2022.05.24

Episode45

インターネットブレイクアウトとは?Office 365やWeb会議が重い...快適なクラウド利用をICT Solution!

情シスバトル

登場人物

  • 情シスマン

    ジョーシスマン

    • 本名有泉 丈二(ゆうせん じょうじ)
    • 職業ヒーロー

  • Dr. Protocol

    ドクター・プロトコル

    • 職業科学者
    • 趣味ネットワーク障害を起こす

  • にのまえ はじめ

    ニノマエ ハジメ

    • 職業会社員(情シス担当)
    • 弱点専門的なIT知識を問われること

  • 多田野部長

    タダノブチョウ

    • 職業会社員(役職者)

情シスマンストーリーやバトルコンテンツについてはこちら

コロナ禍にテレワークに対応できるようにネットワークを整備した企業も多くあるはずだ。
猛威を奮っていた時期と比べて少し落ち着いた現在では、オフィスワークとテレワークを従業員の働き方(いや生き方というべきか?)によって柔軟に組み合わせて併用できるハイブリッドワークが主流となってきた。
そのために多くのクラウドサービスが利活用されている。進化した働き方に呼応するように、新しいネット接続の形も登場しているのだが、従来のネットワーク構成で支障が出てしまっている企業もあるだろう。そしてWEB会議を始めようにもなかなか始められずに困惑している情シスがここにもひとりーーー

にのまえ はじめ

多田野部長、会議の時間5分過ぎてるけど入ってこないなぁ。今日は出張先の支社から参加するって言ってたけど、どうしたんだろう。
他の会議参加者は揃ってるってのに、全く・・・

多田野部長

おぉ、すまんね。前の会議が延びてしまってな。
会議中に音声が途切れるわ、投影資料は固まるわで進みが悪かったんだよ。
この会議は滞りなく済めばいいが、会議後にはじめくんだけ残ってくれたまえ。

にのまえ はじめ

え!?は...はい、畏まりました(嫌な予感だ…)

──── 会議後────

多田野部長

はじめくん。私は常日頃から思っているんだがね、ツールはスムーズに活用されて初めて入れた意味があるんだよ。導入しただけで活用されなければ無意味というわけだ。そうだろう?

にのまえ はじめ

はい、僕もそう思いますが...
(なんだ?また部長が何かの核心をついてるぞ。それにしても回りくどい)

多田野部長

うむ。さっき支社で10人程度で会議をやったんだがね、そのうち5人は自宅からで、5人はオフィスにいたんだ。でもまぁ全員オンライン参加だったんだが、さっきも言った通り会議中の通信不調が気になってね、最終的にはオフィスにいる者だけでオフライン会議をしたよ。

にのまえ はじめ

え、在宅勤務者は会議に参加できなかったのか。しかも部長たちも途中から会議室に移動して...散々でしたね。

多田野部長

つまりだ。言いたい事はもう分かっただろう。オンラインで仕事が出来るツールがあっても快適に使えなければ意味がないということだ。勿論WEB会議に限った話じゃないぞ。どうにかして従業員が快適にツールを活用できるようにするんだ。いいな?

──── 多田野部長はそう言い放ってWEB会議から退室してしまった。────

にのまえ はじめ

どうにかしてって、どうすればいいんだ。もっとこう...回線帯域を食わないWEB会議ツールを探せってことか?でもWEB会議に限った話じゃないって言ってたな。うーん...

情シスマン

♪BREAK OUT!手に入れようよ
BREAK OUT!もっとトキメキを
BREAK OUT!思い付きでも BREAK OUT!全部捨てていこうよ BREAK OUT~♪♬!

※「BREAK OUT!」作詞:織田哲郎より

にのまえ はじめ

うわぁ!急に耳元で大声出さないで下さいよ!しかもなんですかその歌、Joshisu Manさん作ですか?

情シスマン

今のでいっきに気分が悪くなったぞ、はじめ。ロックな懐メロで元気付けてやろうと思ったのになんですか!って…曲自体知らないんだから話にもならん。ジェネレーションギャップもいいとこだ。

にのまえ はじめ

元気付けてくれようとしてたのになんかすいません。それで、その歌が今回の僕と何か関係してるってことですよね?

