中堅・中小企業に効くエントリーVPN導入【前編】エントリーVPNの正体――「安全、高速、安価なWAN」は本当か
IP-VPNは高価で手が出ない。だがインターネットVPNでは安全性が心配――。そこで注目されるのが、事業者網を使ってインターネットVPN並みのランニングコストで運用できる「エントリーVPN」だ。
エントリーVPNとは何か
日本は世界トップクラスのブロードバンド先進国だ。特に、オフィスにおけるFTTH(Fiber to the Home)の普及はめざましく、リーズナブルな月額料金で高速なインターネットアクセスが可能だ。この足回り回線を活用して広域VPNを導入しない手はない。
だが、いざVPNを導入しようとすると、どの方式を利用するかで、かなり悩ましい問題が生じる。最もコストを安く抑えようと考えれば、IPsec VPN(※注1)またはSSL VPN(※注2)ベースのインターネットVPNが最適だが、公衆網を利用するため当然ながら帯域などのパフォーマンスは保証されない。また、耐障害性の問題もある。企業の基幹系WAN回線として利用するなら、IP-VPNの採用が理想である。
※注1:ネットワーク層でパケットを暗号化するプロトコルIPsecを使って仮想網を構築するVPN技術。対応する機器を用意したりシステムなどにIPsecを実装したりする必要がある
※注2:Webブラウザや電子メールなど多くのアプリケーションが対応するSSL(Secure Socket Layer)をリモートアクセス網の構築に利用するVPN技術
そもそもIP-VPNは、主に大企業が利用していた専用線サービスやフレームリレー網に替わる、新たなWANソリューションとして普及した。専用線やフレームリレー並みの閉塞性(安全性)と信頼性を確保し、しかも、これらのサービスに比べればランニングコストは安い。とはいえ、中堅・中小企業にとって、IP-VPNの月額料金は決して安いものではない。信頼性を取るか、それともコストを取るか、難しい選択を強いられる。このような状況の中、新たにユーザーに注目されているのが「エントリーVPN」と呼ばれるソリューションだ。
エントリーVPNは、極めて安価なランニングコストで利用でき、かつIP-VPNのように事業者網を利用して拠点間を安全に接続できるVPN方式である。基本的な月額利用料金はサービス内容によって異なるが、おおむね1契約当たり数千円〜2万円程度と安い(表1)。100Mbpsの回線で数十万円の運用コストが発生するSSL VPNと比べると、まさに破格の値段だ。
| 事業者 | サービス名 | 月額料金 | URL |
|---|---|---|---|
| NTTコミュニケーションズ | Group-VPN Bフレッツプラン | 1契約当たり7350〜1万3440円(Bフレッツ利用料金は別途必要) | http://www.ntt-vpn.com/groupvpn/ |
| NTTコミュニケーションズ | Group-VPN 光サービス(F) | 1契約当たり1万4385〜2万5620円(Bフレッツの利用料金を含む) | http://www.ntt-vpn.com/groupvpn/ |
| NTT東日本 | フレッツ・グループアクセス プロ | 1契約当たり4725円(インターネットアクセス費用は別途必要) | http://flets.com/groupaccess/ |
| NTT東日本 | フレッツ・グループアクセス ライト | 1契約当たり735円(インターネットアクセス費用は別途必要) | http://flets.com/groupaccess/ |
| NTT西日本 | フレッツ・グループベーシックメニュー | 1契約当たり1890円(10拠点までの場合、インターネットアクセス費用は別途必要) | http://www.ntt-west.co.jp/flets/group/ |
| NTT西日本 | フレッツ・グループビジネスメニュー | 1契約当たり4200円(個別契約の場合、インターネットアクセス費用は別途必要) | http://www.ntt-west.co.jp/flets/group/ |
今、エントリーVPNは堅調にシェアを伸ばし、同価格帯で運用できるインターネットVPNの牙城を崩しつつある。しかしながら、「こんなに安くて本当に大丈夫なのか?」と思う人も多いだろう。そこで、エントリーVPNの安さの秘密とその実力について、ここではNTTコミュニケーションズが提供する「Group-VPN」を例に詳しく見ていくことにしよう。
インターネットVPNとどこが違う?
