リモートワークの課題を解決 コロナ禍で活用されたクラウド時代のVPNサービスの全貌とは インターネットイニシアティブ講演レポート

2020-09-17 11:00

[PR]9月9日から15日の期間に開催されたオンラインイベント「ZDNet Japan Security Trend Autumn 高まるセキュア アクセス サービス エッジ(SASE)への期待」に、インターネットイニシアティブ(IIJ) ネットワーククラウド本部 エンタープライズサービス部 部長の吉川義弘氏が登場。

 9月9日から15日の期間に開催されたオンラインイベント「ZDNet Japan Security Trend Autumn 高まるセキュア アクセス サービス エッジ(SASE)への期待」に、インターネットイニシアティブ(IIJ) ネットワーククラウド本部 エンタープライズサービス部 部長の吉川義弘氏が登場。ISP・クラウドサービス事業者の観点から、「ネットワークから見たCOVID-19 ~リモートワークの課題を解決する次世代VPNサービスとは」と題して講演を行った。

コロナ禍でネットが遅いと感じる意外な理由

 冒頭で吉川氏は、同社の計測データをもとに3月からのCOVID-19とネットワークの動向を解説した。まずインターネットに関しては、感染症対策でテレワーク人口が急増した時期であったが、トラフィックは少し増加している程度だったという。ただ平日のアップロードトラフィックは増加しており、「企業(エンタープライズ)のリモートワークによるビデオ会議利用の増加の影響と予想される」と状況を分析した。


 実際エンタープライズ領域では、2月から3月にかけてビデオ会議サービスの利用が激増している。特にMicrosoft Teamsのビデオ通話の利用は3月に世界で1000%増加したという話も聞かれた中で、IIJのデータから、Microsoft AzureやMicrosoft 365とダイレクト接続する回線サービス「Express Route」における当時の状況をみると、3月から4月にかけて増加傾向が見られ、原因はTeamsを含むMicrosoft 365のトラフィック増加だったとのこと。

 ただしトラフィックが増えたのは、インターネットやMicrosoft 365の利用者数が増えたからではなく、既存ユーザーのトラフィック増によるものだという。「既存ユーザーは元々WANを通じてMicrosoft 365を使っていて、ネットワーク経路が自宅からに変わっただけ」であり、Express Routeを含む同社の閉域網サービス「クラウドエクスチェンジ」では、帯域の影響は受けていなかったと吉川氏は語る。

 ただし、トラフィックが急増した訳でないにもかかわらず、実際利用者からは体感として「ネットが遅い」「全くつながらない」「すぐ切れて仕事にならない」という声が挙がったという。そこで調査したところ、原因は家庭のWi-Fi環境やインターネット回線品質、リモートアクセス用VPNサーバーやWAN回線にあったとする。つまりインターネット自体ではなく、インターネットやWANにアクセスする部分がボトルネックになっていたのである。

高速で切れないフレックスモビリティの仕組みとは

 自宅でリモートワークを行う際の通信手段として活用されたVPNが遅延の原因の一つということだが、同社のVPNサービス「IIJフレックスモビリティサービス」では、2月から4月にかけて帯域が爆発的に増加していた。新規ユーザーが急増し、IIJは設備を増強して安定したサービスの提供を可能にしていたという。

 VPNがボトルネックとなる中で、同社のサービスが採用されたのは何故か。一般的なVPNのネットワークアーキテクチャーは、自宅からオフィスにつないでそこからインターネットや社内環境、クラウドにつなぐという形である。しかし一度オフィスにつなぐのは、現在のクラウド時代にそぐわず、パフォーマンスやセキュリティ上の懸念も生ずる。

 これに対しIIJフレックスモビリティサービスは、「1度オフィスにつながるタイプでなく、ネットワーク自体がクラウド上に置いてあるVPNサービス」(吉川氏)というもの。その上で、独自のエンジンを採用することで、「高速で切れないVPNサービスを実現している」(同氏)のである。

