Amazon Web Services ブログ
【寄稿】全国 600 店舗の VPN 基盤を AWS へ移行──サザビーリーグの挑戦と最適解
本記事は、サザビーリーグ IRIS の今上様、奥様に寄稿いただいたものです。
はじめに
サザビーリーグは、「ファッション」「生活雑貨」「飲食」を中心とした小売業を営み、北海道から沖縄まで全国約 600 店舗を展開しています。これまで、店舗とデータセンター間の通信には Cisco ASA5545 を中心とした VPN 構成を採用してきました。しかし、ASA5545 のサポート終了( 2025 年 9 月末)を目前に控え、後継機器の選定が急務となりました。
本記事では、従来のオンプレミス機器更新では数千万円規模のコストが見込まれた中、AWS 上に構築した仮想ルータを活用することで、コストを大幅に削減し、店舗への影響を最小限に抑えながら VPN 基盤の移行を実現した事例をご紹介します。
既存構成と直面した課題
弊社では長年にわたり、約 400 店舗でルータを設置して ASA5545 と Easy VPN *1 で接続し、残りの 200 店舗では Cisco AnyConnect *2 を用いたリモートアクセス VPN を運用してきました。Easy VPN は店舗側が動的 IP アドレスでも接続可能な仕組みで、通信回線のコスト削減に大きく貢献していました。
*1 Easy VPN (Cisco Easy VPN): Cisco 独自の VPN 技術で、クライアント側の設定を簡素化し、動的 IP アドレスでも VPN 接続を可能にする仕組み。店舗のような多拠点展開に適している。
*2 Cisco AnyConnect: SSL VPN クライアントソフトウェア。PC やモバイルデバイスから安全にリモートアクセスを実現する。
ところが、ASA5545 の後継機器である FirePower では Easy VPN がサポートされておらず、FlexVPN *3 への移行が必要となります。この変更は店舗ルータの設定変更を伴うため、遠隔での切替が困難でした。結果として、400 店舗に技術員を派遣し、ルータの設定変更または入替を行う必要があり、作業費だけで数千万円規模、機器購入・構築費を含めるとそれ以上のコストが見込まれました。加えて、店舗での作業中は通信が停止し、店舗の営業にも支障が出る可能性がありました。複数のベンダーに相談した結果、Cisco Meraki *4 ルータへの全店舗入替では機器費と作業費で数千万円規模、CATO *5 などの SASE *6 導入では年間ライセンス費用が数千万円規模と、いずれも現実的な選択肢とは言えませんでした。
*3 FlexVPN (Cisco IOS FlexVPN): Cisco IOS XE ベースの次世代 VPN 技術。IKEv2 をベースとし、より柔軟な設定が可能だが、既存の Easy VPN 環境からの移行には設定変更が必要。
*4 Cisco Meraki: クラウド管理型ネットワーク機器。中央管理コンソールから全拠点のルータ・スイッチ・無線 AP を一元管理できるが、全店舗の機器入替が必要。
*5 CATO Networks: クラウドベースの SASE プラットフォームを提供するベンダー。
*6 SASE (Secure Access Service Edge): ネットワークとセキュリティ機能をクラウドで統合的に提供する新しいアーキテクチャモデル。SD-WAN、ファイアウォール、ゼロトラストネットワークアクセスなどを包含する。
AWS 上の仮想ルータによる突破口
そこで弊社が選択したのが、AWS 上に Cisco Catalyst 8000V Edge Software(C8000V) *7 を構築する方式です。C8000V は仮想ルータでありながら Easy VPN をサポートしているため、店舗ルータの VPN Peer アドレスを変更するだけで切替が可能でした。これにより遠隔操作での切替が実現でき、現地作業が不要となりました。
VPN の動作確認や切替手順を確認するため、C8000V 環境を構築して PoC(Proof of Concept:概念実証)を実施しました。Cisco ルータによる疑似店舗環境で切替テストを行い、Cisco 921、891、892、1812 など、店舗で使用されているすべての機種で切替が成功しました。夜間に遠隔で切替作業を行うことで、店舗への影響も最小限に抑えることができました。また、仮想環境のため機器の発注や納品がなく、短期間、低コストで構築ができました。
*7 Cisco Catalyst 8000V Edge Software: Cisco IOS XE をベースとした仮想ルータ。Amazon EC2 インスタンス上で動作し、物理ルータと同等の機能を提供する。Easy VPN や FlexVPN の両方をサポート。
アーキテクチャ概要
移行後のアーキテクチャでは、店舗ルータから Easy VPN で Amazon EC2 上に構築した Cisco Catalyst 8000V に接続し、AWS Transit Gateway を経由して AWS Direct Connect で社内ネットワークと接続する構成となっています。
AWS 移行に伴う技術的課題とその克服
BGP ルート数制限による通信断の危機
