ここ2~3年のブームとしてはゼロトラストが流行っていますね。それと同時に『VPNは時代遅れだ』という論調のメディアが増えてきました。はたして本当にそうなのか、私達は今の時代だからこそモダンVPNをおすすめしたいと考えています。
ゼロトラストとは
従来の「社内ネットワークの内側は信頼できる、社外は信用できない」といった考え方から、「社内も社外も信用しない」という考え方へのシフトを言います。セキュリティモデル(概念)なので、具体的な技術要素を指しているわけでは有りません。
これはコロナ禍以降にリモートワークが流行したことや、オンプレミスな社内システムからクラウドサービスへの転換が背景にあります。
ゼロトラストセキュリティモデルを完全に採用するのであればもはやVPNは必要ない、というのがVPNオワコン論者の言い分です。それも間違いだとは思いませんが、「インターネット上に顧客情報を保管するのは不安」「社外秘情報をクラウドストレージに保管するのは心配」という意見も多いように感じます。
ですので、まだまだ社内ネットワーク(≒VPN)は必要だと考えています。
従来型VPN
そこで、従来型のVPNの課題を整理してみましょう。
課題1 本社がボトルネックになる
従来型のVPNは本社を中心として、ハブスポーク型のネットワークを構成することが主流でした。
なんの違和感も感じないくらいにごく普通のVPN構成ですが、本社などの一箇所に全てのトラフィックが集まってしまい、本社のネットワークが遅くなるということがよく起こります。
これを解決するためにはメッシュ型のVPNにするのが良いです。
こうすることで、例えば拠点Aから拠点Cへの通信であれば、本社を経由することがないので、トラフィックが一極集中することがありません。
課題2 インターネットVPNか専用線か問題
安くVPNを構成しようと思うと、インターネットを経由するVPNを構築することになります。そこで問題になるのがレイテンシー(遅延)です。インターネットのスピードというとGbpsとかMbpsという単位をよく聞くと思いますが、これは帯域と言います。道路でいうと何車線あるかという太さのことです。太ければ沢山の車が同時に走る事ができますので、その分早いわけです。これは契約する回線によって決まってくるので非常にわかりやすいですね。
ですが、ここで問題として取り上げるのは帯域ではなくてレイテンシーです。往復にかかる時間というイメージで大体合っています。道路でいうと時速に当たります。3車線の高速道路でも、渋滞していて時速10kmなどでは遅々として進まないわけです。このレイテンシーが非常に厄介なのは、どのプロバイダもほぼ公開しておらず、保証もしていないというところです。インターネットのスピードが『ベストエフォート』と言われるのはまさにこの問題があるからです。
100MbpsのインターネットVPNよりも10Mbpsの専用線の方が体感として早く感じることさえあるのはこういった違いがあるからです。(専用線は文字通り専用の線なので、レイテンシーが非常に小さいです)
専用線を引こうとすると月額16万円~みたいな金額感に一気に跳ね上がってしまいます。もちろん、エンジニア目線では「専用線を引かせてくれ!」と思うわけですが、経営者目線では費用対効果に疑問がつくわけです。
専用線レベルの低遅延で全国的に網を張り巡らせ、なおかつ低価格な回線があるのを皆さんは御存知でしょうか?知っているようで知らない『フレッツ網』です。「なんだよ、結局インターネットの話かよ」というなかれ。『フレッツ網内折返し通信』です。これはインターネットに出ずに、NTTのフレッツ網内で通信を行う形態を言います。そのため厳密にはプロバイダ契約も不要だったりします。
通常インターネットVPNでは以下の図の赤い線のような経路をたどります。
この中でも、PPPoE接続の場合は、フレッツ網とインターネットの接続箇所が特に遅い箇所です。インターネットプロバイダとフレッツ網との接続箇所にどれだけコストをかけるか、あるいはケチるかでプロバイダー毎の遅い・速いが変わってくるわけです。IPoE接続対応の回線だとこのゲートウェイが不要になるので混雑時でも快適になったりします。
フレッツ網折り返し接続
そして本題のフレッツ網折り返し接続です。
インターネットに出ることなく、日本最大のネットワーク内で接続ができてしまうんです。これは中小企業のネットワークを長年見てきた身としては破壊的なイノベーションでした。(経済効果が無い=ベンダーが儲からないので、メディアで流行ワードとして登場することはありませんでした・・・)
NTT信者というわけではないですし、何なら電力系の光回線や私の古巣KDDIの方が好みなのですが、このフレッツ網折り返し接続に限って言うと、これほどのクオリティを出せる会社は無いと思います。世の中の専用線もフレッツ網(NTT)の余剰回線を使用しているのが大半ですから。最も専用線はコストが10倍程度に膨らみます。
私は『コスパ』という言葉があまり好きではないのですが、コスパではフレッツ網折り返し接続の右に出るものはいないです。コスパという言葉を使う時は、大抵コストにだけ着目していて、パフォーマンスは評価されていないことが多いので、私はコスパという言葉があまり好きでは有りません。
もっとも、最上級のパフォーマンスを求めるなら今の時代は専用線ですらないです。IOWN構想と言われているAPN(オールフォトニクスネットワーク)が最強です。通信線自体の光回線化はもちろんですが、中継する機器内ですら全て光通信を行うというものです。一般的な光通信では中継機(ネットワーク機器)内部はカッパー(銅線)の電力線に置き換えられています。それを機器の内部通信まで全て光にしてしまったもの、という感じです。20kmくらいの距離であれば0.2ms程度のレイテンシーだと言われています。ですが実態としてはもっと距離が長くても同じ程度のレイテンシーだと思われます。フレッツ網折り返し接続だと2ms程度というところです。※レイテンシーが2msだと、社内LAN/構内LANレベルに速いです。
VPNのオーバーヘッド問題
100Mbpsの回線でレガシーなVPNを構築すると、機器の性能にもよりますが20~30Mbps程度の速度になることが多いです。これはTCP/IPという複雑なプロトコルの上に、更に暗号化通信をしているから遅くなるのですが、モダンなVPNだとTCP/IPではなくUDPで通信を行うことでオーバーヘッドを減らすことができます。具体的にはWireguardというVPNプロトコルがこれに当たります。
結論
フレッツ網折り返し接続を利用して、Wireguardでメッシュ型のVPNを構築すると、「今までのインターネットVPNはなんだったのか?!」と思うくらいに快適なVPN環境が構築できます。そしてお財布にも優しいです。
「やっぱり専用線を入れなきゃダメかな」と思っている社内SE担当者の皆様は、ぜひご検討ください。
モダンなVPN構築を依頼したい場合は事業会社のIT無双へ依頼してください。
コメント