概要

  • この記事で説明すること:ルーティングデータベースは信頼のコストを下げるはずだ。AFRINIC 地域では、断片化されたインターネットルーティングレジストリ(IRR)データが逆効果をもたらす可能性がある。ソースの選択、古い重複、ミラーの遅延、再帰的展開が
  • 主なテーマ:ネットワークリソースの証拠; レジストリガバナンス; 理事会選挙の正当性
  • 背景:ガバナンス / 調査 / アフリカ

複数のレジストリが同じルートに対して回答する場合

ルートサーバーのジョブは夜明け前に実行される。なぜなら、その IX(インターネットエクスチェンジ)は、営業日の開始までにフィルターを準備したいからだ。ジョブは複数のインターネットルーティングレジストリ(IRR)ソースに問い合わせ、ミラーデータを更新し、メンバーの AS-SET を展開し、プレフィックスリストとオリジン検証を構築し、IX が受け入れるアナウンスを決定する設定を出力する。ほとんどの朝は問題なく過ぎる。しかしその朝、ジョブは AFRINIC 管理下の IPv4 プレフィックスで停止する。その履歴は問い合わせたソースによって異なるのだ。

ある IRR ソースには、そのプレフィックスに対応する route オブジェクトがあり、オリジン AS はかつての上流プロバイダーに属している。別のソースには、顧客ネットワークが地域データセンターに移転したことを示すより新しいオブジェクトがある。第三のソースは、メンテナー名がリソース保有者のものと似ているため、まだもっともらしく見える古いエントリをミラーしている。顧客が提供する AS-SET は、ソースの順序によって異なる展開結果になる。ある展開では、プレフィックスはリセラーの顧客コーンでカバーされる。別の展開では、ルートセットが異なるリポジトリに存在する AS-SET を参照しているため、プレフィックスが消えてしまう。公開 RPKI の検証は問題の一部を助けるが、なぜ IRR のビューが分岐するのか、あるいはどの運用関係が最新なのかは説明しない。IX のエンジニアはルートを拒否するか、受け入れるか、手動での例外を設けるか、書状を要求するか、チケットを遅らせることができる。これらの選択肢のどれも無料ではない。

これがインターネットルーティングレジストリの脆弱性の背後にある実際の光景だ。問題は単一の route オブジェクトが誤っていたり古かったり修正が難しいことだけではない。より大きな問題は、ルーティングポリシーデータが、異なる歴史、更新ルール、認証慣行、ミラースケジュール、クリーンアップ習慣、社会的評判を持つ複数のリポジトリに分散していることだ。オペレーターや IXP は、「IRR」を単一のデータベースとして消費することはほとんどない。彼らは選択されたソースのセットを、選ばれた順序で、重複、再帰性、ルートセットのメンバーシップ、ソース優先度に関する前提を持つツールを通じて消費する。これらの前提が矛盾するレコードに遭遇したとき、データベースの設計が経済的なイベントになる。

利害関係者はネットワークエンジニアより広い。トランジットプロバイダーは、プロビジョニングの前にどのソースを信頼すべきかを知る必要がある。クラウドプロバイダーは、顧客のアドレス空間をアナウンスする前に信頼を必要とする。IXP のルートサーバーは、正当なローカルネットワークを排除せずにエンティティを保護するフィルターを必要とする。ブローカーは、古い IRR レコードが価格を下げたり転送を遅らせたりしない理由を説明しなければならない。バイヤー、レンダー、保険会社は、運用上の受け入れがデューデリジェンスを生き残るかどうかを知る必要がある。接続を購入する顧客は RPSL の構文を気にしないが、ルートが迅速に受け入れられなければそのコストを感じるだろう。

AFRINIC は、その制度的な環境が隠れたコストを可視化するため、有用なストレステストである。この地域は、長期化するガバナンス危機、訴訟、管財人の問題、選挙の混乱、歴史的アドレスレコードの完全性に対する公的な懸念に直面してきた。IPv4 の枯渇は、ルーティング可能な各ブロックを経済的により重要にした。この文脈では、レジストリに隣接するルーティングデータは単なる管理上の付録ではない。それは市場の信頼インフラの一部となる。データが一貫していれば、第三者は低コストで「イエス」と言える。データが断片化していると、各エンティティは、吸収すべき法的・運用上・評判上のリスクレベルを決定しなければならない。

正しい枠組みは制度的な忠誠ではない。AFRINIC や他の RIR がコミュニティの委任を主張するからといって信頼されるべき、というわけではない。プライベート IRR が、オペレーターが長年使用しているからといって信頼できる、というわけでもない。問いはもっと難しい。複数のデータベースが、希少な番号リソースのルーティングポリシーについて、もっともらしいが矛盾する回答を返すとき、上流プロバイダー、IX、クラウドプラットフォーム、ブローカー、バイヤー、レンダー、顧客はどの回答を信頼すべきか。そして、その回答が間違っていた場合、誰が支払うのか?

RPSL はルーティングポリシーを読み取り可能にしたが、自己検証可能にはしなかった

インターネットルーティングレジストリシステムは、合理的な運用上のニーズから生まれた。BGP はネットワークがルートをアナウンスすることを可能にするが、それ自体では、ネットワークが何をオリジネートし、トランジットし、受け入れることを意図しているかについての完全な公開説明を提供しない。ルーティングポリシーは、ルーターのプライベートな設定やメールのスレッドだけに任せるにはあまりにも重要である。RFC 2622 で定義された RPSL は、このポリシーを表現するための構造化された言語をオペレーターに提供した。これには route、route6、aut-num、as-set、route-set、mntner などのオブジェクトが含まれる。これらは法的な文書ではない。これらは、ルーティング関係をソフトウェアが問い合わせ可能な形式で記述できるように設計されたデータベースオブジェクトである。

この区別は、自動化の最初の犠牲者となることが多い。route オブジェクトはプレフィックスをオリジン AS に関連付ける。RFC 4012 のマルチプロトコル拡張で記述された route6 オブジェクトは、IPv6 に対して同様の役割を果たす。mntner オブジェクトは、他のオブジェクトの変更を認証できるメンテナーを識別する。AS-SET とルートセットは、オペレーターがネットワークやルートの集合を記述することを可能にし、しばしば再帰的に行われる。これらの要素から、ネットワークは顧客やピアのためのフィルターを生成することができる。構文は狭いが、その結果は広範に及び、出力はルーターのポリシーとなる。

初期の約束は調整だった。オペレーターが意図するルーティングポリシーを公開または半公開のレジストリに公開すれば、他のオペレーターはより安全な決定を下せる。フィルターは手動で構築する代わりに生成できる。変更は可視的なポリシーモデルと照らし合わせてレビューできる。エラーはより検出しやすくなる。インターネット規模の調整には共通の文法が与えられる。IRR を取り巻くセキュリティ上の懸念が高まる中で書かれた RFC 2725 は、その変化を捉えていた。IRR データが運用にとってより有用になるにつれて、その完全性とセキュリティの要件はより厳格になる。緩やかに管理された調整用データベースは一つのものだ。フィルターに供給されるデータベースは別のものだ。

RPSL はデータを自己検証可能にはしなかった。それはデータを読み取り可能にした。この違いは、断片化された IRR のあらゆる紛争で重要になる。route オブジェクトがリポジトリに存在するなら、そのオブジェクトは解析可能である。それはミラー可能である。それはアナウンスと比較可能である。それはプレフィックスリストに統合可能である。しかし、オブジェクトが存在するからといって、リソース保有者がそれを許可したこと、オリジン AS が依然として現在有効であること、メンテナーが依然として当該当事者を代表していること、別の場所にある重複が誤りであること、またはソースを跨ぐルートセットの展開が現在のビジネス関係を反映していることを証明するわけではない。形式は主張を機械可読にする。それは主張を真実にはしない。

この制限は昔はそれほど重要ではなかった。利害がより小さく、運用文化がより関係ベースだったからだ。現代の市場はより寛容ではない。IPv4 は希少であり、自動化はより深く浸透し、クラウド統合、ルートサーバー、マネージドセキュリティサービス、リモートピアリング、アドレス転送はすべて、再現可能な外部証拠に依存している。かつてエンジニアの調整を助けたレコードは、今では資本、接続性、顧客関係の移動可能性に影響を与える。

制度的な教訓はシンプルだが不快だ。フィルターに影響を与えるレジストリデータベースは、単なる便利な掲示板であるかのようにガバナンスされるべきではない。しかし、市場活動に対する広範な裁量的チェックポイントに変えるべきでもない。データベースの正当性は、そのレジストリ機能の狭さと信頼性から来る。それは運用上の宣言を、不確実性を低減する方法で記録し、認証し、公開すべきである。それは、すべてのルーティングポリシーエントリが所有権の判断、コミュニティの投票、または制度的な主権の道具であるかのように振る舞うべきではない。

