Miyaji Laboratory

近年, テレワークの普及やパブリッククラウド利用の拡大に伴い, 従来の社内と社外を分ける境界型セキュリティモデルでは十分な防御が困難となっている. 従来の VPN(Virtual Private Network) を用いた境界型セキュリティモデルでは, 一度認証されるとネットワーク内部への広範なアクセスを許容してしまう点や, VPN 機器への攻撃が接続先のネットワークの危険に直結するという課題があった. このような背景から, 境界の有無を問わずすべての通信を信頼しないゼロトラストの理念に基づく ZTNA(Zero Trust Network Access) が注目されている. ZTNA は, 通信を制御する PEP(Policy Enforcement Point) と認可を判断する PDP(Policy Decision Point) を分離し, 個別の通信セッションごとにその正当性を検証する. これにより, ユーザーに対して特定のアプリケーションやリソースへの最小限のアクセス権限のみを動的に割り当てる最小権限アクセスを実現し, VPN の課題を解決する. しかし, ZTNA はすべての通信に対して認可サーバーへの問い合わせが発生するため, 大規模なネットワーク環境においては, アクセス制御の処理負荷増大や問い合わせ回数の増加による通信遅延が課題となる. これまで ZTNA に関する議論は主にその概念やセキュリティモデルに焦点が当てられており, ネットワーク性能の観点からの評価は十分されていない. 本研究では, ネットワークエミュレータである Mininet を用いて ZTNA の検証環境を構築し, ネットワーク性能の評価を行う. 具体的には, データプレーンに Envoy Proxy, 認可エンジンに Open Policy Agent(OPA) を採用した構成において, 以下の二点を主要な評価パラメータとして設定する, 第一は, Envoy と OPA 間のネットワーク距離(通信遅延)が, 認可プロセスを介した際のパケット往復遅延時間 (RTT) に与える影響. 第二は, 同時発生する認可リクエスト件数(セッション数)を増大させた際のスループットの変化およびシステム負荷である. 本検討を通じて, ZTNA の導入に伴うスケーラビリティの課題を明らかにし, 実用的なネットワーク設計に向けた知見を得ることを目的とする.