マネージドVPNはプライベートクラウドへの第一歩セキュア・安価な拠点間接続の最右翼、マネージドVPN最新事情
本社や支店など、拠点間を接続するにはもはやVPNが必須といえる。しかし、VPNの導入や回線の運用は中小企業にとって決して容易ではない。こうした問題は、マネージドVPNの導入によって解決できる。
意外と難しいVPNの拠点間接続
企業のWAN回線は今や、光回線やADSL回線などを足回りに、インターネット経由でLANを相互接続するVPN(仮想プライベートネットワーク)が主流となっている。VPNを実現する方式には、最も容易にVPNを構築でき、運用管理も簡単な「PPTP」、公開鍵/運用鍵を用いて厳密な相互認証と暗号化を行う「IPsec」、Webで使われているSSL技術を用いたリモートアクセス向けの「SSL VPN」がある。
これらは、それぞれのVPN方式に対応するゲートウェイ機器を拠点ごとに設置するだけであり、特別な回線の契約は必要ない。現在使っているインターネット回線をそのまま利用してリーズナブルにVPNを構築できるため、中堅・中小企業で最も広くに利用されている。これらは一般に「インターネットVPN」といわれている。
そして、企業のWAN回線(LAN間接続)に一般的に使われるVPN方式がIPsec方式である。IPsecは厳格に通信の正当性を検査する技術。単にデータを暗号化するだけではなく、パケットデータの改ざんやなりすましを厳密に精査し、発信元やデータの内容の真正性を保証するので、セキュリティレベルは高い。
だが、IPsec方式のVPNの導入、運用は簡単ではない。すべて自前でVPNを構築しようとする場合はまず、拠点の数だけのVPNゲートウェイ機器(VPNルータ)を購入し、設置作業を行う必要がある。それだけではない。IPsecではIKE(インターネット鍵交換)という仕組みを使って相互認証とデータの暗号化を行うため、公的な認証機関から電子証明書を取得し、そのデータをVPNゲートウェイ機器にインストールして適切に設定する必要もある。
| 項目 | 内容 |
|---|---|
| WAN回線の見直し | 足回りとなるインターネット接続回線が拠点間のトラフィックを適切に伝送しているか、実スループットを基に必要に応じて回線の見直しを行う |
| 拠点間スループットの検討 | 本社などサーバが設置されている拠点に対して、どの程度アクセスが集中するかを計測・予測する |
| VPN機器の選定 | 各拠点のスループットを考慮して、最適なVPN機器を検討/選定する |
| LANの見直し・再設計 | VPNによって従来のサーバやサービスが問題なく利用できるかどうかを検討。場合によってはLANの再構築を行う |
| VPN機器の設置・設定 | VPN機器を設置し、拠点間をVPN接続するための各種設定を行う。この作業は拠点ごとに実施 |
| VPN接続の運用 | 各拠点に設置されたVPN機器の死活監視、ログ管理などの運用管理を行う |
| 障害への対応 | WAN/LAN回線の障害に対して、原因の切り分けや復旧作業などを行う |
| 専任の管理者がいないオフィスでは初期コストだけではなく運用管理の負担も大きい | |
これらの導入作業にはネットワーク機器やVPNの知識が必要であり、専任管理者がいない中小企業にとっては、社員の中に詳しい人間がいない限り、導入作業を進めることは難しい。また、運用管理の問題もある。トラブルが発生した場合、問題が解決するまでWAN回線が不通になり、業務が停止して大きな損失を招く危険もある。このように、IPsec方式のVPNを自前で構築・運用するのは中小企業にとってかなりハードルが高いといえる。
インターネットVPNとマネージドVPNの違いは?