だからこそ断片化は非常にコストが高い。同じ RPSL の語彙が多くのリポジトリに現れても、それぞれ異なる権限モデルを持っているなら、市場は一見比較可能だが異なる基盤の上に成り立つ宣言を受け取ることになる。あるソースの route オブジェクトは、RIR の保有者レコードと密接に結びついているかもしれない。別のソースの route オブジェクトは、何年も前にネットワークオペレーターがより緩やかなメンテナー慣行の下で作成したものかもしれない。ミラーされたオブジェクトはソースより遅れているか、削除されたビューを保存しているかもしれない。ルートセットは、ツールが適切なリポジトリに問い合わせた場合にのみ存在するオブジェクトを参照しているかもしれない。共通の文法が、根底にある制度的な違いを覆い隠す。

断片化は調整ツールを市場の通行料に変える

断片化は時々、フィルタリングツールに対する迷惑として説明される。それは弱すぎる表現だ。希少なアドレス市場において、断片化された IRR データは通行料システムである。矛盾するレコードを調査し、説明し、調整し、上書きし、文書化し、保証しなければならない各当事者に課税する。この通行料は単一の徴収者に支払われるのではない。労働、遅延、リスク割引、統合の失敗、ブロックされたピアリング、手動例外、法的レビュー、カウンターパーティ間の不信という形で支払われる。

第一のコストは調査だ。オペレーターは、単にプレフィックスに IRR オブジェクトがあるかどうかを尋ねることはできない。自社のポリシーがどのソースを認識するか、それらのソースがリソース地域にとって権威があるか、ミラーコピーが最新であるか、重複をマージすべきか衝突として扱うべきか、プライベートまたは非 RIR ソースのオブジェクトが、RIR にリンクされたソースの欠落または古いエントリを無効にすべきかどうかを尋ねなければならない。小規模ネットワークはチケットを見るだけだ。大規模オペレーターはルールのセットを見る。その間には、小規模ネットワークが迅速にサービスを受けられるかどうかをしばしば決定する取引コストがある。

第二のコストは説明だ。顧客が「route オブジェクトはそこにある」と言うとき、上流プロバイダーは「どこに?」と尋ねなければならない。オブジェクトが RADB にあるが関連する RIR の IRR にはない場合、それで十分か?AFRINIC ソースにあるが、別のソースの重複が異なるオリジンを指している場合、どちらのオブジェクトが優先されるのか?顧客が複数のリポジトリにまたがる AS-SET を持っている場合、上流プロバイダーはすべてのソースを受け入れるのか、それとも優先リストのものだけか?顧客の以前のプロバイダーが自身のメンテナーでオブジェクトを作成していた場合、新しいプロバイダーがルートを受け入れる前にそれを削除しなければならないのか?各質問は合理的だ。しかし、それらが合わさると、接続性が別の名前の訴訟のように感じられる。

第三のコストはスキルの非対称性だ。大手オペレーターはレジストリチームを維持し、ソース固有のポリシーを作成し、古いオブジェクトの定期的な監査を実施し、フィルターの差異を監視し、誰に連絡すべきかを知ることができる。アフリカの小規模 ISP、大学、公的機関、企業はその能力を持たないかもしれない。請負業者からの古いレコードを継承するかもしれない。上流プロバイダーにオブジェクトの作成を頼るかもしれない。遠くの IRR にある重複が、異なる市場のルートサーバーに影響を与えることを知らないかもしれない。したがって、断片化は、曖昧さを管理するのに十分な規模を持つプレイヤーに有利に働く。インターネットの到達可能性が普通のインフラであるべき人々を罰する。

第四のコストは交渉力だ。IPv4 空間のバイヤーが、ブロックに矛盾する IRR エントリがあることを発見した場合、値引きまたは保証金の留保を要求するかもしれない。レンダーが、借り手のアドレス依存サービスの到達性がオペレーターでの手動例外に依存しているのを見た場合、その資産をより信頼性の低い担保と見なすかもしれない。クラウドプロバイダーがオンボーディング前にクリーンアップを要求する場合、保有者は移行時間を失うか、弱い立場で交渉するかもしれない。断片化されたレコードは、悪意がなくても価格を変えることができる。それらは単に資産を使いにくくすれば十分だ。

第五のコストはセキュリティだ。古い重複は古いオリジンの主張を保存する。弱く認証されたソースは、本来異議を唱えられるべきルートに見せかけの正当性を与える。広すぎる AS-SET は、もはや属していない下流ネットワークを含むかもしれない。ミラーの遅延は、修正されたレコードを未解決に見せかける。オペレーターが IRR データを完全に無視することで対応するなら、有用な防御層を失う。すべてのソースを無差別に信頼することで対応するなら、攻撃面を拡大する。狭いソースリストのみを信頼することで対応するなら、不完全なレコードを持つ正当なネットワークが排除されるかもしれない。断片化は、セキュリティポリシーに不完全な害悪の中から選択させる。

第六のコストは制度的な信頼だ。安定したレジストリ環境では、オペレーターは修正の仕組みを知っているため、ある程度の混乱を許容する。ストレス下では、あらゆる曖昧さがより暗く解釈される。それは古いオブジェクトなのか、弱いレコード管理なのか、管理上のギャップなのか、保有者のロックインなのか、それとも地域レジストリの迂回なのか?AFRINIC の最近の歴史は、これらの問いをより払拭しにくくしている。データの問題はガバナンスの問題になる。なぜなら、第三者はデータベースをそれらを維持する(または維持しない)機関から分離しないからだ。

したがって、断片化は IRR レコードの経済的な意味を変える。統一され、よくガバナンスされた環境では、レコードはルーティング信頼のコストを低減する。断片化された環境では、レコードはコストを外部に転嫁する可能性がある。ルートサーバー、上流プロバイダー、クラウドプラットフォーム、ブローカー、バイヤーは、データベースの衝突の無報酬の調停者になる。彼らはこの仕事をするのに適した位置にいないが、ルーティングシステムは逃げ道を残さない。パケットには決定が必要だ。

ソース選択はエンジニアリングに偽装された経済的決定である

RFC 7454、BGP 運用とセキュリティに関する文書は、ソース選択をオペレーターにとっての実践的な関心事として扱っている。プレフィックスフィルタリング、ルーティングレジストリから導出された顧客フィルター、AS-SET の再帰性、フィルター更新の必要性、およびどの IRR ソースを使用するかの選択の難しさに言及している。テキストは運用的だが、経済的な含意は大きい。すなわち、ソース選択ルールは信頼のポリシーである。それは、どのデータベースの主張が信頼に足るほど安価で、どれが手動でのエスカレーションや拒否を必要とするかを決定する。

フィルターを構築する際に、AFRINIC、RIPE、APNIC、ARIN、RADB からのオブジェクトを受け入れるオペレーターを考えてみよう。このポリシーは包括性を最大化する。それは、より古いソースや非地域ソースにデータがある顧客からのサポートチケットを減らす。また、古い重複、より弱い権限履歴、ソース間の再帰性の驚きへの露出を増やす。今度は、各プレフィックスに対して関連する RIR ソースのみを優先し、RIR の IRR が存在する場合にはプライベート IRR を無視するオペレーターを考えてみよう。このポリシーは権限の整合性を改善するかもしれないが、レコードが歴史的に他の場所で維持されていたり、プロバイダーが作成したオブジェクトが地域ソースの外にある正当な顧客に害を及ぼすかもしれない。第三のオペレーターは、ソースの優先順位を使用し、最初に一致したオブジェクトを受け入れるかもしれない。このルールは、優先ソースが古く、あまり優先されないソースが最新であるまでは効率的だ。

これらの選択は、スクリプトにエンコードされているため技術的に見える。それらは不確実性のコストを配分するため、経済的である。厳格なソースポリシーは、顧客にサービスを受ける前にレコードをクリーンアップするよう強制する。これはデータベースを改善するかもしれないが、労働を顧客に転嫁し、小規模ネットワークを排除する可能性がある。緩いポリシーはルートをより迅速に受け入れるが、リスクをオペレーターのネットワークとそのピアに転嫁する。手動例外ポリシーは柔軟性を保つが、インサイダーに有利でサポートのボトルネックを生み出す。中立的なソースポリシーは存在しない。コストを配分する異なる方法があるだけだ。

