要約
- AFRINIC 危機は、次の制度的問いを不可避にする。すなわち、裁量的なレジストリ権限を縮小または移行しなければならない場合、移行は誰が統治するかを決めるよりも前に、リソース記録、稼働中のサービス、利用者を保護しなければならないということである。
- 有用なリハーサルはスキャンダルの見出しから始まらない。
翌朝に問われるのは、ネットワークを破綻させることなくレジストリを迂回できるかどうかである
有用なリハーサルはスキャンダルの見出しから始まらない。それは、オペレーターが依存関係マップの前に座り、より直接的な質問を投げかけるところから始まる。すなわち、明日の朝、地域レジストリが信頼できなくなったとしても、インターネットは何をすべきかを知っているだろうか、という問いである。弁護士が最後の争いを説明できるかどうかではない。広報声明で古いモデルをもう一週間擁護できるかどうかではない。現職の機関が、コミュニティ、一意性、安定性といった言葉を依然として持ち出せるかどうかでもない。問われるのは運用上の問題である。リソース記録は同じ意味を持ち続けるのか。RDAP と Whois は応答し続けるのか。逆引き DNS 委任は引き続き解決されるのか。RPKI とリソース証明サービスは突然の中断を免れるのか。ASN レコードと移転ファイルは引き続き利用可能か。紛争は封じ込められ、日常的なサービスを毒することはないのか。
AFRINIC は、このリハーサルを不可避なものとしている。なぜなら、同組織は小さな法的枠組み、大陸規模のサービス提供域、希少な IPv4 価値、裁判所が監督するガバナンス修復、争いのある選挙、メンバーの依存、稼働中の技術サービスを兼ね備えているからである。AFRINIC の公式資料は、インターネット番号リソース、Whois、RDAP、逆引き DNS、DNSSEC 関連サポート、インターネットルーティングレジストリ機能、リソース証明、メンバーサービスを含む広範なサービススタックを提供するレジストリを示している。そのポリシー文書には、IPv4 アドレス枯渇、割り振り・割り当て規則、域内移転、ASN 登録、abuse contact の公開、逆委任が記載されている。これは単なる理事会ではない。トラフィックをルーティングし、接続を販売し、アドレスをリースまたは移転し、監査人を満足させ、顧客契約を維持し、セキュリティ苦情に対応するネットワークが利用する決済層なのである。
誤りなのは、裁量的な RIR 権限を超えた移行を、制度の破壊の同義語として扱うことである。レジストリは、あまりに争いが多く、裁量的で、脆弱になりすぎて、その記録を無価値にすることなく、唯一のゲートキーパーであり続けることができなくなる可能性がある。実際、移行アーキテクチャの経済的な根拠のすべては、特定の瞬間にたまたまそれを維持しているオフィスよりも、記録の方が価値があるということにある。レジストリ台帳は継続性の資産である。ゲートキーパーは、その周囲の制度的な取り決めである。取り決めが失敗しても、台帳はそれとともに失敗すべきではない。
この区別が重要なのは、番号リソースが普通の資産とは異なるからである。それらは通常の不動産の意味での財産ではなく、公式のポリシー文書はしばしば所有権の言葉に抵抗を示す。しかし、それらは単なる管理上の便宜でもない。認識された IPv4 プレフィックスは、収益予測、融資書類、データセンター計画、顧客の許可リスト、ファイアウォールルール、ピアリングセッション、メール配信のレピュテーション、地理位置情報システム、合法的アクセスログ、リナンバリング予算の中に座っている可能性がある。ASN はネットワークの公的なアイデンティティの一部になりうる。逆引き DNS 委任は、メールが配信されるかフィルタされるかに影響を与えうる。RPKI レコードは、オリジン認証を検証する当事者による経路の受け入れに影響を与えうる。法的形式が契約またはポリシーベースのままでも、保有者の信頼は経済的なのである。
そのため、リハーサルには罰とは異なる文法が必要である。すなわち、現職のレジストリが安全に広範な裁量権を行使できない場合に、一意性、継続性、信頼、証跡の履歴をどのように保存するかを問わねばならない。それは、現職を辱めたり、スタッフから記憶を奪ったり、訴訟の最中に英雄的な代替物を即興で作り上げたりすることではない。真剣な移行は、稼働中のネットワークが交渉の材料ではないという原理から出発する。ネットワークは、単一の会員制会社、管財人プロセス、選挙紛争、ポリシーの神官たちの健全性の人質になることに同意したわけではない。
AFRINIC の公的記録は警告を発している。管財人制度は、業務の維持とガバナンス修復を整える手段として報じられた。その後の報道は、理事会選挙、代理投票の論争、選挙の無効、ICANN の懸念、解散申請、会員権紛争、その後の回復請求について述べている。教訓は、レジストリ層は、サービスが継続され、法的権限が争われ、誰が行動できるかについてメンバーの意見が分かれ、部外者は依然としてデータに依存しているという長期の状態に入りうるということである。それが、移行アーキテクチャが耐えねばならない条件である。
翌朝の答えは、マルチステークホルダーの伝統についての演説ではありえない。それは、法的マッピングと経済的インセンティブによって裏打ちされた、エンジニアリンググレードの移行計画でなければならない。それは、どのデータが信頼できるか、誰がそれを検証できるか、どのサービスが稼働し続けるか、どの決定が凍結されるか、どれが進められるか、紛争がどのように隔離されるか、監査証跡がどのように保存されるか、そして一時的な権限が、システムを存続させるのに十分なだけの権力のみを得る方法を示さねばならない。
移行は罰ではなく、信頼を保つための代償である
移行アーキテクチャの第一のルールは、継続性と制裁は別々に保たれねばならないということだ。レジストリが批判、懲戒、リーダーシップの交代、外部レビュー、管財人制度、再構築、さらには最終的な代替に値するかもしれない。これらの救済策のいずれも、ネットワークが依存している登録履歴を汚損することを許してはならない。銀行が破綻した場合、支払記録が制度の失敗の消耗品的な証拠になることはない。港湾局が調査されても、船舶積荷目録が無造作に破壊されることはない。土地登記所が再編成されても、所有権の履歴が改革者たちの戦利品として扱われることはない。番号リソースガバナンスにも同じ規律が必要である。
経済学的に見て、これは明快だ。プレフィックスや ASN の保有者は、認識された一連のエントリ、サービス依存関係、公開シグナルの連鎖に依存している。その依存の価値は、目先のレジストリ料金に限られない。それは、リナンバリングの回避、顧客の継続性、取引の確実性、借入能力、調達適格性、abuse 処理、ルーティングの評判、将来の選択肢を含む。その依存を損なう移行は、間違った当事者を罰する可能性がある。現職レジストリの内部関係者がまずい決定に責任を負うかもしれないが、破綻した移行の代償は、実際にレジストリのガバナンスをコントロールできなかった事業者、顧客、債権者、取引相手、公共サービスに降りかかる。
