Network Security Topology — 拠点・クラウド・DCをつなぐ通信構成

article technology medium #network-security#network-topology#sase#sd-wan#vpn#datacenter#cloud-networking#anycast#ddos-protection
Created: 2026-05-31 Updated:

オフィス拠点・クラウド接続・データセンターの 3 層で構成されるネットワークセキュリティトポロジを解説する。SASE の global PoP/Anycast 接続から冗長構成・DDoS 防御まで、実務的なトポロジ設計のアンチパターンを含めて整理する。

Network Security Topology — 拠点・クラウド・DC をつなぐ通信構成

ネットワークセキュリティは「どこにどの機能を置くか」というトポロジ設計で大きく変わる。従来の「全トラフィックをデータセンター(DC)に集約して検査する」ハブ&スポーク型から、SASE 時代の「各拠点から最寄り PoP に直接接続するメッシュ型」への移行が進んでいる。本記事ではオフィス拠点・クラウド接続・DC の 3 層トポロジを解説し、SASE の global PoP / Anycast 接続、冗長構成、DDoS 防御の実務設計を整理する。

トポロジ概観 — 3 層の役割分担

ネットワークセキュリティトポロジは「エッジ(拠点)」「エッジクラウド(SASE PoP)」「コア(DC/オンプレ)」の 3 層で構成される。

[ユーザー/端末]
    ↓ ローカルブレイクアウト or バックホール
[SASE PoP / SSE クラウド] — インターネット・SaaS検査
    ↓ IPsec/GRE トンネル
[データセンター / オンプレ] — 基幹システム・内部 API

この 3 層でトラフィックの「どこを」「何が」検査するかを役割分担し、重複検査によるレイテンシ増大と検査漏れを同時に防ぐことが設計の目的だ。

オフィス拠点のトポロジ

拠点(Branch Office)のネットワーク構成は以下の要素で成り立つ。

ルータ / SD-WAN 機器: 拠点の出口でインターネット・MPLS・LTE などの複数 WAN 回線を終端する。SD-WAN 対応機器は回線品質をリアルタイム監視し、動的に最適経路を選択する。Cato Networks や Palo Alto Prisma SD-WAN は専用エッジデバイスを拠点に配置するモデルを提供する。

VPN / ZTNA クライアント: ユーザーの端末は VPN クライアント(IPsec / SSL-VPN)または ZTNA エージェント(Zscaler Client Connector / Palo Alto GlobalProtect 等)を経由してセキュアトンネルを確立する。ZTNA エージェントはデバイスのポスチャーチェック(OS パッチ・EDR 状態)を行ってから SASE PoP 経由でアプリに接続する。

ローカルブレイクアウト: SaaS(Microsoft 365 / Google Workspace)向けのトラフィックは DC を経由せず拠点から直接インターネットに出す「ローカルブレイクアウト」が推奨される。ただし SWG/CASB によるインライン検査が必要で、SASE PoP への転送(DNS/プロキシ)が一般的な実装だ。

NAC(802.1X): 有線・無線の接続口で端末認証を行う。スイッチの IEEE 802.1X ポートは認証前にゲスト VLAN に接続し、RADIUS サーバの認証成功後に業務 VLAN に切り替える。

クラウド接続トポロジ

クラウド接続は「インターネット経由(パブリックトンネル)」と「専用線(Direct Connect / ExpressRoute)」の 2 軸で構成される。

IPsec トンネル(インターネット VPN): 最も広く使われるクラウド接続手段。AWS VPN Gateway / Azure VPN Gateway / GCP Cloud VPN に対して IPsec トンネルを張り、BGP で経路を広告する。コストが低く数時間で構築できるが、インターネットの輻輳に左右される。

GRE トンネル: SASE PoP への拠点接続には GRE(Generic Routing Encapsulation)トンネルも使われる。IPsec と異なり暗号化を持たないため、内側に別の暗号化レイヤー(IPsec / TLS)を重ねることが多い。Cato Networks や Zscaler は GRE + IPsec を組み合わせた接続オプションを持つ。

TLS トンネル(エージェントレス / ブラウザ): ZTNA のエージェントレスモードでは、ブラウザが SASE PoP との TLS セッションを確立してアプリにアクセスする。デバイス側の設定変更不要で BYOD に適している。

BGP 広告: マルチクラウド環境では複数クラウドを BGP メッシュで接続し、ルーティングを動的に管理する。SASE PoP が BGP リフレクターとして機能するアーキテクチャも存在する。