AFRINIC 管理下のプレフィックスにとって、ソース選択は特に微妙である。なぜなら、地域のレコードは複数の歴史を同時に抱えている可能性があるからだ。あるプレフィックスは、上流プロバイダーが AFRINIC 自身の IRR ツールを使用するずっと前に作成した、商用 IRR に古い route オブジェクトを持つかもしれない。後のクリーンアップで作成された AFRINIC リンクのオブジェクトを持つかもしれない。ヨーロッパのトランジットプロバイダーが顧客のポリシーを維持していたため、RIPE タイプのツールを想定したルートセット参照を持つかもしれない。クラウドや DDoS プロバイダーが使用するプライベート IRR エントリを持つかもしれない。各ソースはそれを作成した当事者の観点からはもっともらしいかもしれない。もっともらしさは現在の権限と同じではない。

衝突するソース優先度は、プロバイダー間の競争にも影響を与える。支配的な上流プロバイダーのポリシーがより広範なソースのセットを受け入れるなら、より厳格なフィルターを持つ小規模プロバイダーよりも迅速に顧客を統合できるかもしれない。クラウドプラットフォームがある種のクリーンアップを要求し、トランジットプロバイダーが別のものを要求するなら、顧客はより優れた技術サービスではなく、管理上の摩擦が最も少ない道を選ぶかもしれない。IXP のルートサーバーが保守的なソースルールを使用するなら、乱雑なレコードを持つメンバーはマルチラテラルピアリングを避け、トランジットに依存し続けるかもしれない。そのようにして、データベースポリシーが間接的に市場構造を形成する。

ソース選択はまた、隠れた管轄選択の一形態となり得る。AFRINIC 管理下のプレフィックスに対する AFRINIC 以外のリポジトリ内の route オブジェクトは、AFRINIC の保有者レコードにリンクされたオブジェクトよりも作成または維持が容易かもしれない。そのオブジェクトを受け入れるオペレーターは、AFRINIC から権限を正式に移転するわけではないが、AFRINIC 以外のソースが運用上の信頼を支えられると決定しているのである。通常のケースでは、これは無害かもしれない。争いのあるケースでは、これは重要だ。市場は、リソースレジストリを最もよく反映するデータベースではなく、最も使いやすいデータベースに従ってルーティングするかもしれない。

解決策は普遍的なソースリストを要求することではない。オペレーターはそれぞれ異なるリスク許容度、顧客基盤、法的環境を持っている。解決策は透明性とより狭い期待である。オペレーターとルートサーバーオペレーターは、どのようにソースを使用するか、重複をどのように扱うか、ミラーをどのくらいの頻度で更新するか、RIR データと非 RIR データの衝突にどう対処するか、例外にどのような証拠が必要かを公開すべきである。レジストリは、オペレーターが推測するのではなくソースの権限を区別できるよう、十分なメタデータを公開すべきである。顧客は、自分の IRR の態勢が特定のネットワークのフィルターを通過するかどうかを事前に知ることができるべきである。隠されたソース選択ルールは、隠された市場ルールである。

AFRINIC の場合、制度的な優先事項は、AFRINIC にリンクされたソースを十分に予測可能にし、オペレーターが好む答えを求めてすべてのデータベースを探し回る理由を減らすことであるべきだ。これは AFRINIC を市場規制当局にすることではない。それは、地域ソースが低コストの参照点となるようにレジストリ機能を強化することである。レジストリを守れ、門番になるな。レジストリの価値は信頼を安くすることにあり、ソース優先度を裁量的権力に変えることではない。

ミラー遅延と古い重複は偽の継続性を生み出す

IRR データはしばしばミラーを経由する。ミラーリングは、オペレーターがレジストリ情報へのローカルで高速かつ耐障害性のあるアクセスを必要とするため有用である。また、それは新たなクラスの脆弱性を生み出す。ミラーは権威あるソースより遅れるかもしれない。修正後にビューを保持するかもしれない。静かに失敗するかもしれない。あるソースを更新する一方で別のソースが古いままかもしれない。基盤となるリポジトリが進化したにもかかわらず、レコードがまだ存在するか、まだ特定のオリジンを持っているかのように自動化に見せかけるかもしれない。

ミラー遅延は過小評価されがちである。なぜなら、ほとんどの遅延は無害だからだ。フィルターの更新がルートセットの定期的な更新から数時間遅れても、劇的なことは起こらない。問題は平均遅延ではない。争いのある、または経済的に意味のある変更の際の遅延である。保有者が旧プロバイダーを離れた後に古いオブジェクトを削除する。旧プロバイダーのルートセットは、ミラーを介して依然としてそのオブジェクトを参照している。IXP のルートサーバーは遅れたコピーから更新し、保有者が削除されたと考えているルートを依然として受け入れる。あるいは、顧客が移行のために新しいオブジェクトを作成するが、トランジットプロバイダーが選択したミラーが追いついておらず、チケットが停滞する。現在のビューと古いビューの違いが事業の中断になる。

古い重複はミラー遅延よりも持続的である。重複オブジェクトは、当初のビジネス関係が終了した後も長く別のソースに残り得る。旧上流プロバイダーが顧客のためにそれを作成し、決してクリーンアップしなかったかもしれない。顧客はその存在を知らないかもしれない。メンテナーは連絡不能かもしれない。そのソースは、オブジェクトがそのソースのリソースレジストリにリンクされていないため、それを削除するインセンティブをほとんど持たないかもしれない。何年も後になって、自動化されたフィルターは依然としてもっともらしいプレフィックス-オリジンの主張を見ている。現在の保有者がプロバイダーを変更したい場合、なぜ古いオブジェクトが受け入れを支配すべきでないかを説明しなければならないかもしれない。悪意のあるアクターが隠れ蓑を探している場合、古いオブジェクトは拒否を遅らせるのに十分な曖昧さを提供するかもしれない。

偽の継続性は経済的な危険である。古いオブジェクトは過去の関係に現在の外観を与える。ミラーされたオブジェクトは修正されたビューを未解決に見せかける。旧下流ネットワークを含む再帰的 AS-SET は、旧顧客を現在のコーンの一部であるように見せかける。データベースは「これは権威がある」と言う必要はない。十分なツールによって消費され、依存関係を生み出せばそれで十分だ。スピードが重要な市場では、見せかけの継続性には価値がある。それは、データの生存がメンテナンスの失敗であるにもかかわらず、ある当事者が「データは常にこう見えた」と言うことを可能にする。

AFRINIC の文脈は偽の継続性の代価を高める。レコードの完全性に関する歴史的な懸念は、休眠中のデータや古いデータを単なる乱雑さ以上のものにする。それは希少な IPv4 空間を取り巻く証拠の影になり得る。AFRINIC 地域からのブロックを調査するバイヤーは、古い IRR オブジェクトが非地域ソースに生き残っていないかを尋ねるかもしれない。クラウドプロバイダーは、彼らが消費する場所に以前のオリジンが依然として現れていないかを要求するかもしれない。ブローカーはクロージングの前に古いルートセット参照をクリーンアップする必要があるかもしれない。上流プロバイダーは、古いオリジンが削除されるまで新しいオリジンを受け入れることを拒否するかもしれない。各ステップは合理的だが、合わせると断片化されたデータベースのクリーンアップが市場の前提条件に変わる。

古い重複はまた逆インセンティブを生み出す。曖昧さから利益を得る当事者は、古いデータを削除する理由をほとんど持たないかもしれない。旧プロバイダーは失った顧客のクリーンアップを優先しないかもしれない。リセラーは、オンボーディングを容易にするため広範な AS-SET を好むかもしれない。弱いソースは、権限の厳格なチェックよりも量と利便性を好むかもしれない。厳格なソースはレコードを削除するかもしれないが、他の場所のコピーに対しては権限を持たない。結果は負の外部性である。古いデータのコストは現在の保有者、新しいプロバイダー、安全にフィルターしなければならないネットワークが負担し、必ずしも古いレコードを残した当事者が負担するわけではない。

実際的な対応はライフサイクルの規律であるべきだ。ルーティングフィルターに使用されるレコードには、ツールが理解できるタイムスタンプ、ソースの出所、削除の可視性、ミラーステータス、競合フラグが必要である。オペレーターは、プレフィックス-オリジンのペアが異なるオリジンやメンテナーで複数のソースに現れる時期を示す古いオブジェクトレポートを必要とする。レジストリと大規模 IRR オペレーターは、現在の権限を証明できる保有者に対してクリーンアップを促進しつつ、密かな書き換えを防ぐのに十分な監査履歴を保持すべきである。ルートサーバーソフトウェアは、最初に一致するルールの背後に衝突を隠すのではなく、それを露出すべきである。これらのいずれも、IRR を所有権の法廷に変える必要はない。それは、古いデータがフィルターによって消費されるときには中立ではないことを認めることを必要とする。

