対象試験と出題頻度
SD-WANは、応用情報技術者で出題されるテーマです。
応用情報技術者のシラバス(ver 7.2)において「ネットワーク」分野の用語として明記されており、上位試験のネットワークスペシャリストでは午後問題で本格的に出題されています。
応用情報レベルでは定義と特徴を押さえておけば対応できます。
詳細をクリックして確認
応用情報技術者
★★☆☆☆
ランクC(応用)余裕があれば覚える
用語の定義
情報処理試験を勉強していると、「SD-WANって従来のVPNと何が違うの?」と混乱しがちです。
SD-WAN(Software Defined – Wide Area Network)とは、一言で言うと
「拠点間をつなぐWAN(広域ネットワーク)の通信経路を、ソフトウェアで一元的に制御・最適化する技術」
のことです。
イメージとしては、「カーナビが渋滞情報を見て自動でルートを切り替える仕組み」です。
従来のWANは「決まった道(専用回線)を毎回同じように走る」固定的な構成でした。
SD-WANはカーナビのように通信状況を常に監視し、「この通信は高速道路(MPLS回線)を使う」「この通信は一般道(インターネット回線)で十分」とソフトウェアが自動で判断して経路を振り分けます。
📊 SD-WANの基本情報
| 項目 | 内容 |
|---|---|
| 正式名称 | Software Defined – Wide Area Network |
| ベースとなる概念 | SDN(Software Defined Networking)をWANに適用 |
| 最大の特徴 | 複数回線を仮想的に束ね、アプリケーション単位で経路を制御 |
| 関連キーワード | ローカルブレイクアウト、オーバーレイネットワーク、ゼロタッチプロビジョニング |
解説
企業のWANは長年、通信事業者が提供するMPLS(Multi-Protocol Label Switching)回線やIP-VPNを中心に構成されてきました。品質は安定していますが、帯域あたりのコストが高く、回線の追加や変更にも数週間〜数カ月かかるのが実情です。
一方、クラウドサービスの普及により、各拠点からインターネットを経由してSaaS(Microsoft 365やSalesforceなど)にアクセスする通信量が急増しました。
すべてのトラフィックを本社やデータセンター経由でインターネットに出す従来構成では、センター拠点の回線がボトルネックになる問題が顕在化しています。
▶ SD-WANの構成要素(クリックで展開)
SD-WANは大きく3つの構成要素で成り立っています。
SD-WANコントローラー:ネットワーク全体のポリシー(どのアプリケーションをどの回線に流すか)を一元管理するソフトウェア。管理者はGUI上から全拠点の設定を集中制御できます。
SD-WANエッジ(CPE):各拠点に設置する専用機器またはソフトウェア。コントローラーからの指示に従って通信の振り分けや暗号化を実行します。
オーバーレイネットワーク:MPLS回線やインターネット回線といった物理的に異なる回線の上に、仮想的なトンネルを張って1つのネットワークとして扱う仕組みです。物理回線の種類を意識せずに経路制御が行えます。
▶ ローカルブレイクアウトとは(クリックで展開)
ローカルブレイクアウト(インターネットブレイクアウト)は、SD-WANを語るうえで外せない概念です。
従来構成では、各拠点のインターネット向け通信も一度本社やデータセンターを経由してから外に出していました。
ローカルブレイクアウトでは、SD-WANエッジがアプリケーションを識別し、信頼できるクラウドサービス宛の通信だけを拠点から直接インターネットへ送り出します。
結果として、センター拠点のWAN回線やプロキシサーバーの負荷が大幅に軽減され、利用者のレスポンスも改善します。
▶ 従来のWAN/VPNとの比較(クリックで展開)
| 比較項目 | SD-WAN | 従来のWAN(MPLS/VPN) |
|---|---|---|
| 経路制御 | ソフトウェアでアプリ単位に自動制御 | ルーターの静的設定が中心 |
| 回線の種類 | MPLS・インターネット・LTEなどを混在利用 | 基本的にMPLSまたはIP-VPN単一回線 |
| 拠点追加の容易さ | ゼロタッチプロビジョニングで短期間 | 回線敷設・ルーター設定に時間がかかる |
| コスト | 安価なインターネット回線を活用し削減 | 帯域あたりの回線コストが高い |
| クラウド対応 | ローカルブレイクアウトで直接接続 | センター経由が前提で遅延が発生 |
ここだけは確実に押さえてください。
SD-WANは「ソフトウェアでWANを一元制御する」「複数回線を束ねてアプリ単位で経路を最適化する」「ローカルブレイクアウトでクラウド通信の遅延を解消する」の3点で従来構成と区別されます。
では、この用語が試験でどのように出題されるか見ていきましょう。
💡 SD-WANの核心を3行で
・SDN(Software Defined Networking)の考え方をWANに適用し、通信経路をソフトウェアで制御する技術
・MPLS・インターネット・LTEなど複数回線を仮想的に束ね、アプリケーション単位で経路を振り分ける
・ローカルブレイクアウトにより、SaaS向け通信を拠点から直接インターネットへ送り出せる
試験ではこう出る!