このような問題を解決するのが、「マネージドVPN」だ。マネージドVPNは、VPNゲートウェイ機器の調達、設置、設定、運用、保守など作業の一切を通信事業者に任せることで容易にVPNを導入できるようにするサービスだ。サービス内容は事業者によって異なるが、基本的にユーザー企業が管理を行う必要はなく、導入・運用の負担を大きく減らせるのがポイントだ。また、ほとんどのサービスにおいて、エンジニアがユーザーのオフィスに訪問して設置や設定などを行う「オンサイトによる設置/保守」に対応している。
接続形態は、拠点間のエンド・ツー・エンド接続が基本であり、支店、サテライトオフィスなど、数カ所〜数十カ所の拠点と本社とを接続する用途に向いている。ただサービスによっては、拠点同士をメッシュ構成あるいはスター型で接続できるものもある。通信速度は足回りとなるインターネット回線の速度や、利用するVPNゲートウェイ機器の種類によって異なるが、光回線なら平均で10M〜30Mbps程度の帯域を見込める。
複数のVPNセッションに対応したVPNルータを使って、拠点間をメッシュ構造で接続した例。各VPNルータで拠点間接続(多接続)の設定を行う必要があるまた、マネージドVPNの特徴として、通信事業者が提供するサービスの場合はその事業者網内でVPN接続を行うことが挙げられる。この点で、さまざまな事業者網(バックボーン)を経由して拠点と接続するインターネットVPNよりも信頼性が高いといえる。さらにサービスによっては、複数のWAN回線を使った冗長構成も可能であり、機器の故障・WAN回線の障害に対応できるものもある。
マネージドVPNサービスの1つ「IIJマネージドVPN PROサービス」の運用例。VPNルータ2台による冗長構成、または1台のVPNルータで2つの回線を切り替える冗長構成も可能。3G回線によるモバイルアクセスにも対応する月額のランニングコストもさほど高くはない。拠点当たりの月額料金は3000〜1万円程度、アクセスが集中する重要拠点でも10万円程度だ。また通常、VPNゲートウェイ機器はレンタルで提供されるので、自前で機器を購入したりライセンス料金を支払う必要はない。
それでは、具体的なサービスについて見ていくことにしよう。
十人十色? 各マネージドVPNサービスの特徴を知る
「OCNビジネスパックVPN」――リーズナブルなVPNサービス
| 内容 | |
|---|---|
| 事業者 | NTTコミュニケーションズ |
| 対応トポロジ | エンド・ツー・エンド型、メッシュ型 |
| 回線冗長化 | ISDN回線による冗長化が可能(ヤマハRTX1100を一般拠点で使用した場合のみ) |
| 対応アクセス回線 | NTT東西の提供するフレッツサービスのアクセス回線またはOCNが提供するイー・アクセスの回線 |
| 初期導入方法 | オンサイトによる機器の設定、設置のみ |
| 基本月額料金 | 2625〜1万2075円(1拠点当たり) |
NTT東西が提供する、OCN網にアクセス可能なブロードバンド回線を利用してリーズナブルなIPsec VPNが利用できるサービスである。レンタル提供されるVPNルータは、ヤマハの「RT107e」「RTX1100」「RTX1500」が利用できる。従来提供されていたJuniper NetScreen製品は現在、新規申し込みを中止している。また、SSL VPNサービスの提供も終了しており、ヤマハのVPNルータによるIPsecのみのサービスとなる。月額料金も2625〜1万2075円(1拠点当たり)とリーズナブルだ。
基本サポート内容は、機器故障時の代替機交換(センドバック)保守、ビジネスアワーのオンサイト保守、365日24時間のオンサイト保守の3つから選ぶことができ、それぞれ月額料金が異なっている。またオプションとして、VPN機器リソース監視や故障時の能動保守、専用ポータルにアクセスしてのネットワーク稼働状況のリポート出力、VPN機器故障時の保守、リモートでの簡易ポリシー変更などにも対応する。
「UTLINA Managed VPN」――手厚いオンサイト導入/保守が基本
| 内容 | |
|---|---|
| 事業者 | ソフトバンクテレコム |
| 対応トポロジ | エンド・ツー・エンド型 |
| 回線冗長化 | なし |
| 対応アクセス回線 | ULTINA InternetまたはODN回線(ULTINA Internetサービスに含まれる、NTT東西の提供するフレッツサービスのアクセス回線利用も可能) |
| 初期導入方法 | オンサイトによる機器の設定、設置のみ |
| 基本月額料金 | 7245〜3万7905円(1拠点当たり) |