文化的なポイントもある。エンジニアは、インターネットが常に形式データと非公式な回避策の混合で動作してきたため、しばしば乱雑なレジストリを許容する。この許容度は成長中のネットワークでは有用だった。希少な IPv4 ブロック、クラウド統合、財務デューデリジェンスが、部外者が簡単に解釈できないレコードに依存している場合には、それはあまり有用ではない。この環境では、古い重複は単なる古いオブジェクトではない。それは他者の信頼のコストに対する主張である。

認可なき認証は信頼を解決しない

IRR セキュリティに関する議論はしばしば認証から始まる。ユーザーはメンテナーの資格情報を管理していたか?パスワード、PGP キー、ポータルアカウント、またはその他の方法は有効だったか?更新は適切なチャネルを通じて提出されたか?これらの質問は重要だ。更新を認証できないデータベースは、フィルター生成に十分な信頼性を持たない。しかし、認証は認可ではない。RFC 2725 は 20 年以上前にこの分離に注目し、その区別は断片化された IRR の経済学の中心にあり続ける。

認証は資格情報の管理を証明する。認可は、資格情報の保持者が、そのリソースに対して、その特定の時点で、その特定のルーティングポリシーの宣言を行う権利を持っていたかどうかを尋ねる。元請負業者は依然としてメンテナーを管理しているかもしれない。トランジットプロバイダーは、サービス中に顧客のための route オブジェクトを作成することを許可されていたが、解約後にそれを保持することは許可されていなかったかもしれない。リセラーは、製品のために下流ネットワークを AS-SET に含める権限を持っているが、新しいオリジン AS を認可する権限を持っていないかもしれない。企業のメールボックスは、それを使用していた従業員が退職した後も存在するかもしれない。レジストリアカウントは、根底にある企業の権限が争われている間でも技術的に有効かもしれない。強力なログイン管理はなりすましを減らすが、委任には答えない。

断片化は問題を増幅させる。なぜなら、各ソースは認証と認可の線引きを異なる方法で行う可能性があるからだ。あるリポジトリは、route オブジェクトの作成をリソース保有者または階層的な認可モデルに厳密に結びつけるかもしれない。別のリポジトリは、メンテナー管理とオリジン AS の確認に基づいて作成を許可するかもしれない。第三のリポジトリは、レガシー慣行の下で古いオブジェクトを保存するかもしれない。第四のリポジトリは、運用上の利便性のためにプロバイダーメンテナーが顧客オブジェクトを作成することを許可するかもしれない。フィルターがこれらすべてを同等の RPSL データとして消費するとき、市場はレコードの背後にある異なる権限の前提を見失う。

AFRINIC 地域のプレフィックスにとって、この区別は理論的ではない。ガバナンスのストレス、訴訟、レコード完全性の懸念は、委任の問題が生じる可能性を高くする。管財、清算、または取締役会の紛争下にある企業のために誰が行動できるのか?裁判所の監督期間中に誰がレコードを更新できるのか?歴史的割り当てが、現在のネットワーク運用が外部委託されている公的機関に結びついている場合はどうなるのか?レジストリやオペレーターは、もはや顧客を持たないサービスプロバイダーが管理するメンテナーをどのように扱うべきか?これらは認可の問題である。有効なメンテナーパスワードだけでは答えられない。

この区別の経済学は厳しい。なぜなら、市場は資格情報を好むからだ。資格情報は迅速である。ソフトウェアに適合する。チケットをクローズできる。認可はより遅い。契約、書状、企業の権限、レジストリレコード、歴史的文脈、時には法律が関与する。プレッシャー下の市場は、遅延がコスト高であるため、認証を認可の代用として受け入れる誘惑に駆られる。この誘惑は、現在の権限なしに資格情報を保持または取得できる者にとっての攻撃面を生み出す。また、古い資格情報を欠くが現在の権利を証明できる正当な保有者にとって障壁を生み出す。

逆の誤りも同様にコストが高い。IRR へのすべての更新がリソースに対する完全な権限の証明を必要とするなら、日常的なルーティング変更はコストが高くなりすぎる。小規模オペレーターはレコードの更新を回避するだろう。プロバイダーは摩擦を減らすために広範な AS-SET を保持するだろう。顧客は私的な書状と手動例外に依存するだろう。正確な公開のコストが高すぎるため、フィルターは精度を下げるだろう。目標は最大限の文書化ではない。それは比例的な認可である。リスクや経済的意味を変える変更にはより多くの証拠、安定した日常的なメンテナンスにはより少ない摩擦、古い権限が明白な場合の迅速な修正、および当事者が影響を受ける可能性がある場合の明確な通知である。

実際には、これは IRR ソースがオブジェクトの内容だけでなく権限の文脈を露出すべきことを意味する。リソース保有者の直接認証の下で作成された route オブジェクトは、プロバイダーメンテナーによって作成されたものと区別可能であるべきである。オリジン AS の確認にリンクされたレコードは、歴史的なレガシーオブジェクトと区別可能であるべきである。争われているか最近修正されたオブジェクトは、オペレーターが慎重に扱うのに十分なステータスを帯びるべきである。私的な証拠を公開する必要はない。しかし、データベースは、下流のすべてのユーザーにオブジェクトの構文とメンテナー名から権限を推測させるべきではない。

ここで、狭い継続性の原則が重要になる。レジストリは、市場のすべての利用に対する裁量的な統治者としてではなく、継続性のユーティリティとして行動すべきである。彼らは第三者が運用上の宣言を解釈できるよう、レジストリを十分に信頼できるものに維持すべきである。コミュニティやスチュワードシップへの広範な言及が、技術的調整を商業的成果に対する制度的な支配に変える「委任の洗浄」に抵抗すべきである。しかし、弱い認証衛生が古い資格情報や断片化されたソースに現在の到達可能性を支配させる、逆の失敗にも抵抗すべきである。狭いユーティリティは依然として堅牢な手続きを必要とする。それは単に、裁量的権力を蓄積するためではなく、信頼を保護するために手続きを用いるのだ。

AS-SET の再帰性は小さな誤りを遠くまで伝播させる

AS-SET は IRR エコシステムの中で最も有用で最も危険な部分の一つである。それらはネットワークが、自身の顧客コーンまたはルーティングポリシーの一部として扱われるべき ASN のセットを公開することを可能にする。トランジットプロバイダーは顧客に AS-SET を要求し、それを再帰的に展開し、内部の ASN を見つけ、それらの ASN に関連するプレフィックス用のフィルターを構築することができる。この仕組みがなければ、顧客フィルターのメンテナンスははるかに手動になる。これがあれば、単一のルートサーバーやオペレーターが多くのルーティング関係を自動的に処理できる。

危険は再帰性にある。AS-SET は他の AS-SET を含むことができる。それらの AS-SET は異なるソースに存在し得る。それらは古い顧客 ASN、下流リセラー、ルートセット、または異なる権限基準の下で維持されるオブジェクトを含むかもしれない。展開はソースに依存し得る。すべてのソースを検索するツールは、優先ソースに制限するツールよりも大きなセットを生成するかもしれない。最初の一致で停止するツールは、一つのデータベースを決定的と見なすかもしれない。フェイルクローズドに失敗するツールは正当な顧客を拒否するかもしれない。フェイルオープンに失敗するツールは、誰も最近監査していないチェーンを通じてルートを受け入れるかもしれない。AS-SET の再帰性と IRR 由来のフィルターに関する RFC 7454 の注意は、学術的な脚注ではない。それはデータベースの断片化がルーター設定になる運用上のポイントである。

AFRINIC 地域のケースでは、再帰性の問題は通常のビジネス層によって隠蔽され得る。小規模 ISP が地域オペレーターからトランジットを購入する。そのオペレーターの AS-SET はリセラーを含む。リセラーは顧客 ASN を含む。これらの顧客の一部は AFRINIC からのプレフィックスを、他は他の地域からのものを、一部はリースまたは委譲されたものを、また一部はクラウドまたは DDoS プロバイダーに移されたものを持つ。オブジェクトは長年にわたり異なるメンテナーによって作成された。IXP のルートサーバーが最上位の AS-SET を展開するとき、それはメンバーの現在のポリシーだけでなく、ビジネス関係の全歴史を引っ張ってくる可能性がある。展開が広すぎると、古い顧客が依然としてルーティング可能なままになるかもしれない。狭すぎると、正当な下流ネットワークが消えるかもしれない。

