-WANのセットアップには、従来のWANの特徴もありますが、以下のようなSD-WANアーキテクチャ独自の特徴もあります。

  • スイッチングプロトコルに依存しない: SD-WANアーキテクチャは、トラフィックのルーティングに使用されるスイッチングプロトコルを気にする代わりに、データにパスを割り当てるアプリケーションに依存しています。
  • 各拠点間の負荷バランス: 管理者は、アプリケーションが実行される場所を指定し、データセンター間でリソースの使用量を共有できます。
  • 複雑さの軽減: SD-WANを使用すると、管理者はWANの複雑化を気にかけることがなくなります。専門家は、ネットワーク設定に必要な構成をより簡単に理解することができます。
  • セキュリティとVPN: WANも安全ですが、SD-WANでは、ネットワーク上で送信されるデータを暗号化して保護するVPNをより簡単に設定することができます。

 

MPLSとSD-WANの違い

  • SD-WANはMPLS技術を利用するかもしれませんが、ネットワーク設計と最適化のための戦略としては異なるものです。MPLSは古い技術なので、今でも一部の環境では導入しているかもしれません。一方でSD-WANの導入は、特に複数のホストリソースを持つ組織にとっては、より費用対効果が高いことが証明されています。
  • データセンターと組織のオンプレミスインフラの間の接続は、SD-WANではリアルタイムのデータを使用してトラフィックを分析するため、より安全性が高くなります。このリアルタイム分析により、データ漏えいや盗聴につながる悪意のある異常を検出することができます。SD-WANがMPLSよりも優れたサイバーセキュリティを備えていたとしても、専門家は侵入検知・防止対策を追加で導入することを推奨しています。

 

SD-WANとVPNの違い

  • 仮想プライベートネットワーク (VPN) も、企業のオンプレミスインフラとデータセンター間にセキュリティをもたらしますが、SD-WANとは異なる目的があります。SD-WANは、ネットワークパフォーマンスが常に高速データ転送を返すように、ルーターなどのトランスポートインフラ全体のルーティングトラフィックを最適化します。SD-WANは常にオンになっており、組織がデータセンターに接続された状態を維持するように設定されています。
  • 一方、VPNは、ある場所から別の場所へトラフィックを接続することで、データ通信を保護します。コンプライアンス規制の中には、データ保護のために遠隔地との接続にVPNを必要とするものがあります。管理者がデータセンター内のサーバーに接続する場合、VPN接続によってデータの安全性が確保されます。VPNは、データを暗号化されたパッケージに包み、安全な経路でデータを送信します。VPNには、サードパーティプロバイダを利用することもできるし、データセンターのホスティングプロバイダーが提供する接続を利用することもできます。
  • 金融機関の口座番号や患者の記録など、極めて機密性の高いデータを扱う組織では、SD-WANとVPN接続の両方がデータの安全性を高めることになります。SD-WANはクラウドでホストされるアプリケーションへの基本的な接続に使用されますが、VPNは機密性の高い管理接続にセキュリティを追加します。例えば、管理者が患者データをホストするデータベースサーバーに接続する際にVPNを使用し、盗聴やクレデンシャル盗難を防止するために接続のセキュリティを確保します。
  • SD-WANは、次世代VPNの代替品と考えられています。SD-WANは、ユーザーが社内のクラウドアプリケーションに接続するためのより便利な方法を提供するだけでなく、管理者がネットワークのセキュリティを向上させるための追加のツールやリソースを提供します。VPNでは、管理者がリモート接続を保護する方法が制限されますが、SD-WANでは、管理者がデータアクセスと可視性をより詳細に制御することができます。

SD-WANを導入すべき理由

データセンター環境では、SD-WANが一般的です。データセンターを利用してアプリケーションやデータを保管している場合、知らず知らずのうちにすでにSD-WANを利用しているかもしれません。SD-WANはソフトウェアベースであるため、既存のハードウェアネットワークの「上」で動作します。SD-WANはデータセンターで使用され、集中型コントローラを使用して顧客が環境を制御できるようにします。

