クラウドサービス利用拡大による影響とその対策

クラウド上で提供される業務用アプリケーション(クラウドサービス)の利用の拡大により、企業内ネットワークとインターネットの関係は大きく変化しています。
この記事では、企業内ネットワークからクラウドサービスを効率よく利用するために富士通が提供しているインターネットブレイクアウト(ローカルブレイクアウトとも言う)技術を実現する手法として、IPCOM EX2シリーズの「クラウドサービス制御機能」と、NXconciergeとSi-Rシリーズによる「インターネットブレイクアウト」ついて解説します。

企業内ネットワークの変化

従来の企業ネットワークでは、業務に使用するアプリケーションやデータファイルはクライアントPC上にあり、ネットワークの利用もほとんどが企業内の通信でした。
インターネットへの通信は、セキュリティを担保するためプロキシサーバを経由して行われており、その通信内容はメールやWindows Updateを除けば限定的な物でした。

現在ではメールやWindows updateだけではなく、Microsoft社のMicrosoft365に代表されるようなクラウドサービスの業務利用が拡大しています。クラウドサービスを業務で使用するようになると、業務中のインターネットへのアクセス数と通信量は従来に比べて大きく増加していきます。
インターネットへの通信量が増加した結果、プロキシサーバの負荷増加やWAN回線または拠点~データセンタを結ぶ閉域網の帯域不足が発生することになります。

プロキシ増設・回線による対策

プロキシサーバの負荷増加やネットワークの帯域不足は、通信遅延・アクセス不可などの原因となり、業務影響が発生します。しかし、単純なプロキシサーバの増強やネットワークの帯域拡張は良い解決手段ではありません。

クライアントPCとクラウドサービスの間の通信は暗号化により保護されていて、この通信はプロキシサーバで検査できません。また、クラウドサービスを業務利用する場合、企業がクラウドサービスを信用して契約するので、その通信を改めて検査する必要性も低くなります。このような、検査する必要がない・検査できない通信のためにプロキシサーバを増強するのは効率の悪い投資となってしまいます。

また、ネットワークを拡張する場合は、通信は拠点~データセンタ間の閉域網とデータセンタ~インターネット間のWAN回線の両方を通過するため、両方の回線に投資する必要があります。

PACファイルによる対策

プロキシサーバの負荷に対する解決策の一つがPACファイル(プロキシ自動設定ファイル)の利用です。PACファイルはWebブラウザに対するプロキシ設定方法の一つで、接続先のドメイン名に応じて利用するプロキシサーバを自動選択させるためのスクリプトファイルです。
PACファイルを登録し、接続先がクラウドサービスの通信はプロキシサーバを経由せず、それ以外の通信はプロキシサーバを経由してインターネットに接続させる設定にすることで、必要な通信だけをプロキシサーバで検査する事が可能になります。

この方法で課題となるのは、クラウドサービスが使用するドメイン名への追従です。
クラウドサービスのドメイン名は追加・変更されることが多いため、これに合わせてPACファイルのポリシーを修正し続ける必要があるからです。修正を怠るとクラウドサービスに正常に接続できず業務に影響がでてしまいます。これは運用上非常に大きな負担となります。

IPCOMのクラウドサービス制御

これに対応できるソリューションが、IPCOMシリーズのクラウドサービス制御機能です。
本機能は、クラウドサービスへの通信を識別して負荷が高くなったプロキシサーバを迂回することで、データセンタのプロキシサーバの負荷を下げるソリューションです。
クラウドサービス制御は、ドメインリスト更新サーバとクラウドプロキシ機能の2つの要素からなります。

ドメインリスト更新サーバは、よく利用されるクラウドサービスのドメイン名を集約・分類したドメインリストをIPCOMに提供するサーバです。各クラウドサービスが公開している情報を基にドメインリストを作成・更新しています。IPCOMはこのサーバに定期的に接続することで最新のドメインリストを取得することができます。

クラウドプロキシ機能は、クラウドサービスへの通信を分類・転送する機能に特化したプロキシの一種です。取得したドメインリストを基に、クラウドサービスに接続する通信を識別・分類して、クラウドサービスへの通信のみプロキシサーバをバイパスしてインターネットに接続させる事が可能です。クラウドサービスの利用で増加した通信が、既設のプロキシサーバを経由しなくなることでプロキシサーバの負荷が下がり、クラウドサービス以外の通信も快適に行うことができます。

※ドメインリストで対応しているクラウドサービスの種類

  • Microsoft 365
  • Windows Update
  • Google Workspace
  • Box-Storage Box Cloud Strage
    ※・・・ユーザーが独自に作成する事も可能

NXconcierge

もう1つはSi-RシリーズとNXconciergeによるソリューションです。
拠点側のSi-Rで、クラウドサービスへの通信を識別して負荷の高くなった「閉域網~センター~WAN回線」の経路を迂回してインターネットにブレイクアウトします。
NXconciergeは、分散した拠点に展開するネットワークをクラウドから一元管理し、トラフィックの最適化、セキュリティ対策、ネットワーク運用の省力化を実現します。

インターネットブレイクアウト機能では、各拠点の閉域網に接続するSi-Rでクラウドサービス宛の通信を識別・分類して、閉域網を通さずダイレクトにクラウドサービスにアクセスさせることで閉域網のボトルネックを回避します。
クラウドサービス宛の通信を識別・分類するネットワーク機器の設定とクラウドサービスのアクセス先の情報は、NXconciergeの機能で全拠点を一括管理できます。また、Si-RからクライアントPCに最新のPACファイルを配信できるので、プロキシサーバを利用する環境にも対応できます。

※NXconciergeで対応しているクラウドサービスの種類

  • Microsoft 365
  • Windows Update
  • Google Workspace
  • Box-Storage Box Cloud Strage
  • WebEX
  • Zoom
    ※・・・ユーザーが独自に作成する事も可能

IPCOMとNXconciergeの違い

以下に両ソリューションの簡易比較を記載します。

  • 簡易比較
ソリューション推奨設置場所実現できる事
IPCOM EX2データセンタ内プロキシの負荷軽減
NXconcierge + Si-R拠点側プロキシ環境でも導入できる
拠点ブレイクアウト

富士通では、要件や実現方法に応じて最適なブレイクアウトソリューションをご提供出来ます。各ソリューションの詳細は、弊社営業へお問い合わせ下さい

ページの先頭へ