この記事は、Cisco IT – Network Infrastructureチーム の Director である Chris Groves によるブログ「Q&A: How we scaled VPN when the global workforce moved home
」(2020/4/16)の抄訳です。
シスコでは 2020 年 3 月から 4 月にまたがる数週間の間に、全従業員がテレワークに移行しました。
それに伴い、業務を遂行し、同僚、お客様、家族と連絡を取り合うための手段として、リモート コラボレーション
テクノロジーへの依存度が社内全体で急激に高まりました。
シスコにおける VPN(Virtual Private Network)の役割も一変しました。各地で災害(吹雪、ハリケーン、地震、火災など)が発生した際の代替アクセス手段から、数万人に及ぶ世界中の従業員、コントラクター、パートナーに
欠かせない日常的なアクセス手段へと大きくシフトしたのです。
シスコの IT チームは、お客様と定期的にお会いし、様々なビジネス上の課題にどのように取り組んでいるかを共有しています。その中で、全社的な VPN インフラの提供に関してのご質問を数多く頂いています。
今回は、そうした質問に対する回答の一部をご紹介します。
シスコでは誰が VPN を利用できますか?
オフィス内でシスコ IT サービスを利用できる従業員、コントラクター、パートナーであれば、誰でも VPN にアクセスできます。VPN ユーザは各自の PC やモバイルデバイスに Cisco AnyConnect Secure Mobility Client をインストールします。フルタイムのテレワーカーはハードウェアベースの VPN サービスを利用できる自宅用ルーター、Cisco Virtual Office を設置しています。
VPN の役割はどのように変化しましたか?
コロナ渦以前には、VPN の月間ユニークユーザ数が約 10 万人で、週間の平均接続数は 50 万でした。ほとんどの VPN は、仕事の持ち帰りや諸事情による在宅勤務で、臨時のアクセス手段として使うことを想定しています。シスコではすでにテレワークの文化がしっかりと根付き、VPN インフラの拡張も着実に進んでいます。主要拠点では、いずれかの建物で停電が発生しても、別の建物から全ユーザにサービスを提供できる体制がすでに整っています。また、拠点全体で停電が発生した場合に備えて、フェールオーバー拠点も用意されています。たとえば、カリフォルニア州サンノゼのデータセンターやノースカロライナ州のリサーチ トライアングル パーク(RTP)で停電が発生した場合は、テキサス州リチャードソンがバックアップ拠点として稼働します。しかし、今回のような全世界的事象が発生して、すべての従業員が毎日 VPN を使用するようになったことで、平時はバックアップとして機能していた拠点が、すでにキャパシティの上限に近い状態で稼働しているという事態に陥りました。そこで改めて認識させられたのは、パンデミックでも業務を円滑に進め、冗長性を確保するうえで VPN インフラの拡張が不可欠だということです。
VPN アクセスをどのように保護していますか?
VPN の提供には Cisco AnyConnect クライアントを使用しています。そして、クラウド型セキュリティサービス、 Cisco Umbrella を使用して DNS レイヤのセキュリティを確保し、ファイアウォールでポリシーとアクセスコントロールリスト(ACL)を管理しています。また、ユーザに対しては Cisco Duo Security による多要素認証を義務付け、Cisco Identity Services Engine を使用してアクセスポリシーを適用しています。さらに、Cisco Meraki Systems Manager を通じて最新のモバイル アプリ セキュリティ パッチをユーザのデバイスに配信しています(詳細情報)。
どの拠点で VPN キャパシティの拡張が必要か、どのように判断していますか?
最大同時セッション数を日単位で拠点ごとに確認しています。同時に、前月に接続した一意のデバイス数と、その地域で利用可能な IP アドレスの最大数を比較しています。これらの情報はサードパーティおよび社内のネットワーク モニタリング ツールから入手できます。この調査の結果、リチャードソンの拠点では 3 万件の IP アドレスが余っているのに対し、RTP とシドニーのデータセンターではそれぞれ約 500 件の IP アドレスが不足していることがわかりました。
VPN をどのように拡張していますか?
必要に応じて IP アドレス、VPN ハブ、ファイアウォールを追加しています。また、自動化されたスクリプトを使用して、IP アドレスの使用状況を毎日監視しています。現在は、デバイスのキャパシティが逼迫している拠点にアドレスを追加しています。
さらに、ロンドンとオタワに新しい VPN ハブを構築することも計画しています。サンノゼと RTP のフェールオーバー拠点は、リチャードソンのハブです。同様に、今後はロンドンがヨーロッパのフェールオーバー拠点として機能する予定です。アムステルダムの VPN ハブがキャパシティの上限を超えた場合、約 8 千キロメートル離れたリチャードソンのハブではなく、ロンドンのハブに接続する方が快適になります。カナダのユーザはオタワのハブに接続することになります。
サービスプロバイダー回線のキャパシティはどのようになっていますか?
