読了所要時間: 9分14秒 | 公開日: 2025年10月22日
SD-WAN SD-WANとは
ソフトウェア デファインド ワイドエリアネットワーク (SD-WAN) はセキュアアクセスサービスエッジ (SASE) の基本コンポーネントです。仮想WANアーキテクチャーを活用し、トランスポートサービス (Multiprotocol Label Switching (MPLS)、LTE、ブロードバンドインターネットサービスなど) を組み合わせて利用することで、ブランチユーザーをクラウドまたはハイブリッドIT環境全体でホストされているアプリケーションに安全に接続します。
SD-WANの説明
従来のアーキテクチャーは、通常、MPLSリンクを使用してブランチオフィスからデータセンターへのトラフィックをルーティングします。このアーキテクチャーはコストがかかり、柔軟性に欠け、クラウド中心の組織の動的なトラフィックパターンやアプリケーションパフォーマンスの要求に合わせた最適化がなされていません。従来型モデルは、セキュリティ検査のためにブランチオフィスからデータセンターに向けて発生するバックホールトラフィックが帯域幅の浪費とレイテンシの増加を招き、結果的にはアプリケーションパフォーマンスが低下するため、最適とはいえなくなりました。
SD WANは、ブランチ拠点をデータセンターやクラウドに接続する最新の手法です。ソフトウェアを使用して、ブロードバンド、5G、衛星、MPLSなどの複数の接続間でトラフィックをインテリジェントに誘導することで、コストとMPLSへの依存を抑えながら柔軟性を向上させます。SD WANでは、トンネルボンディング、最適パス選択、前方誤り訂正、WAN最適化などの複数の手法を利用して、一貫したアプリケーションパフォーマンスと耐障害性を確保します。ビジネス目的に応じてアプリケーション主導でトラフィックステアリングを自動化し、組み込みのセキュリティ機能によってネットワークセキュリティを強化し、WANアーキテクチャーを簡素化します。
SD-WANアーキテクチャー
一般的なSD-WANアーキテクチャーには、次の3つの主要コンポーネントが含まれます。
- エッジデバイス: ブランチサイト、データセンター、クラウド拠点に展開された物理アプライアンスまたは仮想アプライアンス。ポリシーに基づいてトラフィックを転送し、リンクの健全性をリアルタイムで測定します。
- SD-WAN Orchestrator: すべてのSD-WANノードにわたり、クラウドホスト型またはオンプレミスの構成、ポリシー、および監視の管理を行います。オーケストレーターは、シングルペインオブグラス管理インターフェイスを提供することで操作を簡素化します。
- トランスポート層: SD-WANは、ブロードバンドインターネット、LTE、5G、MPLSなどのあらゆるIPベースのトランスポート上で機能します。このレイヤーはアンダーレイネットワークを形成し、SD-WANは動的なパス選択とフェイルオーバーを備えたインテリジェントなオーバーレイネットワークを形成します。
高度なSD-WANアーキテクチャーには、WAN最適化機能 (TCPアクセラレーション、データ重複排除など)、クラウドへの直接接続、組み込みのセキュリティ制御、SSE (セキュリティサービスエッジ) プラットフォームとの統合も含まれる場合があります。
SD-WANの仕組み
SD-WANとは異なり、従来型のルーター中心のモデルでは、制御機能がネットワーク内のすべてのデバイスに分散し、TCP/IPアドレスおよびACLに基づいてトラフィックをルーティングするだけです。この従来型モデルは、柔軟性に欠け、複雑で非効率的であり、クラウドフレンドリーではないため、ユーザーエクスペリエンスが低下します。
SD-WANは、利用可能なすべてのネットワークリンクのパフォーマンスを継続的に評価し、リアルタイムの状況やビジネスポリシーに基づいてトラフィックをインテリジェントにルーティングすることで動作します。たとえば、優先度が低く設定されたソフトウェア更新よりもVoIP通話を優先したり、大量のトラフィックをブロードバンド経由でルーティングしながら機密データを安全なMPLSリンク経由で誘導したりできます。
その主なメカニズムは次のとおりです。
- アプリケーション認識ルーティング: 最初のパケットでアプリケーションを識別し、サービス品質 (QoS) ルールを適用してパフォーマンスと信頼性を確保します。
- 動的パス選択: レイテンシ、ジッター、パケット損失などのリンクメトリックに基づいて、各アプリケーションフローに最適なパスを選択します。