だからこそ、裁量的な RIR 権限を超えた移行は、大胆である前に狭くなければならない。最初に、どのレジストリ機能が不可欠で、どれが政治的または裁量的で、どれがネットワークに害を与えずに一時停止できるかを定義することから始めるべきだ。不可欠な機能には、登録台帳の保存、クエリサービス、逆引き DNS 継続性、証明書が使用されている場合の RPKI 継続性、ASN レコードの維持、検証済みコンタクト情報の更新、係争のない移転の決済、abuse contact の公開、緊急の運用上の修正のサポートが含まれる。政治的または裁量的な機能には、広範なポリシーキャンペーン、争いのある再割り振り、攻撃的な執行措置、制度上のメッセージング、および権限が疑問視されている間にゲートキーパーの権力を拡大することを主たる効果とするあらゆる決定が含まれる。
罰はこれらのカテゴリーを不明瞭にする傾向がある。罰は、機関を無力化することで機関を懲戒することを想像する。しかし、機関がサービスの依存先でもある場合、それを無力化することは、代わりにユーザーを懲戒することになりうる。IPv4 の価値が高まれば高まるほど、この区別は重要になる。希少なアドレスは経済インフラとなっている。それらは評価され、担保にされ、リースされ、移転され、保険をかけられ、顧客の成長のために予約され、あるいは事業継続計画に組み込まれる。移行がこれらのポジションを不確実にすれば、それはリージョン内のすべての保有者、特にレジストリの混乱から多様化する能力が最も低い小規模ネットワークに、隠れたコストを課すことになる。
AFRINIC のポリシー環境は、この問題を可視化する。この地域は IPv4 枯渇のフェーズ 2 にあり、割り振り・割り当てサイズは小さく、利用率のチェックがあり、将来の供給は制約されている。そのポリシーマニュアルは、割り振り、割り当て、その他のリソースエントリを AFRINIC データベースに登録することを要求し、正しい登録データをネットワーク運用に必要と位置づけ、逆委任を登録された割り当てやサブ割り当てと結びつけている。登録層は装飾ではない。それは希少な供給を配給し、移転をサポートし、逆引き DNS を委任し、運用上のアイデンティティを可読にしている。
したがって、移行アーキテクチャには、記録に関する非報復の原則が必要である。どの保有者も、単にレジストリオフィスが争われているという理由だけで、運用上の認識を失うべきではない。訴訟が激化したというだけで、日常的なサービスが止まるべきではない。客観的な条件を満たす移転が政治的な人質に変えられるべきではない。いかなるサービス契約者や緊急信託受託者も、一時的な権限をポリシーの再設計の権限として扱うことを許されるべきではない。要点は、正当なレビューから保有者を守ることではない。正当なレビューが、レビューのために設計されたチャンネルで行われ、偶発的なサービスの崩壊を通じてではないようにすることである。
この規律は、移行そのものをも保護する。混乱を引き起こすことから始まる代替の取り組みは、古いゲートキーパーを維持すべきという現職のあらゆる主張を裏付けるだろう。サービスを保存し、証拠を公開し、境界づけられた紛争を尊重し、裁量的権限を狭める代替の取り組みは、世界に破綻に賭けるよう求めることなく、制度的な取引を変えうる。RIR の裁量に対する信頼できる代替案は、台帳、サービス、保有者をよりレジリエントにすることによって、現職をより不可欠でなくす継続性アーキテクチャである。
古いオフィスを不可欠でなくす前に、四つの層を分離しなければならない
現在の RIR モデルは、複数の機能を一つの制度的なラッパーにパッケージしている。このパッケージングは、平時には効率的に感じられ、争いのある時には危険に感じられる。オフィスはデータを保持し、サービスを運用し、ポリシーを解釈し、移転を処理し、メンバーとコミュニケーションし、ポリシーフォーラムを招集し、紛争を処理し、裁判所に対応し、グローバル調整機関に対して意見を述べ、自らを地域の継続性の声として提示する。移行アーキテクチャは、このパッケージを四つの層に分解することから始まる。すなわち、データ、サービス、権限、紛争である。
データ層は台帳とその履歴である。これには、プレフィックス、ASN、保有者のアイデンティティ、コンタクトレコード、割り振り・割り当てステータス、逆引き DNS 委任、移転履歴、サービスに関連するメンバーシップステータスのシグナル、監査ログ、タイムスタンプ、該当する場合は署名鍵、そしてレコードが現在の状態に至った変更の連鎖が含まれる。データ層は完全で、エクスポート可能で、署名され、監査可能で、再現可能でなければならない。これは、性格、レトリック、制度的なムードに対して最も脆弱であるべきでない部分である。
サービス層は、ユーザーが触れる部分である。Whois と RDAP のクエリサービス、逆引き DNS の運用、RPKI と該当する場合はリソース証明、レジストリポータル、移転処理、チケット発行、メンバーサポート、abuse contact の公開、通常のレコード修正が含まれる。これらのサービスは、現職、契約者、信託受託者、一時的なオペレーター、あるいは後継者によって運用されうる。ただし、オペレーターはデータ層と狭いサービスルールによって制約される。サービス層は、データに表された権利や信頼のポジションを変更することなく、置き換え可能であるべきである。
権限層は、誰が、どのルールの下で、どの証拠をもって、どのレビューとともに、レコードを変更できるかを決定する。これは最も危険な層である。なぜなら、管理アクセスを経済的権力に変換するからである。プレフィックスの認識された保有者を変更できる当事者は、取引価値に影響を与えうる。移転を拒否または遅延させることができる当事者は、流動性を変えうる。サービスを停止できる当事者は、交渉上の立場を変えうる。そのため、移行アーキテクチャは、権限を薄く、文書化され、ルールに縛られたものに保たねばならない。緊急時の権限は、継続性、詐欺防止、争いのないメンテナンスに必要なもののみを認可すべきである。
紛争層は、クレーム、修正、上訴、訴訟、責任、争いのある権利を処理する。これは日常的なサービスから隔離されねばならない。争われているブロックは、マークされ、保護され、定義されたプロセスを通じて処理されるべきである。それによって、無関係なレコードが凍結されるべきではない。ある保有者のステータスをめぐる紛争が、地域の RDAP を止めるべきではない。裁判所への申し立てが、当事者でないネットワークの逆引き DNS サービスを無効化すべきではない。移転への異議が、広範なポリシーの即興のためのライセンスになるべきではない。隔離とは、裁定と伝染の違いである。
これら四つの層は抽象論ではない。具体的な障害モードに対応する。レジストリの理事会が不在の場合、データ層は読み取り可能かつ検証可能であり続けるべきである。オフィスがスタッフを失った場合、サービス層は代替計画の下で運用されるべきである。リーダーシップが争われている場合、権限層は拡大するのではなく縮小すべきである。訴訟が勃発した場合、紛争層は証拠を保存し、争われているクレームが通常のサービスに波及するのを防ぐべきである。解散申請や管財イベントが発生した場合、法的引き継ぎは、どの層が保護され、どの層がレビューされているかを知るべきである。
