SD-WANとは?

Software-Defined Wide Area Network(SD-WAN)は、さまざまなネットワークハードウェアで動作する制御ソフトウェアにより、長距離にわたるローカルエリアネットワーク(LAN)を接続します。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • SD-WANとは何かを説明する
  • SD-WANと従来のWANを対比する
  • SD-WANとNaaSを比較する

記事のリンクをコピーする

SD-WANとは?

Wide Area Network(WAN)は、複数のLocal Area Network(LAN) を長距離間で接続したネットワークのことです。多くの場合、大規模な組織では、さまざまな支店や拠点を中央の企業ネットワークに接続するためにWANを使用します。従来のWANでは、ソフトウェア(ネットワーク内のトラフィックの流れを定義する)と、ハードウェア(実際にトラフィックを誘導する)が密接に結びついています。通常、このソフトウェアとハードウェアの組み合わせは、単一のネットワーキングベンダーから購入します。

Software Defined WAN(SD-WAN)は、WANをさらに柔軟にしたアーキテクチャであり、複数のハードウェアプラットフォームと接続オプションの利点を活用できます。制御用のソフトウェアは、あらゆるネットワークハードウェアで動作します。組織は、専用のハードウェアではなく、既製のハードウェアを使用してSD-WANを構築することができます。このため、SD-WANは従来のWANよりも安価で柔軟性が高く、拡張性に優れています。

複数の接続方式とネットワークタイプに対応したSD-WAN

独自のOSを搭載したデスクトップパソコンと、さまざまなパソコンで動作するLinuxなどのOSを搭載したデスクトップパソコンの違いを考えてみましょう。前者のデスクトップパソコンは、ソフトウェアとハードウェアが緊密に結びついています。OSとそれが動作するハードウェアを、一緒に購入しなければなりません。これに対して、LinuxOSは、さまざまなベンダーの多くの種類のデスクトップパソコン上で動作させることができます。Linuxを動作させるパソコンが欲しい人は、安価なモデルから高価なハイエンドゲーミングパソコンまで、幅広い種類のパソコンから選ぶことも、市販のハードウェア部品から自分でパソコンを作ることもできます。

このデスクトップパソコンの選択に関連する長所と短所は、従来のWANとSD-WANに関連する長所と短所とは関係ありませんが、同様の原理が適用されます。LinuxOSと同様に、SD-WANのソフトウェアは基盤となるハードウェアから切り離して考えることができるため、組織は使用するハードウェアについてより多くの選択肢を持つことができます。

SD-WANの仕組みとは?

SD-WANは、コントロールプレーンをデータプレーンから分離することで成り立っています。ネットワークにおいて、コントロールプレーンとはデータの行き先を指示するためのすべての要素を指します。データプレーンは、コントロールプレーンの指示に従ったデータの転送処理を行います。

これまで、コントロールプレーンとデータプレーンは、ベンダー固有のハードウェア機器を使用して緊密に結合されていました。SD-WANでは、ソフトウェアベースのコントロールプレーンとハードウェアベースのデータプレーンを分離し、専用のハードウェアルーターではなく、コモディティハードウェア上で動作するソフトウェアでルーティングを実行できるようにします。

SD-WANを利用するメリットにはどのようなものがあるか?

  • 柔軟性:SD-WANは、従来のWANで使われていたレガシーな手法も含め、ルーティングに多様なアプローチを用いることができます。SD-WANは、1つのネットワークベンダーに依存するのではなく、必要に応じてコモディティハードウェアを購入することで、より簡単にプロビジョニングすることができます。
  • コスト削減:組織はソフトウェアとハードウェアの両方を同じベンダーから購入することに縛られないため、より維持費の安いハードウェアを選択して購入することができます。さらに、SD-WANは、高価なマルチプロトコルラベルスイッチング(MPLS)接続ではなく、通常のインターネット接続を使用できます(SD-WANとMPLSの詳細な比較)。
  • スケーラビリティ:SD-WANは、ビジネスニーズに合わせて簡単にスケールアップまたはスケールダウンすることができます。通常のインターネット接続を使用するため、サイトの追加や削除、帯域幅の拡張が簡単に行えます。

ソフトウェア定義ネットワーク(SDN)とは?

Software-Defined Networking(SDN)は、ソフトウェアによってネットワークの管理やネットワークトポロジーの調整を可能にする技術のカテゴリーを指します。SD-WANは、SDNの原則を適用する方法の1つです。すべてのSD-WANはSDNを使用していますが、SDNで構築されたネットワークがすべてSD-WANというわけではありません。

SD-WANとNetwork as a Service(NaaS)の対比

Network as a Service(NaaS)は、組織が独自にネットワークを構成するのとは対照的に、ネットワークサービスをクラウド事業者から購入するモデルです。

NaaSの場合、組織はインターネットに接続できる環境さえあれば、内部ネットワークを構成し、利用することができます。サービスの設定方法によっては、SaaSIaaSのような他のクラウドサービスモデルが従来のオンプレミス処理環境と比較した場合と同様に、NaaSはSD-WANと比較して、より高い柔軟性とより高いコスト削減を実現することができます。

Cloudflare Magic WANは、NaaSモデルの一例です。Magic WANは、ハードウェア機器や高価な独自回線を、Cloudflareのグローバルネットワークに置き換えるように設計されています。Magic WAN、または NaaSの詳細についてご覧ください。

SD-WANとZero Trust

SD-WANで使用される接続方法が複数ある可能性があるため、ネットワークのエッジに配置され、そのネットワークの境界を防御することを前提とした従来のセキュリティ対策では想定外の方向にトラフィックが流れる可能性があります。SD-WANの実装は、より広範なハードウェアを使用し、関係する接続の種類が多いため、攻撃対象領域も増加する可能性があります。

このような理由から、従来のセキュリティ対策は、SD-WANを攻撃から守るには不向きである可能性があります。これに対し、Zero Trustセキュリティは、正当なトラフィックを検証し、悪意のあるトラフィックはその発信元を問わずブロックするよう設計されています。Zero Trustセキュリティでは、ネットワーク境界の内外にかかわらず、プライベートネットワーク上のリソースにアクセスしようとするものに対して厳格な本人確認を行う必要があります。従来のITネットワークセキュリティは、ネットワーク内のあらゆるものを信頼しますが、Zero Trustアーキテクチャは、暗黙のうちに誰も信頼しません。

したがって、SD-WANとZero Trustの統合は、柔軟な接続性と厳格なセキュリティを両立させたい企業にとって、しばしば望ましいものとなります。2つの異なるソリューションを組み合わせるのではなく、SD-WANプロバイダーがZero Trustセキュリティ対策をネイティブに搭載していることが理想的です。このような展開の仕組みについて、詳しくご覧ください

ネットワーク層について