オンプレミスネットワークを構築する上で、SD-WANを導入すべき理由を以下にいくつか挙げてみましょう。

  • ネットワークのパフォーマンスを向上させる必要があっても、ハードウェアの増設では解決できない
  • クラウドのリソースに依存していると、インターネットの障害に脆弱である
  • 現在のネットワークインフラではリソースを効率的に利用できず、費用対効果が悪い
  • 新しいリソースの導入には時間がかかり、工数がかかりすぎる

SD-WANのメリット

SD-WAN技術を使用するメリットは、パフォーマンスの向上と柔軟性の2つだけではありません。ほとんどの組織は、ITコストの削減とリソースの改善を目的に、環境をSD-WANに変えています。SD-WANの設定は、従来のWANリソースに慣れたITプロフェッショナルにとって新たな学習が必要となる可能性があります。それでも、一度導入すれば、特に物理的なハードウェアがデータセンターに遠隔保存されている場合は、リソースの管理がはるかに容易になります。従来のWAN技術ではなくSD-WANを使用することには、他にもいくつかのメリットがあります。そのうちのいくつかを紹介します。

  • トラフィックの優先順位付け:従来のWANでは、すべてのトラフィックは同じとみなされますが、パケットロスを防ぐために他のトラフィックから分離されています。通常、特定のネットワークトラフィックは、他のアプリケーションよりも重要です。たとえば、音声通話は一般的なトラフィックよりも優先されるべきです。トラフィックを優先することで、より重要なアプリケーションに速度と帯域幅を与えることができます。
  • セキュリティ:MPLS接続はトラフィックを他のデータからプライベートな状態に保つことでセキュリティを確保していますが、SD-WAN技術ではデータ転送にVPNを組み込んでいます。VPNセキュリティはより信頼性が高く、現在のインフラで簡単に設定できます。
  • スケーラビリティ:WANテクノロジーは古く、スケーラビリティが問題になったときに管理しにくくなります。SD-WANは、新しいオフィスを追加する際の拡張と構成がはるかに容易です。
  • ITコストの削減:MPLSテクノロジーは高価ですが、SD-WANでは安価な光ファイバー、ケーブル、DSL接続を使用できます。
  • シングルポイント障害がない:MPLSでシングルポイント接続を使用する代わりに、SD-WANでは、管理者は拠点間で複数のリンクを使用することができます。デュアルリンク接続は、一方に障害が発生した場合のフェイルオーバーとして使用することができます。これは、ネットワークパフォーマンスを向上させながら、ネットワークリソースのコストを削減することができます。SD-WANは通常データセンターで構成されるため、高価な機器を設置したり、追加のハードウェアをインストールしたりする必要がなくなります。
  • 集中管理:個々のコンポーネントにリモートでアクセスして設定する代わりに、管理者を1カ所に集めて集中管理することができます。
  • 高い可視性:企業ネットワーク全体の可視性が向上するため、世界中にセグメントがあるような大規模な環境では有益です。
  • 幅広い接続性:ネットワークアクセスを必要とするすべての拠点、オフィス、サテライトサイトへの接続性とパフォーマンスを向上させます。

真のクラウド接続企業では、地理的に異なる場所にいるユーザーをサポートするために、複数の拠点を持つ必要があります。SD-WAN技術により、組織はリモートオフィスを迅速に追加し、盗聴から安全に保つことができるため、より便利で拡張性が高くなります。

SD-WANの導入時期

オフィスやクラウドの拠点を増やすことは、SD-WANを検討する最初の一歩です。従来のWAN技術と比較して、SD-WANがより有益となるシナリオがいくつかあります。