経済的影響は規模の問題である。単一の古い route オブジェクトは一つのプレフィックス-オリジン主張に影響する。古い AS-SET メンバーは多くのプレフィックスに影響し得る。広範なルートセットは複数の ASN に関連するすべてのプレフィックスに影響し得る。信頼できるソース内の再帰的オブジェクトは、別のソースからのより信頼性の低いデータを取り込む可能性がある。誤りの半径は間接指定の各層で増加する。これにより AS-SET の衛生状態が市場の問題になる。不正確なセットのコストは、メンテナーだけでなく、その展開に依存するすべての上流プロバイダー、ルートサーバー、顧客、ピアが負担する。

再帰性はまた不透明性を生み出す。顧客は、なぜ上流プロバイダーのフィルターがルートを含めたり除外したりするのか知らないかもしれない。答えは数層深いソース選択ルールに埋もれているかもしれない。サポートチケットには「IRR 不一致」と書かれているかもしれないが、本当の問題は顧客の AS が下流セットから欠けているか、別のソースの重複 AS-SET が優先されているか、古いリセラーエントリがまだ展開されているかである。関係者は可視的なプレフィックスについて議論するが、原因は隠された RPSL オブジェクトのチェーンにある。

クラウドプロバイダーや大規模コンテンツネットワークにとって、AS-SET の問題は統合の規模と交差する。彼らは多数の顧客を検証し、疑わしい空間の起点となることを避けなければならない。厳格な AS-SET 管理は乱用のリスクを減らすが、顧客に対する摩擦を増やす。緩い管理はオンボーディング速度を改善するが、古いまたは広すぎるポリシーを取り込む可能性がある。ブローカーやバイヤーにとって、AS-SET の増殖はデューデリジェンスのノイズである。ブロックは保有者のレコードではクリーンに見えるが、旧プロバイダー、リセラー、または顧客に関連するルートセットに現れるかもしれない。資金が動く前に、誰かがこれらの参照が運用的に意味があるか、古いか、有害かを判断しなければならない。

良いポリシーは AS-SET を放棄することではない。それらは依然として実用的で広く使用されている。ポリシーは再帰的展開を、可視的な弱点のある信頼のチェーンとして扱うことである。ツールは、ソースパス、重複セット名、ソース間参照、展開の年齢、異常な成長、既知の保有者またはオリジンデータとの競合を報告すべきである。オペレーターは、権限を考慮せずにすべてのソースを横断する任意の再帰性を受け入れることを避けるべきである。レジストリは、保有者が自身のプレフィックスと ASN が制御外のセットのどこに現れるかを見つけるのを助けるべきである。大規模 IXP とオペレーターは、どのようにソース間の再帰性を扱うかを公開すべきである。市場が自動化に依存すればするほど、自動化はその前提を説明すべきである。

AFRINIC にとって、AS-SET の再帰性は地域開発の側面を持つ。フィルターが予測可能に構築できる場合、ローカルピアリングと地域トランジットは安くなる。小規模ネットワークが IX や上流プロバイダーを通じて AS-SET を動作させられなければ、彼らは既に儀式を理解している少数のプロバイダーに依存し続けるかもしれない。古いまたは広すぎるセットがセキュリティ上の懸念を生む場合、ルートサーバーオペレーターはまさにそれらの小規模ネットワークを排除する方法でルールを厳格化するかもしれない。したがって、良好な AS-SET ガバナンスは単なるセキュリティ上の利便性ではない。それはルーティング経済への参加コストを下げる一部である。

AFRINIC はデータベースの曖昧さを制度リスクに変える

すべての RIR が断片化された IRR データに直面している。AFRINIC が一意なのは、route オブジェクトや古いレコード、ソースポリシーについてオペレーターが意見を異にしているからではない。それは、データベースの曖昧さが、既にカウンターパーティを継続性に敏感にした制度ストレスの上に重なっている点で独特である。ガバナンス危機は、通常の技術的な欠陥の価格付けのされ方を変える。静かな機関では、古い IRR の重複はメンテナンスとして扱われるかもしれない。ストレス下の機関では、同じ重複が、レジストリがその境界を監視できないことの証拠と解釈されるかもしれない。

AFRINIC の最近の歴史には、訴訟、争われたガバナンス、管財人の不確実性、選挙の混乱、報告された不正の懸念の後に無効になった 2025 年の選挙、その後の理事会機能の回復努力が含まれる。また、歴史的 IPv4 レコードの完全性やアドレスハイジャックに関する公的な懸念も含まれる。これらの事実は、地域のすべてのレコードやオペレーターを非難するために使われるべきではない。それらは特定の IRR オブジェクトが誤りであることを証明しない。しかし、それらは証明のコストを変える。AFRINIC 管理下のプレフィックスを調査する第三者は、レジストリを取り巻く機関が目に見えて緊張させられてきたため、より多くの質問をするかもしれない。

ここで断片化された IRR データが制度リスクになる。プレフィックスが AFRINIC リンクのソースに一つのオリジンを持ち、商用 IRR に別のものを持ち、旧プロバイダーが維持する AS-SET に古い参照を持つ場合、技術的な衝突は同時にガバナンスのシグナルでもある。それは、市場がどの機関、どのソース、どの権限の連鎖が運用上の主張を解決すべきかを容易に見られないことを示している。アドレスが希少でレジストリがプレッシャー下にある地域では、この不確実性がリスクプレミアムを引き寄せる。

危険は悪質なアクターだけに関するものではない。正当なネットワークも同じ割引に苦しむ。古いレコードを持つ公的大学は、プロバイダーを変更する際に疑わしいと扱われるかもしれない。小規模 ISP は、AS-SET が一貫性なく展開するためトランジットの機会を失うかもしれない。政府機関は、歴史的連絡先がもはや応答しないため、数週間の審査に直面するかもしれない。データセンターは、別のソースが依然として国際オペレーターを指しているため、顧客空間をローカルエクスチェンジに持ち込むのに苦労するかもしれない。これらは必ずしも AFRINIC スタッフや特定の IRR オペレーターの失敗ではない。それらは、断片化された信頼システムが通常の正当性を安価にすることに失敗したことによるものだ。

制度ストレスはまた委任の拡大を促す。非難を浴びるレジストリは、ルーティングデータ、アドレス使用、または市場行動に対するより広範な支配を主張することで警戒心を証明しようとする誘惑に駆られるかもしれない。コミュニティ主権の言語は、この拡大を自然に見せることができる。すなわち、レジストリが地域にサービスを提供しているのだから、地域のために多くの問題を決定すべきだ、と。しかし、技術的調整はコミュニティへの言及だけで正当化されるわけではない。レジストリが市場の裁量的な統治者になれば、それはキャプチャー、訴訟、政治紛争の利害を高める。断片化されたデータが到達可能性を支配する一方で受動的な記録保持に後退すれば、それは別の方法で失敗する。狭い道は、より広範なゲートキーピングなしでのレジストリの信頼性向上である。

この道は、レイヤーを分離して認識することを要求する。AFRINIC の番号リソースレジストリは持続的なレジストリである。IRR データはそのレジストリに隣接するルーティングポリシーの公開である。RPKI と ROA は、異なるメカニズムによるルートオリジンの暗号的証拠を提供する。BGP アナウンスは観測されたルーティングを示し、権限を示すものではない。契約や裁判所命令は当事者間の権利を決定できるが、それらは運用上のシグナルに翻訳されなければならない。これらのレイヤーを混同することは、行き過ぎた権力か怠慢を生み出す。それらを分離しておくことで、各レイヤーが自身の仕事をすることができる。

例えば、AFRINIC 地域の競合するプレフィックスが矛盾する IRR エントリを持つ場合、運用上のレコードが変更される前にレジストリがすべての商業紛争を決定する必要はない。しかし、ソースの権限、通知、ステータスラベル、競合報告、修正のための明確な手続きを提供すべきである。保有者が、AFRINIC 管理のソースにおける古いオブジェクトがもはや自身の委譲を反映していないことを示した場合、修正パスは迅速で監査可能であるべきである。重複が他の場所に存続する場合、オペレーターは AFRINIC ソースが異なる権限態勢を持つことを知るのに十分なソースメタデータを持つべきである。裁判所命令が誰が保有者のために行動できるかに影響する場合、レジストリはルートフィルターをその場しのぎの法的文書に変えるのではなく、その命令を慎重にレジストリに転写すべきである。

制度的な目標は継続性である。ネットワークは、ルーティングデータが使用可能になる前に完全なガバナンスの静けさを待つ必要があってはならない。また、ガバナンスの混乱が曖昧な IRR レコードを私的レバレッジに変えることを許すべきでもない。狭く、手続き的で、透明なレジストリは、制度的なキャプチャーの価値を低減する。データベースの曖昧さに付随する裁量が少なければ少ないほど、その機関を支配する代価は低くなる。

