Episode452022.05.24

インターネットブレイクアウトとは？Web会議が重い...快適なクラウド利用をICT Solution!

著者：情シスマン

この記事のキーワード

コロナ禍にテレワークに対応できるようにネットワークを整備した企業も多くあるはずだ。
猛威を奮っていた時期と比べて少し落ち着いた現在では、オフィスワークとテレワークを従業員の働き方（いや生き方というべきか？）によって柔軟に組み合わせて併用できるハイブリッドワークが主流となってきた。
そのために多くのクラウドサービスが利活用されている。進化した働き方に呼応するように、新しいネット接続の形も登場しているのだが、従来のネットワーク構成で支障が出てしまっている企業もあるだろう。そしてWeb会議を始めようにもなかなか始められずに困惑している“情シス”がここにもひとりーーー

多田野部長、会議の時間5分過ぎてるけど入ってこないなぁ。今日は出張先の支社から参加するって言ってたけど、どうしたんだろう。
他の会議参加者は揃ってるってのに、全く・・・

おぉ、すまんね。前の会議が延びてしまってな。
会議中に音声が途切れるわ、投影資料は固まるわで進みが悪かったんだよ。
この会議は滞りなく済めばいいが、会議後にはじめくんだけ残ってくれたまえ。

え！？は...はい、畏まりました（嫌な予感だ…）

──── 会議後────

はじめくん。私は常日頃から思っているんだがね、ツールはスムーズに活用されて初めて入れた意味があるんだよ。導入しただけで活用されなければ無意味というわけだ。そうだろう？

はい、僕もそう思いますが...
（なんだ？また部長が何かの核心をついてるぞ。それにしても回りくどい）

うむ。さっき支社で10人程度で会議をやったんだがね、そのうち5人は自宅からで、5人はオフィスにいたんだ。でもまぁ全員オンライン参加だったんだが、さっきも言った通り会議中の通信不調が気になってね、最終的にはオフィスにいる者だけでオフライン会議をしたよ。

え、在宅勤務者は会議に参加できなかったのか。しかも部長たちも途中から会議室に移動して...散々でしたね。

つまりだ。言いたい事はもう分かっただろう。オンラインで仕事が出来るツールがあっても快適に使えなければ意味がないということだ。勿論Web会議に限った話じゃないぞ。どうにかして従業員が快適にツールを活用できるようにするんだ。いいな？

──── 多田野部長はそう言い放ってWeb会議から退室してしまった。────

どうにかしてって、どうすればいいんだ。もっとこう...回線帯域を食わないWeb会議ツールを探せってことか？でもWeb会議に限った話じゃないって言ってたな。うーん...

♪BREAK OUT！手に入れようよ
BREAK OUT！もっとトキメキを
BREAK OUT！思い付きでも　BREAK OUT！全部捨てていこうよ　BREAK OUT~♪♬！

^{※「BREAK OUT!」作詞：織田哲郎より}

うわぁ！急に耳元で大声出さないで下さいよ！しかもなんですかその歌、情シスマンさん作ですか？

今のでいっきに気分が悪くなったぞ、はじめ。ロックな懐メロで元気付けてやろうと思ったのになんですか！って…曲自体知らないんだから話にもならん。ジェネレーションギャップもいいとこだ。

元気付けてくれようとしてたのになんかすいません。それで、その歌が今回の僕と何か関係してるってことですよね？

まあな。でももう教えたくない。

情シスマンさん！頼みますよ～。ちゃんと復習します。その懐メロ歌えるようにしておきますから！

ふん。仕方ない。要するにインターネットブレイクアウトが今回の解決方法なのだ。

調査

MISSION !

複数のクラウドサービスを利用しても問題のない快適な通信環境を構築したい

インターネットブレイクアウトとは

インターネットブレイクアウト（ローカルブレイクアウト）とは、インターネットにブレイクアウト（脱獄）させる仕組みのことで、特定のクラウドサービスへの通信のみ各拠点から直接アクセスさせることを予め許可するという運用方法です。
一般的に、セキュリティ対策の一環として企業は社内LANとインターネットの境界部分にファイアウォールやUTMを配置し、それをインターネットゲートウェイ※（以下、ゲートウェイ）としていることと思います。