AWS 移行において最初に直面した課題は、AWS Direct Connect の BGP(Border Gateway Protocol:経路情報を交換するルーティングプロトコル)セッションが、デフォルトでは最大 100 ルートまでしかアドバタイズできないという仕様でした。弊社では約 400 店舗それぞれに固有の IP セグメントを割り当てており、POS レジや複合機など固定 IP で運用されている機器も多いため、セグメントの変更は現実的ではありませんでした。そのため、既存のセグメントを維持したまま、AWS へのルーティングを順次切り替えていく方針を採用しました。
しかし、100 ルートを超えたタイミングで、閉域網から AWS への通信が遮断される事態が発生しました。AWS への上限緩和申請も検討しましたが、複数の AWS パートナーを介し関連する AWS アカウントで申請するには社内外の調整に時間を要するため、最終的には店舗展開の順序を見直し、セグメントの集約を行うことでこの課題を乗り越えました。
C8000V ライセンスの適切な選定
C8000V ライセンスには複数の Tier(Essentials Tier 0〜3)があり、Tier が上がるほど VPN セッション数や IPsec スループットが増加します。弊社では既存のネットワークベンダーや Cisco 社にも相談しながら、現行の VPN セッション数やスループットを想定し、最適な Tier を慎重に選定しました。この選定は VPN 基盤の安定性に直結するため、導入前の段階で十分な情報収集と検討を行い、必要な性能を満たすライセンスを確保することで、安定した運用を実現しています。
VPN 構成の落とし穴── VGW の制約
AWS 上の VPN 環境と社内ネットワークを接続するにあたり、当初は Virtual Private Gateway(VGW)を検討しましたが、VGW では VPN 接続した店舗から社内ネットワークへのトランジット通信ができないという制約 *8 がありました。そのため、AWS Direct Connect との接続点としては Transit Gateway(TGW)を採用しました。TGW を利用することで、店舗・Direct Connect(社内ネットワーク)を一元的に接続・ルーティングできる柔軟性を得られました。一方で TGW は通信量に応じたデータ処理料が発生するため、コスト面での考慮も必要でしたが、可用性と拡張性を優先して TGW を選定しました。
*8 単一の Direct Connect ゲートウェイにアタッチされた仮想インターフェイスと、同じ Direct Connect ゲートウェイに
関連付けられた仮想プライベートゲートウェイの VPN 接続との間の直接的な通信は未サポート。
災害リスクへの備えとクラウドの強み
従来の VPN ゲートウェイはオンプレミスのデータセンターに設置していましたが、2019 年の台風 15 号では大規模停電が発生し、インターネット回線が約 1 週間停止しました。結果として、全国 600 店舗がネットワークから切断される事態が発生しました。今回の AWS 移行により、耐障害性の向上とハードウェア依存からの脱却を実現しました。さらに、構築・移行費用を最小限に抑え、店舗への影響も限定的にできました。既存店舗は Easy VPN で切替、新店舗やルータ入替店舗には FlexVPN を展開することで、柔軟かつ将来性のある VPN 基盤を構築できました。
成果と効果
今回のプロジェクトにより、従来のハードウェア更新では数千万円規模のコストが見込まれたところ、数百万円規模の PoC 投資で実現可能性を検証し、大幅なコスト削減を達成しました。遠隔切替による現地作業の削減により作業効率が向上し、店舗営業への影響を最小化できました。また、災害時の耐障害性が向上し、将来的な店舗展開への柔軟な対応も可能となりました。技術的な面では、仮想環境による迅速な展開が可能となり、クラウドベースの管理・監視により運用負荷が軽減されました。さらに、店舗数の増減への柔軟な対応というスケーラビリティも確保できています。
まとめ
今回のプロジェクトは、AWS の柔軟性と拡張性、そして仮想ルータの選択肢があったからこそ実現できました。従来のハードウェア更新アプローチでは実現困難だった大幅なコスト最適化、運用負荷軽減、可用性向上、そして将来性確保を達成することができました。
小売業界における店舗ネットワークの課題に対し、AWS クラウドサービスを活用した実践的なソリューション事例として、同様の課題を抱える企業の参考になれば幸いです。今後も AWS のクラウド基盤を活用し、店舗ネットワークのさらなる安定性と拡張性を追求していきます。
著者について
 |
今上 一樹(Kazuki Imagami) 株式会社サザビーリーグIRIS インフラグループ プロジェクトマネージャー 2012年にサザビーリーグへ入社。社内SEとして、AWSをはじめとするクラウド基盤の構築・運用に加え、ネットワーク、グループウェア、セキュリティ対策など幅広い領域を担当。現場との対話を重視し、業務改善と安定運用の両立を目指して日々取り組んでいる。 |
 |
奥 隆宏(Takahiro Oku) 株式会社サザビーリーグIRIS インフラグループ リーダー ネットワークに関する知見が高く、全国600店舗のVPN基盤をAWSへ移行するプロジェクトをはじめ、社内Proxyの更改、無線APの刷新など、インフラ領域の大規模案件を推進。安定性と拡張性を両立させる設計力と実行力に定評がある。 |