IPv4 の希少性は曖昧さをプレミアムに変える

IPv4 の希少性は、IRR の脆弱性をエンジニアリングの迷惑から経済問題へと変換する力である。アドレスが豊富だった時代には、乱雑なブロックは時に置き換え、再番号付け、または無視できた。枯渇はそれを変えた。ルーティング可能な IPv4 ブロックは今や、顧客依存関係、レピュテーション履歴、ファイアウォールのホワイトリスト、地理位置情報の前提、逆引き DNS の期待、クラウドマッピング、資産価値をもたらす。そのブロックを上流プロバイダー、IXP、クラウドプラットフォームに受け入れさせる能力は、そのブロックの価値の一部である。

アドレスブロックは、単にレジストリに現れるからといって価値があるのではない。それは、カウンターパーティがそれを使用できると信じるから価値がある。使用可能性は証拠のスタックに依存する。レジストリ内の保有者レコード、契約上の権限、ルーティング履歴、IRR オブジェクト、AS-SET、RPKI ステータス、乱用レピュテーション、逆引き DNS、クラウドオンボーディング承認、オペレーターフィルター。断片化された IRR データはこのスタックの中央に位置する。それは到達可能性に影響を与えるほど運用に近く、正当性の認識に影響を与えるほどレジストリに近い。それが競合するとき、ブロックの流動性は低下する。

バイヤーはこれをクリーンアップリスクと見なす。ブロックを取得した場合、古い route オブジェクトは残るか?以前のオリジンが依然としてフィルターに現れるか?売り手は、自身が管理しないソースから古い重複を削除できるか?クラウドプロバイダーは新しいオリジンを迅速に受け入れるか?取引に資金を提供するレンダーは、ルーティング態勢が安定していると見るか?不確かな回答のそれぞれが、価格、エスクロー条件、クロージングタイムラインを変更し得る。市場は IRR レコードが所有権の証書であると信じる必要はない。ただ、悪い IRR レコードが価値を遅らせる可能性があると信じるだけでよい。

ブローカーはこれを実行リスクと見なす。ブローカーは紹介と同じくらい信頼を販売する。クリーンなレジストリデータだが乱雑な IRR 履歴を持つブロックは、より多くの説明を必要とする。ブローカーが、主要なトランジットプロバイダーやプラットフォームがプレフィックスを受け入れることを示せなければ、バイヤーはそれを割り引くかもしれない。ブローカーがルーティング可能性を示すために古いオブジェクトに依存するなら、バイヤーは後に、運用上の受け入れが脆弱な証拠に基づいていたことを発見するかもしれない。断片化された IRR データは仲介をルーティングデューデリジェンスの一形態に変える。

レンダーはこれを担保の不確実性と見なす。アドレス依存ビジネスは必ずしも IPv4 ブロックを簡素で直接的な方法で担保に供するわけではないが、レンダーはそれでもキャッシュフローを支えるネットワーク資産の安定性を気にする。企業の顧客サービス能力が、手動のルート例外を必要とするプレフィックスに依存している場合、資産はより弱い。競合する IRR レコードが旧プロバイダーやクレーマントに混乱を引き起こさせる可能性がある場合、リスクはより高い。レジストリ環境がストレス下にある場合、レンダーはより多くの管理を要求するかもしれない。曖昧なルーティングデータは資金調達コストになる。

顧客はこれをサービス信頼性と見なす。企業、公的機関、クラウドユーザーは、RADB、AFRINIC、AS-SET 再帰性、RPKI の違いを学びたいとは思わない。彼らはプロバイダーのネットワークが機能することを望んでいる。ルートサーバーがプレフィックスを拒否したために移行が失敗した場合、顧客は遅延と不信を経験する。プロバイダーはレジストリ、旧プロバイダー、新しい上流プロバイダー、データベースソースのせいにするかもしれない。顧客は、アドレス資産が約束よりも使いにくかったと聞くだけだ。

希少性は分配問題を激化させる。より豊かなネットワークは専門知識を購入できる。小規模ネットワークは遅延によって支払うかもしれない。ローカル相互接続を構築しようとするアフリカのオペレーターは、より厳格な文書に慣れたグローバルプラットフォームからの懐疑に直面するかもしれない。古い割り当てを持つ公共部門のネットワークは、古いレコードが現在の調達構造に合致しないため、近代化に苦労するかもしれない。大学や研究ネットワークは、より非公式な時代からのレコードを継承するかもしれない。したがって、クリーンな IRR データに対する市場プレミアムは、単に良好な衛生状態への報酬ではない。それは歴史的な複雑さに対するペナルティでもある。

政策的な結論は控えめであるべきだ。AFRINIC は、すべての移転価格、リース、担保設定、クラウドオンボーディング決定の調停者として立つべきではない。それはレジストリを市場監督者に変えることになるだろう。しかし、レジストリに隣接するルーティングデータがこれらの決定に影響することを理解すべきである。地域ソースが予測可能であり、古いレコードが見つけられ修正でき、ソースの権限が可視的であり、オペレーターが明確な手続きに依拠できるなら、曖昧さに付随する希少性プレミアムは低下する。良好な IRR ガバナンスは IPv4 市場をより封建的でなくする。悪い IRR ガバナンスは、私的情報を持つ者に他者の不確実性から価値を抽出させる。

RPKI は助けるが、IRR 依存を解消しない

RPKI と Route Origin Authorization(ROA)は、しばしば IRR に対するよりクリーンな代替手段として提示される。それらは特定の質問に対してはよりクリーンである。ROA は、リソース証明書システムの枠組み内で、リソース保有者が指定された最大長までのプレフィックスをどの AS がオリジネートできるかを示すことを可能にする。ルートオリジン検証を実施するネットワークは、アナウンスを有効、無効、未検出に分類できる。これは、認証されていない、または弱く認証されたテキストレコードに対する強力な改善である。これはオリジン権限に関するある種の不確実性を低減する。

しかし、RPKI は IRR 問題を解消しない。オペレーターは依然として顧客フィルター、AS-SET 展開、ルートセットポリシー、最大プレフィックス期待値、ルーティングポリシー文書化に IRR データを使用する。ROA は、ある AS がプレフィックスをオリジネートすることを認可されていると言うことができる。それはトランジット AS の背後にある完全な顧客コーンを記述しない。古い AS-SET をクリーンアップしない。プライベート IRR から重複 route オブジェクトを削除しない。なぜあるリポジトリが旧上流プロバイダーが依然としてブロックをオリジネートしていると言うのかを説明しない。ブローカーに、古い IRR 参照がバイヤーのオペレーターへの統合を遅らせるかどうかを伝えない。プロバイダーが作成したオブジェクトが契約終了後に削除されるべきかどうかを決定しない。

したがって、RPKI は比較器であり部分的な代替であるが、ソース断片化問題の中心ではない。それはプレフィックスオリジンの主張に対してより強力な証拠を提供できる。ROA と矛盾するアナウンスを拒否するのに役立つ。一部の決定について弱い IRR データへの依存を減らすことができる。しかし、ルーティング経済は依然として多元的である。一部のネットワークはルートオリジン検証(ROV)を厳格に適用する。一部は監視する。一部は RPKI よりも IRR フィルターを多く使用する。一部は両方を要求する。一部はオリジンに RPKI を受け入れるが、顧客コーンフィルタリングには依然として AS-SET を要求する。市場は単一の検証スイッチによって統治されない。

AFRINIC の場合、RPKI の価値は特に高い可能性がある。なぜなら、制度ストレスが機械検証可能なオリジン証拠を魅力的にするからだ。ROA は上流プロバイダーに、保有者が現在のオリジン認可を公開していることを安心させることができる。クラウドプロバイダーが新しい正当なオリジンと古い IRR オブジェクトを区別するのを助けることができる。バイヤーによりクリーンなデューデリジェンス項目を提供できる。しかし、それはすべてのソース断片化の質問に答えるわけではない。プレフィックスは有効な ROA を持っていても、依然として古い AS-SET に現れるかもしれない。ルートサーバーは、RPKI が作用する前にルートを拒否する IRR 由来のフィルターを使用するかもしれない。上流プロバイダーは、RPKI が有効であってもプロビジョニングに IRR 登録を要求するかもしれない。運用文化はゆっくりと進化する。

