日本企業でも着実に広がりつつあるパブリッククラウドの活用。

　既存のオンプレミスシステムをパブリッククラウドに移行する取り組みも進んでいます。

　しかしその道程は、決して平坦ではありません。

　クラウドシフトには考慮すべきことが数多く存在するからです。

　その中でも最重要となるのが、オンプレミスシステムとの接続をどのように行うかではないでしょうか。

　インターネット接続では十分なセキュリティを確保できないと、不安を感じているIT担当者は多いはずです。

　そこで本記事では、パブリッククラウドとの閉域接続の方法と、それに取り組む際のハードル、そしてそのハードルを乗り越えるためのアプローチを紹介します。

▼ 目次
1. オンプレとクラウドが混在するハイブリッドクラウドとは
2. ハイブリッドクラウドの課題
3. パブリッククラウド毎に異なる閉域接続の方法
4. 手間なく安全にパブリッククラウドとの閉域接続する方法とは

1. オンプレとクラウドが混在するハイブリッドクラウドとは

　ハイブリッドクラウドとは、パブリッククラウドとプライベートクラウド、オンプレなど異なるインフラのメリットをうまく組み合わせて利用する構成です。

　近年、データセンターに設置していたオンプレミスシステムを、パブリッククラウドへと移行したいというニーズが高まっています。

　その理由の主は下記になります。

• システム管理負担を軽減したい
• ハードウェアやシステムインフラのコストを下げたい

　このため、ハードウェアのリプレース時期に合わせてクラウド移行を検討するケースが増えています。

　日本企業にとってクラウド利用検討は、当たり前のものになっているといえるでしょう。


　パブリッククラウドが提供するサービスは、大きく以下の3つに大別できます。

• IaaS（Infrastructure as a Service）
• プロセッサやメモリ、ストレージといったハードウェアリソースを仮想マシンとして提供
• PaaS（Platform as a Service）
• データベースソフトやアプリケーションサーバーといったミドルウェアや、IoTハブ、AIなどの機能を提供
• SaaS（Software as a Service）
• グループウェアやビジネスSNS、CRMなどの業務アプリケーションを提供

　パブリッククラウドが登場した頃は、IaaSの利用が主流でした。

　すでに企業内でもサーバーの仮想化が進みつつあったため、クラウド上の仮想マシンに同様のOS環境を構築し、クラウドへと移行するという考え方は馴染みやすかったからです。

　このため、顧客やパートナー向けのシステムや、社外アクセスの要望が高いシステムを、パブリッククラウドに移してインターネット経由で利用する、という形態が広がっていきました。


　IaaS の拡大に並行して、SaaSの利用も拡大していきます。

　これを牽引しているのが、マイクロソフトが提供する「Microsoft Office 365」や、グーグルが提供する「G Suite」だといえるでしょう。

　これらはメールやスケジュール管理を始めとするグループウェア機能を提供しており、コミュニケーションや情報共有を活性化する上で、重要な役割を果たしています。

　最近では働き方改革の基盤として、このようなSaaSを採用する事例も増えています。


　そして近年では、PaaSの利用も広がりつつあります。

　PaaSが提供する各種ミドルウェアの機能を利用することで、新規アプリケーション開発の負担を大幅に軽減できるからです。

　また既存の業務システムを、PaaSで再構成しようという動きもあります。

2. ハイブリッドクラウドの課題

　企業システムのクラウドシフトが着実に進みつつある一方で、下記の理由により、オンプレミスシステムのニーズも依然として残っています。

• 工場内のシステムや一部の基幹システムでは、セキュリティの観点から自社内の閉じた環境で運用したい
• 利用状況の変動が少なく、常に一定の負荷がかかるシステムでは、社内にハードウェアを設置した方がクラウド利用よりもトータルコストが安くなる

　このため多くの企業では今後も長期にわたって、オンプレミスシステムが残り続けることになるでしょう。

　また最終的にフルクラウド化を目指す企業でも、オンプレミスシステムが完全になくなるまでには、長い時間がかかるはずです。

　短期間でクラウドシフトを進めることは、大きなリスクを伴うからです。


　このため企業システムは必然的に、パブリッククラウドと社内システムが共存する「ハイブリッドクラウド」へと向かうことになります。


　そこで課題となることは、オンプレミスシステムとパブリッククラウドをどのように接続するかです。

2-1. インターネット回線を用いてオンプレとパブリッククラウドと接続

　パブリッククラウドはインターネット経由で利用することを前提にしています。

　しかしセキュリティ確保のため社内運用しているシステムを、インターネット経由でパブリッククラウドに接続するのは、適切なアプローチだとはいえません。

　データ通信をVPNで保護したとしても、インターネットから不正アクセスされる危険性があるからです。

　高い安全性を確保するには、閉域接続することが望ましいといえます。

2-2. 専用線を用いてオンプレとパブリッククラウドを接続

　閉域接続は、通信品質とセキュリティの面で安全である点は自明の理です。

　しかし、インターネット経由での接続に比べ、下記の課題があります。

• 閉域接続のための回線や機器を利用企業側が用意しなければならず、それらが問題なく動作することも自ら検証しなければならないからです。
• 閉域接続の要件は、クラウドサービス事業者によって大きく異なります。

　このためマルチクラウドを利用している企業は、さらに複雑な問題に直面することになるのです。

3. パブリッククラウド毎に異なる閉域接続の方法

　パブリッククラウドをオンプレミスシステムと閉域接続する方法について、下記のサービスを例に挙げて比較してみましょう。

• アマゾン ウェブ サービス（AWS）
• Microsoft Azure
• GCP（Google Cloud Platform)
• Oracle Cloud