SD-WANは、応用情報技術者のシラバス(ver 7.2)に「ネットワーク」分野の用語として収録されています。
午前問題での直接出題は私の確認した範囲ではまだ見られませんが、シラバスに明記されている以上、今後の出題が十分に想定される用語です。
上位試験では、NW R6春 午後Ⅰ 問2「SD-WANによる拠点接続」として本格的に出題された実績があります。
📊 関連する出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| NW R6春 午後Ⅰ 問2 |
SD-WANによる拠点接続をテーマに、BGP・OSPF・IPSecの再配布やトンネル構成を問う問題。 | ・SD-WANコントローラーとエッジの役割分担 ・オーバーレイトンネルの構成 ・回線障害時の経路切り替え |
| AP R6春 午後 問5 設問3(3) |
IoTシステムの構成変更でスケールアウトを行う際に必要な機能を問う問題。ネットワーク構成の柔軟性がテーマ。 | ・ロードバランサーが正解だが、ネットワーク構成の柔軟性やソフトウェア制御の知識が背景にある |
📝 応用情報技術者で想定される出題パターン
パターン1:「SD-WANの説明を選べ」(午前問題)
SDN・OpenFlow・NFVなどソフトウェア定義型ネットワーク技術の選択肢が並び、SD-WANに該当するものを選ぶ形式。「WANの通信経路をソフトウェアで一元制御する」「アプリケーション単位で回線を振り分ける」がキーワード。
パターン2:「ネットワーク構成の見直し」(午後問題)
クラウド移行に伴うWAN構成の課題(センター拠点の帯域逼迫)を示し、解決策としてローカルブレイクアウトやSD-WANの導入を問う形式。
試験ではここまででOKです。SD-WANコントローラーとエッジ間の通信プロトコルやベンダー固有の実装まで問われることはないので、深追いは不要です。「ソフトウェアでWANを制御」「複数回線の統合」「ローカルブレイクアウト」の3つを押さえておけば得点できます。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. SD-WAN(Software Defined – Wide Area Network)の説明として、最も適切なものはどれでしょうか?
- A. データリンク層でラベルを用いてパケットを転送し、通信事業者が品質保証付きの閉域網サービスとして提供するプロトコルである。
- B. OpenFlowプロトコルを用いてスイッチのフローテーブルを集中管理し、データセンター内部のLANトラフィックを制御する技術である。
- C. SDNの考え方をWANに適用し、MPLS回線やインターネット回線など複数の回線をソフトウェアで一元制御して、アプリケーション単位で通信経路を最適化する技術である。
正解と解説を見る
正解:C
解説:
SD-WANは、SDNの概念をWANに適用し、複数の物理回線をソフトウェアで仮想的に束ねてアプリケーション単位で経路を振り分ける技術です。コントローラーによる集中管理とローカルブレイクアウトが主な特徴です。
選択肢AはMPLS(Multi-Protocol Label Switching)の説明です。MPLSはラベルによる高速転送を行う通信事業者の閉域網技術であり、ソフトウェアによる一元制御やアプリ単位の経路振り分けは行いません。選択肢BはSDN(Software Defined Networking)/OpenFlowの説明です。SDNはデータセンター内LANの制御に使われることが多く、WANの複数回線を束ねて経路を最適化するSD-WANとは適用範囲が異なります。
よくある質問(FAQ)
Q. SD-WANを導入するとVPNは不要になりますか?
不要にはなりません。SD-WANはVPNを「置き換える」のではなく、「その上位で制御する」技術です。拠点間の通信にはIPSecなどのVPNトンネルが引き続き使われますが、SD-WANコントローラーがどの回線にどのVPNトンネルを張るかをソフトウェアで自動制御します。つまりVPNはSD-WANの構成要素の一部として組み込まれる関係です。
Q. SD-WANとSASEはどう違いますか?
SASE(Secure Access Service Edge)は、SD-WANの経路制御機能にクラウド型セキュリティ(CASB、SWG、ZTNAなど)を統合したフレームワークです。SD-WANが「ネットワークの最適化」に焦点を当てているのに対し、SASEは「ネットワーク+セキュリティの一体提供」を目指しています。Gartnerが2019年に提唱した概念であり、SD-WANはSASEの構成要素の一部と位置付けられます。
Q. 「ゼロタッチプロビジョニング」とは何ですか?
新しい拠点にSD-WANエッジ機器を設置する際、現地での手動設定なしにネットワーク接続が完了する仕組みです。機器を電源とインターネット回線に接続するだけで、SD-WANコントローラーから設定情報が自動配信されます。従来は専門の技術者が各拠点に出向いてルーターを設定する必要がありましたが、この工数を大幅に削減できます。
Q. SD-WANにセキュリティ上の懸念はありますか?
あります。ローカルブレイクアウトで各拠点からインターネットに直接出る場合、従来センター拠点に集約していたファイアウォールやプロキシによるセキュリティチェックを経由しなくなります。そのため、各拠点にUTMを配置するか、クラウド型セキュリティサービス(SWG、CASBなど)を併用してセキュリティレベルを維持する設計が求められます。