層を分離することは、RIR を超えたアーキテクチャが何でないかも明確にする。異なるロゴの単一の新しいグローバルオフィスではない。それは単にチョークポイントを移動させるだけだろう。それは、皆が自らのアドレス履歴を宣言し、市場がそれを解決することを期待するロマンチックなピアツーピアの空想でもない。一意性と信頼は依然として共通の事実を必要とする。また、大規模な保有者によるクーデターでもない。信頼できる設計は、訴訟を起こすのに十分な富裕な当事者だけでなく、小規模ネットワーク、公共セクターのユーザー、後発参入者をも保護しなければならない。
より良いモデルは、検証可能な事実をめぐる薄い調整である。共通の層は、一意性、レコードの継続性、セキュリティ、互換性に必要な不変条件のみを含むべきである。将来のポリシー選好、商業的取り決め、地域的助言は、これらの不変条件を保存するために真に必要でない限り、その共通層の外側に位置すべきである。四層の分離は、この技術的原則の制度的バージョンである。それは、事実をポータブルに保ち、サービスを代替可能にし、権限を狭く保ち、紛争を封じ込める。
エスクローされた台帳データは、バックアップフォルダーではなく経済的保険である
真剣な移行設計はすべて、エスクローされたレジストリデータから始まる。しかし、エスクローという言葉は、災害復旧のために保管された古いバックアップとして理解されるならば、その要点を控えめに表現している。番号リソースにとって、エスクローされた台帳データは経済的保険である。それは、継続性に必要な事実が危機の前にオフィスの外で検証できることを保証することによって、現職オフィスの独占的価値を減らす。また、メンバー、裁判所、緊急オペレーター、調整機関が、制度的闘争とデータ障害を区別できるようにすることで、噂のパニック価値を減らす。
最小限のデータセットは、現在のスナップショット以上のものでなければならない。現在のスナップショットは、今日誰が何を保持しているように見えるかを示す。移行には履歴が必要である。割り振りと割り当ての出所、移転レコード、リソースステータスの変更、逆引き DNS 委任状態、ASN 登録レコード、公開コンタクトエントリ、abuse contact の参照、使用中の RPKI 関連状態、重要な変更に対するチケット由来の監査証跡、ポリシーまたは契約が運用上関連させている支払い状況のインジケーター、そしてアクティブな紛争のフラグを必要とする。履歴なしでは、代替オペレーターはクエリに答えることはできても、なぜその答えが信頼できるのかを説明できない。紛争フラグなしでは、過剰に処理しすぎるか、過剰に凍結しすぎるかのどちらかになりうる。署名とタイムスタンプなしでは、すべてのスナップショットが信頼の問題になる。
エスクローはまた、暗号による検証を必要とする。定期的なエクスポートは、ハッシュされ、署名され、インセンティブが同一でない当事者によって目撃されるべきである。目撃者のセットは、新しい支配者になる必要はない。それは狭い保証メカニズムでよい。監査人、裁判所、緊急信託受託者、メンバー代表、技術検証者、その他の境界づけられた役割である。目的は、改ざんを高コストかつ検出可能にすることである。後に、レジストリオフィスが物議を醸すレコードが変更されたと主張した場合、問題はどちらのプレスリリースがより権威的に聞こえるかではない。問題は、どの署名された履歴がその変更を証明し、どのルールがそれを承認し、どのレビューチャンネルがそれを検討できるかである。
プライバシーの境界は重要である。レジストリデータには、センシティブな可能性のあるコンタクト情報、運用ノート、企業文書、サポート履歴が含まれる。エスクローは、プライベートなメンバーファイルを公のビューにダンプすることを意味してはならない。それは、公開レコード、メンバー限定の機密資料、セキュリティセンシティブなレコード、訴訟保護された証拠を分離しなければならない。公衆は、一意性とサービス継続性が保護されていることを知るのに十分な検証をできるべきである。メンバーは、自身の保有と重要な履歴を検証できるべきである。裁判所と正当に認可されたレビューアは、管理された条件下でより深いレコードを検査できるべきである。プライバシーを無視する移行アーキテクチャは、正当な理由で抵抗されるだろう。
メンバーアクセスは、見落とされている保険機能である。リソース保有者は、認識されたリソース、ステータス、関連するサービス委任、重要な変更履歴について、ポータブルで署名された証明書を取得できるべきである。この証明書はレジストリ台帳を置き換えるべきではないが、レジストリが失敗したり、そのステータスに異議を唱えたり、通常のサービスを拒否した場合に、保有者に証拠を与えるものである。資本市場において、貸し手は、信頼には証拠が必要だから書類を求める。アドレス市場においても、保有者は証拠を必要とする。自身のポジションを証明できるメンバーは、破綻しているオフィスへの依存から解放される。
裁判所における利用可能性も同様に重要である。AFRINIC の経験が示すように、裁判所は、業務の維持、選挙の手配、メンバー権の検証、解散請求の審理の場となりうる。裁判官は、弁護士の物語からレジストリを再構築することを強いられるべきではない。彼らは構造化されたデータ、検証済みスナップショット、明確なサービスマップ、紛争スケジュールを必要とする。裁判所命令は、継続性が何から成るかを裁判所が見ることができて初めて、継続性を保護できる。エスクローデータは、台帳を神秘的な技術的アーティファクトから、利用可能な証拠に変える。
最後に、エスクローは、それが使用される前にインセンティブを変える。現職のレジストリが移行に抵抗するのは、ひとつには、データのコントロールが代替を危険にすることを知っているからである。同業の機関が前例を恐れるのは、一つの代替が全てのレジストリを政治的に不安定にすることを心配するからである。政府は、恭順と国家による接収の間の道筋が見えないためにためらうかもしれない。メンバーは、脱出が不可能に見えるために受け身のままでいるかもしれない。検証済みエスクローは、想像力の賭け金を下げる。事実がもはや機関の中に閉じ込められていないので、ネットワークは制度的変化を生き延びられることを示すのである。
サービス代替は、新たな王座を作ることなく灯火を保つべきである
ひとたびデータが検証可能になれば、サービス代替が可能になる。これは、緊急オペレーターが現職レジストリの完全な裁量権を獲得すべきであることを意味しない。サービス代替は、狭いユーティリティであるべきである。その仕事は、権限が修復され、移転され、再構築される間、不可欠な機能を稼働させ続けることである。それは、クエリに答え、委任を維持し、争いのない更新を処理し、該当する場合は RPKI と証明の継続性を保ち、緊急のメンバーリクエストをサポートし、定義された基準を満たす裁判所または信託受託者の指示を実施し、すべてを記録する。それは、地域ポリシーを書き換えたり、政治的議論を解決したり、一時的なアクセスを永続的な制度的権力に変換したりはしない。
