​​​​​​​

『SD-WAN導入すれば、ネットワークは何も心配いらないよね！？』

「いいえ、セキュリティについて考慮しなければなりません。」

導入するSD-WAN製品によっては、多くのセキュリティ機能を併せもつ製品も有り、考慮不要な場合もあります。

しかし、製品によってはSD-WANの導入だけでは、セキュリティの対策が不十分なケースもあるのです。

新型コロナウィルスまん延以降のテレワーク拡大により、
・ネットワーク通信の最適化を目指し、利用が広がってきているSD-WAN
・再度注目度が増した“ゼロトラストセキュリティ（どの通信も信用しないという立場でのセキュリティ）”　
この2つをどう両立させるのか？

今回、SD-WAN製品の老舗VeloCloudの製品を基準とし、SD-WANとセキュリティについて解説していきます。

※必要無い場合は、1章、2章は飛ばしてお読みください。

SD-WANとは？

まずはじめに、SD-WAN（Software-Defined WAN）とは、ソフトウェアによって仮想的なネットワークを作る技術のことです。

この技術を用いることで、他拠点にあるネットワークデバイスの管理・運用を一元化することや、品質を落とすことなく、高価な専用線から安価なインターネット回線を利用できるようになります。

詳しくはデジタルトランスフォーメーション（DX）でICT利活用シーンが増大した今、次世代ネットワーク通信として注目されるSD-WANとは！？（前編）をご参照願います。

VeloCloudとは？

もともとSD-WANの専業ベンダーで、マーケットリーダーのポジションにいたVeloCloud Networks社を2017年12月にVMware社が買収しました。そのため、現在はVMwareを冠する「VMware SD-WAN by VeloCloud」という名称で、販売されております。

VeloCloudのSD-WAN製品における最大の特徴は、回線の品質を補正する機能が付帯されていることです。この回線品質補正の役割を担うのは、VeloCloudが独自に開発したVCG（VeloCloud Gateway）です。

SD-WANルーターはこのVCGと常にセッションを張っており、ネットワークトラフィック（※）をモニタリングしています。
SD-WANは、WAN回線をふたつ以上認識でき、さらにはVCGの回線品質補正機能により、ネットワーク品質を維持することが可能です。

詳細は 【SD-WANは1つではない】企業のポリシーに合うSD-WAN製品の選択を！をご参照ください。

※ネットワークトラフィック・・・ネットワーク通信における、一定時間の通信量

SD-WANにセキュリティを組み込む背景

ではそんなSD-WANに、なぜセキュリティを組み込む必要があるのか？

その理由は明確です。
SD-WANの導入により、新たなセキュリティの脆弱性が生まれてしまうからです。

SD-WAN導入で一番期待している効果は、ネットワーク遅延トラブルの解消ではないでしょうか？その場合、ローカルブレイクアウトという機能を活用します。

ローカルブレイクアウトとは、社内で利用している既存のネットワーク回線（専用線や閉域網）の他に、新しくインターネット回線を引き、通信の逃げ道を作る技術です。

通信をしっかりと監視した方がよいネットワーク通信に関しては、既存のネットワーク回線で行い、Web会議などの通信を監視しなくてもよい通信に関しては、安価なインターネット回線で行うといった切り分けが可能です。
これにより、ネットワーク帯域のひっ迫を緩和させるといった効果が期待でき、これまでのネットワーク遅延問題の解決手段だった、「帯域増強」、「回線増設」よりも安価に課題解決を測る効果が期待されます。

しかし、特定のアプリケーションに直接インターネットに接続させるということは、これまで本社またはデータセンターが担っていた、ファイアウォールなどのセキュリティゲートを通ることなく、通信が外部に接続されるということです。

