SD-WANとVPNはどう違うの？機能や役割の違いを解説

ネットワーク技術の目覚ましい進歩により、様々な方法で安全な接続を実現できるようになりました。普段使っているネットワークをよりセキュアに利用するときに使う方法として一般的になってきた技術にVPNが挙げられます。一方で、昨今ではSD-WAN(Software Defined Network)と呼ばれる新しい技術が登場し、市場を拡大しつつあります。今回は、SD-WANとVPNは何が違うのか、それぞれにどのような特徴があるのかをわかりやすく解説します。

VPNは「Virtual Private Network」の略で、日本語では「仮想専用ネットワーク」を意味します。専用ネットワークとは、インターネット上でウェブサイトにアクセスするような共有のネットワークではなく、あらかじめ決められた通信先同士のみが利用できるネットワークのことを指します。VPNでは、この専用ネットワークをいくつかの技術を組み合わせることで仮想的に実現します。ここではVPNの基本的な仕組みと種類を紹介します。

VPNにはその接続構成によって、大きく2種類にわけられます。専用ネットワーク上でVPNを実現する「IP-VPN」と、インターネット上でVPNを実現する「インターネットVPN」です。IP-VPNでは通信事業者の閉域ネットワーク上で実現され、多くの場合MPLSを利用してパケットがやりとりされます。専用ネットワークを利用するため、後述のインターネットVPNに比べてコストがかかる反面、誰でも自由に使えるネットワークを経由しないので、安全に利用できます。

一方、インターネットVPNは比較的安価に利用できるVPNの種類です。インターネット環境さえあれば、どこからでも接続することができ、VPNを経由する通信は暗号化されます。

インターネットVPNに分類される接続方式としてSSL-VPNがあります。SSL-VPNは一般的にクライアント端末からVPN接続をする際に利用され、専用のクライアントソフトウェアがなくてもブラウザ経由で接続可能です。他の接続方式に比べて簡単に使えることが特徴な反面、利用できるプロトコルがhttpやhttpsに限られる、という難点もあります。

インターネットVPNの接続方式としてもう1つ代表的なのがIPsecです。IPsecを利用することで、ネットワークレベルで通信を暗号化することができます。SSL-VPNのように利用できるプロトコルに制限がない一方、利用するためには事前の設計と構築にコストがかかります。

VPNでは主に3つの技術を組み合わせて実現されます。

まず、通信をしたい2者がお互いに正しい相手かどうかを確かめます。ここでは認証技術が利用されます。認証機能を実現できるプロトコルは複数存在し、要件によって最適な方式が採用されます。お互いが正しいことが確認できたら、トンネリング技術を利用して通信したい2者間に仮想的なトンネルを形成します。これにより、物理的には複数の機器を経由していても、論理的には2者間が直接接続されているようにみえます。

次に、暗号化です。2者間の通信を暗号化することで、経路上で盗聴されたり、通信を改ざんされたりといった不正行為を防止します。なお、VPNを利用することにより、送信するパケットに認証方式や暗号化のためのデータが付加されます。このためVPNを利用していない通信に比べて、VPNを利用した場合の通信速度は遅くなります。

SD-WANは「Software Defined-WAN」の略で、日本語では「ソフトウェアで定義されたWAN」を意味します。WANは「Wide Area Network」で、広域ネットワーク網のことです。従来のネットワークは物理的な機器を利用して経路を制御し、通信の制御を実現しネットワークが構築されていました。近年では、技術の進歩に伴い、ソフトウェアでこれらの制御を実現できるようになり、物理的な制約を超えてより柔軟なネットワークを構築できるようになりました。それがSDN(Software Defined Network)です。

SDNを利用することで、これまでのネットワーク構築に比べて大幅に柔軟な設計をすることができるようになりました。SDNでは、「コントロールプレーン」と呼ばれる通信を制御する部位と、「データプレーン」と呼ばれるデータを転送する部位とを分け、ソフトウェアを利用してネットワークを仮想化し、通信の制御を一括管理することで低コストでより柔軟なネットワークを実現することができます。制御する部位は「SDNコントローラ」と呼ばれます。SDNコントローラとデータを転送する部位間では、APIを利用してコミュニケーションを成立させます。SDNコントローラ上で動作しているのもソフトウェアであるため、新しい機能を搭載したり、不要な機能を削除したりといった管理や簡単なスクリプトを書くことができれば、運用タスクを自動化できるなど複数のメリットがあります。