情シスマン

まあな。でももう教えたくない。

にのまえ はじめ

Joshisu Manさん!頼みますよ~。ちゃんと復習します。その懐メロ歌えるようにしておきますから!

情シスマン

ふん。仕方ない。要するにインターネットブレイクアウトが今回の解決方法なのだ。

【調査】~MISSION!~

インターネットブレイクアウトとは

インターネットブレイクアウト(ローカルブレイクアウト)とは、インターネットにブレイクアウト(脱獄)させる仕組みのことで、特定のクラウドサービスへの通信のみ各拠点から直接アクセスさせることを予め許可するという運用方法です。
一般的に、セキュリティ対策の一環として企業は社内LANとインターネットの境界部分にFirewallUTMを配置し、それをインターネットゲートウェイ(以下、ゲートウェイ)としていることと思います。

※インターネットゲートウェイとは...社内ネットワークから外部のインターネットに接続するための出入り口機能の総称

本社以外に複数の拠点を持つような企業においては、拠点同士をVPNで繋ぎ、通信ログの監視やセキュリティ対策をセンター拠点のゲートウェイに集約させることによって、情シス担当者の管理工数が軽減されたり、センター拠点のみにセキュリティ投資をすればいいというメリットがありました。
しかしながらこのネットワーク構成には、VPN網とインターネット接続回線が従業員全ての通信をスムーズに処理できるという前提が必要になります。
ここ数年で、この前提条件が揺らいできていることがインターネットブレイクアウトの後押しに繋がっているのです。

にのまえ はじめ

WEB会議はここ数年で始めたことじゃないんですよ?前はこんな風に途切れたりしなかったような気がしますし...。

情シスマン

ツールや設備自体用意されていてもこれほど多くの従業員が使用する可能性はなかったはずだ。しかも、コロナの影響でWEB会議以外にもワークフローを電子化したり、社員同士のコミュニケーションがチャットや社内SNSメインになったり、電話がソフトフォン※になった会社もあるだろう。これらの全てがインターネットを介さないといけないんだ。以前のままのネットワーク環境でゲートウェイが高負荷になっていない会社はないだろう。

※ソフトフォンとは...専用の機器を使わずに一般的なコンピュータでインターネット経由の電話を可能とするソフトウェア

にのまえ はじめ

なるほど。確かに新型コロナウィルスの流行をきっかけに、社内にあるサーバを一部クラウドに出したし、以前よりネットありきの業務体制になってます。...ってことは、またオフィスワークが主流になってテレワークユーザが減ればゲートウェイ部分の高負荷は解消されるってことですかね。

情シスマン

おいおい、便利になった環境を不便に戻す会社がどこにある。全員が同じオフィスにいたとしてもWEB会議なら自席で参加出来る。会議室やプロジェクタを手配しておかなくてもいいし会議室にPC持参で移動する必要もない。取引先とのMTGもオンラインで行うことで時間も交通費も節約できて効率も上がっているだろう。

にのまえ はじめ

うーん。そうですね。会議室に移動する時に持ってるアイスコーヒーをPCに零してしまう心配もなくなりましたしね!

情シスマン

うむ、清々しいほど視野が狭いな!はじめのコーヒーはさておき、そういうわけで企業のネット利用は上がったままおそらく元のレベルまでは下がらないので、今直面しているゲートウェイの高負荷問題には何かしらの手立てを講じる必要があるだろう。

インターネットブレイクアウトが注目される背景

急速に増えたテレワークユーザのアクセスを受けるとなると、VPN網内のトラフィックが増えたり、どこにいても仕事が出来るようにと様々なクラウドサービスを活用する中で、それを支えるWAN回線の高負荷状態が課題として浮上するはずです。
VPN越しだと社内サーバへのアクセスが重たい、ネットが遅いと感じる、WEB会議をすると通信が不安定になる等々の不満が出てくると、業務効率が下がるだけではなく従業員によるシャドーIT※を誘発しかねません。