代替の政治経済学もある。レジストリや標準化コミュニティが「RPKI を使い、IRR を無視せよ」と言うなら、それは既存の運用依存関係を過小評価するかもしれない。オペレーターが「IRR で十分うまく機能している」と言うなら、弱い権限チェーンを温存するかもしれない。現実的な道はレイヤー化である。RPKI はオリジン検証のために IRR にかかる負荷を減らすべきである。IRR はルーティングポリシーと顧客コーン表現に有用であり続けるべきである。両者が矛盾する場合、オペレーターはどのシグナルがどの決定を支配するかについて明確なポリシーを持つべきである。有効な ROA がすべての古い AS-SET を自動的にクリーンアップすべきではない。古い IRR オブジェクトが現在のオリジンの強力な証拠に自動的に優先すべきではない。各シグナルには仕事がある。

このレイヤー化アプローチはまた、RPKI を過度に広範な所有権の道具に変えることを回避する。ROA は、route オブジェクトが所有権の証書でないのと同様に、所有権の証書ではない。それは定義された運用的意味を持つ暗号化されたルーティング認可である。希少な市場における誘惑は、最も強力なアーティファクトをすべての紛争に対する一般的な答えにすることである。それは誤りだろう。RPKI はルートオリジンの曖昧さを減らすことができるが、契約、レジストリレコード、企業の権限、裁判所命令、顧客委譲、IRR クリーンアップは依然として重要である。あるレイヤーがより強力であるという事実は、レイヤー間の一貫性の必要性を排除しない。

ルートサーバーとトランジットの自動化にとって、実際的な改善は競合に敏感なポリシーである。システムは次のように言えるべきである。ROA がこのオリジンを検証し、AFRINIC リンクの IRR ソースがそれを支持し、非地域 IRR が古い重複を持ち、別のソースの AS-SET が依然として旧プロバイダーを参照している。これはバイナリな受け入れや拒否よりも良い市場シグナルである。それはオペレーターが、クリーンアップチケットを開きつつルートを受け入れること、あるいは競合が定義されたリスク閾値に達した場合にのみ拒否することを可能にする。目標はそれ自体のためのより多くのデータではない。目標はより安く、より一貫性のある判断である。

したがって、RPKI の台頭は IRR ガバナンスをより規律あるものにし、無関連にするのではない。より強力なオリジン証拠が利用可能になるにつれて、残りの IRR データはそれが最も得意とすることに使用され、混乱を引き起こす場所ではクリーンアップされるべきである。AFRINIC の課題は、この移行を支援しつつ、自身の裁量権を拡大するためにそれを利用しないことである。より強力なルーティングセキュリティは、レジストリの信頼性を保護すべきである。それは、レジストリオペレーターに市場関係を暗黙のうちに統治するためのより広範な委任を与えるべきではない。

信頼の問いはカウンターパーティごとに異なる

「どのデータベースを信頼できるか?」という表現は単一に聞こえる。実際には、信頼はカウンターパーティと決定に依存する。上流プロバイダー、IXP、クラウドプロバイダー、ブローカー、バイヤー、レンダー、顧客は皆、IRR データに対して異なる質問をする。断片化は、同じ競合を各決定コンテキストに翻訳しなければならないためコストが高い。

上流プロバイダーは、顧客のアナウンスを安全に受け入れられるかどうかを尋ねる。ハイジャックの防止、ルートリークの回避、内部ポリシーの充足、サポート負荷の制限、プロビジョニング収益の生成を気にする。顧客関係が堅固であれば、IRR と RPKI の証拠の混合を受け入れるかもしれない。新規または小規模顧客に対してはより厳格かもしれない。上流プロバイダーにとって、データベースへの信頼は顧客リスクフィルターである。ソースが競合する場合、保守的な対応は、顧客がレコードをクリーンアップするまでサービスを遅らせることかもしれない。コストは顧客に跳ね返る。

IXP のルートサーバーはよりコミュニティ的な質問をする。一度に多くのエンティティを保護しなければならない。悪いルートはマルチラテラルピアリング全体に伝播し得る。拒否されたルートは、正当なメンバーにとってエクスチェンジの価値を低下させる可能性がある。ルートサーバーは、各ケースを私的に交渉して予測可能性を損なうことができないため、よりルール駆動型であることが多い。IXP にとって、データベースへの信頼は共有リスクポリシーである。ソースの断片化は、ローカルピアリングの価値を低下させるか、すべてのメンバーが受け入れるリスクを増加させる可能性がある。

クラウドプロバイダーは、疑わしいプレフィックスの洗浄経路になることなく、大規模に顧客空間をアナウンスできるかどうかを尋ねる。標準化されたオンボーディングを必要とする。強力なレジストリと RPKI の証拠を好むかもしれないが、デューデリジェンスと運用フィルタリング中に IRR レコードに遭遇する。クラウドにとって、データベースへの信頼はプラットフォームリスクの一部である。AFRINIC 地域からの乱雑なプレフィックスは偏見で拒否されるわけではないかもしれない。プラットフォームが大規模に低コストで矛盾を解決できないために遅延されるかもしれない。保有者への経済的影響は同じである。

ブローカーは、アドレスブロックが驚きなしに販売、リース、または紹介できるかどうかを尋ねる。信頼、価格、クロージングタイムラインを気にする。断片化された IRR データは、開示、クリーンアップ、または割引されるべき欠陥である。ブローカーにとって、データベースへの信頼は市場性である。古い重複と競合するオリジンは、バイヤーがブロックを迅速に使用できるという約束を低下させる。ブローカーはどのデータベースも管理していないかもしれないが、データベースの欠陥を回避して販売しなければならない。

バイヤーは、クロージング後に運用上機能する資産を受け取るかどうかを尋ねる。古い route オブジェクト、AS-SET 参照、またはソースの競合がデプロイメントをブロックするなら、レジストリの移転だけでは十分ではない。バイヤーは、支払い前に修正を要求するか、オペレーターが新しいオリジンを受け入れるまで資金を留保するかもしれない。バイヤーにとって、データベースへの信頼はクロージング後の使用可能性である。曖昧さは価格条件になる。

レンダーは、アドレス依存の収益が弾力的かどうかを尋ねる。すべての RPSL オブジェクトを理解しないかもしれないが、テクニカルアドバイザーがデータベースの競合を運用リスクに翻訳するだろう。借り手のプレフィックスがオペレーターでの手動例外や未解決のレジストリ紛争に依存している場合、レンダーは脆弱性を見る。レンダーにとって、データベースへの信頼はキャッシュフローの裏付けである。それは、ローンが直接アドレスによって担保されていなくても信用に影響を与える。

顧客は最もシンプルな質問をする。サービスは機能するか?どのデータベースをルートサーバーが使用したかは知らないかもしれない。ただ、移行がブロックされたり、プレフィックスが拒否されたり、プロバイダーがなぜ受け入れがネットワークによって異なるのか説明できないのを見るだけだ。顧客にとって、データベースへの信頼はサービスの信頼性である。プロバイダーが明確な説明なしに「IRR 問題」の背後に隠れると、顧客は市場の見えない配管が信頼できないことを学ぶ。

これらの違いは AFRINIC にとって重要である。なぜなら、レジストリ中心の対応だけではすべての信頼ニーズを満たさないからだ。レジストリは自身のソースをよりクリーンにし、修正パスを提供し、競合メタデータを公開し、ストレス下での継続性を改善することができる。各カウンターパーティは依然としてデータの使用方法を選択する。目標は均一な信頼ではなく、一貫した事実である。ソースが何を証明するか、何を証明しないか、競合がどのようにラベル付けされるか、古いデータがどのように修正されるか、第三者が推測せずにポリシーを構築する方法。信頼は命令できない。それは安くされる。

AFRINIC 地域の信頼のための狭い基準

AFRINIC 地域の IRR における信頼の実際的な基準は、各アーティファクトが何を証明するかについての謙虚さから始めるべきである。route オブジェクトは、あるソースのルールの下でプレフィックス-オリジンの宣言が存在することを証明する。route6 オブジェクトは IPv6 に対して同様にする。mntner は誰が特定のデータベース変更を認証できるかを証明し、誰がすべての根底にある委任を保持するかではない。AS-SET は意図するルーティング関係を記述するが、古いデータやソース間のデータを取り込む可能性がある。ROA はより強力な暗号的オリジン証拠を提供するが、顧客コーン、ビジネス上の権限、データベースクリーンアップの完全な地図ではない。観測された BGP は何が起こっているかを示すが、必ずしも何が認可されているかではない。

この謙虚さからヒエラルキーが生まれる。AFRINIC 管理下のリソースについては、AFRINIC リンクのレジストリおよびルーティングポリシーソースが、最新で、手続き的にクリーンで、透明である場合、高い証拠的重みを持つべきである。AFRINIC 以外の IRR エントリは使用可能であり続けるべきだが、オペレーターはすべての RPSL オブジェクトが同じ権限基盤の上に成り立っていると偽るべきではない。RPKI はオリジンの保証を強化するべきである。AS-SET の展開は、ソース、年齢、ソース間参照が問題となるチェーンとして扱われるべきである。手動例外は一時的で記録されるべきである。古い重複は可視的で修正可能であるべきである。

