要約
- 制度の回復力は、稼働率や準備金だけで推測できるものではなく、法的権限、ガバナンスの正統性、データの整合性、財務、暗号トラスト、運用者依存性の全体にわたってテストされなければならない。
- 中核となるシナリオセットは、選挙の失敗、破綻、制裁と支払いの混乱、協調的なサイバー攻撃、RPKI トラストアンカーの移行、そして紛争のある移転や地域間移転の急増を組み合わせるべきである。
- 演習は、文書化された意思決定テストから機能的リハーサル、シャドウサービス、制御されたフェイルオーバー、完全な機関横断シミュレーションへと、実際のリソース管理を危険にさらすことなく進める必要がある。
- 合格条件は、権威ある記録の保持、合法的な意思決定権、サービスの復旧、保有者のアクセス、経路セキュリティの同等性、修正能力、地域の自己統治、管理の安全な返還を測定すべきである。
- 緊急運用者は、継続に必要な最小限の一時的権限のみを与えられ、政策変更、裁量的再割り当て、権限の無期限保持を明示的に禁止されるべきである。
- 運用者は、レジストリがサービスが復旧したと信じていても、利用者、自動化、ディレクトリ、経路セキュリティシステムが依然として矛盾した状態を観察している可能性があるため、積極的な検証者として参加しなければならない。
- 公開報告書は、前提条件、テスト範囲、失敗、証拠、改善責任者、再テスト日を開示すべきであるが、認証情報、個人記録、悪用可能なセキュリティ詳細は保護すべきである。
- NRS は、議論の開催、許可された会員のアカウントと提出物の収集、開示された演習結果の情報源に基づく比較を公開することができる。しかし、演習の管理、適合権限の提供、保護された運用証拠の保持、あるいは実施責任を負う RIR、IANA サービス、緊急運用者、独立したレビュー担当者に取って代わることはできない。
10年という単位は適切な深刻さである
1回の年次演習では、組織的記憶喪失、ベンダーの交代、暗号技術の置き換え、理事会の変更、法的な漂流を明らかにするには短すぎる。10年は、上級スタッフが去り、契約が失効し、システムが交換され、政策の論争が再発し、緊急文書が古くなるのに十分な長さである。また、マイルストーン、予算、公的責任を今割り当てるにも十分短い。
プログラムは、同じ机上演習を10回繰り返すのではなく、一連の流れとして運用されるべきである。初期の年は、インベントリ、権限マップ、測定可能な復旧目標を確立する。中期の年は、機能的な代替と地域間連携をテストする。後期の年は、障害を組み合わせ、不完全または誤解を招く情報から独立したチームが復旧することを要求する。各段階は、実際のインシデントや法・基準の変更から得られた教訓を組み込むべきである。
目的はドラマを演出することではない。テストは厳しいが、現実的であるべきだ。選挙規則は争われる結果を生み出す可能性がある。非営利組織は収入のショック、訴訟、破産に直面する可能性がある。制裁はサービス、銀行、取引先を制限する可能性がある。高度な攻撃者は、アイデンティティ、認証、登録、公開システムを一度に標的にする可能性がある。トラストアンカーの鍵は、ハードウェアとアルゴリズムが永遠に続かないため、最終的に移行が必要となる。希少性と企業の再編は、移転の急増を生み出す可能性がある。これらの条件はいずれも推測ではない。
改訂されたRIR ガバナンス文書案は、緊急時の継続性、緊急運用者、引き継ぎ、事後レビューに明確な注意を払っている。NRO の実施準備の予備評価は、緊急運用者と安定した引き継ぎのための技術的、管理的、法的な取り決めの必要性を特定している。これらは重要な制度的コミットメントである。ストレステストは、それらが実際のインベントリ、権限、スタッフ、契約、認証情報、期限で実行できるかどうかを問うものである。
システムを定義してから破壊を試みる
テスト対象のシステムは、単一のレジストリよりも大きい。その中心には、番号リソースを認められた保有者にリンクする権威ある記録がある。その周囲には、会員と保有者のアイデンティティ、契約、請求、移転審査、公開ディレクトリサービス、逆 DNS、RPKI 認証と公開、政策支援、選挙、紛争処理、監査証拠、通信、IANA との連携がある。運用者は、人間と自動化されたシステムを通じて結果としての状態を消費する。
参加する各組織は、サービスと権限のマップから始めるべきである。各重要機能について、マップは法的権限の源泉、意思決定者、運用責任者、データストア、認証依存、重要サプライヤー、上流・下流機関、最大許容中断時間、許容データ損失間隔、権限のある代替機関を特定する。また、現在の法律や基本文書の下で委任できない権限を特定すべきである。
マップは、サービスの継続性とガバナンスの継続性を区別しなければならない。緊急チームは、移転を承認する権限なしに RDAP サービスをオンラインに維持できるかもしれない。RPKI の公開を維持しても、新しいリソース証明書を発行する権利がないかもしれない。会費の徴収はできても、料金表を変更する権限はないかもしれない。技術的なアクセスが合法的な権限と誤認される場合、ストレステストは失敗する。
インベントリは、機能を4つの復旧ティアに分類すべきである。第1ティアには、権威あるデータの保存、読み取り専用のディレクトリアクセス、RPKI リポジトリの継続性、セキュリティ監視、インシデント通信が含まれる。第2ティアには、保有者の認証、記録の修正、緊急の経路セキュリティ変更、裁判所命令による保護措置が含まれる。第3ティアには、日常的な割り当て、移転、請求、政策支援が含まれる。第4ティアには、イベント、トレーニング、研究、裁量的プロジェクトが含まれる。地域の組織は順序を調整してもよいが、すべての逸脱には理由がなければならない。
この優先順位付けにより、よくある演習の誤り、すなわち、可視のウェブサイトが復帰する一方で、権限を確立する機能が利用不可能なままであるにもかかわらず、成功を宣言することを防ぐ。また、通常業務が不便だからといって緊急権限が拡大することも防ぐ。継続性とは、制約された条件下での本質的な権利と記録の保存であり、初日にすべてのサービスを再現することではない。
解決方法には固定されたフェーズが必要である
すべてのシナリオは、6つの観察可能なフェーズを通じて解決されるべきである。第1は検出:組織はいつ認知したのか、どの証拠が閾値を超えたのか?第2は分類:どのサービス、権限、集団、外部依存関係が影響を受けるのか?第3は封じ込め:証拠を保存し、不正な変更を防ぐにはどのような行動を取るのか?第4は継続性:どの一時的なサービス体制が、誰によって、どのような制限の下で活性化されるのか?第5は復旧:権威ある状態、保有者のアクセス、依存サービスの調整はどのように行うのか?第6は返還:一時的な権限はどのように終了し、決定はどのようにレビューされるのか?