※シャドーITとは企業側が把握していないデバイスやクラウドサービスを使って社員が業務を進めている状態のこと

こうなったらVPN用やインターネット接続用のWAN回線を「1Gbpsから10Gbpsに増強する」という形で回線帯域を見直したいところですが、WAN回線のリプレイスに伴って適応する機器やLANケーブルまで用意しなければいけない為、高額な投資を要する上に、検討段階から実際にリプレイスが完了するまでの納期も長くなってしまいます。業務に支障が出る前の段階から検討を進められていれば良いですが、WAN回線の課題が顕在化している状態に差し掛かっていれば、長期間その状態を続けたまま検討をするということ自体難しいかもしれません。

にのまえ はじめ

そうか、インターネット利用が増えたからインターネット回線の帯域増強をすればOK!ってわけじゃないんですね。

情シスマン

そうだ。インターネット回線を10Gbpsにしても、その配下の機器の処理能力が低いままでは10Gbpsのスペックを享受できない。回線品質を最大限活かす為にはきちんと配下のネットワークまで確認が必要だな。

インターネットブレイクアウトのメリット

インターネットブレイクアウトは、予め指定した特定の通信のみVPN網やセンター拠点(本社やデータセンタ)のネットワークを経由することなく直接現地のインターネット経由でアクセスさせます。こうして通信を分散させることで、センター拠点と繋ぐVPN網、そしてゲートウェイのトラフィックを減らすことができるのです。これによって以下のようなメリットが得られます。

  • インターネットブレイクアウトによってゲートウェイの高負荷問題が軽減または解消
  • ユーザはアクセス先への経路上にセンター拠点を置かなくてよくなる(遠回りしなくて済む)為、レスポンスが向上
  • 経路分散によってVPN越しの通信も快適になる
  • シャドーITの抑止
  • DXによって本来享受できたはずのメリットを維持、 またはネットワークのパフォーマンスを理由に実行出来なかったDXの加速
    (=働く場所に関わらずツールによって業務効率を維持・向上させる事が出来る)

にのまえ はじめ

インターネットブレイクアウトいいこと尽くしですね。やった方がいい気がしてきました!

情シスマン

うむ、導入方法も見てみようか。

VPN製品でインターネットブレイクアウトが出来る?導入方法とは

インターネットブレイクアウトは、VPN製品の機能であるスプリットトンネルを活用する事で実現可能です。
しかし、VPN製品でインターネットブレイクアウトを実現させる場合、スプリットトンネルの設定がFQDN※で出来るかどうか?は事前に確認したい項目です。VPN製品の中にはIPアドレスでしか指定できないものもあり、FQDNで直接指定できないとクラウドサービス側でIPアドレスが変更になった場合にブレイクアウトに対応できなくなります。

※FQDN...完全装飾ドメイン名のこと(例:gate02.ne.jpはドメイン名、www.gate02.ne.jpが完全装飾ドメイン名)

インターネットブレイクアウトならSD-WAN?

その他にも、近年注目されているSD-WANソリューションで実現させる事が出来ます。
SD-WANとは、物理的なネットワーク機器で構築したWANVPN環境)上に、仮想的なWANを構築してソフトウェアを用いて管理を一元化する技術を指します。この機能の一部にインターネットブレイクアウトが含まれます。VPNのスプリットトンネルで対応するインターネットブレイクアウトと類似していますが、IPアドレスだけではなくFQDNURLでも特定のクラウドサービスを指定する事が出来ます。
SD-WANについて詳しく解説した記事はこちら

インターネットブレイクアウトを採用するときのポイント

インターネットブレイクアウトの実現にはいくつか方法があります。
いずれの方法で実現させたとしても平行して気を付けたいのはセキュリティです。従業員が行う全ての通信に対して、マルウェア感染や情報漏洩の事故から保護する為に企業はセキュリティ対策を講じます。
その最たる例が、ゲートウェイにおける出入口対策です。