3-1. AWS

　AWSへの閉域接続方法は、大きく2種類あります。

　1つはクラウド接続プロバイダーのデータセンターに機器をハウジングし、そこから接続する方法で、下記が必要になります。

• 接続機器 (BGP、MD5認証、IEEE802.1Qをサポート）
• クラウド接続プロバイダーまでの回線
• ハウジング用の機器
• クラウド接続プロバイダーとのハウジング契約
• プライベートAS（Autonomous System）番号
• 2種類のVLAN ID

　もう1つはクラウド接続事業者のサービスを利用する方法で、下記が必要です。

• 接続機器（BGPをサポート）
• プライベートAS番号
• VLAN ID

3-2. Microsoft Azure

　Microsoft Azureと閉域接続する場合、IaaSとSaaS/PaaSとで接続方式が異なります。

　Microsoft Azureには2種類のL2接続方法があります。

• 　Privateピアリング
• 　Microsoftピアリング

　Privateピアリング方式では下記が必要になります。

• 接続機器（BGPをサポート）
• プライベートAS番号
• プライベートIPアドレス

　Microsoftピアリング方式では下記が必要になります。

• 接続機器（BGP、NATをサポート）
• パブリックAS番号またはプライベートAS番号
• パブリックIPアドレス
• プライベートAS番号を利用する場合には、マイクロソフトによる検証・承認も必要

3-3. GCP

　GCPのL2接続はAWSと同様に下記の方法があります。

• クラウド接続プロバイダーのデータセンターに機器をハウジングする方法
• 企業データセンターのBGPからクラウド接続プロバイダー経由で接続する方法

　前者で利用企業側が準備すべきものは下記になります。

• 接続機器（BGPをサポート）
• ハウジング用機器
• クラウド接続プロバイダーまでの回線
• ハウジング契約
• プライベートAS番号
• VLAN ID

　後者の場合には下記が必要になります。

• 接続機器（BGPをサポート）
• プライベートAS番号
• VLAN ID

　またGCPではL2接続の他に、L3での閉域接続も可能です。

　その方法としては、クラウド接続プロバイダーのデータセンターに機器をハウジングする方法と、企業データセンターのBGPからクラウド接続プロバイダー経由で接続する方法の2種類がありますが、使用機器に対する要件はL2接続とは異なります。

3-4. Oracle Cloud

　Oracle Cloud への閉域接続は下記の二つの方式があります。

• プライベートピアリング
• パブリックピアリング

　プライベートピアリングは「Oracle Cloud Infrastructure Compute」などのIaaSへの接続に利用され、パブリックピアリングは「Oracle Autonomous Data Warehouse」などのPaaSへの接続に利用されます。

　注意点として、クラウド接続プロバイダーによってはプライベートピアリングのみの提供の場合がありますので、利用の際は事前確認が必要です。

　プライベートピアリングを利用する際に準備するものとしては、下記になります。

• 接続機器（BGPをサポート）
• プライベートAS番号
• プライベートIPアドレス

　両ピアリングとも接続帯域は他クラウドと比べ種類が少なく、1GBと10GBの2種類のみとなります。

4. 手間なく安全にパブリッククラウドとの閉域接続する方法とは

　このようにざっと俯瞰しただけでも、閉域接続には複数の方法があり、クラウドサービス事業者毎に要件が異なっていることがわかります。

　利用企業はこれらの方式を熟知しておく必要があり、接続した後も問題なく動作するか否かを確認しなければなりません。

　また実運用後に問題が発生した場合にも、その原因を自ら究明することが求められます。

　このようなハードルを解消するために、CTCが2018年9月にリリースしたのが、「CTC Cloud Connect」です。

　これは、CTCデータセンターのハウジングサービスや、TechnoCUVICをはじめとするCTCクラウドサービスから、マルチクラウドに閉域接続するサービスです。

　このサービスを利用することで、利用企業側の責任分担領域は、以下のように一気に縮小します。

　利用クラウドの契約やクラウド側の設計や設定は利用企業側が担当する必要がありますが、その他はすべてCTC側の担当になるからです。

表 1. CTC Cloud Connect を利用する企業側の責任分界領域

　そのため利用企業は、クラウドサービス毎の接続方式の違いや、接続に何が必要なのかを熟知する必要がなくなります。これに加えCTC Cloud Connectには、注目すべき3つの特徴があります。

4-1. お手軽

　クラウド接続事業者までの専用線手配やマルチクラウド接続に必要なネットワークの構成はサービス提供の範囲に含まれており、お客様が実施する部分はクラウド側の設計、設定の部分のみになります。

4-2. コスト

　最低利用期間が1か月と短く設定されており（一般的な閉域網の最低利用期間は12ヶ月）、実証実験の際に安価なトータルコストとなるよう価格設定されています。

4-3. セキュリティ

　CTCデータセンターから各クラウドサービスへの接続は、インターネットを経由しない閉域接続となっています。また、異なるキャリアが提供する複数の専用回線で完全に冗長化され、サービス提供範囲の全ての機器に対する常時監視も行われており、可用性も極めて高くなっています。

　このようなサービスを活用すれば、マルチクラウドへの閉域接続を短期間で気軽に行えるようになるはずです。なおサービス内容の詳細は、以下のページをご参照ください。