インターネットVPNとエントリーVPNは、どちらも現在利用しているインターネットアクセス回線を使ってVPNを構築するので、一見して違いが分かりにくい。だが、前者に対して後者が決定的に違う点は、事業者網のみを使って接続することにある。インターネットVPNでは、契約するISPからIX(Internet eXchange)を経由し、通常のインターネットアクセスと同じ経路を使って接続する。しかし、エントリーVPNは事業者網のみを経由して拠点への接続が可能なため、インターネットVPNよりも閉塞性が高く、よりセキュアだといえる。
また、エントリーVPNでは拠点のゲートウェイにそれぞれVPNルータを設置する。この点はインターネットVPNと同じだが、インターネットVPNでは拠点同士がエンド・ツー・エンドでIPsecトンネルによって結ばれるのに対し、Group-VPNでは事業者網内のVPN終端装置を経由して拠点同士をIPsecトンネルで結ぶ。
この点は、運用管理面でも大きな違いにつながる。一般的なインターネットVPNでは、拠点を追加、あるいは廃止した場合、その都度VPNルータの設定を変更する必要が生じる。この費用や負担は決してばかにならない。また、トポロジーはスター型が基本であり、センター側のVPN機器にアクセスが集中してボトルネックになるため、高性能かつ高価なルータを設置しなければならない。
しかし、エントリーVPNでは、事業者網内のVPN終端装置が拠点間通信のハブとして機能するため、各拠点ではその装置へのアクセスさえ確保しておけば、センター側の工事は不要で、あたかもメッシュ型ネットワークのように全拠点にアクセスすることができる。これも、エントリーVPNの持つメリットの1つだ。一部のマネージドサービスは仮想フルメッシュネットワーク構成+自動設定に対応しているが、一般に月額費用は高めだ。
図1●インターネットVPNとエントリーVPNの違い(エントリーVPNはGroup-VPNの場合)なお、これらのエントリーVPNの仕様はGroup-VPNのものだ。NTT東日本の「フレッツ・グループアクセス」、NTT西日本の「フレッツ・グループ」では、事業者網(地域IP網)内の拠点間プライベートアクセス手段のみを提供し、IPsecに関するサービスは提供されないため、網内にVPN終端装置はない。ユーザーがIPsec対応ルータを用意し、別途拠点同士をエンド・ツー・エンド接続するための設定を拠点ごとに行う必要がある。
また、エントリーVPNを利用するには、PPPoE(PPP over Ethernet)接続によるアクセス回線が必須だ。これは、PPPoEセッションでユーザー認証を行うためである。具体的には、Group-VPNの場合は、NTT東西が提供するBフレッツ、フレッツ・ADSLなどのフレッツ・アクセスサービス、またはアッカ・ネットワークスが提供するアクセス回線が必要だ。NTT東日本の「フレッツ・グループアクセス」、NTT西日本の「フレッツ・グループ」では、フレッツアクセスサービスのみの対応となる。
IP-VPN並みの信頼性は得られるか
エントリーVPNは数々のメリットを持ち、しかも、インターネットVPN並みのランニングコストで運用できる。いいことずくめのように思えるが、コネクティビティ、信頼性や安定性、耐障害性などに注目すると、やはりIP-VPNとエントリーVPNとでは明らかな差がある。
IP-VPNではMPLS(MultiProtocol Label Switching)網を使い、ユーザーが完全に特定の経路を占有できるようになっている。MPLSは、IPベースのルーティング(経路選択)で使われているRIP(Routing Information Protocol)やOSPF(Open Shortest Path First)といったプロトコルと違い、網内の通信経路を明示的に指定し、特定の経路にアクセスが集中しないよう効率良くパケットを伝送できる。また、ほかのユーザーのパケットとはMPLSのラベリング(ラベルによる経路識別)の仕組みで完全に区別されるため、高い閉塞性が保証される。
このようなMPLSの技術によって、IP-VPNを契約するユーザーごとに安定したコネクティビティやきめ細かい経路制御、ユーザーごとあるいは経路単位の占有可能な帯域の制御(QoS)など、専用線とほぼ同等の高品位な接続サービスを提供できるわけだ。この品質を生かすには、拠点とIP-VPN網を結ぶ足回り回線についても、広域イーサネットなど相応の品質のものを利用することが求められる。FTTHやADSLからのアクセスも可能だが、パフォーマンス面や信頼性の面で足回り回線がネックになる可能性がある。
一方、エントリーVPNの場合は事業者網のみを使って拠点同士を接続するが、この網はMPLS網ではなく、事業者が契約者のインターネットアクセス向けに用意している一般的なIP網だ。つまり、実質的にこのIP網はVPN専用網ではなく、同じエントリーVPNユーザーやインターネットアクセスの契約を行っているユーザーも利用する「準公衆網」といえる。
もちろん、網内ではインターネットアクセス向けのトラフィックと分離されているが、FTTHやADSLなど、一般的なインターネット接続サービスと同じく「ベストエフォート」なサービスであり、事業者としてはSLA(サービス品質保証制度)を提供することが実質的に困難である。この点が、IP-VPNと決定的に異なる点だ。また、セキュリティ面では、IP-VPNではMPLS網上で閉塞性を確保している形であるが、エントリーVPNではIPsecというVPN技術そのものに委ねられている、という違いがある。