各フェーズには意思決定記録が必要である。記録は、その時点で利用可能な証拠、権限のある意思決定者、法的根拠、異議、影響を受けるサービス、失効条件、次のレビュー時点を特定すべきである。演習は、予期される意思決定者を意図的に一人外して、継承をテストすべきである。また、参加者が緊急性と確実性を区別しなければならないように、矛盾する証拠を導入すべきである。
合格条件は、シナリオの詳細が明らかにされる前に書かれるべきである。これらには、インシデント認識、安全でない変更の凍結、権威あるスナップショットの確立、依存組織への通知、合法的な代替者の活性化、優先サービスの復旧、下流状態の調整の最大時間が含まれる。また、定性的条件も含まれる:不正な割り当てがないこと、レビュー権の黙示的な喪失がないこと、政策変更のための緊急権限の使用がないこと、証拠の破壊がないこと、無期限の一時的管理がないこと。
解決は可能な限り可逆的であるべきである。一時的な制限は解除できる。読み取り専用のサービスは調整後にトランザクションモードに戻ることができる。緊急運用者は権限を復旧した地域組織に返還できる。リソースの取り消しやトラストアンカーの破壊などの不可逆的な行動には、より強力な承認と証拠が必要である。テストは、長期的な害を大きくする迅速だが不可逆的な決定にペナルティを課すべきである。
シナリオ1:選挙が正当な権限を生み出さない
最初のシナリオは、通常の理事会選挙から始まる。投票終了直前に資格データが異議申し立てられる。あるサプライヤーが、設定ミスにより一部の会員が除外され、他の会員に重複した認証情報が付与された可能性があると報告する。差は僅かである。現職理事会の任期は、完全な独立レビューが終了する前に満了する。同時に、理事会は予算を承認し、重要な契約の署名者を任命しなければならない。
このシナリオは、組織の継続性が争われる結果の受け入れに依存するかどうかをテストする。参加者は、どの機関が運営を維持できるか、現職権限が一時的に継続するか、どの決定を延期できるか、証拠をどのように確保するか、影響を受ける会員がどのようにレビューを得るかを判断しなければならない。正しい答えは、準拠法や細則によって異なる。テストは、紛争が発生する前に答えが知られ、合法的で、抑制されているかどうかである。
成功とは、迅速に勝者を生み出すことではない。投票証拠を保存し、利害関係者が調査を管理することを防ぎ、必要な法人権限のみを維持し、信頼できる救済を完了することを意味する。組織は、レジストリ運用を失うことなく、投票を再発行したり、選挙をやり直したりできるべきである。一時的な取締役や役員は、遅延が実証可能な害を引き起こさない限り、不可逆的な政策、役員報酬、資産の決定を下すべきではない。
証拠パッケージには、資格スナップショット、認証情報発行数、配信失敗、投票率の分母、独立した検証、異議申し立てのタイムライン、暫定期間中に行われた決定、最終的な救済が含まれるべきである。個人の投票は秘密のままである。公開結果は、すべての資格クラスが平等な扱いを受けたかどうか、継続体制が競争環境を変えたかどうかを明らかにすべきである。
より難しい変形は、選挙の失敗と偽情報を組み合わせる。投票日や候補者の辞退に関する虚偽の通知が出回る。組織は、現職者が排他的な物語の支配権を得ることなく、通信を認証しなければならない。運用者と会員は、複数のチャネルを通じて公式通知を検証できるべきである。演習は、単なる投票ソフトウェアではなく、正当性をテストする。
シナリオ2:財務上の失敗が運用権限に達する
破綻シナリオは、資金が尽きたという明確な宣言から始めるべきではない。集中した収入、会員の支払い遅延、訴訟費用、通貨損失、前払いを要求するサプライヤー、継続企業の前提を疑問視する監査人など、悪化するシグナルから始めるべきである。経営陣は回復が可能だと考えている。理事会は、開示が失敗を加速させることを恐れている。
参加者は、財務上のストレスがいつ継続イベントになるか、何を開示すべきか、どの支出に優先順位を付けるかを決定しなければならない。重要な業務のための給与、セキュリティ、保険、施設、データ管理、法的義務、重要なサプライヤーは、通常のプログラムと競合する。テストには、銀行口座の凍結や決済プロバイダーの撤退を含め、名目上の準備金が自動的に使えないようにすべきである。
NRO は、共同 RIR 安定化基金を共同の緊急支援コミットメントとして公開している。現在のページには、RIR の準備金からの自発的な誓約、影響を受ける RIR の理事会による正式な文書化された要求、NRO 執行評議会の全会一致の承認、事前に資金提供されたプール口座ではなく、必要な時のみ行われる拠出が記録されている。信頼できる演習では、アクセス条件、タイミング、通貨、ガバナンス、返済または助成条件、他の RIR が支援を解放する前に必要な証拠をテストすべきである。正式な理事会の要求を必要とするコミットメントは、影響を受ける組織がその要求を行う能力をすでに失っている場合、手遅れになる可能性がある。
シナリオはまた、裁判所と債権者の境界をテストしなければならない。登録データ、暗号鍵、ドメイン、機器、売掛金は、地域の法律によって異なる扱いを受ける可能性がある。参加者は、どの資産が移転、ライセンス、保護可能で、どれに裁判所の承認が必要かを知るべきである。破綻実務者が、権威ある番号リソース記録が通常の販売可能在庫ではないことを理解しているかどうかをテストすべきである。
合格条件には、権威ある記録の中断のない保存、組織権限を超える管理の誓約や売却がないこと、優先サービスの継続、準備金の文書化された使用、合法的な支援の活性化、更生または暫定運営への信頼できる経路が含まれる。公衆の信頼は、現金が枯渇するまで問題を隠すことに依存してはならない。