NECネッツエスアイとの協業によるサービス。VPN機器はNECの「IXシリーズ」をレンタル提供する。インターネット接続回線は「ULTINA Internet」「ODN」のみだ。ULTINA Internetサービスは法人向けのインターネット接続サービスであり、FTTH、ADSLでの接続プランとして「ブロードバンドアクセス フレッツプラン」を用意している。
保守についてはオンサイトのみとなっており、平日9〜17時の対応か、24時間365日対応かのいずれかを選べる。機器の故障については24時間受け付けを行うが、24時間365日の保守を契約していれば、即座に代替機器の手配などを対応してもらえる。また、保守センターがVPN機器の監視を行っており、通信に障害があった場合は障害切り分けを実施した上で担当者に連絡をする。このように、本サービスは手厚いサポートが特徴だ。
「IIJマネージドVPN PROサービス」――モバイルにも対応するVPNサービス
| 内容 | |
|---|---|
| 事業者 | IIJ |
| 対応トポロジ | エンド・ツー・エンド型、フルメッシュ型 |
| 回線冗長化 | 回線二重化および機器の二重化に対応 |
| 対応アクセス回線 | NTT東西の提供するフレッツサービスのアクセス回線またはイー・アクセスの回線(バックアップ用) |
| 初期導入方法 | ユーザーによる設置作業。オプションでオンサイトによる機器の設定・設置もあり |
| 基本月額料金 | 8000〜16万8000円(1拠点当たり) |
本サービスは、NTT東西のフレッツ回線を利用してVPNを構築するサービスだ。1台のVPNルータによるフレッツ網とイー・アクセス回線双方を使ったWAN回線の二重化、および2台のVPNルータによる機器/回線の二重化に対応している。この仕様により、ミッションクリティカルな基幹業務にも対応できる。また、同社の3G通信サービス「IIJ mobile」にも対応し、モバイルPCからのアクセスも可能だ。
導入に当たっては、送付された設定済みのVPN機器をユーザーが設置、結線する形が基本だが、有償でサポートエンジニアによるオンサイト作業を依頼することもできる。導入後の拠点の変更や増減に伴う機器設定変更については、IIJセンターが拠点に対してリモートで実施する。ハードウェア保守はセンドバック/24時間オンサイト保守のいずれかを選べる。
「InfoSphere ダイナミックVPN」――容易な導入と一元サポートが可能
| 内容 | |
|---|---|
| 事業者 | NTTPCコミュニケーションズ |
| 対応トポロジ | エンド・ツー・エンド型、フルメッシュ型 |
| 回線冗長化 | 回線二重化および機器の二重化に対応 |
| 対応アクセス回線 | NTT東西の提供するフレッツサービスのアクセス回線 |
| 初期導入方法 | ユーザーによる設置作業。オプションでオンサイトによる機器の設定・設置もあり |
| 基本月額料金 | 1万3860〜8万6100円(1拠点当たり) |
NTT東西のフレッツ回線を利用してVPNを構築するサービスである。導入に当たっては、担当者がユーザーの下に出向き、ヒアリングを行った上で最適なプランを提示するので、間違いのないVPN導入ができる。また、事業者センター側からリモートで自動設定が可能な独自の「アクティブスタートアップ」機能により、拠点を新設した場合でもセットアップのコストや手間を最小限に抑えられる。もちろん、オンサイト導入を依頼することも可能だ。
サポートについては、VPN機器の故障、あるいはNTT東西のフレッツ回線/InfoSphereネットワークのいずれかの障害など、問題の切り分けができない場合でも「一元故障受付」で故障を受け付けてもらえる。このサポート窓口は365日24時間対応しているので安心だ。
「インターネットVPNパッケージ」――オーダーメードで構築できるVPNサービス
| 内容 | |
|---|---|
| 事業者 | KDDI |
| 対応トポロジ | エンド・ツー・エンド型、フルメッシュ型 |
| 回線冗長化 | あり(応談) |
| 対応アクセス回線 | Business-ADSL、Business-DSLエコノミー、KDDI光ダイレクトなどKDDIのインターネット回線、もしくは現在利用中のインターネット回線 |
| 初期導入方法 | オンサイトによる機器の設定・設置のみ |
| 基本月額料金 | 4200〜11万2000円(1拠点当たりの目安) |
KDDIの法人向けインターネット回線またはそれ以外のインターネット回線を使い、VPNを構築する。レンタルされる機器は古川電工の「FITELnet」シリーズ、ヤマハのRT107e/RTXシリーズ、シスコシステムズのVPNルータなど、多彩な機種の中からユーザーのヒアリングに基づいて導入機種や具体的な接続プランを設定する。
