【マンガ付きコラム】
クラウド時代のインターネットゲートウェイの構築・運用
企業のIT環境におけるクラウドサービスの比重が高まり続けている中で、当然インターネット向けのトラフィック量は増加する。帯域幅やコストの増加といった課題を解決する上でポイントとなるのが「インターネットゲートウェイ」だ。本コラムでは、クラウド・SaaS時代に適したインターネットゲートウェイの最適な運用方法を解説する。
Office 365やSalesforce.comといったSaaS、あるいはAmazon Web Services*(以下、AWS)やMicrosoft Azure、Google Cloud Platform(以下、GCP)で提供されるPaaS/IaaSを用いたシステム構築が増加するなど、企業のIT環境におけるクラウドサービスの比重は高まり続けている。
こうしたクラウドサービスを利用すれば、当然ながらインターネット向けのトラフィック量は増加する。このとき、もしインターネット回線の帯域幅が十分に確保されていなければ、クラウドサービスのレスポンスが悪化しかねない。ただ、やみくもに帯域の拡張を行えば、ネットワークコストの増加を招くことになる。
この課題を解決する上でポイントとなるのが「インターネットゲートウェイ」だ。本コラムでは、クラウド・SaaS時代に適したインターネットゲートウェイの最適な運用方法を解説する。
*Amazon Web Services、“Powered by Amazon Web Services”ロゴ、および当ウェブサイトで使用されるその他の AWS 商標は、米国その他の諸国における、Amazon.com, Inc. またはその関連会社の商標です。
クラウド利用拡大でボトルネックになるインターネットゲートウェイ
昨今、多くの企業に広まっているのがインターネットゲートウェイの見直しである。きっかけとなったのは、Office 365やSalesforce.com、あるいはAWSやMicrosoft Azure、GCPといったクラウドサービスの積極的な活用である。特にエンドユーザーが日常的に利用するOffice 365やSalesforce.comの導入に伴ってトラフィックが増加し、インターネット回線の帯域幅の枯渇や、インターネットゲートウェイでの処理能力不足によりレスポンスが悪化、業務に悪影響が生じてしまうといったケースは決して珍しくない。
このインターネットゲートウェイは1~2箇所のデータセンター上に構築し、各拠点とクローズドVPNなどで接続するという集約的な構成(集約型インターネットゲートウェイ)が一般的だ。このようにインターネットゲートウェイの数が少なければ、セキュリティの観点において運用管理が行いやすく、またインターネット利用におけるガバナンスを効かせやすいといった理由がある。
ただ、拠点とインターネットゲートウェイの距離が物理的に離れているとネットワーク遅延が増大してしまう課題があり、利用者のストレスにつながりかねない。またこのような構成は、インターネットゲートウェイにアクセスするためのVPN回線に、インターネット向けのトラフィックが重畳されることになるため、VPN回線を広帯域化すればコスト負担が増大するという問題もはらんでいる。
クラウドの利用が基本となるデジタルトランスフォーメーション(以下、DX)を推進し、クラウド環境の利用を前提としたDevOpsやアジャイル開発を進める上でも、このようなインターネット環境の課題を放置することはできない。そのため、多くの企業がインターネットゲートウェイを見直し始めているというわけだ。
クラウドを活用した分散型インターネットゲートウェイの実現
具体的な見直し策として挙げられるのが、分散型インターネットゲートウェイへの移行である。たとえば拠点ごとにインターネットゲートウェイを設置すれば、各拠点のネットワーク利用実態に応じた柔軟なネットワーク設定が可能になるほか、VPN回線でインターネットゲートウェイとつなぐ必要がなくなるため、ネットワーク遅延も抑えられる。さらにVPN回線にインターネットトラフィックを重畳する必要がないため、ネットワークコストの削減が可能になることも見逃せないメリットである。
一方、既存の集約型インターネットゲートウェイと比較すると、分散型はゲートウェイの数が増えるため、セキュリティ対策やネットワーク機器の調達・導入コストが増加する。またインターネットゲートウェイの数が増えれば、運用負荷が増大することも容易に想像できるだろう。
特にDXを推進するのであれば、運用管理からシステムの企画などといった高付加価値業務に人材をシフトすべきであり、運用負荷の増大は避けたい。そこで浮かび上がってくるのが、クラウド型のインターネットゲートウェイサービスの利用である。昨今では、ファイアウォールやUTM(Unified Threat Management)、URLフィルタ、サンドボックスなどのセキュリティ機能をクラウド上で提供するサービスプロバイダが増えている。これらのサービスは必要なときに即座に利用できるのはもちろん、運用業務の一部をサービスプロバイダにアウトソースする形となるため、インターネットゲートウェイやセキュリティ環境を整備・維持・運用する手間を大幅に省いて、インターネットゲートウェイを構築できる。
セキュリティポリシー上の理由などから、インターネットゲートウェイをオンプレミスで運用する必要があるといった場合には、運用をアウトソースすることも視野に入れたい。アウトソースして運用業務の負荷を軽減できれば、多くの人材を割くことなく分散型インターネットゲートウェイをオンプレミスで実現することが可能になるためだ。
集約型と分散型のインターネットゲートウェイの違い
| 集約型インターネット ゲートウェイ |
分散型インターネット ゲートウェイ |
|
|---|---|---|
| ゲートウェイ設置場所 | データセンター | 拠点ごと、リージョンごとなど |
| ゲートウェイ拠点数 | 一般的に1~数カ所 | ゲートウェイの設置ポリシーやネットワーク構成により異なる |
| 拠点/リージョンごとのポリシーの変更 | 困難 | 柔軟に対応可能 |
| ネットワーク遅延 | 遅延大 | 低遅延化が可能 |
| コスト | 高 (クローズドVPNにインターネット向けトラフィックを重畳するため、広帯域のVPN回線が不可欠) |
中~低 (インターネットゲートウェイごとにセキュリティ機器を導入・運用する必要があるが、クラウドサービスの利用やアウトソースによるコスト削減や運用負荷の低減が可能) |
リージョン集約型と呼ばれるインターネットゲートウェイの設置方法もある。こちらは海外拠点が利用するインターネットゲートウェイを各リージョン(地域)の代表拠点に設置し、クローズドVPNサービスなどを利用して接続する形態である。こちらはグローバルに事業を展開していて、ガバナンス強化と柔軟なネットワーク設計を両立させたいといったケースで有効である。なお、グローバルで利用するインターネットゲートウェイの構築については、下記の事例も参照していただきたい。
事例:
グローバルビジネスを支える安心のサービス拠点間連携とセキュリティを強化
旭硝子株式会社
https://www.ntt.com/business/case-studies/global/cloud/agc.html
DX時代に適したインターネットゲートウェイ環境を構築するサービス
業務で必要不可欠になったクラウドサービスを安定利用する上で、分散型インターネットゲートウェイは有効な考え方だ。NTT Comでは、この分散型インターネットゲートウェイを実現するサービスとして「インターネットゲートウェイセキュリティソリューション」を提供している。このサービスを利用すれば、インターネットゲートウェイ環境の運用管理やVPN/インターネット回線の調達をワンストップで任せることができる。
またオンプレミスでインターネットゲートウェイを構築しているのであれば、「X Managed®」を利用することにより、その運用をアウトソースすることが可能だ。
いずれにしても、ビジネスや業務におけるクラウドおよびインターネットの重要性は日増しに高まっている。ITインフラやインターネットゲートウェイがその足かせになってしまう前に、これらのサービスを活用した抜本的な変革に取り組んでみてはいかがだろうか。
→インターネットゲートウェイについてはこちら
→ネットワーク運用のアウトソースについてはこちら