［事例セッション］企業ネットワークをIP-VPNからSD-WANにリプレイスした理由と導入効果

2日目のSESSION２では「企業ネットワークをIP-VPNからSD-WANにリプレイスした理由と導入効果」と題して、三星ダイヤモンド工業株式会社（以降、MDI）経営企画部ICTグループGL代理 尾上豊氏が講演を担当した。

MDIは、電子部品の分断工程、パターニング工程向け加工工具、レーザー光線・工学系の開発・製造・販売を事業内容としている。得意分野は脆性材料の分断。本社は大阪にあり、長野など日本に4拠点、海外は韓国、中国、台湾、ドイツに1拠点ずつあり、世界に合計8つの拠点を持っている。

尾上氏は、今回のVMware SD-WANの導入効果について、第一にWAN運用コストの低減を挙げる。国際IP-VPNからVMware SD-WANへの移行前後を比べたところ、67％もの低減効果があったという。

特にIP-VPNの通信コストが、コンシューマやビジネス向けのインターネット回線のコストで済むことは大きかった。ただし、コストの削減は理解できるものの、回線の品質が向上できるのか、コロナ禍で出張に行けないICTメンバーはどのように業務を遂行すればいいのか、中国のサイバーセキュリティ法への対応をどうするかなど、いくつかの懸念点が見つかった。

WAN構築の目的

今回のWAN構築のきっかけは、2021年6月のIP-VPNの契約満了だった。ここで、WANの運用コストを年間1000万円削減するように会社から指示が出たという。これに加え、本社が災害に遭った時、他の各拠点で業務が継続できるようにするための施策の実施も求められていた。

さらに2017年に中国で発行されていたサイバーセキュリティ法への対応を迫られていた。データは国内に保管すること、国境を超えないことといった要請である。

更新前は、海外の拠点と国際IP-VPNで接続されており、バックアップ回線としてインターネットVPNを使っていた。この構成でAzureを共有する構成となっていた。

更新では、IP-VPNを解約し、VMware SD-WANと蘇州以外の各拠点にVMware SD-WAN Edgeを導入。全社利用システムをクラウドに配置することにした。蘇州のみ中国サイバーセキュリティ法に対応するためAzure接続、東アジアリージョンのサーバーを香港に置く構成とした。

続いてAzureとの接続方法が大きく変わった点を説明。更新前は、Azureは本社とのみ接続されていた。国際IP-VPNを使うことに加えて、各拠点はAzureに接続するために一度本社を経由する必要があり、これが非効率だと問題になっていた。

更新後はSD-WANを通じて、各拠点から直接Azureに接続できるようになっている。

どのように構築、展開したか

構築までの歩みは以下の通りである。

• 2020年8月～9月　構想設計
• 2020年12月　VMware SD-WANのPoC実施
• 2020年1月　発注（物品手配）
• 2021年2月　Azure環境を構築してPoC実施
• 2021年3月～4月　拠点構築、移行
• 2021年5月～　旧キャリア契約解除／社内システムのクラウド移行

構想設計の段階では、WAN網およびルータの選定を実施。通信速度、Azureとの接続可用性、ゼロタッチプロビジョニングの3点において、最も優れていたのがVMware SD-WANだったという。

機器構成のポリシーは、IT担当者がいる大阪の本社と飯田工場ではHAで構成し、いない拠点では展開と保守性を優先して機器を構成している。

VMware SD-WANのPoCでは、事業者の製品検証用ラボでファイル転送が遅くならないかどうかの試験を実施。結果は下の表のようになり、SD-WANはAzure上のファイルサーバーの運用にあたって問題のないことが分かった。

構築と展開のプロセスでは、コロナ禍でICT担当者が出張に出られない中、現場で容易に接続できるゼロタッチプロビジョニングが求められる。その他、旧構成からの切り替えの手順なども、図や写真を交えて解説している。

中国拠点の切り替え

2017年6月、中国のサイバーセキュリティ法が施行された。ポイントはデータを中国国内に保管しなければならないことと、データが国境を超えることが制限されることである。

データを中国国内に保管するという要件には、中国拠点の共有フォルダをAzure東アジアリージョンに移動することで対応した。これで、データの越境制限がかかり、大阪本社と通信できなくなっても、中国国内で業務が成立するようにしている。

なお、中国では2021年の後半にも二つの関連法案が施行されており、ITネットワークに関する規制の強化が進行中である。対策として構成を考えるにあたっては、法務部門などと相談しながら実施する必要があることを尾上氏は補足している。

運用について

MDIでは、コミュニケーションツールとしてMicrosoft Teamsを使用しており、システムに障害が発生した際はTeamsに通知が飛ぶようになっている。従来は回線が途切れた際に、30分立って回復しない場合にキャリアから連絡が入り、それから、障害箇所が機器なのか、回線なのかの切り分けが始まっていたという。

更新後はTeamsに通知が来たら、システム担当者と拠点の業務担当者が把握し、障害の切り分けが始まる。回線か機器かは一目でわかるようになっており、自社または運用事業者が復旧対応する。

また、SD-WAN Edgeのオーケストレーター画面では、どこで、どのような障害が発生しているかがわかる仕組みになっている様子を紹介している。

構築後の考察と所見

この事例では、WAN構築の初期コストと運用コストが3分の1になったこと、回線の安定性や速度、CIFS通信も変わらず、Teamsのビデオ会議は途中で途切れることもないことなどを紹介。品質には非常に満足しているという。ただし、CIFSについては工夫が必要とのこと。

展開運用面では、機器設置場所にIT担当者がいなくても設置が可能で、SD-WAN EdgeはGUIで運用が可能。コントローラーがクラウドのため、社内にいなくてもメンテナンスできるのは、運用面において有利だ。展開しやすく運用性が高いのはユーザーにとってメリットと言える。

「VMware SD-WAN Edgeは、コストと品質のトレードオフではありません。いいとこ取りです」と話し、尾上氏は講演を終えている。