SD-WANはトラフィックに優先順位をつけることができるため、複数のアプリケーションが大量の帯域幅を消費する場合に有益です。SD-WANでは、管理者はデータが回路を横断する際に通る経路を設定することができます。音声とメディアは1つの回路を使用して経路を確保し、内部アプリケーションには低い優先度を与えて別の回路を経由させることができます。複数の回線があれば、広帯域のアプリケーションは、他の回線に比べてより容量の大きい回線にルーティングすることができます。

アプリケーションやデータをホストするために、クラウドデータセンターと連携している組織もあります。SD-WANは、WANと比較して、クラウドのロケーションで動作するようにはるかに容易に構成されます。クラウドロケーションを使用する場合は、常に SD-WAN をソリューションとして使用する必要があります。従来のWANテクノロジーは、近接するオフィス間の接続に適しています。

ある拠点から複数のサテライトオフィスへ機密データを共有する場合、SD-WANはVPNと連動するように構成することができます。VPNは、回線、特にインターネットを介したデータ転送で、より安全な方法になります。

従来のWAN接続は高価な場合があります。組織はSD-WANに切り替えることでコストを削減できますが、多くの場合、既存の接続に大きな変更を加えることは望んでいません。組織は、従来のMPLS回路は有効なまま、新しいオフィス接続がSD-WAN技術で動作するハイブリッドシステムを設定することができます。SD-WANは、すべての接続でフェイルオーバーとして使用することもできます。

SDNとSD-WANの違い

ネットワーク関連のテクノロジーを調べると、Software-Defined Network (SDN) という用語を見かけるかもしれません。この2つのテクノロジーは似ているように見えるかもしれませんが、組織に対する影響はまったくの別物です。SDN はローカルエリアネットワーク (LAN) の管理に使用される技術であり、SD-WAN は複数のサイトにまたがるネットワークリソースとそれらを接続するために使用されるテクノロジーの管理に使用されます。

SDNネットワークでは、トラフィックの優先順位付けや、中央の管理者からの設定制御も可能です。主な違いは、制御と優先順位付けがWANではなくLAN向けに設定されている点です。SDNネットワークは従来のルーティングとインフラを引き続き使用し、WANまたはSD-WANが設定されている既存のネットワーク環境に追加することができます。

SD-WANのセキュリティ

インフラにSD-WANを導入する組織は、サイバーセキュリティのための計画を含める必要があります。適切なサイバーセキュリティプロトコルに従わずに SD-WAN が本質的に安全であると仮定すると、予期せぬデータ侵害につながる可能性があります。SD-WANは安全ですが、インフラストラクチャがサイバーセキュリティを考慮して構成されていない場合、リスクを増大させる可能性があります。SD-WANのセキュリティが不十分であることは、組織がインフラストラクチャの構成方法に慣れていない場合の大きな問題の1つです。

SD-WAN は通常、リモートワーカーをサポートするために導入されますが、クラウドで複数の拠点を保護するには、セキュリティを最適化するための専門家が必要です。組織が直面する可能性のある問題は、以下のとおりです。

  • 明確な境界線の欠如: リモートワーカーの場合、内部ネットワークの境界線はもはや標準的なものではありません。クラウドに接続した従業員には境界線を開放しつつ、外部の攻撃者をブロックしなければなりません。このため、SD-WANを適切に設定し、セキュリティを確保することがIT部門の大きな責任になります。
  • 信頼の捉え方の変化: 従来は、社内のどの社員も暗黙のうちに信頼されていました。リモートワーカーが存在する場合、組織はゼロトラストを前提とした認証とアクセスの設定方法に変更し、最小特権の基準に基づいてユーザーにアクセスを提供する必要があります。
  • さらなる複雑さ: SD-WANに慣れていない管理者は、新しい環境を設定し、セキュリティを確保するためのトレーニングを受けなければなりません。攻撃者がSD-WAN環境を悪用する多くの方法を知らなければ、設定によって脆弱性が開かれ、ネットワークが安全でなくなる可能性があります。