“遅いMicrosoft 365”をネットワーク大改造なしで解消する「ADC」の利点と課題：クラウドサービスのトラフィック最適化【第5回】

クラウドサービス利用時のトラフィック最適化の手段を検討する際は、組織の戦略とネットワーク構成との整合性を取ることが重要です。有力な手段である「ADC」について、そのメリットと注意点を整理します。

[石塚 健太郎，A10ネットワークス]

　オフィススイート「Microsoft 365」（旧称Office 365）や「Google Workspace」（旧称G Suite）をはじめとしたSaaS（Software as a Service）の動作が遅くなる問題を解消するには、ネットワーク構成を見直してトラフィックを最適化することが必要です。これは本連載でこれまでに解説してきた通りです。

　トラフィック最適化の手段を選択する際は、組織の競争力強化の方針と、ネットワーク構成との整合性を取ることが重要です。事業戦略や従業員の働き方に応じて、ネットワーク構成とセキュリティ対策の在り方が変わってきます。社内システムを全面的にクラウドサービスに移行させる（クラウド化する）のか部分的にクラウドサービスを利用するのか、従業員はどこで仕事をするのか、といった組織ごとの方針によって最適なネットワーク構成は異なります。

併せて読みたいお薦め記事

「Microsoft 365」「Google Workspace」関連記事

• 「Microsoft 365」と「G Suite」の違いをストレージ容量と月額料金で比較する
• 「Microsoft 365」の見落とすと厄介な“あの制限”とは
• 「Office 365」のセキュリティ対策、忘れると危険な3つのポイント

「ADC」関連記事

• ネットワーク管理ツール「ADC」に加わる新機能　柔軟で動的なツールに変化
• マイクロサービス対応「ADC」の新機能　企業のセキュリティ確保が可能に

　組織の方針によっては、各拠点からインターネットへ接続する通信をデータセンターに集約する「データセンター集約型」のネットワーク構成を脱し、クラウドサービスに適したネットワーク構成へと大きく変更を加えるべきケースがあります。反対に、既存のネットワーク構成を維持する方が組織の方針に適する場合もあります。ここからはそれを検討するために参考にすべき点として、各トラフィック最適化手法のメリットや注意点を紹介します。

「ADC」によるトラフィック最適化のメリット

　「アプリケーションデリバリーコントローラー」（ADC）を用いたトラフィック最適化の方法については「Microsoft 365（Office 365）の遅延解消に役立つ『ADC』『SD-WAN』の実力とは？」で紹介しました。ここではADCを使ったトラフィック最適化のメリットと導入時の注意点を紹介します。

　ADCを使うと以下のようなメリットが期待できます。

• データセンター集約型のネットワーク構成を大きく変える必要がない
• 複数のWAN回線を利用した場合の負荷分散ができる
• ドメイン名ベースのトラフィック制御ができる
• SaaSのアカウント制御を同時に実現できる

　ADCは既存のデータセンター集約型のネットワーク構成を、物理的にも論理的にも大きく変更せずにトラフィックを最適化できます。クライアントデバイスがインターネットなどの外部ネットワークに接続する際に経由するプロキシサーバとして、ADCを使うように設定を変更するだけで済みます。

　Microsoft 365などのSaaSの接続先は、一般的にドメイン名（URLとして利用される文字列）で規定されており、ADCはこのドメイン名で通信を振り分けます。データセンターに既存のプロキシサーバがある場合や、ドメイン名で確実にSaaSのトラフィックを分散させたい場合にADCの利用が適しています。

　SaaS運用時に、セキュリティの観点から「個人や協力会社のアカウントを禁止したい」「組織で許可したアカウントのみを通信させたい」といった要件を設ける企業もあります。こうしたときにもADCの機能が役立ちます。セキュリティプロトコル「SSL／TLS」を使った「HTTPS」のような暗号化通信の場合、一般的なネットワーク機器やセキュリティ機器では通信内容の検査ができなくなり、上記のような要望を実現できません。一方ADCには、HTTPS通信を平文化（複号）した上でHTTPヘッダ（HTTPによるリクエストを構成する文字列）を挿入する機能を有する製品もあります。HTTPヘッダに必要なデータを盛り込めば、HTTPS通信であってもアカウント単位のアクセス制御が可能になるのです。

ADC導入時の注意点

　ADCによる通信の振り分けで注意すべき点もあります。以下が主な注意点です。

• ルーターなど追加のネットワーク機器や機能が必要になる
• ボトルネックが発生しないようにネットワーク機器の配置に留意する必要がある
• SaaSのアカウント制御時はクライアントデバイスにCA（認証局）証明書を配布する必要がある

　ルーター機能を備えていないADCを、各拠点からインターネットに直接接続する「ローカルブレークアウト」用として各拠点に導入する場合は、WAN回線に接続するためのルーターが別途必要になり、拠点内に配置する機器点数が増える懸念があります。インフラのクラウド化を進めて、できる限り社内に機器を設置しない方針を採用する場合は、ADC利用との整合性が取れなくなる可能性があります。クラウド化を優先する場合は、ソフトウェアでADC機能を構成する「仮想ADC」をIaaS（Infrastructure as a Service）に設置する方法が考えられます。

　ADCを利用する場合は、クラウドサービス利用時のボトルネックがどこにあるのかに応じて、ADCの設置場所を検討する必要があります。データセンターのプロキシサーバやセキュリティ機器の処理能力がボトルネックになっている場合にはデータセンターに、WAN回線がボトルネックになっている場合には各拠点にADCを配置することになります。

　既に触れたようにADCはHTTPS通信の平文化によるアカウント単位のアクセス制御が可能です。ただしそれを実施する場合は、ADCと共通のCA証明書をクライアント端末にインストールするなど、手間が発生することに注意すべきです。

執筆者紹介

石塚 健太郎（いしづか・けんたろう）　A10ネットワークス　ソリューションアーキテクト／博士（情報学）

マルチクラウドやクラウドサービスの活用につながる製品の開発・提案を担当。ネットワーク最適化の知見を国内企業に展開している。