Contact

  • HOME
  • ニュース
  • クラウド時代のネットワーク構成とは?最適化の考え方

ニュース

Com Net Work Com Net Work .inc

クラウド時代のネットワーク構成とは?最適化の考え方

ニュース

「本社経由VPN」が限界を迎える理由|ユーザーとクラウドを直結させる新しい設計思想

【この記事のポイント】

  • 「クラウド利用が増えると、なぜ“本社経由VPN”が限界を迎えるのか」が、遅延・帯域・セキュリティの観点から具体的に分かる
  • ハブ&スポーク/フルメッシュ/SD-WAN/SASE/ゼロトラストなどのキーワードを、「どの規模の企業がどの順番で取り入れるべきか」という現実的な視点で理解できる
  • 実体験と現場の声から、「VPN増築ネットワークの行き詰まり」と「ゼロトラスト前提で再設計した後の“日常の違い”」がイメージできる

今日のおさらい:要点3つ

  • 一言で言うと、「クラウド時代のネットワーク構成は、“社内⇄DC中心”から“ユーザー⇄クラウド中心+ゼロトラスト”に主役を入れ替える」必要がある
  • 最も重要なのは、「①インターネット出口を分散」「②クラウドへのダイレクトアクセス(SD-WANなど)」「③ユーザーとアプリ単位で検証するゼロトラスト」の3つを、段階的に取り入れていくこと
  • 失敗しないためには、“用語の流行”ではなく、「今のネットワークでどこに詰まりとリスクがあるか」をトラフィックの見える化で把握し、そこに対してSD-WANやSASEを当てていく進め方を取ることが大事

この記事の結論

一言で言うと「クラウド利用が増えたら、“本社DCを経由させるネットワーク”から、“ユーザーが各拠点からクラウドへ直接つなぎ、ゼロトラストで守るネットワーク”へ変えるべき」。

最も重要なのは、「①ハブ集中VPNからの脱却(ローカルブレイクアウト+SD-WAN)」「②境界型からゼロトラストへの発想転換」「③オンプレ・マルチクラウド・SaaSを一体的に運用できる構成」にシフトすること。

失敗しないためには、「既存ネットワークを全捨て」ではなく、“ボトルネック拠点からSD-WANを入れ、重要アプリからゼロトラストアクセスに切り替える”といった段階的なアプローチをとり、同時に運用チームとセキュリティチームの役割分担を明確にしておく必要がある。

クラウド時代に「従来型ネットワーク」が限界を迎える理由

理由① DC経由ハブ&スポーク構成がレイテンシのボトルネックになる

多くの企業では、

各拠点 → 本社DCのファイアウォール・プロキシ → インターネット → クラウド

というハブ&スポーク構成を長年運用してきました。

しかし、クラウド活用時代のアーキテクチャ解説では、「クラウド活用が当たり前になった今、従来のデータセンター中心のネットワーク構成は、パフォーマンスとセキュリティの両面でボトルネックになっている」と指摘しています。

特にOffice 365やZoom/Teamsなどを使うと、

  • 全トラフィックが本社DCに集中
  • インターネット出口が輻輳し、レイテンシが30〜50%増加
  • 拠点によっては「クリックしてから数秒待つ」のが日常になる

といった問題が顕在化します。

正直なところ、「昔は外への通信が少なかったから成立していた構成」が、クラウド時代には通用しなくなっているだけです。

理由② VPN+境界防御だけでは“どこからでも働く”時代を守りきれない

NTTドコモビジネスは、ゼロトラストネットワークについて

  • 社内・社外のネットワークの境界を考慮せず
  • すべてのリクエストの安全性を検証するモデル

だと説明し、従来の境界型セキュリティとの違いを明確にしています。

クラウド時代には、

  • 在宅から直接SaaSにアクセスする
  • 拠点からクラウドへ直接つなぐ
  • 社内ネットワークにいなくても仕事ができる

という前提のため、「社内=安全、社外=危険」という境界線が意味を失いつつあります。

実は、VPNを“社内の延長コード”として使い続ける発想のままだと、認証が弱いケースや端末の管理不備から、侵入後の横移動リスクが高止まりします。

【実体験1】クラウドが増えてから、朝の“ぐるぐる”が日常になった話

数年前、ある拠点で働いていたときのことです。 Office 365とクラウド型の販売管理システムを導入して以来、朝9時になるとブラウザの“ぐるぐるマーク”を眺める時間が日課になりました。

  • Outlookでメールを開こうとしても、なかなか本文が表示されない。
  • Teamsの会議に接続しようとすると、「接続中…」で止まる。
  • フロアのあちこちから、ため息と椅子の軋む音が聞こえる。

その頃のネットワーク構成は、

拠点 → 本社DCのプロキシ → インターネットの1本出口

という昔ながらのハブ&スポーク。 誰かが「クラウド移行したのに、体感はむしろ重くなったよね」とつぶやいた時、みんな黙って頷いていました。

後から知ったのは、「本社のインターネット出口帯域がほぼ常に8割埋まっていた」という事実。 「クラウドは速いはずだ」という頭と、「画面はいつも重い」という体感のギャップが、毎朝のモチベーションをじわじわ削っていた時期でした。