図2●IP-VPNとエントリーVPNとの違い(エントリーVPNはGroup-VPNの場合)IP-VPNは、一瞬たりとも遅延や回線断が許されないような、ミッションクリティカルなトラフィック、さらには、極めて機密性の高いデータの流通にも対応することを「保証」するフルスペックサービスとして成立しているわけであり、それが利用コストの大きな差となって現れているのだ。
利用できる最大帯域は足回り(FTTH/ADSL)の実効帯域に依存し、回線の混雑状況によって帯域が常に変動するが、実際の帯域は一般のインターネットアクセスの場合とほぼ同じと考えればよいだろう。また、無保証型のサービスとはいえ、実際にアクセス不能になるような障害が発生するケースは極めてまれだ。
といっても、何か問題が起こってWANが利用不能になってはもちろん困る。Group-VPNでは、メイン回線と、アッカネットワークスのADSL回線またはISDN回線いずれかの足回りで二重化し、メイン回線障害時に対応することができる。また、異なる接続点に対して2つのPPPoEセッションを張って冗長化することも可能だ。この詳細は、後編で詳しく解説する。
エントリーVPNにマッチする利用シーン
エントリーVPNはコストパフォーマンスに優れており、専用線並みの回線品質と閉塞性をシビアに求めないのであれば、検討する価値は十分にある。導入も、基本的に事業者のレンタルルータを使って指定のVPN終端装置へ接続するだけであり、専任のシステム管理者を設けるのが難しい中堅・中小企業での導入メリットは特に高いはずだ。
| インターネットVPN | IP-VPN | エントリーVPN | |
|---|---|---|---|
| メインとなるVPN技術 | IPsec、SSL-VPN | MPLS | IPsec(フレッツ・グループアクセス、フレッツ・グループでは提供されない) |
| 月額コスト(1契約当たり) | 不要。すべて自前で構築する場合、VPNに掛かる費用は0円。ただしマネージドサービスでは数千円〜3万円程度が掛かる | 比較的高価(数万〜数百万円)。回線の帯域やサービス品目によって大きく異なる。さらに足回り回線費用も必要 | 安価(735円〜2万円程度)。サービスの種類によって幅があるが、比較的リーズナブル |
| トポロジー | スター型(一部マネージドサービスでメッシュ型にも対応) | フルメッシュ型 | 疑似メッシュ型(網内VPN装置を核として接続) |
| 最大拠点数 | 使用機器によって異なる | 100〜無制限(サービスによって異なる) | 10〜100程度 |
| 閉塞性の高さ | やや低い | 高い | やや高い |
| 障害対応 | △(自前で構築) | ○(IP-VPN網内は事業者が保証) | ○(オプションサービスを利用) |
| QoS | × | ○ | × |
| SLA(帯域保証、伝送遅延保証など) | × | ○ | × |
| 運用管理 | VPN構成や証明書などを自前で管理(一部マネージドサービスでは有償で対応) | IP-VPN網内は事業者が管理 | 指定するVPNノードへの接続設定が行われていれば、基本的に管理不要(サービスによって異なる) |
| アクセス回線の制約 | なし | なし | 指定あり |
| 地域による拠点接続の制約 | なし | なし | 一部サービスであり |
| 適した利用シーン | 小規模オフィス間の拠点接続など | 中〜大規模基幹システムのWAN接続など | 小規模オフィス間の拠点接続など |
本社などの拠点にファイルサーバを置き、支店やサテライトオフィス、SOHOのスタッフ間でファイルを共有するといったオーソドックスな用途をはじめ、グループウェアやメッセージングサービスを使った情報共有、業務システムの全拠点展開――といった発展も容易だ。また、サービスによっては、外部からのモバイルアクセスやIP電話サービスなどのオプションを用意しており、ノートPC/小型情報端末でのモバイルアクセスや拠点間の無料IP電話なども利用できる。
図3●エントリーVPNの活用イメージもっとも、不向きな用途もある。極端な例を挙げると、各拠点のデータをVPN経由で定期的にバックアップしたり、大きな容量のグラフィックデータやビデオデータなどを常時やりとりするといった用途では、サーバを設置する拠点にトラフィックが集中し、その拠点だけが慢性的なトラフィック不足に陥る危険がある。加えて、障害による接続断の影響が出やすい、夜間作業についても注意が必要である。例えば、全拠点のデータをバッチ処理でバックアップしたり、必要な帳票データを配布するなどの処理を夜間に実行する場合、万一障害が発生して翌日の業務がストップしてしまう、ということもあり得る。回線の二重化や処理ワークフローの見直しなどが必要となってくるだろう。
このほかにも、エントリーVPNの制約事項が幾つかある。例えば、最大拠点数の上限や提供エリアの制約、IPアドレスの払い出し方法、足回りとして使うアクセス回線の制約など、サービスによって内容が異なっている。また、利用できるオプションサービスも異なる。後編ではサービス導入ガイドとして、Group-VPN、NTT東日本のフレッツ・グループアクセス、NTT西日本のフレッツ・グループについての詳細なサービス内容と、具体的な利用シーンを解説していく。
この記事を読んだ人にお薦めのホワイトペーパー
この記事を読んだ人にお薦めの関連記事
ITmediaはアイティメディア株式会社の登録商標です。