VMware SD-WAN™の自社導入にみるゼロトラストネットワーク構築のポイント
クラウドとインターネットを活用して、約9,000人の業務生産性を向上するローカルブレイクアウトを実現
コロナ禍によってテレワークへのシフトが加速し、SaaS型の業務システムやオンライン会議サービスなどのクラウド利用が増えています。その中で多くの企業が対応に苦慮しているのが慢性的なWAN回線の逼迫です。データセンター集約型のネットワーク構成では、クラウドへのアクセスが集中することでボトルネックが発生し、必然的にユーザビリティは低下します。
そこで、TISは各拠点からインターネットへ直接アクセスすることができ、また複数のWAN回線を束ねて最適化できるSD-WANに着目。東京エリアの拠点の豊洲オフィスへの集約を機にVMware SD-WAN™を導入して、約9,000人の社員がストレスなく働けるゼロトラストネットワークを構築しました。以下では、VMware SD-WANの導入プロジェクトを担当した情報システム部、およびIT基盤技術事業部の関係者にゼロトラストネットワーク構築のポイントについて話を聞きました。
テレワークにおけるクラウド利用の急増でWANトラフィックの慢性的な輻輳が発生
TISインテックグループの中でも最も多くの従業員数を擁するTISは、東京(西新宿)、大阪、名古屋の3カ所に本社を設置しています。2021年3月には東京・豊洲に新拠点を開設して都内の複数のオフィスを集約し、東京エリアは現在、西新宿本社と豊洲の2拠点体制となりました。
主要拠点で利用している既存のネットワークは、10年以上前に設計されたデータセンター集約型の構成で、Microsoft 365などのSaaS型の業務システムや、Microsoft Teams、Zoomなどのオンライン会議システムを利用する際は、東京と大阪の2カ所のデータセンターのいずれかから、Proxyサーバーを経由してアクセスしていました。
しかし、このネットワーク構成を抜本的に見直さなければならない大きな転機が訪れます。2020年初頭に発生した新型コロナウイルス感染症のパンデミックよって多くの社員がテレワークに移行し、社内ネットワークにそれまでの想定を超える大きな負荷がかかるようになりました。
「TeamsやZoomを使ってオンライン会議を行うユーザーが急増した結果、Proxyサーバーが高負荷状態になり、東京と大阪の両方のデータセンターともにWANの出口のトラフィックの輻輳が大きくなっていました」と話すのは、管理本部 情報システム部 主査の佐藤雄弥です。
インターネットへのアクセスが増えたからといって、オンプレミス環境で運用するWAN回線は簡単に増速することができません。こうしたことから、社員に対しては「TeamsやZoomを利用する時はカメラをオフにして帯域を確保してください」「利用者が集中している時間帯は、PCでなくスマートフォンを使って会議をしてください」といったように、社員に不便を強いる状況が続いていたといいます。
豊洲の新オフィスへの移転を機にWAN回線の最適化に着手
一方、TISではコロナ禍以前から社内ネットワークを利用した働き方に課題を抱えていました。キャッシュレス決済などの生活インフラから産業・公共を支えるサービスまで、社会基盤に関連するさまざまなシステム構築を手がける同社は、一般的な企業よりセキュリティ要件を厳しく設定しています。社員にはオフィスの固定席でデスクトップPCやノートPCを使って働くスタイルを義務付け、社内ネットワークは有線LANを利用していました。
早くからテレワークは導入していたものの、テレワークで働く社員は画面転送型のリモートデスクトップを利用して、社内ネットワークにアクセスする運用となっていました。しかし、コロナ禍によって多くの社員がテレワークに切り替えた結果、社外からリモートデスクトップにアクセスする通信量が増加し、転送スピードの低下が課題となりました。そこで帯域を少しでも確保するために、TeamsやZoomで会議をする際には、画面共有だけはPCを利用し、音声会話は別途スマートフォンを使うといったように利便性が著しく低下し、気軽に会議をセットすることもできなくなっていました。
「テレワークで画面転送型のリモートデスクトップの利用が増えたことで、出口側のWANだけでなく入口側のWANも輻輳することになりました。そこで2021年3月に豊洲の新オフィスをオープンするのに合わせて、WAN回線を最適化することにしました」(佐藤)
豊洲オフィスの設立目的は、東京エリアのグループ会社を豊洲と西新宿本社に集約し、2つの基幹オフィスのもとでコミュニケーションの活性化を図ることにありました。TISインテックグループの基本理念「OUR PHILOSOPHY」で掲げるミッションの1つである「デジタル技術を駆使したムーバーとして鮮やかな彩りをつける」を実践するためにも、新オフィスでは個々の社員の働き方に応じた環境を整備。「時間」と「場所」を自由に選択できる働き方を意味する「Activity Based Working」をコンセプトに、フリーアドレス制を採用しました。新オフィスでは原則としてWi-Fiを利用して移動の障壁をなくし、テレワーク中心の社員にはゼロトラストPCを新たに配布して、それ以外の社員はFAT端末を継続利用することとしました。