シナリオ3:制裁が法、支払い、サービスを断片化する
制裁は、法的な不確実性、アイデンティティリスク、銀行依存、政治的圧力を組み合わせるため、特に有用なストレステストである。RIPE NCC の2026年第2四半期制裁報告書は、該当する EU 制裁が、リソースの登録解除や会員資格の終了なしに登録変更を凍結できる一方、銀行による他の制裁リストの扱いから支払い制約も生じ得ることを説明している。登録、使用、サービス、支払いの間のその区別こそ、演習が保存しなければならないものである。
シナリオは、間接的な支配を通じて会員に適用される可能性のある新しい指定を導入すべきである。スクリーニングは一致の可能性を示すが、確定はしない。銀行は同じ法域の複数の無関係な会員からの支払いを拒否する。別の国の裁判所はサービスの継続を命じる一方、レジストリが登記されている規制当局は罰則を脅かす。影響を受ける保有者は、経路インシデントの後、緊急の経路起点認証の変更を要求する。
参加者は、事実と法的解釈を分離しなければならない。誰が一致が確定したと判断できるか、どのサービスが凍結されるか、どのような安全な変更が許容されるか、誤検出をどのように修正するか、同様の状況にある会員をどのように扱うかを確立しなければならない。各制限の発効時間を記録し、レビューの経路を保存しなければならない。
演習は、個人の身元や法的助言を公開することなく、集約された公開報告をテストすべきである。また、該当する法律に準拠した支払い代替手段をテストすべきである。レジストリの銀行が合法的な取引を拒否するために支払いができない会員は、支払わないことを選択した滞納会員と自動的に同じように扱われるべきではない。組織には、文書化された区別と、不確実性が解決される間に継続性を維持する方法が必要である。
合格条件には、タイムリーな法的エスカレーション、許可されていない登録解除、緊急のセキュリティ変更の定義された扱い、証拠に基づく誤検出修正、一貫した制限、通常サービスへの可逆的な復帰が含まれる。政治的に人気のある決定が組織の法的義務に違反する場合は失敗である。同様に、運用者が合理的なレビューなしに経路を保護できないようにする法的慎重さも失敗である。
シナリオ4:権限に対する協調的なサイバー攻撃
サイバーシナリオは、可用性だけでなく信頼を標的にすべきである。攻撃者はサポートアカウントを侵害し、一部の保有者連絡先記録を変更し、管理者の有効なセッションを取得し、レジストリデータが破損したと主張する偽の通知を公開する。同時に、サービス拒否トラフィックがディレクトリクエストと1つの RPKI 公開エンドポイントに影響を与える。バックアップは存在するが、最新の復元テストにはすべての下流サービスが含まれていなかった。
組織は、どの状態が権威あるものかを判断しなければならない。ログを保存し、アクセスを取り消し、リスクの高い変更を凍結し、信頼できるスナップショットを確立し、不確実性を伝達して、安全でない仮定を招かないようにしなければならない。きれいな公開ウェブサイトは目的ではない。目的は、証拠から復元された権限への防御可能な連鎖である。
演習には、内部関係者リスクとサプライヤーの変形を含めるべきである。特権のある従業員が利用不可能であるか、疑わしい場合がある。アイデンティティプロバイダーが侵害される場合がある。クラウドサプライヤーはインフラを復元しても、不正な変更を特定するために必要な正確なイベント順序を復元しない場合がある。参加者は、署名された記録、複製されたログ、外部観測、保有者の確認など、独立した証拠を使用せざるを得なくなるべきである。
技術的対応は、権利と結びついたままでなければならない。すべての移転が凍結された場合、保有者は根拠、期待されるレビュー、緊急例外ルートを知る必要がある。認証情報がリセットされた場合、連絡先が去った組織は堅牢な復旧経路を必要とする。ディレクトリデータが以前のスナップショットから復元された場合、その時点以降に行われた修正は、黙って失われるのではなく、再生され検証されなければならない。
合格条件には、制限付きのデータ損失、変更された記録の完全な特定、復元されたスナップショットの独立した検証、第1ティアサービスの復旧、安全な保有者の再認証、RPKI とディレクトリ状態の調整、即時のセキュリティリスクが過ぎた後の公開インシデント報告が含まれる。演習は、管理者がログインできる時間だけでなく、影響を受ける保有者が安全なアクセスを回復するまでの95パーセンタイル時間を測定すべきである。
シナリオ5:不均一な採用下でのトラストアンカー鍵の移行
暗号の継続性は、レジストリがすべての利用者を管理していないため、制度的な問題である。RFC 9691は、現在の公開鍵と後継の公開鍵を知らせ、計画された RPKI トラストアンカーのロールオーバーをサポートできる署名付きトラストアンカーキーオブジェクトを定義している。これは、利用者が切り替える前に後継を観察し検証できるようにするための承諾期間を使用する。この標準はまた、一部の利用者が自動移行をサポートせず、古いトラスト情報を引き続き使用する可能性があることも認識している。
シナリオは、計画されたハードウェアセキュリティモジュールの交換から始まる。古い秘密鍵は新しいデバイスにエクスポートできない。組織は後継鍵を準備しているが、測定により利用者の実装間で不均一なサポートが示されている。承諾期間中に、脆弱性の発表により古いデバイスの安全な寿命が短縮される。別のサービスインシデントが、一部のバリデータのサブセットに対してリポジトリコンテンツの不整合を引き起こす。
参加者は、移行を続行するか、一時停止するか、再開するかを決定しなければならない。新旧両方のトラストパスが同等の検証結果を生成するという証拠が必要である。ソフトウェアメンテナーや運用者と連携し、検証されていないメッセージが新しいトラストルートにならないようにしなければならない。脆弱なハードウェアからの露出を制限しながら、継続性のために古い鍵を十分な期間保持しなければならない。
