BBSakura Networks Advent Calendar 2025 12日目の投稿です。

はじめに

こんにちは！BBSakura Networks株式会社（以下、BBSakura）でクラウド接続を担当している赤羽です。今回は、BBIX の Open Connectivity eXchange（以下、OCX）で提供している XaaS Connection について紹介します。XaaS Connectionとは、従来のSaaS Connectionをアップデートしたプロダクトです。SaaSサービスに加え、さまざまな “as a Service” への接続に対応できるようになり、現在は SASE やクラウドストレージサービスにも接続可能になりました。

(2025年12月時点でのXaaS Connection対応サービス一覧)

2025年11月のリリースでは新しい接続先としてCato SASE Cloud Platform（以下、Cato）が追加されました。Cato との接続では IPsec Parameter という設定項目が導入され、OCX から直接 Cato へ IPsec VPN を設定できるようになりました。さらに BGP ルーティング設定も合わせて OCX ポータルで完結します。 www.bbix.net

この記事では、XaaS Connection の IPsec Parameter の特徴やメリット、実際の設定手順について紹介します。

XaaS Connection IPsec Parameter の特徴と利点

SASE サービスの接続では、VPN 設定の複雑さが大きな負担になります。ルーターごとに設定方法が異なり、IPsec パラメータも多様です。加えて、SASE サービスごとの仕様差異がトラブルを招くこともあります。さらに、運用中にはルーターコンフィグの理解が必要となるため、設計から運用まで属人化しやすい点も課題です。

そこで役立つのが XaaS Connection の IPsec Parameter です。これにより次のようなメリットが得られます。

• IPsec VPN の設定が圧倒的に簡単
• 導入後も VPN 設定をポータル上で視覚的に確認可能
• GUI ベースのため、深いネットワークスキルがなくても設定できる

IPsec 接続を OCX 側で吸収する仕組みにより、導入から運用までの負荷を大きく軽減できます。

ここからは、実際に OCX から Cato に接続するための設定手順を紹介します。

IPsec,BGP接続までの手順

今回は、以下のネットワーク構成を前提に説明します。

1-1 (OCX) XaaS Connectionの作成

OCXポータルで XaaS Connection > 作成 をクリックし、カテゴリで セキュリティサービス／SASE → Cato SASE Cloud Platform を選択します。

続けて、各項目を入力します。

名称：任意の名称

リージョン：Tokyo または Osaka（OCX 側 PoP）

プライベートIPアドレス：拠点から XaaS 宛てのゲートウェイ・・・図(1)

ローカルASN：OCX 側の BGP 用 AS 番号・・・図(2)

注意事項にチェックを入れて作成ボタンをクリック

作成後、一覧にリソースが表示されます。 XaaS Connection 詳細タブより、割り当てられたグローバルIPを確認できます。

1-2 (OCX) XaaS Connection IPsec Paramereの作成

IPsec Parametersタブから IPsec Parameter 作成ボタンをクリック

共通

事前共有キー：IPsec 用 PSK

リモートASN：Cato 側 ASN・・・図(3)

プライマリ IPsec Parameter

トンネルエンドポイントアドレス：Cato 側 IPsec 用グローバルIP・・・図(4)

※ Cato 指定のIPアドレスになります。Cato のポータル画面で事前にご確認ください。

ローカルアドレス：OCX 側 BGP IP・・・図(5)

リモートアドレス：Cato 側 BGP IP・・・図(6)

セカンダリ IPsec Parameter

トンネルエンドポイントアドレス：Cato 側 IPsec 用グローバル IP・・・図(7)

※ Cato 指定のIPアドレスになります。Cato のポータル画面で事前にご確認ください。

ローカルアドレス：OCX 側 BGP IP・・・図(8)

リモートアドレス：Cato 側 BGP IP・・・図(9)

入力後、作成ボタンをクリック

1-3(OCX)XaaS Connection BGP Parametersの作成

続いて自拠点ルーター向けのBGP設定です（CatoとのBGPではありません）

作成したXaaS Connectionを選択し、ウィンドウ下部のBGP Parametersタブを選択し、BGP Parameterの作成ボタンをクリック。

リモートアドレス：拠点ルーターの BGP Peer IP・・・図(10)

リモートASN：拠点ルーターの ASN・・・図(11)

以上でOCX側の設定は完了になります。

2-1 Cato SASE Cloud Platform ポータルにてIPsec接続の設定

次はCato 側の設定です。 ※site登録は割愛します

IPsec 接続を設定する Site を選択し、 Network > IPsec を開きます。

General >

Connection Mode：Bidirectionalを選択

Primary >

Destination Type：IPv4

Cato IP (Egress)：IPsec 接続をする Cato 側の PoP をプルダウンより選択。

NewをクリックしてAdd Tunnel 画面で各種パラメータを入力

Role：任意のものを選択

Name：任意の名称

Remote Peer Authentication Identifier >

Public IP：・・・図(12)

PSK：IPsec 用 PSK

Secondary > Primary と同様に設定。Public IP：・・・図(13)

2-2 Diffie-Hellman Group は「20」を選択

Int / Auth Message ParametersのDiffie-Hellman Groupは20を選択してください。 設定後は上部にあるSaveをクリックしてください。

2-3 BGP設定もおこなう

Network > BGP > New から設定します。

Name：任意

ASN Settings >

Peer：OCX XaaS Connection の ASN・・・図(2)

Cato：Cato 側の ASN・・・図(3)

IP >

Peer：OCX 側 の BGP IP・・・図(5)

※IPsec設定画面で設定したローカルIPアドレスしか設定できません。

※入力時にエラーが出る場合は、IPsec 側のローカル IP を再確認してください。

Secondary > Primary と同様に設定。Peer：OCX 側 の BGP IP・・・図(8)

2-4 接続状態の確認

以上で設定は完了になります。 IPsec / BGP の状態確認画面から、接続状況を確認できます。

IPsec 接続の確認画面 BGPの確認画面

まとめ

今回は、XaaS Connection を使った Cato SASE Cloud Platform への接続について、サービス概要から利点、設定手順まで紹介しました。XaaS Connection は、名称が SaaS Connection から変わっただけでなく、今後さらに多様なサービスへ柔軟に接続できる基盤へと進化していきます。従来の SaaS サービスに加え、セキュリティサービスとして Zscaler、Cisco Umbrella、Cato SASE Cloud Platform、 クラウドストレージとして Wasabi Hot Cloud Storage、など多くのサービスに対応し、利用シーンも大きく広がりました。特に Cato SASE Cloud Platform 向けに追加された IPsec Parameter は、従来の IPsec VPN 運用で避けて通れなかった「複雑な設定」「ブラックボックス化」「属人化」といった課題をまとめて解消し、設定の簡素化と可視化をサポートします。今後も XaaS Connection は、さまざまな “as a Service” との閉域接続を拡大していきます。ぜひ、今後のアップデートにもご期待ください。

以上です。