「都内に点在する複数のオフィスを豊洲オフィスに集約すると、WANのトラフィックはこれまで以上に増加することが見込まれました。また働く場所が西新宿から豊洲に変わり、自宅からオフィスまでの距離が遠くなる社員もいるため、テレワークの増加も予想されます。そこで、豊洲オフィスへの移転までに新たなネットワーク環境を整備し、さまざまな問題に備えることにしました」(佐藤)
クラウド上のゲートウェイサービスを評価しVMware SD-WANの採用を決定
次期ネットワークの要件を、ユーザー目線のネットワーク構築、高度な拡張性と運用性、コストの最適化の3つとしたTISは、その解決策としてネットワークを仮想化するSD-WANに着目し、VMware SD-WANの採用を決定しました。選定の理由について、IT基盤技術事業本部 IT基盤技術事業部 IT基盤コンサルティング部 エキスパートの野口敏久は次のように振り返ります。
「一番の評価ポイントは、クラウド上のゲートウェイサービスによって、高い次元でのSD-WAN運用が可能になる点です。SASEなどのクラウドサービスを導入する際も、クラウドゲートウェイならメッシュを張ることなく簡単に設定することができます。アマゾン ウェブ サービス(AWS)などのクラウド基盤との連携も容易で、今後の拠点拡張やビジネスのアジリティを考慮するなら、その都度VPNを設定する必要がないVMware SD-WAN以外の選択肢はありませんでした」
VMware SD-WANは、複数の回線からなるWAN上に仮想ネットワーク環境を構築し、一元管理するソリューションです。VMware SD-WAN Orchestrator™、VMware SD-WAN Gateway™、VMware SD-WAN Edge™の3つのコンポーネントから構成され、クラウドからエッジまでシームレスな連携を実現します。
コンポーネントの1つであるVMware SD-WAN Orchestratorは、SD-WAN環境全体を自動化するための管理ツールで、各拠点に設置したSD-WAN機器を統合的に管理することができます。拠点に配置した複数のSD-WAN機器をクラウド上から遠隔操作で初期設定する「ゼロタッチ・プロビジョニング」にも対応しています。
VMware SD-WAN Gatewayはクラウド環境上に設置するゲートウェイで、拠点(エッジ機器)からクラウドサービスへのアクセスを最適化してパフォーマンスを向上させます。また、VMware SD-WAN Edgeは拠点に配備するためのエッジ機器で、アプリケーション単位で通信を最適な経路に振り分けることができるほか、回線種別の異なる複数のWAN回線を束ねて1つの回線として利用する「Dynamic Multi-Path Optimization(DMPO)」の機能により、回線を高速化します。
これらのコンポーネントを組み合わせたVMware SD-WANを導入することで、データセンターを介さず各拠点からインターネットにアクセスするローカルブレイクアウト(LBO)が可能になり、WAN回線のボトルネックを解消することができます。また、アプリケーション単位でトラフィックを可視化して制御したり、WAN回線を最適化してコストを軽減したりすることも可能です。
「VMware SD-WANがゼロタッチ・プロビジョニングに対応していることや、クラウド上のポータルから管理・変更・監視ができる運用性の高さは大きな評価ポイントでした」(佐藤)
既存のネットワークを止めることなく国内の主要4拠点に段階的に展開
構築を担当したIT基盤技術事業本部では、2020年9月~11月の3カ月間でVMware SD-WANで提供される各種機能のPoCを実施した後、まず2021年1月~4月のフェーズ1で、東日本と西日本のオフィスである豊洲と大阪の2拠点に導入しました。豊洲と大阪ではLBOによるインターネット利用環境を整備すると同時に、豊洲をゼロトラストPCの社内ネットワークへのメインルート、大阪をバックアップルートとして利用しています。さらに、商用ビルである豊洲が計画停電などでダウンしても、自動的に社内向けのルートを大阪側に切り替えられる冗長構成としています。
「プロジェクトの必須の要件は、業務に影響を与えることがないように、既存のネットワーク(MLPS)には極力手を加えることなく、なおかつ止めずに導入を行うことでした。そのため、豊洲への導入前にはIT基盤技術事業本部で小規模なパイロット環境を用意して、不具合などをすべて洗い出し、展開時も部門単位、フロア単位で区切りながら慎重に進めました」(野口)
LBOは当初、豊洲オフィスで利用するゼロトラストPCだけを対象とする予定でしたが、TeamsやZoomを快適に利用しているゼロトラストPCのパイロットユーザーの話を聞いたFAT端末ユーザーからの熱烈な要望を受けて、最終的にLBOの対象を既存のノートPCにも拡大しました。その後、2021年7月~9月のフェーズ2では、西新宿本社と名古屋の2拠点に展開しています。両拠点はビジネスユーザーが多いことから、シンプルにそれぞれをLBO拠点として導入しています。