演習は、分離されたテストリポジトリと代表的な利用者バージョンに対して実際の検証を実行すべきである。採用率、取得失敗、検証の不整合、古いトラストデータ、運用者の対応を測定すべきである。古いトラスト素材を意図的に固定する組織と、ソフトウェアリリースを通じてのみ更新する組織を含めるべきである。結果はレジストリ自身のバリデータのみから判断されるべきではない。
合格条件には、両方の鍵の下での同等のリソースカバレッジ、サポートされているバリデータによる正常な承諾、手動移行のための文書化された経路、認証された公開通知、破壊的な鍵の引退前のロールバック、古い鍵の削除時期に関する証拠に基づくタイミングが含まれる。重要な運用者クラスが検出なしに地域全体の認証ツリーに対して盲目になる場合、テストは失敗すべきである。
シナリオ6:企業と市場のショック後の大量移転
移転シナリオは、複数の地域の多くの子会社を通じてリソースを保有する大規模インフラグループの破綻から始まる。裁判所は異なる法域での売却を承認する。一部の移転は企業承継、一部は資産売却、一部は債権者によって争われ、一部はすでに相当なアドレス空間を保有している買い手が関与する。ブローカーは重複する書類を提出する。リソースの一部にはアクティブな経路起点認証と重要な公共セクターユーザーがいる。
結果として生じる量は、数ヶ月間、通常の能力を超えるべきである。テストは、組織が権限チェックを放棄したり、最も資源のある申請者を優遇したり、キューを隠れたモラトリアムに変えたりせずに、審査を拡大できるかどうかを問う。また、ある組織がステップを承認し、別の組織が追加の証拠を要求する場合に、地域間記録が調整されるかどうかをテストする。
シナリオには、法人、リソースブロック、契約、裁判所命令、過去の記録、認証状態、経路観測の合成だが内部的に一貫したインベントリが必要である。チームは、段階的に文書を受け取り、エスカレーションを必要とする矛盾を含むべきである。会社の法的管理と特定のリソース登録を移転する権限を区別しなければならない。
緊急時のキャパシティは、アイデンティティ審査の緩和を意味すべきではない。組織は、トリアージ、共有文書検証、標準化された裁判所命令分析、透明な優先順位ルールを作成できる。アクティブなネットワークを保護するために必要な緊急の変更は、最終的な移転から分離できる。すべての例外は記録され、期限付きで、レビュー可能であるべきである。
合格条件には、重複した処分がないこと、送信元と受信先の記録の完全なリンク、争われたステータスの保存、制限付きのテール遅延、一貫した地域間識別子、タイムリーな認証調整、公開キュー報告が含まれる。集中効果は測定されるべきだが、イベント中に政策禁止をでっち上げるために使用されるべきではない。政策が移転を許可する場合、緊急スタッフは自らの市場判断を代用すべきではない。
シナリオ7:IANA との連携が不確実になる
グローバル番号レイヤーは意図的に狭いトランザクションセットを持ち、公開されているパフォーマンスは強力である。IANA 番号リソースパフォーマンスレポートは、サービスターゲットに対する応答、応答時間、実装、正確性、および逆 DNS の伝搬と可用性を示している。この記録により、IANA との連携は適切な制御シナリオとなる。通常のパフォーマンスは測定可能であり、逸脱は正確に検出できる。
シナリオは、地域の継続イベント中に権限のある RIR 連絡先から来たと思われる矛盾する要求から始まる。1つは逆 DNS の変更を要求し、別のものは権限が争われているため IANA に行動しないよう要求する。3番目の組織は緊急体制が発効したと主張するが、活性化通知は不完全である。同時に、通信障害が1つの確立された検証チャネルに影響を与える。
IANA チームは、要求を承認、保留、拒否、または実装するためにどの証拠が十分であるかを判断する際に、中立性を維持しなければならない。速度だけが成功ではない。権限のない要求者からの正確に実装された指示は、深刻な失敗となる。すべての要求を無期限に拒否することも、番号コミュニティにリスクを移転することになる。したがって、テストには事前に合意された権限検証ラダー、帯域外確認ルート、矛盾する主張の定義された扱いが必要である。
参加者は、緊急連絡先記録が最新かどうか、それらの記録への変更に二重管理が必要かどうか、一時的な権限を認識する根拠が後で監査可能かどうかをテストすべきである。代替 RIR サービスは、コピーされたデータを技術的に保有しているという理由だけで、IANA との権限を獲得すべきではない。逆に、正式に任命された緊急機関は、元役員が時代遅れの連絡チャネルへのアクセスを保持しているという理由で妨害されるべきではない。
逆 DNS 要素は、合成ゾーンと分離されたインフラストラクチャを使用すべきである。チームは、要求認証、決定時間、実装正確性、伝搬、ロールバックを測定すべきである。登録要素は、イベント後も権威ある割り当て状態が IANA とすべての RIR 参加者間で曖昧でないままであるかどうかをテストすべきである。実際のグローバル割り当てや委任が危険にさらされる必要はない。
合格条件には、権限のある要求者の正しい識別、矛盾する主張の保存された証拠、制限付きの保留時間、不正なグローバル記録変更がないこと、解決後の正確な実装、一貫した下流状態が含まれる。公開報告書は、認証の秘密を保持しつつ、テストされた権限経路とタイミングを開示すべきである。このシナリオは、制度的継続性が地域事務所のドアで止まるのではなく、境界を越えて拡張されることを証明する。