類似は、新しい中央銀行ではなく、緊急時の支払処理業者に近い。処理業者はルールの下で支払いを動かし続けることができる。それは金融政策を決定すべきではない。一時的なレジストリオペレーターは、狭い条件の下で、RDAP、Whois、逆引き DNS、ASN レコード、RPKI 継続性、移転サポートを維持することができる。それは、番号リソースガバナンスの将来の憲法を決定すべきではない。サービス代替が制約されればされるほど、それはメンバー、裁判所、政府、技術的な取引相手にとって受け入れやすくなる。
AFRINIC のサービスマップは、代替が即興ではできない理由を示している。逆引き DNS ポリシーは、委任を登録された割り当てやサブ割り当てと結びつける。ASN レコードは公開登録とコンタクト維持を必要とする。移転ポリシーは、認識されたソース保有者、必要性を正当化する受領者、メンバーシップ条件、該当するリソースに関する係争中の紛争の不在を要求する。枯渇ルールは、チケット処理、完全性チェック、利用率テスト、希少プールの管理を必要とする。RPKI 関連サービスは、経路起点検証に依存するネットワークにとって直接的な運用上の意味を持ちうる。これらのタスクには、テストされたシステム、運用スタッフ、アクセス制御、鍵管理、変更ウィンドウ、メンバーコミュニケーション、ロールバック手順が必要である。
したがって、緊急時のサービス代替は、緊急事態の前にリハーサルされねばならない。プレイブックは、どのシステムがミラーリングされうるか、どの鍵がカストディ計画を必要とするか、どのインターフェースがメンバーに必要か、どのサービスレベル目標が適用されるか、どの更新が許容されるか、どの更新が一時停止されねばならないか、どの紛争が停止を引き起こすか、どのレコードが強制的なレビューをトリガーするかを特定すべきである。また、メンバーに何が変わったかをどう伝えるかも定義すべきである。沈黙は噂市場を生み出すので危険である。範囲を超えた声明は、代替が持たない権限を示唆するので危険である。メッセージは退屈であるべきだ:レコードは認識され続けている、サービスは継続している、争いのある変更は隔離されている、重要な行動は記録されている、代替は広範なポリシー権限を持たない、と。
誰がこの役割を果たしうるか?いくつかのモデルが可能である。技術的契約者が信託受託者の監視の下でシステムを運用できる。裁判所が任命した管財人が、法的カストディを保持しつつ運用業務を契約できる。中立的なサービス会社が、厳格な変更管理スケジュールの下でクエリ、DNS、証明書業務を提供できる。後継レジストリが、未解決のあらゆる紛争を引き継ぐことなく、サービスを引き受けることができる。メンバー保護信託受託者がデータエスクローを保持し、日常的なメンテナンスを承認できる。選択肢は制約ほど重要ではない。代替は、サービスの崩壊を防ぐのに十分強力で、かつ新たな裁量的ゲートキーパーになるには弱すぎなければならない。
最も難しい設計問題は、RPKI と関連するセキュリティ状態である。レジストリの証明サービスは、リソースレコードを暗号アサーションに接続するため価値がある。しかしその価値は、突然の変更を危険にもする。代替サービス層は、既存の有効な状態を保存し、有効期限と更新パスを維持し、緊急時の鍵継続性をサポートし、事前に定義された条件を除いて裁量的な失効を避けるべきである。セキュリティサービスが移行中に武器に変われば、治療は病気よりも悪化する。
サービス代替は、元に戻せるときにのみ信頼できる。現職が自らを修復すれば、サービスは検証された条件の下で戻ることができる。後継者が創設されれば、サービスは再び移行できる。保有者が別の認識されたサービスアレンジメントにポーティングすれば、その証拠も移動できる。可逆性は皆を規律する。それは、継続性は永遠に彼らに依存していないと現職に告げる。それは、彼らは主権者ではないと代替に告げる。それは、移行は罠ではないと保有者に告げる。
ポータビリティは、退出をスローガンからガバナンスの制約に変える
ポータビリティは、しばしば権利として議論される。移行の経済学においては、それは価格シグナルでもある。リソース保有者が、現職レジストリが客観的条件を満たせないときに、別の有能なアレンジメントに認識とサービスを移せるならば、現職の裁量は価値が低くなる。保有者が移動できなければ、レジストリは、メンバーが囚われたままでありながら、凡庸で、脆弱で、政治化されうる。退出とは、仕組みによる説明責任と、希望による説明責任の違いである。
ポータビリティは、気軽な意味で無制限ではありえない。保有者は、未解決の権利紛争が係属中に、都合の良い記録保持者を探し回ることは許されるべきではない。債務者は、合法的な凍結を逃れるためにポータビリティを利用すべきではない。詐欺的請求者は、忙しい契約業者に偽造文書を振りかざしてプレフィックスをポーティングすべきではない。制裁対象または法的に拘束された当事者は、移行アーキテクチャが無視できない問題を提起する可能性がある。しかし、それらの制限はポータビリティに対する反論ではない。それらは、それを慎重に設計するための論拠である。
実行可能なポータビリティテストには、いくつかの条件がある。保有は、署名されたレジストリデータと保有者の証拠を通じて検証されねばならない。手数料またはサービス義務は、支払い済みであるか、中立的にエスクローできることが必要である。紛争は、不在であるか、境界づけられているか、もしくは争いのない部分が移動できる間、争われている部分が保護されるよう明確にマークされていなければならない。運用の継続性は保たれねばならない。移動中も、RDAP、Whois、逆引き DNS、RPKI、ASN レコード、コンタクト公開が途切れてはならない。受け入れ側のサービスは、定義された原因なしに保有者の全履歴を再検討する権限を獲得することなく、そのレコードに関連する狭い義務を受け入れねばならない。旧サービスは、ポータビリティ条件が満たされたら、保有者を人質に取る能力を失わねばならない。
AFRINIC の希少性環境は、この論拠を強化する。フェーズ 2 において、利用可能な IPv4 は小ブロックに配給され、追加リクエストは利用率の証拠を必要とする。新規供給が制約されるため、移転がより重要になる。地域移転を認識できる唯一のレジストリが、あまりに遅すぎたり、あまりに争いすぎたり、あまりに裁量的になったりすれば、流動性が損なわれる。結果として生じるのは、単なる不便ではない。それは、バランスシート上の価値、合併のタイミング、リースの供給、小規模ネットワークの参入コスト、そしてネットワーク成長の資金調達を変える。したがって、ポータビリティは我慢できない保有者のための贅沢品ではない。それは、破綻したサービス独占が地域の流動性ディスカウントを課すことを防ぐ方法なのである。
ポータビリティは段階的に行われるべきである。第一段階は証拠のポータビリティである。すべての保有者は、認識されたリソースと重要な履歴について、署名された証明を取得できる。第二段階は、緊急条件下でのサービスポータビリティである。レジストリがサービステストを満たさない場合、クエリ、DNS、証明の継続性を一時的に移動できる。第三段階は権限のポータビリティである。日常的な更新と争いのない移転を、狭いルールの下で後継者や信託受託者が処理できる。最終段階は制度的ポータビリティである。旧レジストリが継続性と説明責任の要件を満たせない場合、保有者の関係を永続的に移動できる。各段階は、事実が変わった場合に可逆的であるべきである。