導入の過程では、VMware SD-WANの導入はTISにとって初めての経験ということもあり、いくつかの非機能要件にも直面しましたが、さまざま工夫で乗り切りました。IT基盤技術事業本部 IT基盤技術事業部 IT基盤コンサルティング部 主任補の畑浦勇人は次のように話します。
「Microsoft 365の特定のアプリでLBOを行う際に設定通りに動かず、MicrosoftやVMwareのサポートを受けながら原因を調査して解決しました。拠点展開の際も名前解決のためのDNS設定が拠点ごとに違いがあり、細かなトラブルも発生しましたが、現場にヒアリングしながら1つ1つ解決していきました」
ネットワークのキャパシティは従来の3倍。ストレスのない快適なオンライン会議が実現
VMware SD-WANの導入後、現在は豊洲、大阪、西新宿、名古屋の4拠点において、約9,000人の社員がTeams、Zoom、リモートデスクトップなどを快適に利用しています。
「LBOによってオンライン会議の際の音声品質や画面転送品質が向上し、業務の生産性は確実に高まっています。社員からも『ストレスなく使えるようになった』『お客様や仲間の顔を見ながらオンライン会議ができる』といった声が寄せられています。現在、豊洲だけでも400MbpsのトラフィックがSD-WAN側に流れており、その分だけ社内ネットワークの負荷が軽減されたことになります」(佐藤)
またネットワークが可視化され、アプリ単位でトラフィックを把握できるようになった点も大きな成果です。ダッシュボード上でTeamsやZoomがどれだけの頻度で利用されているかを把握し、オンデマンドでの回線追加が迅速にできるようになりました。
「これまでも全体のトラフィック量は監視していましたが、VMware SD-WANならダッシュボード上でTeamsやZoomといった個々のアプリケーションが、どの拠点で、どの時間帯に、どれだけ利用されているかといったことまで把握できます。これによりアプリケーションごとの投資効果も明確になり、回線増設の際も経営陣への説明がしやすくなりました」(野口)
これは可視化やLBOだけでなく、VMware SD-WANのもう1つの大きな特長である、複数の異なるWAN回線を仮想的に1本の回線として利用するDMPOや、通信ルートを最適化するVMware SD-WAN Gatewayも相乗的に機能したことによるもので、通信の用途ごとに帯域保証やベストエフォートの回線を使い分けたトラフィックの最適化やネットワーク品質の向上につながっています。さらに、今後はVMware SD-WAN Orchestratorやゼロタッチ・プロビジョニングによって、保守対応などの運用負荷軽減も期待できます。
「これらVMware SD-WANの各種機能により、社内で利用できるネットワークのキャパシティは従来比の3倍となり、ネットワーク拡張のアジリティもオンプレミス環境と比べて5倍に高めることができました」(野口)
LBOの対象アプリを拡大しながら将来的に社内ネットワークの廃止も検討
TISでは、今後もLBOの対象アプリを拡大していく考えで、現在はファイルサーバーのBoxなどが候補となっています。
「ユーザーから寄せられるLBOの要望に関しては、基本的に全社で利用するクラウドサービスやアプリはLBO化して社内ネットワークのトラフィックを削減していく考えです」(畑浦)
一方、TISの国内拠点の中には、VMware SD-WANがまだ導入されていない拠点も残っています。今後は小規模拠点のネットワークを見直しながら、必要に応じてSD-WAN化していく予定です。さらに、将来的には社内ネットワークを廃止してクラウドに一本化する構想も描いています。
「設備に依存するネットワーク環境は廃止して、インターネットとクラウドサービスの利用を標準モデルとすることで、社内でもテレワークでも、あらゆるデバイスを使って自由に働ける環境を提供することが目標です。その基盤となるVMware SD-WANには、さらなる進化を期待しています」(佐藤)
ITシステムのコンサルティングから導入、基盤の構築・提供、運用保守までさまざまなサービスを提供するTISは、VMware製品に関しても仮想化プラットフォームの構築・運用サービスや、VMware環境の仮想マシンをパブリッククラウドに移行するVMware Cloud™ on AWSなど、さまざまなサービスをラインアップしています。今回、VMware SD-WANの自社導入で培ったノウハウは、TISの独自サービスとして同じような課題を抱えている企業に対しても、新たな価値を提供していくことになるはずです。
今回の取材メンバー
TIS株式会社
管理本部
情報システム部 主査
佐藤 雄弥
TIS株式会社
IT基盤技術事業本部
IT基盤技術事業部
IT基盤コンサルティング部 エキスパート
野口 敏久
TIS株式会社
IT基盤技術事業本部
IT基盤技術事業部
IT基盤コンサルティング部 主任補
畑浦 勇人