- 前方誤り訂正: パケット損失を修正し、信頼性の低い接続でのパフォーマンスの問題を解消することで、リンク品質を向上させます。
- トンネルボンディング: 複数のWANリンクを1つの論理接続に結合して、スループットと回復力を向上させます。
SD-WANは、暗号化されたトンネル (通常はIPsec) を使用して動作することも、トンネルフリーかつセッションベースのアーキテクチャーを採用することもできます。これにより、パブリックネットワーク上でも機密性と完全性が確保されます。高度なセキュアSD-WANは、ユーザー、アプリケーション、またはデバイスの役割に基づいてトラフィックをセグメント化することもサポートし、ラテラルムーブメントを防ぎ、セキュリティ境界を維持します。
SD-WANが選ばれる理由
時代は変わり、企業はクラウドを利用し、SaaS (Software as a Service) をサブスクライブするようになっています。従来、ユーザーはビジネスアプリケーションにアクセスするために企業のデータセンターに接続していましたが、現在では、そうしたアプリケーションの多くをクラウド上で使用することで、より良いサービスを受けられるようになっています。
その結果、従来型のWANは適さなくなっています。その主な理由は、クラウド行きのトラフィックも含めてブランチオフィスからのすべてのトラフィックを本社にバックホールすることで、レイテンシが生じ、アプリケーションパフォーマンスが低下するためです。SD-WANでは、WANが簡素化され、コストが軽減され、帯域幅の効率が向上し、クラウドへのシームレスな接続が可能になり、特に重要なアプリケーションにおいて、アプリケーションパフォーマンスが大幅に向上する一方で、セキュリティとデータプライバシーも確保されます。アプリケーションパフォーマンスの向上により、ビジネスの生産性や顧客満足度が向上するため、収益性の向上にもつながります。一貫したセキュリティにより、ビジネスリスクが軽減されます。
SD-WANのメリット
- パフォーマンスの向上: アプリケーションを最適なパスでルーティングし、データセンターへのバックホールを排除します。
- セキュリティの強化: 多くのSD-WANソリューションには暗号化、ファイアウォール、高度なセキュリティ機能が含まれており、SSEと緊密に統合されてSASEアーキテクチャーを形成します。
- クラウド中心: ブランチ拠点からのクラウドアクセスを最適化して保護します。
- コスト削減: より低コストのインターネットリンクを活用することで、高コストのMPLS回線への依存を減らします。
- 管理の簡素化: 一元管理により、ネットワークの構成と監視を簡素化します。
基本的なSD-WANと高度なセキュアSD-WANの違い
- すべてのSD-WANがパフォーマンス重視の構成というわけではない: 多くのSD-WANソリューションは、基本的な機能だけを備えた、言わば「必要最低限」のソリューションです。そのようなソリューションでは、セキュアなネットワークエクスペリエンスを確実に提供し、堅牢なSASEアーキテクチャーを構築するために必要とされるインテリジェンス、セキュリティ、パフォーマンス、スケールが欠如しています。また、高速でセキュアなハイパフォーマンスネットワークがなければ、企業のデジタルトランスフォーメーションとサイバーセキュリティの取り組みが行き詰まることになります。
| 基本的なSD-WAN | 高度なセキュアSD-WAN | |
|---|---|---|
| 一貫したQoEx |  |  |
| 組み込みのセキュリティ | | |
| マルチクラウドネットワーキング | | |
| AI主導の | | |
- 一貫したエクスペリエンス品質 (QoEx): 高度なSD-WANソリューションの主なメリットは、複数の形態のWANトランスポートを同時に使用できることです。基本的なソリューションでは、アプリケーション単位でトラフィックが単一のパスに誘導され、そのパスで障害が発生した場合やパフォーマンスが低下した場合は、よりパフォーマンスの高いリンクに動的にリダイレクトされます。ただし、多くの基本的なソリューションでは、障害発生時のフェイルオーバー時間は数十秒かそれ以上かかり、厄介なアプリケーションの中断が発生することが少なくありません。ビジネス主導のSD-WANでは、下層のすべてのトランスポートサービスがインテリジェントに監視および管理されます。パケットロス、レイテンシ、およびジッターの問題が解消され、WANのトランスポートサービスが正常に機能しなくなった場合でも、最高レベルのアプリケーションパフォーマンスとQoExがユーザーに提供されます。基本的なSD-WANとは異なり、高度なSD-WANでは、トランスポート全体の機能停止がシームレスに処理されるため、音声やビデオ通信などのビジネスクリティカルアプリケーションの中断を回避できる1秒未満のフェイルオーバーが提供されます。ネットワークでの変化に継続的に適応し、ネットワークの輻輳、電圧低下、トランスポートの機能停止などの状況も含めて、アプリケーションパフォーマンスに影響を及ぼす可能性があるどのような変化にもリアルタイムで自動的に適応します。