このシーケンスは、ポータビリティを恐ろしくなく、より信頼できるものにする。それは突然の脱獄ではない。定義されたトリガーを持つ安全弁である。それは、良いサービスと抑制がロックインよりも安上がりであるとレジストリに告げる。それは、退出が混乱を必要としないと保有者に告げる。それは、データ層がアンカーであり、現職オフィスではないため、モビリティの下でも一意性が生き残りうると技術コミュニティに告げる。
移転には英雄的な裁量ではなく、決済レールが必要である
移転処理は、レジストリの裁量が最も目に見えて市場インフラになるところである。移転は単なる管理上の更新ではない。それは決済イベントである。売り手、買い手、貸し手、ブローカー、リース提供者、監査人、税務アドバイザー、データセンター計画者、顧客チームがすべて、レジストリの実行に依存しうる。希少な IPv4 市場において、遅延または不確実な移転は価値を変える。争われた移転は資本を凍結しうる。後に疑問視される移転は、経路、契約、会計を汚染しうる。したがって、移行アーキテクチャには、破綻しているか争われているレジストリでも生き残れる決済レールが必要である。
AFRINIC のポリシーマニュアルは、域内 IPv4 移転を条件的と扱っているため、有用な出発点を提供する。ソースは、認識された現在の権利保持者であり、当該リソースに関する紛争に関与していてはならない。受領者は必要性を正当化し、AFRINIC のメンバーになるか、既にメンバーであり、該当するポリシーを受け入れ、登録サービス契約に署名しなければならない。移転されたレガシーリソースはレガシーステータスを失う。すべてのルールに同意するかどうかは、ここでは決済の洞察ほど重要ではない。それは、移転の実行がソースステータス、受領者の適格性、紛争ステータス、文書化、レジストリの更新に依存するということである。
移行の状況においては、これらの要素は客観的なレールに変換されるべきである。ソース検証は、裁量的な職員の説明できない安心感ではなく、署名された台帳履歴と保有者の認証に基づくべきである。受領者チェックは、一意性、詐欺耐性、継続性を真に保護するルールに限定されるべきである。必要性に基づくレビューは、それが維持されるならば、証拠基準、タイムライン、上訴ルートを持つべきである。紛争チェックは、無関係な保有を凍結するのではなく、紛争下にある特定のリソースを特定すべきである。支払いと手数料の問題は、詐欺や権利に関係しない限り、エスクロー可能であるべきである。あらゆる重要なステップはログ記録されるべきである。
決済レールには、クロージングルーム構造も必要である。レジストリまたは代替は、提出前に何が要求され、提出後に何がチェックされ、いつレコードが変更され、プロセス中に裁判所命令が到着したら何が起こり、詐欺が発見された場合にどのようにロールバックが行われ、取引相手がどのように確認を受け取るかを公開すべきである。予測可能なクロージングメカニズムのない移転市場は、レジストリの裁量リスクを価格に織り込む。そのリスクは流動性ディスカウントになる。アドレスの希少性が既に新規参入者に負担をかけている地域では、回避可能な流動性ディスカウントは成長への隠れた課税である。
紛争はマジックワードとして使用されるべきではない。ソース保有者のステータスが真に争われている場合、保留が必要かもしれない。しかし、保留はリソース固有で、証拠に基づき、時間制限があるか定期的に見直されるべきである。制度的に困窮しているレジストリは、紛争ステータスがコントロールを正当化するため、紛争の定義を拡大するインセンティブを持つ。移行アーキテクチャはそのインセンティブを逆転させなければならない。紛争を主張する当事者は証拠の負担を負うべきである。サービス層は、非紛争サービスを維持すべきである。保有者は誤りを訂正する道を持つべきである。裁判所は、申し立ての霧ではなく、構造化された紛争スケジュールを受け取るべきである。
移転はまた、ポータビリティと地域継続性の関係を露わにする。もし、レジストリが機能不全に陥ったために保有者が移転を完了できないが、移転条件が他の点では満たされている場合、中立的な代替が更新を実行すべきか?答えは、段階的な枠組みの下ではイエスであるべきだ。検証された移転は、制度的正常化を無期限に待つべきではない。しかし、代替の権限は、地域を統治する広範な主張からではなく、決済レールから来るべきである。それは有効な移行を実行し、証拠を保存し、より広範なポリシーは将来の適切なフォーラムに委ねるべきである。
大規模保有者とブローカーは、これらのレールを自らに有利に形作ろうとするだろう。彼らは速度、流動性、最小限の摩擦を好む。小規模ネットワークは、詐欺、突然の価格圧力、希少リソースの競り負けに対する保護を必要とする。政府は国家の接続性と合法的監視を気にする。現職は裁量の保持を気にする。設計は、これらのインセンティブが消えるふりをすべきではない。移転の実行を人柄からルールへ、隠れた遅延からタイムラインへ、オフィスの管理から検証可能な決済へと移行させることで、それらをより危険でなくさねばならない。
最後のポイントは監査可能性である。すべての移行移転は、保有者、受領者、レビューア、必要ならば裁判所によって監査可能であるべきである。監査証跡は、移転前のレコード、変更の権限、受け取った証拠、紛争チェック、手数料状況、サービスの変更、更新時刻、証明や逆引き DNS の結果を示すべきである。新しいアーキテクチャが、なぜ移転が起きたかを証明できなければ、信頼されないだろう。部外者にオフィスを信頼するよう求めることなく移転を証明できるならば、ゲートキーパーの権力を減らしていることになる。
権限は、ユーザーがそれを崇拝する必要がないほど狭くなければならない
権限層は、改革派への疑いも含めて、疑いの目で設計されるべきである。レジストリの危機は、混乱を収拾するために広範な権限が必要だと言う当事者をしばしば引き寄せる。実際にそうする者もいる。ほとんどはそうではない。記録保持機能には、保有者を認証し、レコードを更新し、重複を防ぎ、誤りを訂正し、有効な移転を処理し、委任を維持し、合法的な命令に対応する権限が必要である。それは、将来のあらゆるビジネスモデル、地域的選好、アドレス利用に関する道徳的主張を決定する永続的な政治的権力を必要としない。
実際的なテストは、その決定がグローバルな不変条件を保存するか、単に制度的選好を表現しているかである。一意性はグローバルな不変条件である。プレフィックスが、同じ互換性セット内の二つの無関係な保有者に有効に割り当てられることはできない。基本的な真正性はセキュリティの不変条件である。偽造されたリクエストがレコードを更新すべきではない。クエリと委任サービスの継続性は信頼の不変条件である。ネットワークは、ガバナンスが争われているという理由で通常のサービスを失うべきではない。対照的に、商用利用、リース、顧客の地理、ビジネス構造、展開タイミング、ポリシーの願望に関する多くの選択は、同じ意味での不変条件ではない。それらは地域にとって重要かもしれないが、システムの一貫性を保つのに真に必要でない限り、中核の権限層に密輸入されるべきではない。