決定的なテストは複合シナリオである
各ショックを個別にテストすることは必要だが、十分ではない。2033年または2034年には、プログラムは、選挙の正当性が争われ、財務契約が違反され、制裁の更新が主要な保有者に影響を与え、攻撃者が混乱を悪用し、トラストアンカーの移行がすでに進行中であり、大量移転のケースが裁判所の期限に達する複合演習を実施すべきである。
シナリオは、単に6つの独立したタスクを追加すべきではない。依存関係は選択を強制すべきである。すべての変更を凍結することはサイバー封じ込めに役立つが、必要な鍵や経路セキュリティの修正を妨げる可能性がある。公開開示は会員を保護するかもしれないが、銀行の取り付けを悪化させる可能性がある。安定化基金の解放は争われている理事会の署名を必要とするかもしれない。緊急運用者の活性化はサービスを維持するかもしれないが、国境を越えたデータアクセスに関する法的制限を引き起こす可能性がある。古いトラストアンカー鍵の延長は互換性を助けるかもしれないが、セキュリティの露出を増やす。
参加者は、現実的なスケジュールで不完全な情報を受け取るべきである。独立したコントローラーは、決定に基づいて新しい証拠を注入できる。チームがログの保存に失敗した場合、後の属性特定は不可能になる。過度に広範な法的凍結を発行した場合、運用者の害は増大する。確実性を待った場合、サービス復旧は遅くなる。目的はトレードオフを明らかにすることでり、演劇的な果断さに報いることではない。
いかなる組織も演習全体のストーリーを管理すべきではない。影響を受ける RIR、他の RIR、IANA 番号サービス、緊急運用者、運用者、リソース保有者、監査人、法的権限を代表する別々のチームが存在すべきである。NRS はアドボカシーオブザーバーとして、または明示的に権限を与えた会員の代表として参加することができる。NRS は運用認証情報、決定権、保護された証拠管理を受け取ってはならない。権限の境界は、妥当な取り決めと一致すべきである。オブザーバーは、決定だけでなく、回答されなかった要求や誰も検証しなかった前提も記録すべきである。
成功とは、最小限の正当な状態を保存することを意味する。権威ある記録は無傷で、安全でない変更は封じ込められ、重要な公共サービスは継続し、緊急の保有者の権利は行使可能で、認証は解釈可能なまま、一時的な権限は制限されたまま、証拠は残り、復旧基準が満たされたときに地域の管理が戻る。これは、すべての日常サービスが通常の目標を満たすことを意味するわけではない。
ベースライン、インジェクション、演習管理
ストレステストは、簡単なベースラインを選択することで開始前に操作される可能性がある。したがって、各共有演習は署名されたインベントリステートメントから開始すべきである。権威ある記録の数、アクティブな保有者、未処理の案件、証明書、ディレクトリオブジェクト、特権アカウント、重要な契約、サービス依存関係の数。独立したレビュー担当者はサンプルを検証し、既知の欠陥を記録すべきである。そうすれば、チームはすべての不整合をシナリオのせいにしたり、厄介な集団を静かに除外したりすることはできない。
シナリオインジェクションは、文書化されたリスクと実際の制度的依存関係から導き出すべきである。裁判所命令、銀行通知、選挙サプライヤー警告、セキュリティログ、バリデーター結果、会員の苦情、スタッフの可用性変更などを含めることができる。各インジェクションには、発行時間、ソースの役割、信頼性クラス、意図された証拠の結果が必要である。参加者はインジェクションの信頼性に疑問を呈してもよい(実際のイベントで不確かな証拠に疑問を呈すべきであるのと同様に)が、コントローラーは後の評価に必要な真実の基準を維持しなければならない。
コントローラーは、チームを好ましい政策結果に誘導すべきではない。彼らの仕事は、一貫した事実を維持し、結果を適用し、決定を測定し、ライブシステムとの安全でない接触を防ぐことである。別の評価グループが合格条件を判断すべきである。さらに別の保護されたグループが機密の技術資料を管理すべきである。分離により、シナリオを設計した者が自らの前提が正しいと宣言するリスクが軽減される。
演習時計は、テストされる機能を反映すべきである。財務や制裁のシナリオは、数週間を数時間に圧縮しながら、決定順序と通知期間を保持するかもしれない。トラストアンカーの移行は、期間自体がセキュリティを提供する場合、単純に承諾行動を圧縮することはできない。機能テストは長期間をシミュレートするかもしれないが、最終的なプログラムは、シフト間や地域間の引き継ぎを明らかにする少なくとも1回のリアルタイムの拡張リハーサルも実施すべきである。
すべての通信は、合意されたチャネルを通じてキャプチャされるべきである。非公式の電話はインシデント中に決定的な文脈を伝えることが多いが、レビューのための記録を残さない。演習では、口頭指示の後に短い決定メモを要求し、プライマリ会議またはメッセージングサービスの障害をテストすべきである。公開通知は、実際のものであるかのようにドラフトされ認証され、その後、明確にテストとしてラベル付けされない限り、演習環境内でのみ配布されるべきである。
演習は、ライブサービス、保護データ、参加者の安全を危険にさらす場合に中止される可能性がある。中止権限と基準は事前に定義されなければならない。安全のための中止は失敗ではない。回避可能なライブリスクを作り出すことは失敗である。評価はそれでも、どの設計上の仮定が中止を引き起こしたかを記録し、より安全な再テストを要求すべきである。
演習方法は議論を超えて進化しなければならない