また、VPNルータの死活監視や回線の監視、異常の通知などについては、同社の法人向けネットワークサービス「ネットワークマネージメントサービス」で対応する。さらに、VPN機器の冗長化やWAN回線の冗長化についても対応可能だ。このように、ニーズに応じてオーダーメード感覚でサービスが導入できるのが特徴である。
「マネージドVPN“ダイナミックリンク”」――独自のマネジメントツールで運用
| 内容 | |
|---|---|
| 事業者 | ソニーブロードバンドソリューションズ |
| 対応トポロジ | エンド・ツー・エンド型、フルメッシュ型、ハブ型 |
| 回線冗長化 | あり |
| 対応アクセス回線 | bit-driveが提供するインターネット回線または現在利用中のインターネット回線 |
| 初期導入方法 | オンサイトによる機器の設定・設置またはオンサイトによる作業を選択 |
| 基本月額料金 | 9240〜3万4650円(1拠点当たり) |
シスコシステムズのVPNルータ(拠点ルータ)と事業者側のハブルータとを組み合わせ、DMVPN(ダイナミックマルチポイントVPN)という機能で拠点間通信を行うという、ユニークなサービスである。通常は拠点ごとに機器設定が必要であるが、この機能は拠点ルータとハブルータが接続されると、自動的に全拠点の通信が可能になる。
使いやすいマネジメントツールを備えており、拠点またはインターネットが利用できる環境から全拠点の設定を行ったり、各拠点のルータの稼働状況やログなどを集中的に監視できる。また、24時間365日のオンサイト保守サポートにも対応している。
マネージドVPNサービス、選択の基準は?
このように、現在提供中のマネージドVPNサービスには多くの種類があり、サービス内容はそれぞれ細かく異なる。しかし、基本的なサービスそのものには大きな違いがないので、どれを選べばいいのか迷うところだろう。ここでは、サービスを選択する上でのポイントについてまとめてみる。
- 初期導入方法
マネージドVPNサービスは、オンサイトによる機器の設置・設定が基本であるが、IIJマネージドVPN PROサービスのように設定済みのVPNルータを送付し、ユーザーが作業を行うサービスもある。また、InfoSphere ダイナミックVPNのように、事業者側がリモートで設定を行うものもある。
これらは、専門的な知識は特に必要とせず、家庭用のブロードバンドルータや無線ルータを設定する程度のスキルがある社員がいれば問題なく設置できることもあり、拠点当たり7万〜10数万円のオンサイト設置費用を節約できる。この場合は、あえてオンサイト設置しか対応していないサービスを選ぶ必要はない。
- 対応トポロジ
本社などサーバが集中する拠点と、ほかの拠点をエンド・ツー・エンドで接続するのであれば、ほとんどのサービスが対応できる。拠点同士を接続するニーズが高いのであれば、メッシュ対応のサービスを選ぼう。また、スモールオフィスやサテライトオフィスなど、拠点の追加・廃止が頻繁に発生することが予想される場合は、マネージドVPN“ダイナミックリンク”のように、VPNルータの設置や設定が容易にできるサービスを選ぶのがよい。
- 冗長化構成
マネージドVPNは通常のインターネット回線を使うため、コネクティビティーや遅延、帯域に関して100%の保証がなく、機器の故障も心配だ。特に、基幹業務にWAN回線を使っている場合は、重要な拠点に対してVPNルータやインターネット回線の冗長化が行えるサービスを選ぶのが望ましい。今回紹介したサービスの中では、IIJマネージドVPN PROサービス、InfoSphere ダイナミックVPN、インターネットVPNパッケージ、マネージドVPN“ダイナミックリンク”が対応している。
- 運用監視サービス
運用監視については、ほとんどのサービスでWAN回線や各拠点に設置したVPNルータの死活状態の常時監視メニューを用意している。ただし、OCNビジネスパックVPNやインターネットVPNパッケージのように、運用監視がオプション扱いになっている(OCNビジネスパックVPNの場合はVPNルータの死活監視のみ対応)こともあるので、注意したい。この辺りは導入前に事業者とよく相談し、確認しておこう。
このほかにも、オプションサービスの充実度や全拠点を含めたランニングコストなど考慮すべき点は多い。これまで述べてきたようなポイントを参考に、最適なマネージドVPNサービスを選んでいただきたい。
この記事を読んだ人にお薦めのホワイトペーパー
この記事を読んだ人にお薦めの関連記事
ITmediaはアイティメディア株式会社の登録商標です。