この区別は、レジストリガバナンスで繰り返し起きる失敗に対応する。すなわち、同じオフィスがデータベース、ポリシーの語彙、サービスのスイッチを握っているために、薄い技術的役割が広範な社会的コントロールに拡大するという失敗である。答えは、ポリシー上の問いが存在することを否定することではない。それは、ポリシー選好が再検討不可能なレコード管理になるのを防ぐことである。地域がアドレス利用規範を議論したいならば、助言的、契約的、または立法的なチャネルを通じて行うことができる。台帳を維持する緊急権限は、日々のサービスを武器化してその議論に勝つことを許されるべきではない。
狭い権限は、定義されたインプットとアウトプットを持つべきである。インプットには、署名された保有者リクエスト、認証されたコンタクト変更、移転パッケージ、裁判所命令、詐欺報告、該当する場合の支払いステータス、運用インシデント報告、検証された紛争通知が含まれる。アウトプットには、レコード更新、保留、サービス委任、証明更新、移転確認、公開ステータスメッセージ、監査ログが含まれる。各アウトプットについて、ルールは、誰がそれを認可できるか、どんな証拠が必要か、どんな通知が行われるか、どのくらい速やかに行われるか、どんなレビューが可能か、決定が誤っていた場合に何が起こるかを示すべきである。
レビューパスは主要なイベントになるべきではない。あらゆる日常的な決定に上訴に依存するシステムは、既に裁量を過大にしている。より良い設計は、ほとんどの決定を決定的または事務的にし、例外的なケースのためにレビューを残すことである。保有者が署名された証拠、支払い済みの手数料、アクティブな紛争がない場合、コンタクト情報の更新に制度的思想が必要とされるべきではない。逆引き DNS 委任が技術的テストを満たし、登録されたリソースに基づくならば、それは政治的恩恵であるべきではない。移転パッケージが決済レールを満たすならば、実行は現職が市場の結果を好むかどうかに依存すべきではない。
権限にはまた、影響範囲の制限が必要である。移行の間、単一の職員が、二重管理、ログ記録、安全な場合の遅延適用なしに、高影響の変更を行うことができてはならない。セキュリティインシデント、詐欺防止、法的遵守のためには緊急行動が可能であるべきだが、緊急行動は前例となるのではなく、レビューに期限切れとなるべきである。スタッフ、信託受託者、契約者はロールベースのアクセスを持つべきである。鍵は文書化されたカストディを通じて管理されるべきである。重要な変更は目撃されるべきである。これらのコントロールは平凡に聞こえるが、それはそうだからである。退屈なコントロールこそが、インフラがカリスマ的ガバナンスから脱出する方法なのである。
したがって、RIR を超えたアーキテクチャは、権限がないかどうかではなく、権限が理解され、監査され、置き換えられるのに十分小さいかどうかによって判断されるべきである。ユーザーは、オフィスの美徳を信じる必要があるべきではない。彼らは、ルールを検査し、証拠を検証し、結果を予測できるべきである。これが、台帳とゲートキーパーの経済的な違いである。台帳は、退屈だからこそ不確実性を減らす。ゲートキーパーは、あらゆる相互作用が権力との交渉になるため、不確実性を増大させる。
紛争は、地域的な停止にならないよう隔離されるべきである
いかなる移行アーキテクチャも、紛争を排除することはできない。希少なリソースは、履歴を争い、署名者に異議を唱え、移転を攻撃し、メンバーシップステータスを疑問視し、詐欺を主張し、裁判所命令を呼び出し、ポリシーについて議論するインセンティブを生み出す。設計目標は、紛争のないレジストリではない。それは紛争の隔離である。システムは、一つのプレフィックス、一つの移転、一つの保有者のステータス、一つの選挙文書が争われている場合に、地域全体のサービス層を巻き添えにすることなく、それを伝えられるべきである。
AFRINIC の最近の歴史は、これがなぜ重要かを示している。公開報道は、管財人制度、争われた選挙プロセス、代理投票の不正の疑い、ICANN の介入、解散申請、モーリシャス会社法に基づくメンバー権紛争、番号リソースがレジストリの資産か否かに関する議論を伝えてきた。各論争には法的、制度的な重要性がある。しかし、インターネットは、それらの論争が自身のチャネルを進む間も、依然としてクエリサービス、逆引き DNS 運用、ASN レコードの安定性、保有者サポートを必要とする。サービスから紛争を分離できないレジストリは、あらゆる法的闘争を運用上のレバレッジに変えてしまう。
隔離モデルは分類から始まる。ある紛争はリソースへの権利に関する。ある紛争は誰が保有者の代弁者であるかに関する。ある紛争は移転パッケージの有効性に関する。ある紛争はレジストリのコーポレートガバナンスに関する。ある紛争はポリシーの正当性に関する。ある紛争は請求書や契約上の地位に関する。ある紛争は疑惑の詐欺や偽造された権限に関する。これらすべてを同等に扱うことは、過剰凍結のレシピである。理事会選挙手続きをめぐる紛争が、自動的に無関係な保有者の逆引き DNS 委任を損なうべきではない。争われた委任状が、すべてのメンバー代表に対する一般的な反論になるべきではない。解散手続きは、サービス継続計画のトリガーとなるべきであり、すべてのレコードが疑わしいという推定を引き起こすべきではない。
隔離はまた、リソース固有のマーキングを必要とする。あるプレフィックスが信頼できるクレームの対象であるならば、そのプレフィックスをマークし、そのクレームを害する可能性のある変更のみを凍結する。日常的な公開クエリサービスを継続する。安全な場合は、無関係なコンタクト更新を継続する。紛争が特に委任のコントロールに関係しない限り、逆引き DNS サービスを継続する。事前定義されたセキュリティまたは法的条件が変更を必要としない限り、証明状態を維持する。可能な限り、手数料を権利問題から分離する。取引相手がリスクを理解できるよう十分なステータスを公開しつつ、保護された証拠を開示しない。
紛争層は独自の証拠ルールを持つべきである。詐欺を主張する当事者は、具体的な文書、日付、署名者、影響を受けるリソースを提示すべきである。権限の欠如を主張する当事者は、企業権限上の欠陥を特定すべきである。裁判所命令に依拠する当事者は、命令、範囲、サービスの結果を提供すべきである。緊急保留を求める当事者は、保留によって防止される危害を特定すべきである。裏付けのない疑念は、別のネットワークの運用ポジションを凍結するのに十分であるべきではない。しかし、信頼できる証拠は、レビューが行われる間に不可逆的な変更を防ぐのに十分であるべきである。
上訴と訴訟は、接続されつつも併合されてはならない。レジストリまたは代替は、管理上の誤りに対する内部修正とレビューを提供できる。裁判所は、管轄権が及ぶ場合に法的権利を決定できる。移行アーキテクチャは、証拠とサービスを保存することによって両者を助けるべきである。内部上訴が法に取って代われるふりをすべきではない。また、すべての裁判所への提出が、命令の範囲を超えて通常業務を停止させることを許すべきでもない。システムは、合法的命令に正確に、芝居がかってではなく、従うことを学ばねばならない。
