SD-WANとは？仕組み・対策・事例をわかりやすく解説

📖

Overview

SD-WAN（Software-Defined Wide Area Network）とは、ソフトウェアによってWAN（広域ネットワーク）を仮想化し、集中管理する技術です。従来のMPLS回線やインターネットVPNなど複数のWAN回線を抽象化レイヤーで統合し、アプリケーションの要件に応じたインテリジェントなトラフィック制御を実現します。

従来型のWANでは、各拠点のルーターを個別に設定・管理する必要があり、新拠点の追加や回線変更に多大な時間とコストがかかっていました。また、クラウドサービスの利用が拡大するにつれ、本社データセンターを経由するバックホール型の通信構成がボトルネックとなり、ユーザーエクスペリエンスの低下が深刻な課題となっていました。

SD-WANは、これらの課題をソフトウェアベースのアプローチで解決します。中央のコントローラーからポリシーを一元的に配信し、各拠点のエッジデバイスがリアルタイムの回線品質に基づいてトラフィックを最適な経路に振り分けます。これにより、高価なMPLS回線への依存を減らしながら、アプリケーションのパフォーマンスと信頼性を両立できます。

🔬

Details

SD-WANのアーキテクチャ

SD-WANは主に3つの要素で構成されます。オーケストレーター/コントローラーは、ネットワーク全体のポリシー管理・監視・分析を担う中央管理プレーンです。エッジデバイス（CPE）は、各拠点に設置される物理または仮想アプライアンスで、トラフィックの暗号化・復号化・経路制御を実行します。オーバーレイネットワークは、複数のアンダーレイ回線（MPLS、ブロードバンド、LTE/5G）の上に構築される仮想的なネットワーク層で、拠点間の安全な通信トンネルを提供します。

インテリジェントなトラフィックステアリング

SD-WANの最大の特長は、アプリケーション認識型のトラフィックステアリングです。DPI（Deep Packet Inspection）やアプリケーションシグネチャを用いて通信を識別し、リアルタイムの回線品質（遅延、パケットロス、ジッター）を測定しながら、各アプリケーションに最適な経路を自動選択します。例えば、音声・ビデオ会議はジッターの少ない回線に、バックアップトラフィックはコストの低い回線に自動的に振り分けられます。

セキュリティ統合

SD-WANにおけるセキュリティは極めて重要な要素です。主要な機能として以下が挙げられます。

IPsec/TLS暗号化：拠点間の全通信をエンドツーエンドで暗号化し、インターネット回線経由でも安全な通信を実現
次世代ファイアウォール（NGFW）統合：エッジデバイスにファイアウォール機能を内蔵し、各拠点でのセキュリティ検査を実施
URLフィルタリングとIPS：Webトラフィックのフィルタリングや侵入防止機能を提供
ゼロトラストネットワークアクセス（ZTNA）：ユーザーとデバイスの認証に基づくきめ細かいアクセス制御

SASEへの進化

SASE（Secure Access Service Edge）は、SD-WANとクラウドベースのセキュリティ機能（CASB、SWG、ZTNA、FWaaS）を統合したアーキテクチャフレームワークです。ネットワーク機能とセキュリティ機能をクラウドエッジで提供することで、場所を問わず一貫したセキュリティポリシーの適用を実現します。多くのSD-WANベンダーがSASEへの進化を推進しており、SD-WANはSASEの基盤技術として位置付けられています。

クラウドコネクティビティ

主要なSD-WANソリューションは、AWS、Azure、Google Cloudなどのパブリッククラウドとの直接接続（ダイレクトピアリング）機能を提供しています。各クラウドプロバイダーのゲートウェイとSD-WANエッジ間で最適化されたトンネルを構築することで、バックホールを回避し、クラウドアプリケーションへの低遅延アクセスを実現します。Microsoft 365やSalesforceなどのSaaSアプリケーションに対しても、ローカルブレイクアウト（直接インターネット接続）を安全に実施できます。

🛡️

Security Measures

01
エンドツーエンド暗号化の徹底：すべてのSD-WANトンネルでIPsecまたはTLS暗号化を必須とし、AES-256以上の強度を確保する。鍵のローテーション間隔も適切に設定し、暗号化の完全性を維持する。
02
コントローラーの多層防御：SD-WANコントローラーは攻撃の最優先ターゲットとなるため、多要素認証、IPアドレス制限、ロールベースアクセス制御（RBAC）を適用し、管理アクセスを厳格に制限する。
03
セキュリティサービスチェイニング：トラフィックの種類に応じて、NGFW、IPS、サンドボックス、DLPなどのセキュリティ機能を適切な順序で適用するサービスチェインを構成し、多層防御を実現する。
04
ゼロトラスト原則の適用：SD-WANに接続するすべてのユーザーとデバイスを「信頼しない」前提で認証・認可し、マイクロセグメンテーションにより最小権限のアクセスを実現する。
05
ローカルブレイクアウトのセキュリティ確保：インターネット直接接続のトラフィックに対して、クラウドベースのSWG（Secure Web Gateway）やCASB経由でセキュリティ検査を実施し、脅威の侵入を防止する。
06
構成変更の監査とバージョン管理：SD-WANポリシーの変更履歴を自動的に記録し、不正な構成変更を検知するアラートを設定する。構成のバックアップとロールバック手順も事前に整備しておく。

⚠️

Incidents

📋 SD-WANアプライアンスの脆弱性を悪用した大規模攻撃（2020年）

複数のSD-WANベンダーのエッジデバイスに深刻な脆弱性（リモートコード実行）が発見され、パッチ適用前に攻撃者に悪用されました。特にCitrix SD-WANおよびSilver Peak（現HPE Aruba）の製品が影響を受け、脆弱なデバイスを経由して企業内部ネットワークへの不正アクセスが行われました。ファームウェアの自動更新を無効にしていた組織が多く被害に遭い、SD-WANデバイスのパッチ管理の重要性が改めて認識されました。

📋 MPLS→SD-WAN移行時のセキュリティギャップ（2022年）

ある金融サービス企業が、MPLS回線からSD-WANへの移行を段階的に進める過程で、一時的にセキュリティポリシーの不整合が発生しました。移行期間中、一部の拠点でインターネットブレイクアウトのトラフィックがセキュリティ検査をバイパスする設定ミスが生じ、その間にフィッシングメール経由のマルウェアが社内に侵入しました。約2週間にわたって検出されず、機密性の高い顧客データが外部に送信されていたことが後に判明しました。

📋 SD-WANコントローラーへの不正アクセス（2023年）

グローバル展開する小売チェーンにおいて、SD-WANの中央コントローラーがデフォルト認証情報のまま運用されていたことが攻撃者に発見されました。攻撃者はコントローラーを掌握し、全拠点のトラフィックルーティングポリシーを変更、一部のDNSトラフィックを攻撃者が管理するサーバーにリダイレクトしました。これにより、複数の店舗でPOSシステムの通信が傍受され、決済カード情報が窃取されました。

🔗