解決策がここにある!IT部門のお悩みスペシャル(第4回)

AWSやAzureの閉域接続に潜むトラブルを回避せよ!

2017.11.17 Fri連載バックナンバー

 AWSやAzureといったパブリッククラウドの活用が本格化するに伴い、セキュリティやコンプライアンスの観点から、インターネットではなく、安全な閉域接続で利用するケースが増えています。アマゾン ウェブ サービス (AWS)の「AWS Direct Connect」や、Azureの「ExpressRoute」といったサービスを利用するのが一般的です。

 ところが、この閉域接続において「構築時に接続できない」といったトラブルや、運用開始後に「ある日突然つながらなくなった」といった想定外の事態が発生しています。クラウド事業者やネットワーク事業者に問い合わせても、原因がよくわからないケースも多いようです。そのような、まさかの悲劇を未然に防ぐポイントを解説します。

 

気になる見出しをクリック

クラウドの本格導入で高まる閉域接続ニーズ

 国内におけるクラウド基盤サービス市場は、矢野経済研究所のレポート(下図)による2019年には3,500億円まで拡大すると予測されています。その背景には、クラウド基盤がビッグデータや機械学習、IoTのバックエンドとして有望視されていることに加え、企業がハイブリッドクラウドマルチクラウドを利用してビジネスを強化する動きが活発化していることが挙げられます。試験的、部分的なクラウド活用で確かな手ごたえをつかんだ企業が、続々と本腰を入れて全社的な導入を推進しつつあるのです。

クラウド基盤(IaaS/PaaS)サービス市場規模推移と予測

 そのような企業の本気度は、クラウド基盤と事業所間をつなぐネットワークにVPNなどの閉域接続が選ばれるケースが増えていることからもわかります。全社的なシステムをクラウド環境で利用する場合、社内の機密情報や顧客情報などをやりとりすることになるため、社内で定めたセキュリティポリシー、コンプライアンスの観点から閉域接続が最適と判断されているのです。

 加えて「より安定した環境でクラウドを利用したい」「大容量データをやりとりできる広帯域を確保したい」といったニーズも顕在化しており、今後ますますインターネット接続からセキュアで通信品質の高い閉域接続に移行、あるいは新規で閉域接続を採用するケースが増えていくと考えられます。

クラウド/ネットワークの市場動向

 この閉域接続においては、実はネットワーク設計が重要なポイントとなります。クラウドサービス導入の際、クラウドを中心にして検討が進みます。それは当然ではあるのですが、自社の新事業に最適なサービスの選定、導入効果の算定、リスクの洗い出し、設計、運用方法の検討などを重視するばかりに、ネットワークの検討が最後になるばかりか、検討すらされないケースは少なくありません。クラウドの仕様が確定してから、信頼できるネットワークサービスを選び、通信事業者に申し込めば「問題なくつながるだろう」と考えてしまいがちですが、これがさまざまなトラブルを生む原因になっているのです。

よくあるクラウド導入の検討プロセス(例)

トラブル回避の3要素-クラウドとVPNの間に存在する「エアポケット」

 クラウドとネットワークを接続する際にトラブルが起きるのは、なぜでしょうか。クラウド事業者はクラウド基盤のプロであり、同じくネットワーク事業者は通信のエキスパートです。双方の事業者がカバーできない「エアポケット」、いわば互いの事業者のスキル、ノウハウでカバーできない空白の領域が存在するためです。主な原因は各社のクラウド基盤によって閉域ネットワークへの接続仕様が大きく異なる点にあります。

 たとえば、マイクロソフトの「ExpressRoute」は、Azureが持つIaaSPaaS、あるいは「Office365」のさまざまな機能を閉域接続で利用するために欠かせない機能です。しかし利用形態、システム構成の違いなどにより、ExpressRoute側と接続回線側に多様な検討課題があり、実際の導入作業は一筋縄ではいきません。リリース当初は、ユーザー企業のシステム担当者や委託先のSIerにも正しい接続方法がわからず、頼みの綱であるクラウド事業者やネットワーク事業者に問い合わせても、「うちのサービスが原因ではない」という譲り合いが発生するなど、クラウドとネットワークを橋渡しするプロ不在の状況が混乱を加速しました。

 現在、トラブルシューティング情報などの提供により、状況はかなり改善されつつあります。しかし依然としてクラウド基盤の閉域接続で不測のトラブルをなくし、想定通りの効果を発揮させるためには、クラウド基盤ごとに異なる接続仕様の“クセ”をきちんと把握しておく必要があります。その際に押さえておきたいポイントは「セキュリティ」「ルーティング」「経路数」の3つです。

 セキュリティの担保に関しては、閉域接続なら安全だと認識してしまいがちですが、接続仕様を踏まえた設計を行わなければインターネットからアクセスされるリスクが生じます。ルーティングについては、クラウド内部のネットワーク設計を理解して設定しないと、拠点やロケーションによってつながらない、クラウドが利用できないトラブルが起こり得ます。経路数はクラウド基盤ごとの制限を理解していなければ、突然通信がダウンするなどの事態を招きます。逆にこの3つのクセさえ押さえてさえおけば、クラウド基盤の閉域接続におけるトラブルを劇的に減らすことができるのです。