責任は隔離の一部である。サービス層が文書化されたルールに従い、証拠を保存するならば、そのエクスポージャーは評価しやすくなる。即興で行動したり、一派を優遇したり、無関係なサービスを無効化したりすれば、エクスポージャーは拡大する。メンバーもまた、明確さを必要とする。紛争下の保有者は、何が凍結され、何が継続され、どんな証拠が必要とされ、レビューにどれだけ時間がかかり、保留が誤っていた場合にどんな救済策が存在するかを知るべきである。取引相手は、運用、移転、信用のためにレコードに依拠できるかどうかを知るべきである。不確実性は高コストである。紛争の隔離は、不確実性をそれに属する場所でのみ価格づけする方法である。
危機における誘惑は、すべてが繋がっていると言うことである。政治的には、そのように感じるかもしれない。制度的には、それは致命的である。すべてが繋がっているならば、あらゆる紛争が全面的なコントロールを正当化する。成熟した移行アーキテクチャは逆を行う。ネットワークがその周囲で継続できるように、問題を境界づけられたクレームに分解する。それは法への無関心ではない。クレームを裁定することと、ユーザーを人質に取ることの違いへの敬意である。
法的引き継ぎは、誰かが裁判所に即興を求める前にマッピングされるべきである
技術的継続性は、永久に法的形式を凌駕できない。AFRINIC はモーリシャスで設立されている。他のレジストリは、それぞれ国内の法体系に座っている。契約、定款、メンバーシップ区分、支払不能(インソルベンシー)ルール、データ保護義務、雇用義務、銀行口座、リース、保険、サプライヤー契約、裁判所命令のすべてが、危機において何が起こりうるかを形作る。これらの現実を無視する移行アーキテクチャは、最も権限を必要とするときに失敗する。法的引き継ぎは、失敗の前にマッピングされねばならず、緊急審理の後の廊下で発明されてはならない。
第一のマップは企業に関するものである。誰が法的にレジストリ事業体を管理しているか?誰がスタッフに指示できるか?誰が銀行口座にアクセスできるか?誰が事業体をサービス契約に拘束できるか?誰がデータエクスポートを承認できるか?誰が移転契約に署名できるか?誰が裁判所でレジストリを代表するか?理事会がなく、管財人、暫定清算人、信託受託者、または争われた取締役がいる場合に何が起こるか?答えは法域によって異なるが、質問は危機を待つべきではない。AFRINIC の場合、管財人制度と理事会の不在をめぐる報道は、企業マップがいかに迅速に運用マップになりうるかを示している。
第二のマップは契約に関するものである。メンバーは、登録サービス契約、手数料義務、ポータル認証情報、ポリシーコミットメント、サービス期待を持っているかもしれない。サプライヤーは、ホスティング、セキュリティ、DNS、電子メール、ソフトウェア、監査、支払いシステム、またはオフィスサービスを提供しているかもしれない。スタッフ契約は、誰がシステムを運用できるかを管理しているかもしれない。保険契約は、緊急行動を条件づけるかもしれない。代替オペレーターは、どの契約が譲渡され、ミラーリングされ、一時停止され、置き換えられうるかを知る必要がある。また、どのメンバー義務が継続性に不可欠で、どれがリスクなく延期できるかも知る必要がある。
第三のマップはデータ保護である。レジストリレコードは、個人データ、企業連絡先、技術連絡先、abuse 連絡先、身分証明書、サポートチケット、おそらくセンシティブな運用詳細を含む。越境エスクローとサービス代替は、合法的な根拠、アクセス制御、保持ルール、侵害手続き、メンバー通知を必要とする。プライバシーはデータの囚われの言い訳ではないが、移行もまた、無統制な開示の言い訳ではない。設計は、公開レコード、保有者アクセスレコード、レビューアアクセスレコード、裁判所アクセスレコードを事前に定義すべきである。
第四のマップは、裁判所の利用可能性と公的権限である。裁判所が、サービスの保存、管財人の任命、引き継ぎの承認、またはレジストリの清算を検討するよう求められた場合、不可欠なサービス、データエスクロー、鍵カストディ、メンバーコミュニケーション、資金調達、紛争保留、移転キュー、法的制約をカバーする継続性スケジュールを必要とする。政府もまた、定義された役割を必要とする:通知を受け取り、国家の重要サービスを保護し、合法的な証拠処理をサポートし、グローバルな一意性を尊重し、一方的な重複レコードを回避する。目的は、番号管理を地政学的な土地争奪戦に変えることなく、公的責任を回復することである。
第五のマップは、後継者の正当性である。現職が継続できない場合、誰が台帳とサービスを受け取れるか?信託受託者、裁判所監督下の契約者、保有者選出の協会、連合サービス層、または後継地域機関は、それぞれ異なる局面に適合しうる。緊急サービスは、権限が狭い限り、憲法上の正当性が再構築される前に移行できる。永続的な権限には、メンバー保護、地域の声、外部検証、利益相反ルール、資金調達の規律、同じゲートキーパーを単に新しい外殻で再創出することを防ぐセーフガードが必要である。
法的引き継ぎは、魅力に欠ける。それはまた、多くの移行の夢が死ぬ場所でもある。誰が合法的にデータをエクスポートし、サービスを運用し、鍵を維持し、メンバーに請求し、争いのない変更を処理し、裁判所命令に従うことができるかという問いに答えられない設計は、移行アーキテクチャではない。それはマニフェストである。AFRINIC の経験は、次のレジストリの障害が到来したときに、世界が穏やかな熟考のための数ヶ月を得られないかもしれないことを示唆している。法的マップは、翌朝の質問が問われる前に存在する必要がある。
カストディ(保管)が政治から分離されれば、地域の声は生き残れる
移行に対する最も弱い反論の一つは、レジストリの裁量を縮小すれば地域の声が消えるというものである。それは特定の形式の声を消すだろう。すなわち、民間の地域オフィスがデータカストディ、サービス運用、ポリシー招集、裁量的コントロールを組み合わせている形式である。それは地域の専門知識、代表、運用上のインプットを消す必要はない。実際、カストディを政治から分離することは、参加者が台帳を脅かすことなく発言できるため、地域の声をより信頼できるものにするかもしれない。
地域の知識は重要である。アフリカのネットワークは、多様な資本コスト、通貨エクスポージャー、海底ケーブル依存、データセンター集中、モバイルの成長、公的セクターの需要、成熟度の異なる IXP、IPv6 移行の負担、言語の多様性、不均一な規制能力、小規模オペレーターの長い裾野といった特定の制約に直面している。IPv4 ソフトランディング、IXP 予約、逆委任、メンバープロセスに関する AFRINIC のポリシー資料は、真に地域的な運営上の問いを反映している。RIR を超えたアーキテクチャは、これらの問いがグローバルなスプレッドシートに消えるふりをすべきではない。