最初の方法は文書検証である。独立したレビュー担当者は、権限、インベントリ、連絡先、契約、復旧目標、代替権限が最新で相互に一貫しているかを検査する。これは、シミュレーションの前に矛盾を明らかにすることができる。元従業員や期限切れのサプライヤーを指名する文書は、準備完了ではなく、発見事項としてカウントされるべきである。
2番目の方法は意思決定シミュレーションである。リーダーと技術スタッフはタイムドインジェクションを受け取り、実際の決定記録、通知、法的エスカレーション、サービス優先順位を作成しなければならない。オブザーバーは決定を基本文書と合格条件と比較する。参加者は事前に期待される答えを受け取るべきではない。
3番目の方法は、分離された環境での機能的リハーサルである。チームは権威あるスナップショットを復元し、アイデンティティアクセスを再構築し、テスト証明書を再発行し、ディレクトリを調整し、合成移転を処理する。測定された出力は、システムと独立したバリデーターから得られ、自己報告ではない。認証情報とデータは合成または強力に保護されなければならない。
4番目の方法はシャドウサービスである。代替チームは複製された非生産状態を受け取り、プライマリチームからの支援なしに定義された機能を提供しようとする。結果は、文書化されていない知識、独自の依存関係、曖昧な権限を明らかにする。プライマリ組織はライブサービスの管理を維持する。
5番目の方法は制御されたフェイルオーバーである。パブリック読み取り専用データセットやテスト RPKI リポジトリなどの狭く可逆的なサービスが、監視下で準備された代替に切り替えられる。ライブ要素には、厳格な変更管理、必要に応じた事前の会員通知、ロールバック、明示的な承認が必要である。演習は、実際のリソース管理に不必要なリスクを決して生み出してはならない。
最後の方法は、実際の通信、独立したタイミング、代表的な運用者システムを用いた機関横断シミュレーションである。夜間、週末、複数タイムゾーンの条件を含むべきである。すべての専門家がすぐに利用可能な場合にのみ機能する復旧計画は、回復力があるとは言えない。
運用者は検証者であり、観客ではない
レジストリ組織は内部のサービス復旧をテストできても、外部の障害を見逃す可能性がある。運用者はディレクトリデータをキャッシュし、多様な利用者ソフトウェアを実行し、証明書変更を自動化し、許可リストに依存し、インシデント通知を異なる方法で解釈する可能性がある。彼らの観察は、復元された状態が使用可能かどうかを決定する。
プログラムは、異なる規模、地域、技術モデルの運用者を募集すべきである。参加者には、アクセスプロバイダー、ホスティングネットワーク、公共セクターネットワーク、コンテンツネットワーク、企業、経路セキュリティソフトウェアメンテナーを含めるべきである。彼らの役割は、合成結果を検証し、通信をテストし、運用上の結果を報告することである。参加は、プライベートな保有者データへのアクセスを許可すべきではない。
運用者の測定には、公式通知の認証にかかる時間、現在のディレクトリ状態の取得時間、バリデーターの収束、経路有効性結果の不一致、自動化の失敗、手動介入、残存する不確実性が含まれるべきである。サービスは内部の可用性目標を満たしていても、運用者が矛盾する結果を受け取る可能性がある。したがって、外部収束は合格条件である。
運用者はまた、抑制をテストすべきである。緊急通信は、不確かまたは不完全な証拠に基づいてネットワークが経路を拒否することを奨励してはならない。記録に対するレジストリの権限は、組織を普遍的な経路制御装置に変換するものではない。通知は、過大な命令なしに、観察された状態、信頼性、影響を受けるサービス、推奨される検証を記述すべきである。
緊急権限は狭く一時的でなければならない
緊急運用者には、本質的なサービスを維持するために十分なアクセスと法的地位が必要である。無制限の権限を継承すべきではない。活性化文書は、許可される機能、禁止される行動、データ境界、支出権限、レビュー間隔、失効条件、返還基準を列挙すべきである。
禁止される行動には通常、地域の番号ポリシーの変更、争われているリソースの再割り当て、選挙ルールの変更、組織資産の処分、無関係な目的のための会員データの使用、自身の任命の延長が含まれるべきである。例外には、別途権限のある機関と公的な理由が必要である。緊急機関は、自らの継続の必要性を判断する者になるべきではない。
権限の返還は、活性化と同様にテストに値する。復旧した組織は、ガバナンスの正当性、セキュリティ、データ整合性、人員、財務能力、合法的な管理を実証しなければならない。緊急機関は完全な記録を提供し、認証情報を放棄しなければならない。調整のために並行運用が必要かもしれないが、決定の所有権は曖昧であってはならない。
ドラフトガバナンス資料の緊急後レビューへの重点は重要である。すべての演習は、実際の緊急事態が発生していない場合でも、同じ規律を使用すべきである。公開報告書は、期間、提供されたサービス、行使された権限、例外、影響を受ける権利、返還決定、未解決の欠陥、推奨事項を特定すべきである。
NRS は、互いに不信感を抱く可能性のある組織を招集し、小規模な会員が経験を明確にするのを支援し、公開された対策と結果を比較する研究を公開することができる。テスト資産を維持したり、適合性を定義したり、保護された証拠を保持したり、演習を運営したり、権限の移転を管理したりしてはならない。これらの機能は、参加する RIR、IANA サービス、資格のある緊急運用者、独立したレビュー担当者に属する。NRS の正当性は、権力自体を獲得することなく、権力をより説明責任のあるものにするアドボカシーを行うときに最も強くなる。
スコアは失敗を隠すのではなく、保存すべきである
単一の回復力グレードは魅力的だが誤解を招く。組織は技術的回復には強くても法的権限には弱いかもしれないし、財務的に回復力があっても暗号的に脆弱かもしれない。結果は、厳しい失敗条件を持つ多次元スコアカードを使用すべきである。