魅力的な代替案は中央集権化である。一つのソースを決定的にし、すべての市場参加者にそれに従うよう要求する。これは、レジストリを門番に変えることで断片化に対応するだろう。AFRINIC はこの道を避けるべきである。その価値は、すべての移転、リース、クラウド統合、プロバイダー変更を承認することではない。その価値は、他者が自身のルーティングおよびビジネス上の決定を低コストで行えるように、狭い継続性のレジストリを保護することである。委任の言語は、技術的調整の役割を裁量的市場支配に洗浄すべきではない。

狭いことは弱さを意味しない。信頼できるソースは依然として、強力な認証、比例的な認可チェック、明確な修正パス、競合ラベル、公開指標、継続性手続きを持つことができる。安定したメンテナーによる日常的な更新は容易であるべきだ。オリジン AS を変更する、旧プロバイダーを削除する、広範な顧客コーンを追加する、希少な IPv4 ブロックに影響する、または企業やガバナンス紛争中に発生する変更は、より多くの証拠と通知を必要とするべきである。基準は比例性である。証拠が少なすぎると乱用を招く。多すぎると通常の運用を凍結させる。

通知はこの比例性の一部であるべきだ。変更が既存のオリジンを移転させたり、フィルターで使用されるオブジェクトを削除したりする場合、可能な限り関係する連絡先に通知すべきだ。リソース保有者、既存のメンテナー、提案されたオリジン、現在のオリジン、関連する運用連絡先である。通知は拒否権になるべきではない。それは誤りが障害になる前にそれを表面化させる方法である。緊急性が緊急行動を要求する場合、その行動は一時的で、記録され、レビューされるべきである。

指標は基準を信頼できるものにするだろう。AFRINIC と大規模オペレーターは、AFRINIC 管理下のプレフィックスがソース間で競合する route や route6 オブジェクトを持つ頻度、AS-SET の展開がソースの順序によってどのくらいの頻度で異なるか、古い重複の年齢、ミラーの新鮮さ、修正にかかる時間、何人の顧客が手動例外を必要としているかを測定できるべきだ。これらの数字は私的な顧客ファイルを露出する必要はない。それらは市場に、断片化が逸話なのか、慢性的な課税なのか、改善中の状態なのかを伝えるだろう。

同じ規律がツールにも適用されるべきだ。フィルタリングシステムはソースパスを露出すべきだ。どのソース、どのオブジェクト、どの AS-SET チェーン、どの再帰性ルールが受け入れや拒否を生成したか。保有者は、自身のプレフィックスと ASN が主要な IRR ソースやルートセットのどこに現れるかを発見できるべきだ。ルートサーバーはメンバーが理解できる拒否カテゴリーを報告すべきだ。履歴レコードは監査のために保存されるべきだが、現在の状態表示はオペレーターが使用できるほど明確であるべきだ。目標は完璧なデータベースではない。それは不確実性がラベル付けされ、境界が定められ、低コストで低減できるデータベース環境である。

この基準は、夜明けのフィルタリングジョブに直面するルートサーバーエンジニアの生活を楽にするだろう。複数のソースが競合する回答を返した場合、ツールは新鮮さ、権限態勢、ソースパス、競合の年齢を示すだろう。有効な ROA はオリジンの保証として重み付けされるが、古い AS-SET を無視するために使われない。AFRINIC リンクのソースは、その手続きが可視的であるために信頼に値し、機関が敬意を要求するからではない。外部ソースはその限界とともに考慮される。顧客は神秘的な拒否ではなく明確なクリーンアップパスを受け取るだろう。判断は依然として必要だが、それはより安価になるだろう。

断片化を修正しないコスト

IRR の断片化が管理されないままなら、市場は常にルーティングの方法を見つけるだろう。インターネットは制度的な弱点を回避するのが得意だ。この回復力は健全性と混同されるべきではない。回避の道筋は予測可能だ。大手オペレーターは私的な信頼システムを構築し、プラットフォームはより厳格なオンボーディングを課し、小規模ネットワークは既存の事業者に依存し、ブローカーはクリーンアップリスクを価格付けし、ルートサーバーはポリシーを厳格化し、顧客は特定地域のアドレス依存サービスにはより多くの説明が必要であることを学ぶ。パケットは依然として流れるかもしれないが、参加はよりコストが高く、より平等でなくなる。

AFRINIC にとって、この結果は有害だろう。なぜなら、この地域はより低い調整コストを必要としているからだ。ローカル相互接続、クラウドローカライゼーション、公共部門のデジタルサービス、大学ネットワーク、地域コンテンツ配信、小規模プロバイダーの競争はすべて、予測可能なルーティング受け入れに依存している。すべての移行や統合が矛盾するデータベースソースによって遅延させられ得るなら、地域は無言の課税を支払う。その税は、遅延したプロジェクト、増大するトランジット依存、弱い交渉ポジション、低い資産価値、地域外の仲介者へのより大きな依存という形で現れる。

セキュリティは必ずしも改善しないだろう。過度に厳格なポリシーは一部の悪いルートを減らすかもしれないが、正当なオペレーターを手動例外に追いやる。過度に緩いポリシーは古い権限を生かし続ける。私的な回避策はシステムをより透明でなくする。最良のセキュリティ結果は一貫した証拠から生まれる。現在の保有者にリンクしたデータ、クリーンな AS-SET、適切な RPKI、可視的なソース競合、迅速な修正である。管理されない断片化は、開放性も安全性も生み出さない。それは選択的な不透明性を生み出す。

制度的コストも同様に深刻だろう。ガバナンスの混乱から回復しつつあるレジストリは、その中核的なユーティリティ機能が信頼できることを示さなければならない。IRR の一貫性は、日々の運用に近いために、それらの機能の一つである。AFRINIC がルーティングポリシーデータをよりクリーンに、より透明に、より修正しやすくできれば、市場に盲目的な信頼を求めることなく、レジストリへの信頼を強化するだろう。それができなければ、カウンターパーティは自身の信頼システムを構築するだろう。それらのシステムが固まれば、地域レジストリの公共機能は中心性を失い、私的な門番がより強力になる。

市場コストは、IPv4 の希少性が続くにつれて増大するだろう。希少性は、使用可能性に影響し得るあらゆる曖昧さの価値を高める。古い route オブジェクト、欠落した AS-SET エントリ、ミラー遅延、ソース優先度、ガバナンス紛争など。断片化された IRR データは、小さな技術的欠陥を、それを悪用または解決できる者によって保持される経済的オプションに変える。

対応は、ルーティングに対する新たな劇的な主権主張ではない。それは曖昧さの規律ある低減である。AFRINIC は、管理するリソースのための狭い継続性ユーティリティであるべきで、第三者がそれを使用できるほど信頼性があり、市場の命令にならないほど限定されたルーティングポリシーサポートを伴う。オペレーターは、どのようにソースを消費し競合を管理するかを公開すべきである。主要な IRR ソースは、古いオブジェクトの発見と権限コンテキストを改善すべきである。IXP とオペレーターは、ルートサーバーと顧客フィルターの決定を説明可能にすべきである。バイヤー、ブローカー、レンダーは、IRR 態勢をデューデリジェンスとして扱い、伝承として扱うべきではない。

夜明けのルートサーバーのジョブは、アフリカにおけるインターネット番号管理の制度的未来を決定するべきではない。それは、明確なポリシーに従ってルートを安全に受け入れられるかどうかを決定するべきである。それだけでも十分に難しい。断片化された IRR データは、複数のもっともらしい過去を同等の現在であるかのように提示することで、それをより難しくする。希少な番号と自発的な相互接続の上に構築された市場では、この混乱には代償がある。

AFRINIC の機会は、この代償を引き下げることである。IPv4 のすべての商業的利用の門番になることではない。オペレーターに非地域ソースを無視するよう求めることではない。RPKI がルーティングポリシーデータベースを排除すると偽ることではない。機会はより狭く、より価値がある。AFRINIC リンクのレジストリとルーティングポリシーソースを信頼できるものにし、競合を露出し、履歴を保存し、修正を加速し、認証と認可を分離し、オペレーターが各データベースの主張がどの制度的基盤の上に成り立っているかを見えるように助けること。これが起これば、IRR データはその適切な経済的役割を取り戻す。それは、すべてのネットワークが自身の疑いの私的地図を購入する理由ではなく、信頼を安くする手段になる。