Direct Connect / ExpressRoute(専用線): 低遅延・高帯域が必要な基幹システムには AWS Direct Connect や Azure ExpressRoute を利用する。遅延は 1-5 ms 台で安定するが、月額コストが高く(数十万〜数百万円/月)、開通まで数週間〜数ヶ月かかる。

データセンタートポロジ

DC はオンプレ基幹システムの最後の砦であり、セキュリティ設計の精度が最も求められる。

ゲートウェイ配置: DC 入口に NGFW または FWaaS ゲートウェイを置き、外部(SASE PoP 経由)と内部(サーバセグメント)を分離する。マイクロセグメンテーションで「フロントエンド→アプリ→DB」の東西トラフィックも制御する。

冗長構成(HA / Active-Active):

  • Active-Standby(HA): Primary が障害時に Standby が数秒〜数十秒でフェイルオーバー。設定同期(セッションテーブル・ルーティング)が必要。
  • Active-Active: 両ノードがトラフィックを処理し、ECMP(Equal-Cost Multi-Path)でロードバランスする。スループットが 2 倍になるが設定が複雑。
  • 地理冗長(Geo-HA): 別データセンターに冗長ノードを置き、BGP でフェイルオーバー。RTO(Recovery Time Objective)の要件に応じて非同期/同期レプリケーションを選択。

DDoS 防御: DC への DDoS 攻撃には 3 層の防御を組み合わせる。

  1. アップストリームスクラビング(ISP / CDN): 数百 Gbps〜数 Tbps 規模の volumetric 攻撃をネットワーク上流でスクラビング。Cloudflare Magic Transit / Akamai Prolexic が代表例。
  2. 境界 BGP Blackhole: 攻撃対象 IP を一時的に Null ルートに誘導し、DC の帯域を保護。数分で設定可能だが対象 IP への正常トラフィックも遮断される。
  3. アプリレイヤー(L7)防御: WAF で HTTP フラッドや Slow HTTP を遮断。CloudFlare / AWS Shield Advanced / Akamai が L7 緩和を提供する。

帯域制御: DC 出口に QoS ポリシーを設定し、基幹 API・音声・バックアップのトラフィッククラスを優先度付けする。SD-WAN と組み合わせると拠点〜DC 間でエンドツーエンドの QoS が実現できる。

SASE の Global PoP と Anycast 接続

SASE の核心インフラは世界中に分散配置された PoP(Point of Presence)だ。

PoP の役割: 各 PoP が SWG・CASB・ZTNA・FWaaS のセキュリティ処理を行い、検査後のトラフィックをインターネット・SaaS・DC に転送する。PoP 同士はベンダーの専用バックボーン(または公衆インターネット)で接続される。

Anycast 接続: ユーザーや拠点が SASE PoP に接続する際、同一 IP アドレス(Anycast アドレス)を複数 PoP が広告する。BGP ルーティングにより自動的に最寄り PoP に誘導されるため、手動での PoP 選択が不要だ。Cloudflare One は世界最大級の Anycast ネットワーク(270+ PoP)を SASE に活用している。

PoP 数とレイテンシ: 日本から SASE PoP への遅延は、東京に PoP を持つベンダー(Cato / Zscaler / Palo Alto)であれば往復 5-15 ms 台。PoP が韓国や米国のみのベンダーでは 30-80 ms 台になり、音声・ビデオ品質に影響する。日本拠点の多い組織は日本国内 PoP の有無を選定基準に加える必要がある。

SD-WAN との連携: SASE ベンダーは拠点側に SD-WAN エッジデバイスを置き、最寄り PoP へのトンネル(IPsec / GRE)を自動確立する。PoP 障害時には自動的に次の最寄り PoP に切り替わる。

アンチパターン表(AP)

アンチパターン症状対策
単一トンネル・冗長なし拠点〜SASE PoP 接続がシングルポイント障害デュアル ISP + 2 本の IPsec トンネルで Active-Active 構成
DDoS 防御を DC 内部に配置上流帯域が枯渇し DC 到達前にサービス停止ISP レベルのスクラビングを契約し DC 外で緩和
ローカルブレイクアウト + SWG 未設定SaaS 直接接続が無検査になるローカルブレイクアウトは必ず SASE PoP 経由の SWG と組み合わせる
全トラフィックを DC バックホールVPN 経由で SaaS へのレイテンシが増大SD-WAN のアプリ識別でローカルブレイクアウト対象を分類
地理冗長なしで一極 DC 集中物理障害・電源障害で全社システム停止2 拠点以上の DC に分散し BGP フェイルオーバーを設計

Local graph