シスコは、世界各地のサービスプロバイダーとピアリング接続を確立しています。Comcast 回線を使用しているシスコの従業員は、Comcast 回線経由で VPN ハブに接続することで最も快適に使えます。ただし、Comcast 回線がキャパシティの上限に達した場合は、シスコの VPN コンセントレータにより、別のプロバイダネットワーク(AT&T や Spectrum など)にリダイレクトされます。これによりアプリケーションの応答が遅くなるため、他社の回線を追加することで快適さを改善できるか確認中です。
また、既存のサービスプロバイダー回線にキャパシティを追加する必要がある場所も検討しています。これまでは、必要時にバースト転送を行うオプションに加え、通常の使用量より少し高い認定情報レート(CIR)を契約していました。たとえば大規模な拠点では、10 Gbps のパイプを使用し、2 Gbps の CIR を契約しているため、最大
10 Gbps のバースト転送が可能です。バースト転送にはコストがかかりますが、場合によっては、CIR を高くするよりも月間コストは安くなります。最も経済的な方法を判断するために、バースト転送が発生している回線の数とその時間を確認しています。
ヒント:現在契約している回線がバースト転送に対応しているか、サービスプロバイダーに確認することをおすすめします。シスコが調査したところ、中国のサービスプロバイダーで転送レートが制限されていることがわかり、他の回線に変更することにしました。
インターネットが遅い場合はどうしていますか?
これに関してはどうすることもできません。テレワークが開始されてから最初の数日間は、中国のユーザから接続速度が遅いという苦情が寄せられていました。私たちとしてはサービスプロバイダーがネットワークを高速化するのを待つしかありませんでしたが、その後、状況は改善されています。
スプリットトンネリングを使用してインターネットトラフィックを社内ネットワークから隔離していますか?
背景:スプリットトンネリングを使うと、社内ネットワーク宛てのトラフィック(データセンターベースのアプリケーションなど)を VPN 経由で転送し、インターネットトラフィックをインターネットに直接転送するように VPN クライアントを設定できます。特定のトラフィックについて VPN を経由させないことで速度が向上し、ファイアウォールと LAN の負荷は軽減されますが、シスコの IT チームと Trust and Security チームは、スプリットトネリングを設定し全てのインターネットトラフィックをVPNトンネルを経由せず、インターネットに送信するのはリスクが大きすぎると判断しました。従業員が仕事の合間に Facebook や Twitter にアクセスして PC がマルウェアに感染した場合、会社全体に感染が拡大するおそれもあります。こうしたリスクを最小限に抑えるため、データの安全性や Duo Security との互換性といった、厳格なセキュリティ基準を満たしている特定のクラウドサービスに対してのみ、スプリットトンネリングを使用しています。これらのサービスには、Cisco TV、Office 365、Apple 社と Microsoft 社の更新プログラム配信サービス、Box などがあります。これらのクラウドサービスは、シスコのインターネットトラフィックの約 3 分の 1 を占めています。
スプリットトンネリングを使用するとアプリケーション エクスペリエンスは向上しますか?
大量のトラフィックが発生するアプリケーションの場合は、エクスペリエンスが向上します。シスコが選択したアプリケーションの中には、Office 365 のように、常にトラフィックを生成するものが含まれます。また、Cisco TV や iOS の更新、Microsoft 社のセキュリティ更新プログラムなどでも、トラフィックが急増します。2020 年 3 月上旬に、シスコの CEO が新型コロナウィルスに関する最初の Q&A セッションを開催したときには、Cisco TV が ISDN リンクのトラフィックの 57% を占めていました。
ニーズが急速に変化する中、VPN をどのように管理していますか?
VPN を拡張して変化に対応するために、20 人のメンバーから成るタイガーチームを結成しました。北米とアジアの IT スタッフが 24 時間体制で対応しています。チームメンバー全員が毎日 2 回のミーティングに参加し、各拠点で同時に接続している IP アドレスのピーク数とキャパシティ上限を比較する VPN ステータスレポートを検証しています。トラフィックの負荷は 1 時間ごとにチェックされます。使用率が 60% に達した拠点については、対応策の検討を始めています。
チェンジマネジメントに関してのアドバイスはありませんか?
オフィスを閉鎖する前に、各チームのリーダーに対して、パスワードのリセット、ビジネスアプリケーションの更新、オフィス勤務最終日前の VPN ログインテストを促す電子メールを部下に送信するよう呼びかけました(最新のセキュリティパッチを適用しない限り、ユーザはネットワークにログインできません)。Cisco Virtual Office(自宅用ルーター)ユーザに対しては、セキュリティパッチを確実に受け取れるように、夜間もデバイスの電源をオフにせず、常に電源を入れたままにしておくように指示しています。
また、各チームのリーダーと各地域の IT チームには、テレワークに関する以下のヒントを従業員と共有するよう指示しました。
- 社内ツールを使用して PC の状態を確認する。
- 最新バージョンの AnyConnect を使用する。
- Cisco Duo Security(多要素認証アプリケーション)が正しく機能していることを確認するためにシスコが設置したサイトにアクセスする。
- Webex Teams、Webex Meetings、Office 365 などの Software-as-a-Service(SaaS)に VPN 接続は必要ないことを覚えておく。VPN 接続が遅い場合は、これらのアプリケーションで VPN をオフにする。
- アプリケーションのアップグレードとバックアップは、通常の勤務時間外にスケジュールする。
VPN トラフィックの増加は今後も続くと思いますか?
2020 年 3 月中旬現在、シスコは 6 万人の全従業員に対し、VPN 経由で社内ネットワークを使用することを許可しています。その他に、約 1 万 5 千人のユーザが Cisco Virtual Office を使用しています。中国の従業員とパートナーはすでに全員テレワークに移行しているため、VPN のキャパシティを増強する予定はありません。サンノゼでは、経営幹部が全従業員に対してテレワークを指示した 3 月 9 日に VPN トラフィックが急増しました。同時接続デバイス数は今後も増え続け、1 万 5 千台に達すると予想されます。同様に、RTP でも同時接続デバイス数が約 1 万 6 千台に達すると予想されます。
Authors