- 組み込みのセキュリティ: 高度なセキュアSD-WANには、ブランチ拠点を効率的に保護できる次世代ファイアウォールが組み込まれています。主な機能には、侵入検知および防止 (IDS/IPS) とエンドツーエンドのセグメンテーションが含まれます。その他の高度なセキュアSD-WANは、DDoS攻撃から組織を守り、URLフィルタリングを提供できます。次世代ファイアウォールが組み込まれているため、従来型のブランチファイアウォールを容易に置き換えて、ハードウェア設置面積を削減できます。また、セキュリティポリシーが一元管理されるため、ITのトレーニングを受けた人員をローカルに配置する必要がなくなり、構成ミスを回避できます。さらに、基本的なSD-WANではVPNサービスと同等の機能が提供されますが、高度なセキュアSD-WANでは、より包括的なエンドツーエンドかつロールベースのセグメンテーションが提供されます。ユーザーとデバイスのアイデンティティおよびロールベースのポリシーを追加することにより、高度でセキュアなSD-WANでは、きめ細かなセグメンテーションおよびゼロトラストを提供できます。最小権限アクセスの原則に基づいて、ユーザーとIoTデバイスが、それぞれのビジネス上の役割と整合性のある宛先とのみ通信できるようにしながら、不正アクセスを減らし、インシデントの範囲を限定します。
- マルチクラウドネットワーキング: 高度なSD-WANを、AWS、Azure、Google Cloudなどのパブリッククラウドに展開して、SD-WANのあらゆるメリットを利用することで、ブランチ拠点とクラウドの間の接続を最適化することができます。電圧低下や停電が発生した場合でも、残っているリンクでトラフィックの伝送が継続されるため、音声通話、ビデオ会議、および他のアプリケーションでユーザーは中断に気付きません。ブランチとパブリッククラウドの間の高耐久化されたファーストマイルにより、ネットワークのパフォーマンス、信頼性、品質が向上します。
- AI主導: 高度なSD-WANには、接続されているユーザーやデバイスの可視性を向上させるAI機能が含まれています。また、AIは、ネットワークトラフィックとセキュリティに関するインサイトも提供するので、アクティビティのプロアクティブなトラブルシューティングとネットワークの問題の診断に役立ちます。AI主導のSD-WANは、自然言語クエリを聞いて理解し、応答するように設計されており、ITチームが必要なインサイトを簡単に得ることができます。
SASE向けの高度なSD-WAN機能
SASEはSD-WANとSecurity Service Edge (SSE) を組み合わせたものです。SSEの主な機能には、ZTNA (ゼロトラストネットワークアクセス)、SWG (セキュアWebゲートウェイ)、CASB (クラウドアクセスセキュリティブローカー) などがあります。
SASEの最終的な目的は、クラウド中心の組織やハイブリッドワーク環境にセキュリティとパフォーマンスを提供し、あらゆる場所からアプリケーションや機密データに安全にアクセスできるようにしながら、ユーザーをWebベースの脅威から保護することです。SASEアーキテクチャーの設計と導入を行った多くの企業の経験から、基本的なSD-WAN機能だけではこの目的を達成できないことがわかっています。SASEの次のような機能を活用するには、高度なネットワーク機能とセキュリティ機能を備えたセキュアSD-WANが必要です。
- 統一された一貫性のあるSASEアーキテクチャーまたは単一ベンダーSASEソリューションを形成するための、SSEソリューションへのシームレスな統合。
- SD-WANとSSE間のオーケストレーションを完全に自動化する
- ネットワークおよびセキュリティポリシーの一元管理により、さまざまな場所で適切なレベルのアクセスと一貫したエクスペリエンスを確保する。
- 最初のパケットでアプリケーションのトラフィックを識別し、事前データされたセキュリティポリシーに基づいてそのパケットをSSEソリューションにきめ細かく誘導する
- セカンダリクラウドセキュリティ適用ポイントに自動的にフェイルオーバーして、アプリケーションの中断を回避する