^{※インターネットゲートウェイとは...社内ネットワークから外部のインターネットに接続するための出入り口機能の総称}

本社以外に複数の拠点を持つような企業においては、拠点同士をVPNで繋ぎ、通信ログの監視やセキュリティ対策をセンター拠点のゲートウェイに集約させることによって、情シス担当者の管理工数が軽減されたり、センター拠点のみにセキュリティ投資をすればいいというメリットがありました。
しかしながらこのネットワーク構成には、VPN網とインターネット接続回線が従業員全ての通信をスムーズに処理できるという前提が必要になります。
ここ数年で、この前提条件が揺らいできていることがインターネットブレイクアウトの後押しに繋がっているのです。

Web会議はここ数年で始めたことじゃないんですよ？前はこんな風に途切れたりしなかったような気がしますし...。

ツールや設備自体用意されていてもこれほど多くの従業員が使用する可能性はなかったはずだ。しかも、コロナの影響でWeb会議以外にもワークフローを電子化したり、社員同士のコミュニケーションがチャットや社内SNSメインになったり、電話がソフトフォン※になった会社もあるだろう。これらの全てがインターネットを介さないといけないんだ。以前のままのネットワーク環境でゲートウェイが高負荷になっていない会社はないだろう。

^{※ソフトフォンとは...専用の機器を使わずに一般的なコンピュータでインターネット経由の電話を可能とするソフトウェア}

なるほど。確かに新型コロナウィルスの流行をきっかけに、社内にあるサーバーを一部クラウドに出したし、以前よりネットありきの業務体制になってます。...ってことは、またオフィスワークが主流になってテレワークユーザーが減ればゲートウェイ部分の高負荷は解消されるってことですかね。

おいおい、便利になった環境を不便に戻す会社がどこにある。全員が同じオフィスにいたとしてもWeb会議なら自席で参加出来る。会議室やプロジェクタを手配しておかなくてもいいし会議室にPC持参で移動する必要もない。取引先とのミーティングもオンラインで行うことで時間も交通費も節約できて効率も上がっているだろう。

うーん。そうですね。会議室に移動する時に持ってるアイスコーヒーをPCに零してしまう心配もなくなりましたしね！

うむ、清々しいほど視野が狭いな！はじめのコーヒーはさておき、そういうわけで企業のネット利用は上がったままおそらく元のレベルまでは下がらないので、今直面しているゲートウェイの高負荷問題には何かしらの手立てを講じる必要があるだろう。

インターネットブレイクアウトが注目される背景

急速に増えたテレワークユーザーのアクセスを受けるとなると、VPN網内のトラフィックが増えたり、どこにいても仕事が出来るようにと様々なクラウドサービスを活用する中で、それを支えるWAN回線の高負荷状態が課題として浮上するはずです。

VPN越しだと社内サーバーへのアクセスが重たい、ネットが遅いと感じる、Web会議をすると通信が不安定になる等々の不満が出てくると、業務効率が下がるだけではなく従業員によるシャドーIT※を誘発しかねません。

^{※シャドーITとは…企業側が把握していないデバイスやクラウドサービスを使って社員が業務を進めている状態のこと}

こうなったらVPN用やインターネット接続用のWAN回線を「1Gbpsから10Gbpsに増強する」という形で回線帯域を見直したいところですが、WAN回線のリプレイスに伴って適応する機器やLANケーブルまで用意しなければいけない為、高額な投資を要する上に、検討段階から実際にリプレイスが完了するまでの納期も長くなってしまいます

業務に支障が出る前の段階から検討を進められていれば良いですが、WAN回線の課題が顕在化している状態に差し掛かっていれば、長期間その状態を続けたまま検討をするということ自体難しいかもしれません。

そうか、インターネット利用が増えたからインターネット回線の帯域増強をすればOK！ってわけじゃないんですね。

そうだ。インターネット回線を10Gbpsにしても、その配下の機器の処理能力が低いままでは10Gbpsのスペックを享受できない。回線品質を最大限活かす為にはきちんと配下のネットワークまで確認が必要だな。

インターネットブレイクアウトのメリット

インターネットブレイクアウトは、予め指定した特定の通信のみVPN網やセンター拠点（本社やデータセンター）のネットワークを経由することなく直接現地のインターネット経由でアクセスさせます。こうして通信を分散させることで、センター拠点と繋ぐVPN網、そしてゲートウェイのトラフィックを減らすことができるのです。これによって以下のようなメリットが得られます。