当然ここを経由しないことにはセキュリティを適用できません。スプリットトンネルを使ってインターネットブレイクアウトを行う場合には、インターネットに直接抜ける通信へのセキュリティを考慮してください。エンドポイントセキュリティ(EPPEDR)の適用やブレイクアウトを許可する対象のクラウドサービス側でアクセス制御を行うなどです。

また、そもそも接続先が信頼できると分かっているサイトをブレイクアウトの対象にしましょう。
特にヘビーな通信としてはMicrosoft TeamsZoom MeetingsCisco Webex MeetingsGoogle Meet等、映像と音声を伴うWEB会議システムであり、これらは安定性とリアルタイム性が重視されるため、ブレイクアウトの対象として代表的です。

インターネットブレイクアウトはやりたいが、高額な投資や大幅なネットワーク変更は考えていないという企業は、VPN製品のスプリットトンネルを活用してトラフィックを逃がす策が有効かもしれません。
そして既存のUTMが買い替え時であったり、コストをかけても管理工数を軽減させたい企業はSD-WANに踏み切るのが良いでしょう。

にのまえ はじめ

拠点側からインターネットブレイクアウトさせて本社やデータセンタのゲートウェイの混雑が解消されればテレワークユーザも今より快適に仕事が出来るようになりますね。

多田野部長

ああ!いたいた。はじめくん、いい事を発見したんだ。
在宅勤務者に聞いたらどうやらVPNを繋いでいる時の方がパソコンが重たくなるようなんだよ。社内サーバにアクセスしにいく以外はVPNを切って仕事をしてくれと言っておいたぞ。妙案だろう!?

にのまえ はじめ

え、いや部長。それだと信頼できるクラウドサービスだけじゃなく、危険なサイトへも直接アクセスできちゃいますよ!?利便性を求めてセキュリティを捨てるのはさすがにちょっと...。でも今ようやく分かりました。僕が対応しないと部長みたいな利便性の事だけ考える社員がVPNルールを順守しなくなるってことですね...。

情シスマン

♪後悔なんてしたくない
きりきり頭痛いけど
退屈にケリ入れて今夜
BREAK OUT!手に入れようよ BREAK OUT~♪♬

※「BREAK OUT!」作詞:織田哲郎より

にのまえ はじめ

いい加減、相〇七瀬に怒られますよ。

情シスマン

はじめの成長に感動していたんだ。ここからはテレワーク中のインターネットブレイクアウトについて教えよう。

テレワーク中のインターネットブレイクアウト

セキュリティを考えると、情シス担当の殆どが出来る事ならテレワークユーザの全通信をVPN経由にしたいはずです。
しかし、VPN運用に厳しいルールを強いていても、実際のところリモートVPNに接続するかどうかは従業員の意思に依存することになります。ユーザ目線で言うと、リモートVPN接続中に通信遅延等のストレスがかかれば、効率的な業務遂行の為にVPNを切断してしまいたいのが本音です。
一度VPNなしに仕事をしてしまった従業員はきっとその後も度々VPNなしで仕事をするでしょう。情シス泣かせな従業員ですが、きっと少なくないはずです。

では、ユーザがPCを立ち上げてWindowsなどOSにログオンした時点で自動的に(強制的に)接続され、高速レスポンスで勝手に切れないVPNがあったらどうでしょうか。更に特定のクラウドサービスにはインターネットブレイクアウトを許可します。これでユーザの「通信遅延ストレス問題」も情シス担当の「社員がVPN張らない問題」も解消します。
これらはUSEN GATE02ーフレックスモビリティ-で実現します。その上、端末にインストールしたエージェントが、ユーザエクスペリエンスを可視化します。
例えば、自宅やコワーキングスペース等のユーザが繋いでいるネットワークの健全性、使用アプリケーション、端末の位置など、様々な情報により、迅速なトラブルシューティングやパフォーマンス分析を実現します。
社内ネットワークに接続させる際にはセキュリティに問題のある端末はVPN接続を許可されません。そしてインターネットブレイクアウトをした通信も含めてデバイスから出るすべてのトラフィックを可視化できます。

にのまえ はじめ

USEN GATE02ーフレックスモビリティ-!すごい!優秀ですね!