- ブランチにより近くより新しい場所が利用可能になった場合に、クラウドセキュリティ適用ポイントへのセキュアな接続を自動的に構成し直す
- SSEへのトンネルを監視してトンネルの健全性を確保し、フェイルオーバーを自動的にトリガーして高可用性を確保し、一貫したアプリケーションパフォーマンスを維持する
HPE NetworkingとSD-WAN
HPE Networking SD-WANソリューションは、企業組織の拠点、データセンター、クラウド、SaaSを接続するためのアクセス展開オプションの包括的なポートフォリオです。これには、SD-WANファブリックへの「入り口」となる、さまざまな展開モデルが含まれています。このソリューションは、本社、データセンター、キャンパス、ブランチ、小規模オフィス、在宅勤務のユーザー、モバイルユーザーが、どこからでもアプリケーション、データ、サービスにアクセスできる、シームレスでセキュアかつ高性能なネットワーク接続を提供します。
- HPE Aruba Networking EdgeConnect SD-WANにより、IT管理者は、変化するビジネス ニーズを継続的に学習して適応し、組み込みの次世代ファイアウォールで高度なセキュリティ機能を提供する、高度なセキュアSD-WANエッジを設計できます。
- HPE Aruba Networking EdgeConnect SD-Branchでは、IT管理者がブランチのネットワークコンポーネントを統合して、WLAN、LAN、SD-WAN間で最大限の統合を実現できます。組み込みのセキュリティ機能とオンボードLTEのサポートも含まれており、クラウドの一元管理が可能になります。
- HPE Aruba Networking EdgeConnect Microbranchは、さまざまなHPE Aruba Networkingリモートアクセスポイント (RAP) を使用してエンタープライズネットワークへのセキュアなWAN接続を実現するため、小規模オフィスや在宅勤務環境に最適です。
- HPE Juniper Networking Session Smart Routerは、セッション中心のアプローチにより、きめ細かいセッションレベルのパフォーマンスを提供します。独自のトンネルフリーアーキテクチャーでは、セッションの直接パスが提供されるため、アプリケーションのパフォーマンスが向上してレイテンシが短縮されるだけでなく、ネットワークの運用も簡素化されます。
HPE Networking SD-WANは、今日の分散型企業における接続性とセキュリティの課題に対処する包括的なソリューションを提供します。トンネルボンディング、ビジネス目的オーバーレイ、パスコンディショニング、WAN 最適化技術により、パフォーマンスが向上し、コストが削減されます。これらの機能によって、MPLS、ブロードバンド、5GといったハイブリッドWANリンク上で、信頼性が高く高品質なアプリケーションパフォーマンスが実現されます。
クラウド主導の環境では、アプリケーショントラフィックをAmazon Web Services、Microsoft Azure、Oracle Cloud、Google Cloudなどのクラウドプロバイダーに直接インテリジェントにルーティングすることで、効率とユーザーエクスペリエンスを向上させます。
組み込みのセキュリティには、次世代ファイアウォール機能、IDS/IPS、アダプティブDDoS保護、ロールベースのセグメンテーションが含まれており、すべてが一元管理されます。Secure Web Gateway (SWG) の統合により、エージェント不要で管理されていないデバイスへのWebベースの脅威に対する保護が拡張されます。IoTセキュリティも HPE Aruba Networking ClearPassの統合によって強化され、IDとロールに基づいたダイナミックセグメンテーションが可能になります。
このソリューションは、SASEの基盤として、ZTNA、SWG、CASBなどのセキュリティ機能をサポートするクラウドネイティブなSSEソリューションであるHPE Aruba Networking SSEと緊密に統合されるほか、複数のサードパーティSSEとも連携し、既存のセキュリティエコシステムに統合されます。
最後に、AIOpsによって構成とトラブルシューティングの作業を自動化することで、ネットワークのインテリジェンスが強化されます。AIOpsは、生成AIと大規模言語モデル (LLM) を活用するとともに、実用的な推奨事項を提示することで、自然言語クエリによる問題解決までの時間を大幅に短縮し、ネットワークが常にピークパフォーマンスで稼働できるようにします。
