“遅いMicrosoft 365”を解消する「SD-WAN」の利点と、見落とせない課題：クラウドサービスのトラフィック最適化【第6回】

「Microsoft 365」（Office 365）をはじめとするクラウドサービスを快適に利用するために、通信を最適化する手段として「SD-WAN」があります。そのメリットと注意点を整理します。

[石塚 健太郎，A10ネットワークス]

　オフィススイート「Microsoft 365」（Office 365）のようなSaaS（Software as a Service）の動作が遅くなる問題は、ネットワークの構成を変更したり、ネットワークに改善を加えたりすることで解消できる可能性があります。第5回「“遅いMicrosoft 365”をネットワーク大改造なしで解消する『ADC』の利点と課題」で紹介した、「ADC」（アプリケーションデリバリーコントローラー）を介したトラフィックの振り分けはその一つです。SaaSをはじめとするクラウドサービスとの接続を改善するために最適な手段は、組織の方針や既存のネットワーク構成によっても異なります。

　本稿は「SD-WAN」（ソフトウェア定義ネットワーク）を利用した手段について、メリットと注意点を紹介します。

併せて読みたいお薦め記事

「SD-WAN」を使う理由

• “VPNで在宅勤務”の課題とは？　「SD-WAN」はどう解決するのか
• 在宅勤務が拡大すると「SD-WAN」の導入が合理的になる理由

「Microsoft 365」「Google Workspace」関連の記事

• 「Microsoft 365」と「G Suite」の違いをストレージ容量と月額料金で比較する
• 「Microsoft 365」の見落とすと厄介な“あの制限”とは
• 「Office 365」のセキュリティ対策、忘れると危険な3つのポイント

SD-WANを利用したトラフィック最適化のメリット

　クラウドサービスとの通信を最適化する手段として、SD-WANがもたらす主なメリットは以下の通りです。

• アプリケーション識別に基づくトラフィック制御ができる
• 小規模拠点にも比較的安価かつ容易に導入できる
• さまざまなWAN回線の構成を採用できる

　SD-WANのアプリケーション識別とトラフィックの制御機能を利用することで、各拠点に引き込んだインターネット回線にクラウドサービスのトラフィックを直接送信できます。こうした「ローカルブレークアウト」をすることで、データセンターと接続する拠点間ネットワークの通信負荷を軽減できます。

　一般的にはSD-WAN用のネットワーク機器はルーティング機能を併せ持ち、小規模拠点に配置できる安価な製品も少なくありません。ネットワーク機器に設定を自動的に流し込む「ゼロタッチプロビジョニング」という機能を備えた製品の場合は、ネットワーク管理者が導入拠点まで行かなくても設定が可能です。

　SD-WANは「IPsec」などのセキュリティプロトコルを使って、暗号化した仮想的な経路をWAN回線に確立します。そのため「IP-VPN」のような専用のWAN回線を利用せずに済むことが利点です。WANの経路はソフトウェアによって制御できるため、必要に応じて迅速にネットワーク構成を変更できることもSD-WANの利点です。

SD-WANの注意点

　一方で、SD-WANによるトラフィック制御で注意すべき点は下記の通りです。

• データセンターでプロキシサーバを利用する場合は経路設計に配慮が求められる
• 確実に全てのアプリケーションを識別できるわけではない
• 大規模拠点でのサイジングには特に注意が求められる

　プロキシサーバを経由するようにクライアントデバイスを設定している場合は注意が必要です。インターネット向けのトラフィックが全てプロキシサーバに向かってしまうと、SD-WANによるローカルブレークアウトができなくなってしまう可能性があるからです。プロキシサーバを利用する場合は、クライアントデバイスにプロキシサーバを自動的に選択する仕組み（「プロキシ自動設定ファイル」など）を導入したり、データセンターのプロキシサーバを廃止してクラウドサービス形式のプロキシサーバに切り替えたりする必要があります。

　SD-WANは100％確実なローカルブレークアウトを保証できるわけではありません。SD-WANによるトラフィックの振り分けは、識別可能なアプリケーションのリストや、動的に更新されるクラウドサービスのIPアドレスリストに基づいています。これらのリストの網羅性や正確性がローカルブレークアウトの精度に影響するのです。

　アプリケーション識別の際は、通信パケットの中身を観測します。この際、アプリケーションとクライアントデバイスが接続する際の最初の幾つかのパケットのやりとりだけではアプリケーションを識別するための情報が十分に得られず、確実にローカルブレークアウトができないことがあります。他のアプリケーションとパケットの中身が類似している場合も、十分にアプリケーションを識別できないことがあります。

　ほとんど変更されることのないドメイン名と異なり、クラウドサービスへの接続先となるIPアドレスは、比較的頻繁に変更されます。変更は機能やサービスの追加／削除、コンテンツ配信ネットワーク（CDN）を介したサービス配信などの際に発生します。SD-WANがこうした変更に追随できないことがあります。

　SD-WANは一般のルーターよりも比較的複雑な処理を担うため、処理できる同時セッション数に制限がある場合もあります。Microsoft 365のようなオフィススイートのSaaS（Software as a Service）は、PC1台当たりのセッション数が多くなる傾向にあるため、多数の従業員が同時に利用する大規模拠点への導入ではサイジングに注意する必要があります。

　総じて、SD-WAN製品を用いたトラフィック制御が適しているのは下記のようなケースです。

• 多数の中小規模拠点がある
• 拠点間をつなぐWAN回線の逼迫（ひっぱく）を解消したい、または増強を避けたい
• 全てのWAN回線をインターネット回線に変更したい
• クラウドサービス中心のネットワーク構成に切り替えたい

執筆者紹介

石塚 健太郎（いしづか・けんたろう）　A10ネットワークス　ソリューションアーキテクト／博士（情報学）

マルチクラウドやクラウドサービスの活用につながる製品の開発・提案を担当。ネットワーク最適化の知見を国内企業に展開している。