より手軽でより安く!エントリVPN
エントリVPNとは、通信事業者の専用のIP網でありながら、ADSLやFTTHといったベストエフォート型のブロードバンド回線をアクセス回線に用いるなどして、安価に提供されるVPNサービスである(図4)。
図4 ブロードバンド回線を用いる安価なエントリVPN
最近ではVPNサービスの1つのカテゴリとして定着した感があるが、実際には明確な定義などなく、「安価なVPNサービス」を表わすときに用いられる言葉である。
サービスの基盤となるVPN網は、インターネットではなく通信事業者の保有する専用の閉域網を使って提供される。IP-VPNや広域Ethernetと同じ提供形態であることから、インターネットに比べてセキュリティ面での安心感があり、安価に利用できることからコストを重視する中小企業に人気のVPNサービスである。
エントリVPNの利用は中小企業だけに限った話ではない。サービスによっては1 拠点あたり1 万円前後で利用できるケースもある。大規模ネットワークを運用している企業でも「メリハリネットワーク」という考え方のもと、エントリVPNを利用することもある。つまり、基幹部分をIP-VPNや広域Ethernetでしっかり構築し、取り扱うデータの種類やトラフィックの量、流通するデータの重要度、リアルタイム性、要求される通信品質などを考えて、部分的にエントリVPNを利用するわけだ。
エントリVPNを利用する上での留意点
エントリVPNサービスは、IP-VPNや広域Ethernetと同じように事業者の閉域網によって提供される。ただし、基本的な網のサービスや用意されているオプションまでまったく同じというわけではない。
まずエントリVPNは、IP-VPNや広域EthernetにあったSLA(サービス品質保証)がないか、限定されている。アクセス回線はADSLやFTTHのベストエフォート型のブロードバンド回線を利用するのが一般的だ。また、接続するエントリVPN網でもパケットが入ってから網を出るまでの遅延時間は保証されない。つまり、エントリVPN網内もベストエフォートなのである。もちろん、VPN網の信頼性を確保する稼働率や故障回復時間も保証されない。通信事業者への信頼だけが頼りとなる部分である。
そのほか、VPN接続できる拠点数に上限が設定されていたり、ルーティングプロトコルに利用制限があったりする。提供する事業者によって何が制限されているか、対象となる項目がそれぞれ異なる。
エントリVPNはVPNサービスの中でも歴史の浅いサービスでありながら、多くの通信事業者がサービス提供を行なっている分野である。競争の結果、サービス内容がより充実してくる可能性と余地がある。
インターネットVPNからマネージドVPN へ
IP-VPNや広域Ethernetは、コストはかさむものの、安全と安心を買うと思えば納得できる。しかし、そこまでの品質はいらないという企業もあるだろう。VPNを安価に構築するのであれば、インターネットVPNは魅力的な選択肢である。多くの企業がコストパフォーマンスに優れたインターネットVPNを選択することは想像に難くない。
ところが、インターネットVPNを運用するには、ネットワークとVPN 技術に精通した人材がどうしても必要だ。VPN機器の操作ができることはもちろん、ネットワーク設計の知識が求められる。何か障害が発生したときのために、迅速に対応できる人員も拠点ごとに必要となる。
インターネットVPNは安価に構築できる一方で、導入後の運用管理にかかわるコストを意識する必要があり、社内に専任部隊を用意することは簡単なことではない。こういったケースで利用されるのが、インターネットVPN構築から、そのあとの運用管理までをパッケージで提供する「マネージドVPNサービス」である(図5)。
図5 インターネットVPNの運用と管理を外部に委託するマネージドVPN
マネージドVPNサービスを提供するのは通信事業者やシステムインテグレータ(以下、SIer)である。インターネットVPNを構築する技術はインターネット標準の技術であり、WANを構築するための通信サービスを提供する通信事業者ばかりでなく、企業内ネットワークに携わるSIerの業務範囲でもある。まずマネージドVPNサービスを契約する事業者を選定する。
そこでユーザーとの打ち合わせ(ヒアリング)が行なわれる。接続する拠点の数やIPアドレッシング、バックアップの要否、セキュリティ設定など事業者側の用意するヒアリングシートを埋める形で必要な情報の収集が行なわれる。
ヒアリングで必要な情報が収集されると、その情報に基づいてVPNルーターの設定を行なう。あらかじめデータを設定し、動作確認を取ったものを顧客へ発送する。現地では届いたデータ設定済みのVPNルーターを設置し回線を接続。他の拠点も同様の作業が行なわれ、実際に通信ができるか導通試験を行ない無事開通となる。ここまでが導入フェーズである。
インターネットVPN開通後は、運用管理のフェーズとなり、事業者の監視センターにおいてVPNルータの監視が行なわれる。万一障害が検知されれば、監視センターからユーザーに連絡され、対応を協議したあとに障害の復旧が行なわれる。さらにIIJが提供する「IIJSMF sx」のように設定から管理までを完全に自動化したサービスもある。
このようにVPNの設定から運用管理までをパッケージ化したサービスを利用することで、ユーザーには面倒な作業はない。そのうえ、機器の設定もいわゆる"その道のプロ"に依頼しているので、ユーザーがセキュリティホールを作ってしまう危険を回避できる。コストは1拠点あたり月額1 万円前後の価格設定もあり、運用管理まで任せることを考えれば、エントリVPNと比べても納得できる金額のはずだ。
インターネットのブロードバンド環境が整ってきているからこそ、ベストエフォートではあるものの、VPNサービスの選択肢として検討する価値がある。
この連載の記事
-
第4回
TECH
VPNを実現するさまざまな製品 -
第3回
TECH
インターネットVPN構築を実践 -
第2回
TECH
VPNのプロトコルを知る -
第1回
TECH
VPNはなぜ必要になったのか? - この連載の一覧へ