クラウド時代の“最適なネットワーク構成”の考え方

① ハブ&スポークから「ローカルブレイクアウト+SD-WAN」へ

SASE・SD-WANの解説では、

  • 従来:各拠点からMPLSやVPNで本社DCに集約
  • これから:各拠点からインターネット経由で直接クラウドへアクセス(ダイレクトクラウドアクセス)

という方向転換が、クラウド接続の遅延とコストの両方を改善すると説明しています。

具体的な効果として、

  • SD-WANによるダイレクトクラウドアクセスで、レイテンシを30〜50%削減
  • WAN費用を40〜60%削減(MPLS中心からインターネット回線中心へシフト)

といった数字が示されています。

クラウド時代の最適アーキテクチャについて解説する記事でも、「データセンターを経由しないネットワークが理想」であり、ユーザーとクラウドの間にクラウド型セキュリティ(Zscalerなど)を挟む構成が紹介されています。

正直なところ、“本社に全部集める”から“各拠点が直接クラウドにつなぐ”へ、ネットワークの思想をひっくり返す必要がある段階に来ています。

② 境界防御から「ゼロトラスト+SASE」へ

ゼロトラストの定義は各社で微妙に違いますが、NTTやハンモックなどの解説をまとめると、共通するポイントは次のとおりです。

  • 「社内=信頼できる」という前提を捨てる
  • すべてのアクセスを、ユーザー・デバイス・コンテキストごとに検証する
  • ネットワークの場所ではなく、「誰が・どの端末で・どのアプリに」アクセスするかを基準に制御する

SASE(Secure Access Service Edge)は、

  • SD-WAN(WANのソフトウェア制御)
  • ZTNA(ゼロトラストネットワークアクセス)
  • SWG(セキュアWebゲートウェイ)
  • CASB(クラウドアクセスセキュリティブローカー)
  • FWaaS(クラウド型ファイアウォール)

などをクラウドで統合し、ユーザーの近くでセキュアなアクセスを提供する概念です。

実は、「ゼロトラストにしたい」と言いながら、VPN前提の“太いトンネル”をそのまま残している構成も多く、ネットワークとセキュリティの設計を一緒に考えないと本質的な変化は起きません。

【実体験2】「VPNを増やしても楽にならない」と気づいた瞬間

以前、拠点数が増え続ける企業の話を聞いたときのことです。 各拠点から本社へのVPNを次々に増やし、

  • VPNルーター:20台以上
  • 拠点の追加:毎年2〜3拠点ペース
  • 運用メンバー:実質2名

という状態になっていました。

新拠点が立ち上がるたびに、

  • VPN設定
  • ルーティング調整
  • 帯域のやりくり

に追われ、運用担当者は夜遅くまでログと格闘。 それでも、クラウドサービスの増加に伴い、本社の出口回線はいつも“赤信号”。

そのとき担当者が漏らした一言が忘れられません。

「VPNを増やせば増やすほど、楽になるどころか、首が締まっていく感じがします。」

この案件では、後にSD-WANを導入し、

  • 拠点からクラウドへの直接接続
  • 重要なトラフィックだけハブ経由

という形に切り替えました。 運用担当は、

「翌朝、トラフィックのグラフを見たとき、“本社に集まりすぎていた通信”が各拠点に分散されているのが目で見えて、やっと一息つけた気がしました。」

と話していました。

クラウド時代のネットワーク構成パターンと比較

パターン① 旧来型ハブ&スポーク vs SD-WAN+ローカルブレイクアウト

項目 旧来ハブ&スポーク SD-WAN+ローカルブレイクアウト
構成 拠点→本社DC→クラウド 拠点→インターネット→クラウド(必要時のみハブ経由)
レイテンシ 本社距離・出口混雑に依存 近いインターネット出口からクラウドDCへ直行
スケーラビリティ 拠点追加ごとにVPNとルート追加 SD-WANポリシーで一元管理、テンプレート適用
セキュリティ 境界防御中心(FW/Proxy) SASEでクラウド側にセキュリティ集約
コスト MPLSや専用線中心で高額 インターネット回線+SD-WANで40〜60%削減

よくあるのが、「MPLSは高いからインターネットVPNに変えよう」とするだけで、設計思想を変えないパターンです。 コストだけでなく、クラウドまでの“道筋”を見直さないと、根本的な改善にはなりません。

パターン② VPN+境界防御 vs ゼロトラスト+SASE

ゼロトラストネットワークの比較では、以下のような違いが挙げられています。

従来(VPN+境界)