次元は、権限、ガバナンス、財務、データ整合性、セキュリティ封じ込め、サービス継続性、保有者アクセス、RPKI 同等性、外部収束、通信、可逆性、学習である。各次元は、ターゲット、観察された結果、証拠ソース、信頼性を示すべきである。厳しい失敗には、権限のないリソース変更、権威あるデータの喪失、合法的な意思決定者の特定不能、無制限の緊急権限、検出されない認証の発散、レビュー権の保存失敗が含まれる。
時間測定は分布を報告すべきである。保有者の復旧は、最初の成功したログインで代表することはできない。移転の復旧は、1つの簡単なケースで代表することはできない。バリデーターの収束は、組織自身の実装で代表することはできない。テールの結果は、誰が制度的ストレスのコストを負担するかを明らかにする。
発見事項は、結果と再発性によって分類されるべきである。文書の欠陥は、緊急署名権限を妨げるまでは軽微かもしれない。テストの失敗は、タイムリーな是正と成功した再テストを生み出せば、評判の敗北ではない。失敗後にテストを隠蔽または縮小することは、弱点を発見することよりも深刻である。
是正と再テストは結果の一部である
資金提供された是正のない演習報告書は、観察であり、回復力の改善ではない。すべての重要な発見事項には、責任者、承認されたリソース、暫定的なリスク処理、目標日、再テスト方法が割り当てられるべきである。経営陣がリスクを受け入れる場合、承認機関はなぜ残存する露出が許容可能であり、その判断がいつ失効するかを述べるべきである。重要な発見事項は、技術的なメンテナンスの中に消えるのではなく、理事会または同等の統治機関に戻るべきである。
再テストは、修正を証明するために失敗条件を十分に再現すべきである。失敗が実際の復旧に関するものである場合、新しい文書だけでは十分ではない。失敗がクロスプロバイダー代替に関するものである場合、サプライヤーの保証書だけでは十分ではない。失敗が RPKI 結果の相違を運用者が観察した場合、成功した内部バリデーターだけでは十分ではない。証拠は元の合格条件と一致しなければならない。
プログラムは、即時封じ込め、耐久性のある是正、体系的な学習を区別すべきである。即時封じ込めは、緊急連絡先の更新や追加バックアップの保存など、現在の露出を減らす。耐久性のある是正は、法的に委任された権限や独立してテストされた復旧経路の確立など、能力を変更する。体系的な学習は、関連する組織や基準を変更して、同じ弱点が他の場所で繰り返されないようにする。
再テストのタイミングは深刻度を反映すべきである。権威あるデータ、違法な権限、暗号の発散を含む厳しい失敗は、6ヶ月以内に再テストされるべきである。重大な継続性の弱点は、1年以内に再テストされるべきである。低い深刻度の発見事項は、次の年次演習に従うことができるが、期限切れの項目は公開されたままにしなければならない。組織は、同じシナリオの次の10年マイルストーンを待つべきではない。
繰り返される失敗はエスカレーションを必要とする。同じ根本原因で2回の再テストが失敗した場合、独立したレビュー担当者は、述べられた救済が原因に対処しているか、リソースが十分か、リーダーに遅延のインセンティブがあるかを調査すべきである。集団的支援が適切な場合もある。特に専門的な暗号や法的能力について。支援は、代替が検討される前に、影響を受ける地域組織を強化すべきである。
成功した再テストは、元の発見事項を消去すべきではない。10年の記録は、発見、暫定処理、修正、証拠、クロージングを示すべきである。この履歴により、会員は学習する組織と言葉を変えるだけの組織を区別できる。また、弱点を報告するスタッフを保護する。透明な改善記録は、発見を抑制する理由ではなく、効果的な管理の兆候とする。
2036年までに、最も説得力のある成功の尺度は、複数の組織にわたる困難な発見事項のクロージング率かもしれない。その尺度は、華やかさのない回復力に資金を提供し、独立した証拠を受け入れ、最初の失敗後に戻ってくる意欲を捉える。完璧な最初の演習よりも、実際の欠陥を発見し、それらが修復されたことを証明する厳しいプログラムの方が信頼できる。
公開証拠と保護された詳細は共存できる
公開報告書は、シナリオの前提、役割別の参加者、テストされたサービス、除外された範囲、合格条件、決定、観察された結果、失敗、影響を受ける権利、改善責任者、再テスト日を記載すべきである。外部の者が結果を理解するのに十分なタイミングと調整データを含めるべきである。
認証情報、個人記録、特権的な法的助言、詳細な脆弱性、秘密鍵、悪用可能なアーキテクチャ、機密の会員証拠を公開すべきではない。独立した監査人がそれらの資料を調査し、範囲を限定した保証声明を発行できる。セキュリティの発見事項は、開示が即時のリスクを生み出す場合、是正まで遅らせることができるが、発見事項の存在と深刻度は消えてはならない。
証拠は耐久性がなければならない。演習記録は、署名されたスナップショット、イベントログ、バリデーター出力、決定記録、通信、改訂を管理された管理下で保存すべきである。公開報告書は、安全な場合、安定した整合性チェックされたアーティファクトにリンクすべきである。後の再テストは元の発見事項を引用し、何が変わったかを示すべきである。
一般市民はまた、意見の相違を見るべきである。法律顧問、運用者、組織リーダーが合格条件を異なる方法で解釈する場合、報告書はその相違と最終決定を説明すべきである。コンセンサスの演出は回復力ではない。組織は、争われた証拠がどのように解決されたかを示すことによって信頼を得る。
2026-2036年のテストカレンダー
2026年:共同憲章、権限マップ、サービスティア、共有条件、合格条件、保護された証拠ルールを確立。組織レベルのギャップを公開。
