企業WAN構成の選び方｜目的別に見る構成パターンと留意点

セキュリティ対策は社内のネットワーク設計と切り離して考えることはできません。

NRIセキュアでは、セキュリティとネットワークの両面から企業インフラを支えてきた経験をもとに、ネットワーク全般に関する支援も行っています。

今回は社内ネットワークの中でも重要インフラであるWANに注目し、その実現における構成パターンの選択肢と留意点について現場で培った経験を踏まえながら要点を絞ってご紹介します。

WANの見直しが必要な社内ネットワーク担当者が計画立案時に意識すべきポイントや自社の課題感を解消できるWANをイメージしていただくための一助となれば幸いです。

企業におけるWAN更改の大まかな流れ

WANの重要性と構成見直し時の難しさ

ネットワークは現代社会におけるあらゆる場面で活用され、プライベート・ビジネス問わず欠かすことができないインフラとなっています。

なかでもWAN（Wide Area Network）は、その快適性や運用品質が社会活動にまで影響を及ぼす、企業システム活用における重要なITインフラです。

事業を推進する上で必須となる企業内のWANですが、設備の老朽化や経営戦略及び運用上の課題、ネットワークを利用しているユーザーからの不満などが要因となり、WAN全体の見直しを迫られるタイミングは必ず訪れます。
WANの見直しはその完遂に至るまでに長期間を要する一大プロジェクトです。

社内外の関係者は多岐にわたり、検討フェーズから運用フェーズに至るまで、様々なハードルを乗り越える必要があります。

また、WANを構築する拠点ごとにネットワーク機器や回線などの物理設備が必要となるため、WANを一度実現すると不満があったとしても費用や時間の面で抜本的な見直しは難しいと言えます。

WANの将来像を描くことから始める

自社でWANの見直しが必要となる場合、最適な予算で安心安全かつネットワーク面における課題を解消するWANを実現できればベストです。

そのような理想的なWANを実現するために考慮すべきポイントや進め方には、ある程度決まったベストプラクティスがあります。（図）

図の詳細解説は割愛しますが、満足度が高いWANを実現するための最重要ポイントは「将来像の検討」です。

将来的に実現したいビジネスや就労環境の方向性を踏まえ、それらを支えるWANはどのようなものであるべきかということをしっかりと検討することが重要です。

幸いなことに、現実的に採用可能なWAN構成のパターンはある程度限られるため、WANの将来像を検討する際はそれらの構成パターンをヒントとしながら方向性を固めていくことができます。

図　WAN更改の進め方と考慮ポイント（主要素のみ記載）

WAN構成パターンの選択肢

代表的なWAN構成パターン

現時点における代表的なWAN構成パターンは３種類あります。

• ・閉域網回線とデータセンター（DC）を中心としたレガシーWAN

• ・インターネット回線とSD-WAN^[i]を中心としたトラフィック分散型SD-WAN

• ・インターネット回線とSecurity Service Edge（SSE）を中心としたSSE中心型SD-WAN ^[ii]

SD-WANやSSEは比較的新しい技術ですが、「最新技術＝最適解」とは限りません。

まずは各WAN構成パターンの特徴を把握し、自社に適した方向性を明確にすることが重要です。

図　代表的なWAN構成パターン

概要：レガシーWAN

拠点やデータセンターを閉域網で結び拠点間通信を実現する方式です。

昔から存在するシンプルなWAN構成であり、特別なネットワーク技術は必要としないため比較的リーズナブルに実現できます。

また、インターネット接続ポイントがデータセンター拠点(DC拠点)のインターネットGWに限定されるためセキュリティ面でも管理がしやすい形態です。
拠点間通信が主目的であり、インターネット活用が限定的な環境であれば、この構成で十分なケースも少なくありません。

一方で、インターネット向けの通信量が増大するとDC拠点の設備に集中的に負荷がかかることから、インターネット活用時の快適性はDC拠点の設備に依存する構造です。

そのため、SaaSのようなクラウド活用を本格的に進めていく展望を描く企業のWANとしては最適ではありません。

図　概要：レガシーWAN

概要：トラフィック分散型SD-WAN

SD-WANを起点に通信種別毎に最適なアクセス経路となるようネットワークを制御することでトラフィックを分散する形態です。

信頼性が高いSaaSへの通信は拠点からインターネットに直接転送するローカルブレイクアウト（LBO）を行うことが基本の構成となります。

また、不特定多数のインターネット通信についてはSSEを組み合わせることでセキュリティチェックを行う設計が望ましいですが、SSEを利用せずに構成することもできます。
特定の設備にトラフィックが集中しないため、ネットワークパフォーマンス上のボトルネックが生じにくく、柔軟性の高いWAN構成と言えます。

図　概要：トラフィック分散型SD-WAN

概要：SSE中心型SD-WAN

SSEを起点にネットワークを制御することで拠点間通信とインターネット接続を実現する方式です。

SSEにできるだけトラフィックを集約することで、WAN設計をシンプルにしつつ、インターネット活用時のセキュリティを確保する構成です。
一方で、SSEがネットワーク全体の快適性を左右するボトルネックとなるため、SSEの設計・運用には特に注意が必要です。