  • 一度社内ネットワークに入ると、多くのリソースに広くアクセスできる
  • VPN装置やFWが単一障害点・性能ボトルネックになりやすい

ゼロトラスト+SASE

  • ユーザーやデバイスごとに“必要最小限のアプリ”だけにアクセスを許可(ZTNA)
  • SWGやCASBでクラウドアクセスも含めて一元管理

クラウド時代のゼロトラスト解説でも、「侵入されない前提ではなく、“見つからない・広がらない”構成に変える」ことが強調されています。

正直なところ、ゼロトラストは一気に100%を目指すものではなく、“VPNで入れているアプリ”を一つずつZTNAに置き換えていくイメージが現実的です。

【現場の声】「ケースによりますが、“全部クラウド”にはしない方がいいこともある」

インテックやNTTのコラムでは、マルチクラウド化の事例として、

  • 基幹系
  • 情報系
  • 国外拠点

など、システムの特性ごとに最適なクラウドやオンプレを組み合わせた事例が紹介されています。

ネットワーク担当者の本音として、

「実は、全部クラウドにすれば楽になる、という話ではないんです。」 「よくあるのが、“レイテンシに敏感な基幹システム”だけは専用線+オンプレを残し、それ以外はインターネット+クラウドに寄せるケースですね。」

という声もあります。

ケースによりますが、「全部クラウド」「全部インターネット」ではなく、“止めたくないもの”と“柔軟に動かしたいもの”を分けて、それぞれに合うネットワークパスを用意するのがクラウド時代の現実解です。

よくある質問

Q1:クラウド利用が増えたら、必ずSD-WANやSASEが必要ですか?

A1:絶対ではありませんが、複数拠点+複数クラウド+多数のSaaSを使うなら、SD-WANで回線と経路を最適化し、SASEでセキュリティ機能をクラウド側に寄せる方が運用しやすくなります。

Q2:ゼロトラストはVPNの代わりになるのですか?

A2:はい。ZTNA(ゼロトラストネットワークアクセス)は、従来のVPNの代替/補完として、ユーザーとアプリ単位でアクセスを制御します。すべてを一気に置き換える必要はなく、重要アプリから段階的に移行するのが現実的です。

Q3:オンプレDCはもういらないのでしょうか?

A3:いらないわけではありません。レイテンシや法規制、既存資産の関係でオンプレを残す企業も多く、マルチクラウド+オンプレを前提に、ネットワークを最適化する方向が現実的です。

Q4:SASEとSD-WANの違いは何ですか?

A4:SD-WANはWANの経路制御と最適化が主な役割で、SASEはそこにクラウドベースのセキュリティ機能(ZTNA・SWG・CASBなど)を統合したフレームワークです。SD-WANが“道路整理”、SASEが“料金所兼検問”のイメージです。

Q5:ゼロトラスト導入の第一歩は何から始めればいいですか?

A5:NTTは、資産(ユーザー・デバイス・アプリ)の棚卸しと、ID管理・認証基盤の整備を第一歩として挙げています。そのうえで、リモートアクセスや優先度の高いアプリからZTNAに切り替えるのが王道です。

Q6:クラウド利用が増えたのに、社内からのネットが遅いです。どこを見直すべきでしょうか?

A6:NTT事例では、ネットワーク監視ツールでトラフィックを可視化し、どの拠点・どのアプリがボトルネックかを分析したうえで、出口回線の増強やSD-WAN導入を行っています。感覚ではなくデータで判断することが重要です。

Q7:中小企業規模でも、ゼロトラストやSASEは検討すべきですか?

A7:リモートワークが多い、クラウドSaaSを業務の中核にしている、といった環境なら、フル機能でなくても“ID連携+クラウド型プロキシ+簡易ZTNA”のようなライトな形での検討価値は高いです。

まとめ

クラウド利用が増えた今、ネットワーク構成は「拠点→本社→クラウド」の旧来型から、「拠点→クラウド(+必要時のみハブ)」というダイレクトアクセスを軸にしつつ、ゼロトラスト前提でユーザー・デバイス・アプリ単位の制御に移行する必要があります。

SD-WANはクラウド接続のレイテンシ削減(30〜50%)とWANコスト削減(40〜60%)を実現し、SASEはその上でセキュリティ機能をクラウド側に統合することで、複雑化した機器群と境界防御への依存から企業を解放します。

ただし、「全部クラウド」「全部ゼロトラスト」に一気に振る必要はなく、トラフィックの見える化でボトルネックを把握し、重要拠点からSD-WAN、重要アプリからZTNAに切り替えるなど、“段階的にクラウド時代の構成へ寄せていく”進め方が、現場と予算の両方にとって現実的な最適解になります。

💻 IT・通信に関するご相談はこちら

「業務効率を改善したい」
「通信環境を見直したい」
「自社に合うシステムを導入したい」

そんなお悩みはありませんか?

コムネットワーク株式会社では、
お客様の課題に合わせた最適なIT・通信ソリューションをご提案します。

まずはお気軽にご相談ください。

📞 フリーダイヤル:0120-56-9665
📞 TEL:052-533-0331
📠 FAX:052-533-0306

👉 お問い合わせはこちら
https://comnetwork.co.jp/contact/

―――――――――――――――

👩‍💼 採用エントリーはこちら

新卒・中途ともに募集しています。
IT業界で活躍したい方はぜひご応募ください。

👉 エントリーはこちら
https://comnetwork.co.jp/recruit/

News 一覧