2027年:すべての参加組織で選挙紛争、継承、通信をテスト。独立した投票と権限レビューを要求。
2028年:財務的苦境、銀行の中断、安定化基金へのアクセス、裁判所の境界をテスト。コアサービスのコストと流動性の前提を調整。
2029年:制裁、誤検出、支払い障壁、緊急セキュリティ例外、国境を越えた法的紛争をテスト。
2030年:権威あるスナップショット復旧、保有者再認証、下流調整を含む、協調的なサイバー機能演習を実施。
2031年:多様な利用者実装と手動移行経路に対する計画された RPKI トラストアンカー移行テストを実施。
2032年:企業承継、破綻、地域間ケース、争われた権限を伴う大量移転の急増を実行。
2033年:シャドウ継続サービスを運用し、緊急運用者の法的、管理的、技術的準備をテスト。
2034年:独立した管理と代表的な運用者による最初の複合国際シナリオを実施。
2035年:厳しい失敗を是正、再テストし、予告なしのスタッフとサプライヤーの利用不可で選択されたシナリオを繰り返す。
2036年:2回目の複合シナリオを実施し、10年間の証拠を比較し、継続体制を改訂し、次のテストサイクルを設定。
年次の組織レベル演習はマイルストーンの間も継続すべきである。カレンダーは共有された焦点を特定し、唯一の回復力作業ではない。実際のインシデントは対象を絞った再テストを引き起こすべきである。重要なシステム、法律、ベンダー、鍵の変更は、予定された年を待つべきではない。
信頼できる成功の姿
2036年までに、会員は、理事会が争われた場合に誰が行動できるかを尋ね、正確で合法的な答えを得られるべきである。監査人は、緊急資金がどのようにコアサービスを支援するかを追跡できるべきである。制裁を受けた、または誤って一致した保有者は、文書化されたレビュー経路を保持すべきである。運用者は、複数のチャネルを通じてトラストアンカーの移行を検証できるべきである。後継サービスプロバイダーは、政策権限を継承することなく、テストされたインベントリから優先機能を復元できるべきである。
組織はまた、自らの不可避的な限界を知るべきである。一部の裁判所紛争は技術的調整では解決できない。一部の利用者は更新が遅いままである。一部のサプライヤーは即座に交換できない。一部の機密証拠は公開できない。ストレステストは不確実性を排除しない。それは不確実性を制限し、所有し、可視化する。
最悪の結果は、シナリオが決して決定権を脅かさず、上級リーダーが常に利用可能で、代替チームが完全な指示を受け、報告書が外部検証なしに成功を宣言する、洗練された一連の演習である。それはプレゼンテーションをテストするものであり、組織をテストするものではない。
最良の結果はより控えめで、より要求が厳しい。レジストリシステムが安全に劣化し、権限を保存し、緊急の権利を保護し、一貫した技術状態を回復し、一時的な権力を返還できるという繰り返しの証拠である。RIR は地域的に説明責任を維持する。IANA 番号サービスは安定し、測定可能である。NRS は、運用権限を取得することなく、アドボカシー、会合開催、権限のある会員代表、公開比較に貢献する。運用者は、組織が内部から見えないものを検証する。
制度的正当性は、平常時には同意として議論されることが多い。そのより厳しいテストは、異常時の抑制である。組織は、行動することによってだけでなく、どの権限を欠いているか、どの決定を待たなければならないか、どの証拠が生き残らなければならないか、いつ管理を返還しなければならないかを知ることによって、その適合性を証明する。10年間のストレステストは、インターネット番号レジストリシステムが実際の圧力の下で公衆の面前で学ばなければならない前に、これらの美徳を観察可能にするだろう。
証拠基盤
- RIR ガバナンス文書案(バージョン2)は、緊急時の継続性、緊急運用者、引き継ぎ、準備、事後レビューのための現在の提案フレームワークを提供する。
- NRO の準備状況の予備評価は、法的、技術的、管理的な取り決めとサービスの安定した移転の実施ニーズを特定する。
- RIR ガバナンスに関する協議の概要は、サービスの優先順位付け、復旧基準、制限された緊急権限、地域管理の返還に関する懸念を記録している。
- 共同 RIR 安定化基金は、既存の集団的財務継続性の文脈を提供する。
- IANA 番号リソースパフォーマンスレポートは、明示的なステージ、タイミング、正確性、可用性測定の既存のモデルを提供する。
- RFC 9691は、現在の鍵と後継鍵を知らせ、計画されたトラストアンカーのロールオーバーをサポートするための RPKI トラストアンカーキー機構を定義する。
- RIPE NCC RPKI 認証実践声明は、現在の認証、鍵変更、失効の実践を説明する。
- APNIC RPKI 認証実践声明は、APNIC の現在の CA 階層、鍵漏洩と失効手順、HSM 移行制約、トラストアンカー鍵のライフタイム依存関係を文書化する。
- RIPE NCC 2026年第2四半期制裁透明性報告書は、登録凍結、継続使用、会員資格の扱い、身元の不確実性、支払いへの影響を区別する。
- RIPE NCC RPKI セキュリティとコンプライアンスのページは、現在の外部保証とセキュリティレビューの文脈を提供する。
- NRS のFAQは、NRS をグローバルな非営利会員組織として特定し、キャンペーン、エンパワーメント、ビジネス支援を行うとしている。また、ネットワーク会員ページは、会員のアドボカシー、政策参加、委任状に基づく代表を説明する。これらの情報源は、NRS の参加をアドボケイトまたは明示的に権限を与えられた代表者としてサポートするものであり、RIR、IANA サービス、緊急運用者、適合権限、または保護された演習証拠の管理者としてのものではない。