物理的なDC拠点を可能な限り廃止し、ITインフラ全体をクラウドシフトする戦略を志向される企業に採用されることが多い形態です。

図　概要：SSE中心型SD-WAN

WAN構成パターンの比較

着目するポイントを絞る形で各構成パターンを比較すると図の通りとなります。

各構成パターンが適するケースとして代表的な例は下記の通りです。

• レガシーWAN：インターネット利用が限定的で、シンプルかつコスト重視のWANを求める場合^[iii]

• トラフィック分散型SD-WAN：クラウド活用を本格化し、WANの快適性と安定性を求める場合

• SSE中心型SD-WAN：DC拠点削減など、物理資産を最小化したWANを求める場合

図　WAN構成パターン比較

自社に適したWAN構成パターンを見出した後に留意するべきポイント

WAN関連製品毎に取り得る物理構成・論理構成・運用負荷には差分がある

市場では様々なメーカーがネットワーク製品を提供しています。
メーカー毎に技術優位性のある分野やネットワーク製品の開発背景・コンセプトは異なるため、実現したいネットワークの方向性は共通していたとしても、メーカーによって細かい仕様や制限事項には差異があります。
それらの中には障害ポイントの増大や最終コストに影響する要素もあるため、自社にとって最適な製品選定を行うことが必要となります。
WAN関連製品を選定する際、意識しておきたい見落とされがちなポイントは下記の通りです。

• ①製品活用や技術習得に伴う負荷と難易度
  （ア）活用されている技術が独自仕様か業界標準仕様か
  （イ）目標とする拠点構成を実現する際に必要となる物理機器の台数 ^[iv]
  （ウ）WAN関連製品を活用するエリアでの保守の可否
  （エ）セキュリティ対応を目的としたソフトウェアバージョンアップの頻度^[v]
• ②日本国内での展開を想定している場合
   （ア） IPoE 方式によるインターネット接続への対応状況

耐量子セキュリティを意識し、クリプトアジリティを確保する

グローバル動向としては2035年までに耐量子計算機暗号（PQC）移行を完了させることで量子コンピューターの実用化によるセキュリティリスクを回避する方向性が示されています。^[vi]
このことから、システム全体に大きな影響を与えることなく、利用する暗号アルゴリズムを柔軟かつ迅速に切り替えられる能力である「クリプトアジリティ」を向上させる取り組みが徐々に進んでいます。
WAN領域におけるクリプトアジリティについては、特にインターネットを利用するWANを構築する場合に留意が必要です。

自社が遵守するべき規制や業界動向及び実現コストなども踏まえ、現段階からWAN関連製品に求める機能としてPQC機能を必須とするか判断を行う必要があります。

まとめ

WANは日々の企業活動を支える重要なITインフラです。

だからこそ、自社の事業規模や事業形態を踏まえつつ、予算に沿う形で安心安全かつ快適性を伴ったWANを実現することが理想的です。

一方で、理想的なWANを実現するためには考慮すべきポイントや乗り越えるべきハードルが複雑かつ多岐にわたることも事実です。
WAN構築・運用に関して自社では賄えないスキルやコアではない領域については、アウトソースをうまく活用することも現実的な選択肢となります。

NRIセキュアでは、セキュリティ対策に加え、WANを含む企業ネットワーク全体を対象とした設計・構築・運用の支援を行っています。

「どのWAN構成が自社に合っているのか判断が難しい」

「セキュリティとネットワークをまとめて相談したい」

といったお悩みがありましたら、ぜひお気軽にご相談ください。

[i] ONUGがSD-WANの定義を行っています。

SD-WAN 1.0 :https://www.onug.net/wp-content/uploads/2015/05/ONUG-SD-WAN-WG-Whitepaper_Final1.pdf

SD-WAN 2.0: https://onug.net/project-teams/working-group-template/

[ii] SD-WANとSSEを組み合わせるとSASE（Secure Access Service Edge）となります。SSEやSASEの概要のご紹介については以下の過去の記事をご参照ください。

https://www.nri-secure.co.jp/blog/secure-access-service-edge

https://www.nri-secure.co.jp/blog/sase-5point-success-tips

[iii] レガシーWAN構成においてもインターネット回線を利用しルーティング設定を工夫することで、特定のクラウドサービスに対するローカルブレイクアウトを実現することは可能です。
ただし、クラウドサービスが持つグローバルIPの変化に追従する運用を着実に実施する必要があることと、ネットワーク機器のルーティング設定数には上限があるため、レガシーWAN構成におけるローカルブレイクアウト運用は実用に耐えません。

[iv] WAN関連製品が備える機能の差異により実現可能な物理構成が異なるケースがあります。

[v] インターネット接続を前提としたWANを構築する場合は特に重要です。脆弱性修正サポートの間隔、バージョンアップ対応の難易度は製品によって異なります。

[vi] PQC及びクリプトアジリティの概要のご紹介については過去の弊社記事に譲ります。

https://www.nri-secure.co.jp/blog/pqc1

https://www.nri.com/jp/media/journal/20251126.html