インターネットブレイクアウトによってゲートウェイの高負荷問題が軽減または解消
ユーザーはアクセス先への経路上にセンター拠点を置かなくてよくなる（遠回りしなくて済む）為、レスポンスが向上
経路分散によってVPN越しの通信も快適になる
シャドーITの抑止
DXによって本来享受できたはずのメリットを維持、またはネットワークのパフォーマンスを理由に実行出来なかったDXの加速
（＝働く場所に関わらずツールによって業務効率を維持・向上させる事が出来る）

インターネットブレイクアウトいいこと尽くしですね。やった方がいい気がしてきました！

うむ、導入方法も見てみようか。

VPN製品でインターネットブレイクアウトが出来る？導入方法とは

インターネットブレイクアウトは、VPN製品の機能であるスプリットトンネルを活用する事で実現可能です。
しかし、VPN製品でインターネットブレイクアウトを実現させる場合、スプリットトンネルの設定がFQDN※で出来るかどうか？は事前に確認したい項目です。VPN製品の中にはIPアドレスでしか指定できないものもあり、FQDNで直接指定できないとクラウドサービス側でIPアドレスが変更になった場合にブレイクアウトに対応できなくなります。

^{※FQDN...完全装飾ドメイン名のこと（例：}^gate02.ne.jp^{はドメイン名、}^{www.gate02.ne.jp}^{が完全装飾ドメイン名）}

インターネットブレイクアウトならSD-WAN？

その他にも、近年注目されているSD-WANソリューションで実現させる事が出来ます。
SD-WANとは、物理的なネットワーク機器で構築したWAN（VPN環境）上に、仮想的なWANを構築してソフトウェアを用いて管理を一元化する技術を指します。この機能の一部にインターネットブレイクアウトが含まれます。VPNのスプリットトンネルで対応するインターネットブレイクアウトと類似していますが、IPアドレスだけではなくFQDNやURLでも特定のクラウドサービスを指定する事が出来ます。

SD-WANについて詳しく解説した記事はこちら

SD-WANとは？用途やメリット、VPNとの違いについて解説！

インターネットブレイクアウトを採用するときのポイント

インターネットブレイクアウトの実現にはいくつか方法があります。
いずれの方法で実現させたとしても平行して気を付けたいのはセキュリティです。従業員が行う全ての通信に対して、マルウェア感染や情報漏洩の事故から保護する為に企業はセキュリティ対策を講じます。

その最たる例が、ゲートウェイにおける出入口対策です。

当然ここを経由しないことにはセキュリティを適用できません。スプリットトンネルを使ってインターネットブレイクアウトを行う場合には、インターネットに直接抜ける通信へのセキュリティを考慮してください。エンドポイントセキュリティ（EPPやEDR）の適用やブレイクアウトを許可する対象のクラウドサービス側でアクセス制御を行うなどです。

また、そもそも接続先が信頼できると分かっているサイトをブレイクアウトの対象にしましょう。
特にヘビーな通信としては Microsoft Teams や Zoom Meetings、Cisco Webex Meetings、Google Meet 等、映像と音声を伴うWeb会議システムであり、これらは安定性とリアルタイム性が重視されるため、ブレイクアウトの対象として代表的です。

インターネットブレイクアウトはやりたいが、高額な投資や大幅なネットワーク変更は考えていないという企業は、VPN製品のスプリットトンネルを活用してトラフィックを逃がす策が有効かもしれません。
そして既存のUTMが買い替え時であったり、コストをかけても管理工数を軽減させたい企業はSD-WANに踏み切るのが良いでしょう。

拠点側からインターネットブレイクアウトさせて本社やデータセンターのゲートウェイの混雑が解消されればテレワークユーザーも今より快適に仕事が出来るようになりますね。

ああ！いたいた。はじめくん、いい事を発見したんだ。
在宅勤務者に聞いたらどうやらVPNを繋いでいる時の方がパソコンが重たくなるようなんだよ。社内サーバーにアクセスしにいく以外はVPNを切って仕事をしてくれと言っておいたぞ。妙案だろう！？

え、いや部長。それだと信頼できるクラウドサービスだけじゃなく、危険なサイトへも直接アクセスできちゃいますよ！？利便性を求めてセキュリティを捨てるのはさすがにちょっと...。でも今ようやく分かりました。僕が対応しないと部長みたいな利便性の事だけ考える社員がVPNルールを順守しなくなるってことですね...。