SD-WANについてよくあるご質問
SD-WANソリューションはどれも同じですか。
SD-WANソリューションはどれも同じではありません。基本的なSD-WANはSSEサービスとの統合が難しく、完全なSASEアーキテクチャーでの役割が制限されますが、高度なSD-WANはSSEベンダーとの複数の統合を提供しており、シングルベンダーSASEのアプローチもサポートしています。高度なネットワークおよびセキュリティ機能によるパフォーマンスを重視するSD-WANもあれば、有線および無線ネットワークとの統合に重点を置くSD-WANもあります。最後に、SD-WANによっては、セッションスマート転送機能を備えたトンネルフリーモデルを採用しているものと、IPsecトンネルを利用しているものがありますが、それぞれ異なるユースケースに適しています。
AI主導のSD-WANとはどのようなものですか。
AI主導のSD-WANは、AIを活用したインサイト収集、異常検知、自動トラブルシューティングをSD-WANにもたらします。これにより、IT管理者は、ITスタッフの運用負荷を最小限に抑えながら、エンドユーザーに優れたネットワークエクスペリエンスを提供できるようになります。AI主導のSD-WANでは、SD-WANのパフォーマンスと無線および有線ネットワークのパフォーマンスが相関し、エッジからクラウドまでの包括的なインサイトと可視性が得られます。
SD-WANソリューションを選択する際に、どのような点に注意すればよいですか。
SD-WANソリューションを選択する際は、シングルベンダーSASEアーキテクチャー、または複数のSSEベンダーとの統合をサポートするものを優先します。信頼性の高いアプリケーションデリバリを実現する、トンネルボンディングやFEC、WAN最適化などの機能を探します。次世代ファイアウォール、IDS/IPS、DDoS防御、マイクロセグメンテーションなどのセキュリティ機能を評価します。Amazon Web Services、Microsoft Azure、Google Cloudなどのプロバイダーとのクラウド統合に対応していることを確認します。最後に、AIを活用した分析とAIOpsによってトラブルシューティングと最適化が自動化されているか確認します。
SD-WANによってネットワークパフォーマンスを向上させることは可能ですか。
SD-WANにより、ネットワークパフォーマンスを大幅に向上させることができます。高度なSD-WANでは、失われたパケットを回復するための前方誤り訂正 (FEC)、スループットを向上させるためのトンネルボンディングによる複数リンクの結合、最適なルートにトラフィックを誘導するための最適パス選択、帯域幅使用量を削減するための圧縮アルゴリズムによるWAN最適化などの手法が使われています。SD-WANは、ネットワークの状態を継続的に監視し、フェイルオーバーが発生した場合は自動的に代替パスを提供することで、信頼性の高いアプリケーションパフォーマンスと一貫したユーザーエクスペリエンスを確保します。
SD-WANとMPLSの違いは何ですか。
MPLSは、以前は信頼性の高い接続のゴールドスタンダードでしたが、コストの高さ、硬直性、帯域幅の制限、バックホールのボトルネックなどの問題により、今日のクラウドファーストのニーズに対応することが困難になっています。SD-WANは、複数のリンク (MPLS、ブロードバンド、5G) を仮想化して、帯域幅と信頼性を向上させます。MPLSとは異なり、SD-WANではすべてのトラフィックをIPsecで暗号化し、SaaSの直接クラウドブレイクアウトをサポートし、SASEアーキテクチャに統合されます。高度なSD-WANは、一元的なオーケストレーションによってパフォーマンスの向上、コストの削減、ブランチ運用の簡素化を実現しながら、MPLSをブロードバンドにシームレスに置き換えることができます。組織においても、インフラストラクチャのコストを抑えつつ、新しいブランチ拠点を迅速に設立できます。
SD-WANにはどのようなセキュリティ機能がありますか。
一部の高度なセキュアSD-WANには、IDS/IPS、DDoS防御、マイクロセグメンテーションなどの次世代ファイアウォール機能が組み込まれています。これらのセキュリティ機能を統合することで、ネットワークのパフォーマンスと保護が向上するだけでなく、ブランチ展開も簡素化されます。セキュアSD-WANは、ルーターに加えてブランチファイアウォールも置き換えることができ、ブランチの機器を統合して複雑さを軽減しながら、すべての拠点で一貫したセキュアなユーザーエクスペリエンスを実現します。