ご覧いただくにはログインが必要です。

新規会員登録(無料)はこちら

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

3つのよくある失敗例から学ぶ「傾向と対策」

 ここからは実際に起こった3社の事例から、起こりやすい失敗例の原因、対処法を解説していきます。

閉域接続に対する「思い込み」

 A社では、イントラネットからOffice365を利用するべくExpressRoute利用を開始したところ、社外や外出先からもインターネット経由でサービスにアクセスできてしまうことが判明しました。そもそもOffice365はインターネット上からアクセスされるサービスなので、閉域接続で利用したとしても、インターネットからのアクセスは可能なままです。このことをA社の担当者は誤認識して『閉域接続すればインターネットからはアクセスできなくなる』と思い込んでいたことが原因でした。

 加えると、Office365はすべてのユーザーに同じ経路を広告しており、経路情報さえあれば、他テナントへもアクセスできる接続仕様になっています。それをセキュリティ的に許さないのであれば、テナント制御といったアクセス制御の設計、実装を行う必要があります。こうした閉域接続を想定したセキュリティリスク対策においては、設計段階で正しく理解することが大切です。

 

見逃されがちな「ルーティング設定」

 B社ではAzureを閉域接続で利用開始したところ、外部公開用セグメントにあるAzureサーバーへ、インターネットからアクセスできない状況に陥りました。ネットワーク事業者に問い合わせてみても、ネットワーク障害は発生していないという回答です。これは「強制トンネリング※」と呼ばれるルーティング設定を行う際に、外部公開用セグメントと内部用セグメントを認識したうえで、ルーティング設計をしなかったために生じたトラブルでした。

※強制トンネリング=検査および監査のために、インターネットへのすべてのトラフィックを閉域接続にてオンプレミスの場所に戻すようにリダイレクトするルーティング設定

 加えて、インターネットが利用できない状況になるとライセンス認証に失敗し、サーバーが立ち上がらないというトラブルも起こります。Azureの仮想マシンは、Azure環境にあるインターネットを利用できるルーティング設定でライセンス認証可能な仕様になっているためです。これはAzureに限らず、他のクラウド基盤の仮想マシンも同様です。どういうルーティングでクラウドから閉域接続に到達するのかといったケアを怠ると、トラブルが起こるので注意が必要です。

 

「経路数制限」に対するケア

 C社ではAWSを閉域接続で利用していましたが、ある日突然、AWSへ通信できなくなる事態が発生しました。これもよくあるケースで、ネットワーク装置の障害ではありません。これはAWS宛の経路数が100を超えてしまったために起こるトラブルです。50拠点規模のWANでもたやすく経路数が100を超えることに加え、稼働後に同じネットワークで利用する別サービスの仕様変更で急に経路数が急増するケースもあります。このような事態をクラウド検討時から想定し、備えておくことも重要です。

 同じく経路数の話では、AzureのPaaSやOffice365を利用する場合は数千単位の経路が流れる仕様になっています。国内では問題ありませんが、海外のネットワークの相互接続ポイントで設定された経路数の上限を超えてしまうと、海外で通信が使えなくなることもあるので事前の確認が必要です。

 現時点では、ExpressRouteから配布されるOffice365経路については、特定のアプリケーション(ExchangeOnline,SharepointOnline等)で利用する経路のみを広告するようなルートフィルタ設計を行うことで、経路数を削減することも可能であり、検討すべき事項となります。

 以上に挙げたようなリスクを想定したネットワーク設計は、閉域接続によるプライベートクラウド活用の欠かせないポイントになります。また稼働後の安定運用のためには、クラウドサービスの仕様や利用規約変更などもしっかり押さえておく必要があります。しかし、そこまでのケアをクラウドやネットワークの事業者には望めませんが、自前ですべてに対応するのは、かなりの覚悟が必要になります。そこで求められているのが、クラウドとネットワークを確実に結びつけてくれる第三者的な視点のパートナーです。

ご覧いただくにはログインが必要です。

新規会員登録(無料)はこちら

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

必要なのは、クラウドとネットワークの“仲人”となるパートナー

 プライベートクラウド基盤を閉域接続で利用する際に起こる不測のトラブル、原因の多くは各社が提供するクラウド基盤の持つ接続仕様というクセにあります。このクセを深く理解し、課題を解決するために、多くのネットワーク事業者、ベンダーなどがクラウドとVPNの「仲を取り持つ」サポートの提供を開始しています。

 中には、すでにメニュー化されているサービスもあります。たとえばNTTコミュニケーションズが提供する「Arcstar Universal One Multi-Cloud Connect」は、ネットワークを提供するサービス部門と顧客のシステム構築を担うソリューション部門がタッグを組んで誕生したサービスです。各クラウド基盤のクセを熟知したプロによる、閉域接続でのマルチクラウド環境構築に関する導入検討、実装から運用までのトータルサポートが最大の強みになっています。

「Multi-Cloud Connect」サポートメニュー

「Multi-Cloud Connect」の対象サービス

 今後も顧客からの要望に応じて、対象サービスを増やし、サポートの範囲も広がっていく予定です。(2017年11月に「kintone」「Garoon」などcybozu.comに閉域でセキュアに接続できるメニューを追加

 これまではマルチクラウド基盤と自社を結ぶためのネットワークの検討は後手に回ることが多く、ランニングコストなどの回線費用が選定基準の大きな部分を占めていました。閉域接続によるマルチクラウド活用を成功させるカギは、クラウドとネットワークを確実に結びつける予算の確保や、パートナー選定が握っていると言えるでしょう。

※掲載されている内容は公開日時点のものです。
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります。

ご覧いただくにはログインが必要です。

新規会員登録(無料)はこちら

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

このテーマについてもっと詳しく知りたい

Bizコンパス編集部

Bizコンパス編集部

このページの先頭へ
Bizコンパス公式Facebook Bizコンパス公式Twitter