これまでの物理機器を主としたネットワークでは、設定変更の際にリモート接続するか現地に出向く必要があったり、大幅な構成変更があれば物理結線や機器の配置までも大きく変える必要がありました。SDNの登場により、これらの大規模な変更もSDNコントローラ上で容易に実現できるようになりました。

前述のSDNは主に社内ネットワークに利用される目的で作られました。これを応用してWAN接続でも使えるよう開発されたのがSD-WANです。基本的なコンセプトは同じで、制御する部位とデータ転送をする部位が分かれており、コントローラでネットワークの構成や通信制御を一括管理することでWANを仮想化し、柔軟な変更が可能です。これに加え、WANではインターネット・サービス・プロバイダと契約している回線を複数利用でき、効率よく必要なネットワークに分配することも可能です。

また、アプリケーションレベルで通信を認識することもできるので、各アプリケーションの利用状況や、アプリケーション別での帯域制御も行うことができます。SDNと同様、拠点の機器が担当しているのはデータ通信のみなので、物理結線さえすればコントローラからリモートで設定の適用ができます。これにより特に大規模なネットワークにおいては、運用コストを大幅に減らすことが可能です。

特に昨今はオンプレミスとクラウドの両システムを使うハイブリッド方式が取られている企業が主流なので、クラウドサービスに関連する通信はインターネットへ直接接続し、Webサイトの閲覧や社内システムへのアクセスなど検閲が日強な通信はデータセンターを経由させる、といった制御も行うことができます。SD-WANの考え方ではこれを「ローカルブレイクアウト」と呼びます。ローカルブレイクアウトを実装することで、通信の経路を最適化し、負荷分散することが可能です。

SD-WANとVPNにはどのような違いがあるでしょうか。どちらも「ネットワークを仮想化する」という大きな概念としては共通しているかもしれません。

しかし、VPNが2拠点間の通信を仮想的に専用ネットワーク化するのに対し、SD-WANは複数の拠点でもネットワークを仮想化することができます。また、仮想化に使われる技術も違っています。VPNでは認証、トンネリング、暗号化の3つの仕組みをそれぞれ利用し実現していました。SD-WANではSD-WANの実現を目的として開発されたソフトウェアが存在し、その管理コンソールを用いて制御します。

VPNはネットワーク技術のひとつであり、主にネットワークレベルまたはトランスポートレベルで動作するため、通信の制御はポートでの制御にとどまります。一方でSD-WANアプリケーションレベルで通信を認識できるため、VPNと比べてより上位レベルで細やかな制御が実現できます。

また、SD-WANは構築後も柔軟に変更ができるのに対しVPNは主に設計に基づいて構築されたあとは変更する際に変更内容に基づいた再設計や変更作業をするコストがより大きくなる特徴もあります。

一方でSD-WANはソフトウェアを使って通信を制御するため、そのソフトウェアに不具合があると影響を受けやすくなります。VPNの場合も不具合の可能性はありますが、より低いレイヤで動作する技術であるため、ソフトウェア不具合に比べて比較的リスクが低くなります。

集中管理も大きな違いの1つといえるでしょう。VPNでは設定変更が必要になった場合に複数の機器で変更を適用する必要があります。SD-WANを利用していれば、変更作業は管理コンソールより一括で適用することができます。この違いはネットワークの規模が大きくなればなるほど顕著に表れ、VPN運用に必要な人手とSD-WAN運用に必要な人手で大きな差が生まれます。

いかがでしたか？今回はVPNとSD-WANの違いを紹介しました。どちらのプロトコルも、ネットワークを仮想的に捉えて利用する、という概念は同じですが、使う目的や利用する背景、利用するプロトコルなど多くの違いがあります。これらの技術を利用する際には、それぞれの特徴を理解して選定する必要があります。正しく理解して、正しく使うことでより高いネットワークパフォーマンスを出すことができますので、ぜひ事前のリサーチを十分に行ってください。