♪後悔なんてしたくない
きりきり頭痛いけど
退屈にケリ入れて今夜
BREAK OUT！手に入れようよ　BREAK OUT~♪♬

^{※「BREAK OUT!」作詞：織田哲郎より}

いい加減、相〇七瀬に怒られますよ。

はじめの成長に感動していたんだ。ここからはテレワーク中のインターネットブレイクアウトについて教えよう。

テレワーク中のインターネットブレイクアウト

セキュリティを考えると、情シス担当の殆どが出来る事ならテレワークユーザーの全通信をVPN経由にしたいはずです。

しかし、VPN運用に厳しいルールを強いていても、実際のところリモートVPNに接続するかどうかは従業員の意思に依存することになります。ユーザー目線で言うと、リモートVPN接続中に通信遅延等のストレスがかかれば、効率的な業務遂行の為にVPNを切断してしまいたいのが本音です。

一度VPNなしに仕事をしてしまった従業員はきっとその後も度々VPNなしで仕事をするでしょう。情シス泣かせな従業員ですが、きっと少なくないはずです。

では、ユーザーがPCを立ち上げて Windows などOSにログオンした時点で自動的に（強制的に）接続され、高速レスポンスで勝手に切れないVPNがあったらどうでしょうか。更に特定のクラウドサービスにはインターネットブレイクアウトを許可します。これでユーザーの「通信遅延ストレス問題」も情シス担当の「社員がVPN張らない問題」も解消します。

これらは「USEN GATE 02 フレックスモビリティサービス」で実現します。その上、端末にインストールしたエージェントが、ユーザーエクスペリエンスを可視化します。
例えば、自宅やコワーキングスペース等のユーザが繋いでいるネットワークの健全性、使用アプリケーション、端末の位置など、様々な情報により、迅速なトラブルシューティングやパフォーマンス分析を実現します。

社内ネットワークに接続させる際にはセキュリティに問題のある端末はVPN接続を許可されません。そしてインターネットブレイクアウトをした通信も含めてデバイスから出るすべてのトラフィックを可視化できます。

「USEN GATE02 フレックスモビリティサービス」！すごい！優秀ですね！

そうだろう。リモートVPN時のインターネットブレイクアウトだけおすすめサービスを紹介してしまったな。USEN GATE 02 なら拠点間VPNでも対応できるぞ。

インターネットブレイクアウトにお勧めのサービスとは

「USEN GATE 02 ビジネスセキュリティ」はUTM本来の高度なセキュリティ機能を保持している他、Microsoft Teams や Zoom Meetings、Cisco Webex Meetings、Google Meet のインターネットブレイクアウトに対応可能だ。インターネットブレイクアウトの指定はIPアドレスで行う事になりますが、Microsoft 365 のような頻繁にIPアドレスが変更されるものでも、サービスの範囲内で1日2回IPアドレスに更新をかけているので情シス担当者の手を煩わせることなく追従できる。
また、「USEN GATE 02 ビジネスVPN(Omnibus)」というSDNサービスでもインターネットブレイクアウトに対応可能だ。
クラウド上のプロキシがユーザーの通信を適切に振り分けることで、センター拠点のゲートウェイへの負荷を軽減。日々更新されるクラウドサービスのURLや宛先IPアドレスを自動追従も行ってくれる。
またSDNのセキュリティ部分を補完するNFVの機能も同サービス内で提供可能なのだ。

色んなサービスがあって、どれにしたらいいものか迷いますね...。

選択肢が多いのはいい事だ。より顧客に寄り添ったソリューションを選べるからな。ちなみにまだ言えないが、近々新しいSDN/NFVサービスも出るらしいぞ。

な、、そんな情報言っていいんですか！？うーん、素人目ではどれがうちの会社にあっているか分かりませんね（恥）とりあえずUSENに問い合わせてみよっと...。

それがいいな！強い情シスが企業を伸ばす！
また会おう！さらばだ！

解決

ICT SOLUTION !

ハイブリッドワークの浸透、クラウドサービスの多用により、今企業のネットワークには大きな負荷がかかっている。このボトルネックを解消する為、WAN回線の増強を検討する企業も少なくないが、高額な投資を要するだけでなく、将来的なトラフィック増加とのいたちごっこになるのは間違いないだろう。回線増強だけでなくインターネットブレイクアウトも選択肢に入れてトラフィックコントロールも検討していただきたい。

ビジネスセキュリティ