 吉川氏自身が6月3日の昼時に自宅で計測したところ、フレックスモビリティに切り替えたら、モバイルLTEと同等だったネットのダウンロード速度が約2倍、アップロード速度が約2.5倍に改善されたという。

 フレックスモビリティ利用時のネットワークの経路をIIJでのネットワーク構成を例に見ると、自宅から自社のプライベートバックボーンに入ってから、プライベートアクセスサービスでWANに入り、そこからプロキシとファイアウォールを抜けてインターネットに出て、サイトに到達するという形となる。

 その際、まずPCにインストールしたエージェント内の仮想インターフェースと、フレックスモビリティサーバーの間にトンネルが張られる。するとUDP5008ポートで通信し、TCPの応答や遅延応答が無視される形でUDPの高速通信が行われる。加えて、トンネル内のデータをすべて圧縮し、フラグメンテーションを最適化、パケットロスを回復させる働きによってトンネル区間の通信を高速化して、その後は通常のTCPに戻して通信する。結果、通信が高速化される仕組みだ。

 もう1つの特徴である切れない仕組みを実現するのが、電源オフや圏外でもセッションが切れないようにする「フロー制御」機能である。電源がオフや圏外になると、通常と同様にフレックスモビリティサーバーとの通信は途絶えるが、サーバー側で到達不能と判断するとアプリケーションとの間でバッファリングし、通信を切らずに「中断」しているサスペンド状態になる。その後、再度電源オンや圏内に入ると通信を「再開」する。

 そのため、「アプリケーションとして見ると、モビリティサーバーとの通信が切れずにセッションが維持されたことになるため、体感的には切れないと感じる」(吉川氏)。そして、「リモート環境でVPNを意識しなくなる。ビデオ会議時も同様で、PCを閉じて移動してもすぐに再開できる」(同氏)という。

 暗号化技術には、AES暗号化方式とECDH(楕円曲線暗号)による暗号鍵交換方式を採用。さらに、VPNヘッダを含めたパケット全体を暗号化しているため安全であるとする。

IIJのサービス全体でゼロトラストセキュリティを実現

 続けて吉川氏は、IIJフレックスモビリティサービスにおけるゼロトラストセキュリティのアプローチについて説明。クラウド活用の増加に伴い従来の境界型防御から対策の転換が推奨されているゼロトラストについては、「アクセスするポリシーの定義と実行のポイントを集約し、ネットワーク的なロケーションを信頼せず、確認はセッションごとに行い、クライアントの状態で認可を判断するもの」と定義する。

 状態については、IDだけでなくユーザー、デバイス、時間、場所といった様々な情報を使って認可を判断することが重要になってくるが、フレックスモビリティでは、ユーザーとデバイス、アプリケーション単位で通信をコントロールできるという。

 「例えば場所や時間帯、接続やバッテリーの情報を検知して、VPNをトンネルする、通信させない、スプリットさせるなど、アプリケーション単位で制御することが可能。さらに、そこで決めたポリシーを人やデバイスに適用できる。その際、レジストリキーを使って検疫もできる」(吉川氏)

 そのほかに、IIJではエンドポイント防御のサービスも提供しているので、それらを使ってデバイスの状況を管理し、その上でフレックスモビリティで認可をする仕組みが用意できるという。「必要であれば仮想デスクトップを使ってよりセキュアな仕事環境も使える。認証でも、Active DirectoryのIDaaSも用意しており、フレックスモビリティを中心にIIJのデジタルワークプレースサービス群を組み合わせることで、ゼロトラストモデルを実現していく」と吉川氏は対策の全体像を説明する。

 最後に吉川氏は、リモートワークでの課題は、快適に仕事をして生産性を上げることとセキュリティを確保することと総括し、「デジタルワークプレースではそれらを実現する。IIJフレックスモビリティサービスは、クラウド時代に必要なVPN」と述べ、サービスの有効性を改めてアピールした。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]