情シスマン

そうだろう。リモートVPN時のインターネットブレイクアウトだけおすすめサービスを紹介してしまったな。USEN GATE02なら拠点間VPNでも対応できるぞ。

インターネットブレイクアウトにお勧めのサービスとは

USEN GATE02ーマネージドUTM「ビジネスセキュリティ」-UTM本来の高度なセキュリティ機能を保持している他、Microsoft TeamsZoom MeetingsCisco Webex MeetingsGoogle Meetのインターネットブレイクアウトに対応可能だ。インターネットブレイクアウトの指定はIPアドレスで行う事になりますが、Microsoft 365のような頻繁にIPアドレスが変更されるものでも、サービスの範囲内で12IPアドレスに更新をかけているので情シス担当者の手を煩わせることなく追従できる。
また、USEN GATE02-ビジネスVPN(Omnibus)-というSDNサービスでもインターネットブレイクアウトに対応可能だ。
クラウド上のプロキシがユーザの通信を適切に振り分けることで、センター拠点のゲートウェイへの負荷を軽減。日々更新されるクラウドサービスのURLや宛先IPアドレスを自動追従も行ってくれる。
またSDNのセキュリティ部分を補完するNFVの機能も同サービス内で提供可能なのだ。

にのまえ はじめ

色んなサービスがあって、どれにしたらいいものか迷いますね...。

情シスマン

選択肢が多いのはいい事だ。より顧客に寄り添ったソリューションを選べるからな。ちなみにまだ言えないが、近々新しいSDN/NFVサービスも出るらしいぞ。

にのまえ はじめ

な、、そんな情報言っていいんですか!?うーん、素人目ではどれがうちの会社にあっているか分かりませんね(恥)とりあえずUSENに問い合わせてみよっと...。

情シスマン

それがいいな!強い情シスが企業を伸ばす!
また会おう!さらばだ!

まとめ

ハイブリッドワークの浸透、クラウドサービスの多用により、今企業のネットワークには大きな負荷がかかっている。このボトルネックを解消する為、WAN回線の増強を検討する企業も少なくないが、高額な投資を要するだけでなく、将来的なトラフィック増加とのいたちごっこになるのは間違いないだろう。回線増強だけでなくインターネットブレイクアウトも選択肢に入れてトラフィックコントロールも検討していただきたい。

■「USEN GATE 02―マネージドUTM「ビジネスセキュリティ」―」

・様々なインターネットリスクに対応しつつ、インターネットブレイクアウトにも対応
・世界基準のテストをクリアしたセキュリティアプライアンス
・基本機能であるルータ機能に、必要な機能をオプションで追加が可能
・導入から運用まで一括サポート

サービス詳細はこちらから

■「USEN GATE 02―SDN/NFV「ビジネスVPNOmnibus)」―」

・企業のネットワークに必要な機能を仮想化
・必要な機能だけを組み合わせてクラウドで利用できる
・Webフィルタ、ファイアウォールなどセキュリティ対策も

サービス詳細はこちらから

    TO BE CONTINUED…

    この記事に関連するお役立ち資料はこちら

    クラウドサービスと相性が良い社内インターネット回線の選び方

    リモートワーク等の多様な働き方によりクラウドサービスの利用が拡大し、インターネットアクセスのトラフィックは大幅に増加しました。その影響から会社で利用するインターネット回線の接続が不安定になり、接続に不満を感じることも多いのではないでしょうか。
    インターネットの接続環境が悪くなることには、必ず原因があります。本資料では、安定するインターネット回線の選び方について解説しています。

    ダウンロードする

    さらに理解を深めたい方にオススメの記事はこちら

    おすすめ記事

    セミナー
    お役立ち資料
    メールマガジン

    関連アカウントはこちら

    この記事に関連するお役立ち資料はこちら

    お役立ち資料

    閉じる

    クラウドサービスと相性が良い社内インターネット回線の選び方

    ダウンロードする