保護されていないネットワーク通信が発生してしまう、これがSD-WANで新たに発生するセキュリティの脆弱性、すなわちリスクとなります。

冒頭でも紹介した通り、SD-WANの製品によっては、ネットワークを自動で監視するIPSの機能や、アンチウィルスの機能を単独で持っているものもあります。

しかし、基本的には社内から社外へ出ていく通信を許可するか、ブロックするかをジャッジするファイアウォールの機能のみが搭載されているものが多く、VeloCloudは後者です。
そのため、他製品との連携でセキュリティ強化を行っていく必要があるのです。

連携によるセキュリティ強化

他製品との連携で、SD-WANのネットワークセキュリティ強化を図っていく選択肢として、今回はVNFとCSSについて解説していきます。

VNF（Virtual Network Function）：仮想ネットワーク機能

VNFとは、ファイアウォールやルーター（※）、ロードバランサー（※）などネットワークの機能を構成する要素をハードウェアから切り離し、ソフトウェアとして提供する技術のことです。

これまでのネットワーク機器はハードウェアに専用のソフトウェアが紐づく形で提供されてきました。
VNFを活用することで、一つの汎用ハードウェアに複数のVNFを構築することができるため、ネットワークの柔軟性や費用対効果を高める効果を期待できます。

VeloCloudでも、以下のようなサードパーティー製（※）ファイアウォールがVNFとしてサポートされており、利用可能です。
・Palo Alto Networks ファイアウォール
・Check point ファイアウォール
・Fortinet ファイアウォール

このように、VeloCloudにおいても、VNFを活用し汎用ハードウェア上にセキュリティを強化したSD-WANを構築することができます。

※ルーター：LANとWANを相互に接続するネットワーク機器
※ロードバランサー：インターネットからのリクエストをルールに従って配下のサーバに振り分け、サーバへの負荷を分散させる機器
※サードパーティー：「第三者」という意味。メーカの純正品ではない製品

CSS（Cloud Security Service）：クラウドセキュリティサービス

CSSとは、クラウドサービスとして提供される、アンチウィルスやURLフィルタリングなどの総称です。

従来、拠点間でVPNを構築している企業のネットワークで、インターネットに流れるトラフィックについて、本社を経由させる構成が主流でした。その構成では、クラウドサービスの普及により、インターネット利用が急増しているため、本社からインターネットに出ていくネットワーク帯域に過剰な負荷がかかるのです。通信が遅くなってしまったり、ビデオ通話の品質が低下することが発生してしまいます。

そこで、ネットワーク回線品質を担保するため、SD-WANの導入を行いますが、SD-WAN単体では、セキュリティリスクがあるため、CSSとの連携により、セキュリティについてもリスクヘッジしようとすることが一般的です。

VeloCloudでも、Zscaler CSS、Symantec WSS（Web Security Service）といったクラウドセキュリティサービスとの連携を行います。

VeloCloudと連携できるCSSは以下の通りです。
・Generic Cloud Security Service
・Symantec Web Security Service(WSS)
・Zscaler Cloud Security Service

まとめ

今回、SD-WANのセキュリティについて、SD-WAN単体でセキュリティを担保できる製品はあるものの、単体ではセキュリティリスクが残ってしまう製品が多いため、外部のサービスと組み合わせてセキュリティ強化を図っていくことの意義について、解説してきました。

SD-WANの老舗、VeloCloudの製品についても、単体ではファイアウォールの機能しか持ち合わせていないため、サードパーティー製のVNF、CSSとの連携により、セキュリティの強化を図ることが重要になります。

これにより、
・ネットワーク通信の最適化手段の一つであるSD-WANの導入
・どの通信も信用しないゼロトラストセキュリティ
上記2つの両立につなげることが可能となります。

昨今、起こりがちなネットワークの遅延を解決するために、SD-WANの導入を検討されている方も、セキュリティについてはプロの意見もぜひ、取り入れてみてください。

■関連記事

・コストを抑えられる！？！？  SD-WAN導入によるコスト削減について

・クラウド時代の新しいネットワーク SD-WANの6機能とは！？

・導入コストを抑えて社内の悩みを解決！SD-WAN導入のイロハ

※この記事は、公開時点の情報をもとに作成しています。