問題は、その地域の知識がどこに座るかである。それが、保有者の継続性に対する再検討不可能な拒否権として権限層の内部に座るならば、危険になる。それが、助言、ポリシー、能力構築、証拠チャネルに座るならば、価値は残る。地域フォーラムは、残る希少な供給のための割り当て優先順位を推奨できる。地域の運用ニーズを文書化できる。政府に助言できる。訓練を調整できる。abuse contact、DNS 衛生、RPKI 展開、IPv6 レディネスに関する調査を発表できる。小規模ネットワークの参加を支援できる。そのどれも、フォーラムが台帳の唯一の保管者であることや、検証済み保有者がサービスを受ける唯一の経路であることを必要としない。
この分離は、小規模ネットワークをも保護する。現職のレトリックは、しばしば移行は大規模な商業的保有者にしか役立たないと主張する。そのリスクは、移行が純粋な市場退出の周りに設計される場合には現実である。しかし、カストディと政治の分離はその逆を行いうる。それは、小規模保有者に、署名された証拠パック、低コストの継続性サービス、明確な紛争ルール、予測可能な逆引き DNS サポート、メンバー代表、制度的危機の間に無視されない保護を保証できる。囚われの身は保護ではない。破綻しているレジストリに閉じ込められた小規模 ISP は、大規模保有者よりも影響力が少ない。移行アーキテクチャは、その非対称性を縮小すべきである。
したがって、地域の声は、古い束を守ることによってではなく、カストディを狭めることによって保護されるべきである。地域は、発言し、助言し、組織し、争うことができるべきである。聞いてもらうために、ネットワークを人質に取る必要があるべきではない。
移行の周りのインセンティブは、デフォルトで敵対的である
いかなる移行アーキテクチャも、皆が公共精神にあふれたエンジニアのように振る舞うことに依存できない。インセンティブはあまりにも鋭い。現職レジストリは、データとサービスの束が自らの最強の資産であるため、移行に抵抗する。保有者が外部でレコードを検証し、サービスをポーティングし、エスクローを要求し、紛争を隔離し、緊急代替を利用できるならば、現職の不可欠性のオーラは弱まる。よく運営されているレジストリでさえ、安全弁が規律メカニズムになることを恐れるかもしれない。問題を抱えたレジストリには、それを恐れるより強い理由がある。
同業のレジストリは前例を恐れる。一つの地域オフィスが代替され、エスクローされ、狭められうるならば、他のレジストリも自身の台帳がなぜ同様にポータブルでないのかを問われるかもしれない。彼らはこの問題を安定性としてフレームするかもしれないが、安定性と自己保存はクラブの内側からはしばしば似て見える。これは、同業の支援が無用であることを意味しない。技術サポート、共有経験、緊急協力は価値がありうる。それは、移行設計が、自らの将来の交渉力を自発的に縮小する同業者に依存できないことを意味する。
政府は混合したインセンティブを持つ。通信の継続性が脅かされたとき、彼らは公的なダウンサイドを負うが、レジストリの危機をコントロールを得る機会と見るかもしれない。合法的な継続性を望む者もいる。国家の影響力を望む者もいる。民間の外国企業が国内ネットワークに対してあまりに大きな力を持つことを恐れる者もいる。旧モデルを好む者もいる。なぜなら、それが難しい選択を省庁の外に保つからだ。移行アーキテクチャは、断片化を招かずに政府に責任ある役割を与えねばならない。そうする最善の方法は、継続性を証拠豊かでグローバルに互換性のあるものにし、公的機関が相競合する台帳を発明することなく国内利益を保護できるようにすることである。
大規模保有者もまた混合したインセンティブを持つ。彼らは確実性、移転可能性、ポータビリティ、恣意的な行動からの保護を望む。彼らはまた、より速い退出、より軽いレビュー、特別扱い、後継者設計への影響力といった優位性を求めるかもしれない。彼らのリソースは、移行能力の構築に不可欠であり、チェックされずにいると危険でもある。信頼できるアーキテクチャは、適切な場合には彼らの証拠と資金を歓迎しながら、小規模ネットワークが得られないルール変更を購入することを防ぐべきである。
小規模ネットワークは何よりも予測可能性を必要とする。彼らは、現職レジストリと大規模な商業的挑戦者の双方を信用しないかもしれない。彼らは法的予算、スタッフの時間、ポリシーの流暢さ、越境カウンセルを欠いているかもしれない。彼らの主な問いは、サービスが継続されるかどうか、そしてルールが理解可能かどうかである。移行がエリート間の争いに見えるならば、小規模ネットワークは理性的にも、見知った悪魔を選ぶだろう。したがって、設計は、小規模保有者の保護を可視化すべきである。低コストの証拠パック、通知権、シンプルな修正手続き、緊急手数料の厳格な制限、言語サポート、逆引き DNS 継続性の支援、明確な紛争隔離である。
債権者、サプライヤー、スタッフ、裁判所はさらなる複雑さを加える。破産状態または破産に近いレジストリは、給与、業者、訴訟費用、税金、債務といった通常の債権が存在する。スタッフはまた、脆弱なシステムを稼働させ続けるために必要な運用知識を握っているかもしれない。しかし、番号レコードそのものは清算のための資産と扱われるべきではない。2026 年の公開報道は、AFRINIC を通じて管理される番号リソースは、清算において分配可能な資産ではないという ICANN の主張を伝えた。特定の手続きで裁判所が何を決定しようとも、継続性アーキテクチャは、台帳が公共の信頼システムであり、オフィスの備品ではないことを前提とすべきである。
これらのインセンティブは、移行が善意に委ねられない理由を説明する。それにはハードな設計が必要である。エスクロー、署名、サービス代替、ポータビリティトリガー、法的マップ、資金調達ルール、紛争隔離、監査証跡、役割の制限である。制度は、アーキテクチャが日和見主義を困難にしたときにより良く振る舞う。要点は天使を見つけることではない。システムを天使に依存しないようにすることである。
段階的な移行は、永続的な裁量的囚われよりも保守的である
批評家たちは、RIR を超えるいかなる設計も過激と呼ぶだろう。ある意味で、彼らは正しい。それは、地域レジストリオフィスがデータ、サービス、権限、紛争処理の恒久的な中心であるべきだという前提を変える。別の意味では、段階的な移行は現状よりも保守的である。それは、既存のレコード、ユーザーの信頼、サービス継続性、地域知識を保存しつつ、単一の脆弱なオフィスがそれらを壊す可能性を減らそうとする。永続的な裁量的囚われこそが、より無謀なモデルである。
第一段階は透明性と証拠である。すべてのレジストリは、台帳と重要な履歴の完全で署名され、外部から検証可能なスナップショットを維持すべきである。保有者は、自身のリソースとサービスの状態について、署名された証拠を取得できるべきである。公開データは再現可能であるべきである。監査人は、スナップショットが運用サービスと一致するかをテストできるべきである。裁判所は、構造化されたスケジュールを受け取ることができるべきである。この段階では、権限は誰にも渡らない。主な変化は、現職がもはや証明を独占しないことである。
第二段階は継続性のリハーサルである。不可欠なサービスは、文書化された代替計画、テスト環境、鍵カストディ手順、メンバー通知テンプレート、緊急資金調達の取り決め、変更管理ルールを持つべきである。リハーサルは、RDAP と Whois の継続性、逆引き DNS 運用、該当する場合の RPKI と証明の更新、ASN レコード、移転キュー、サポートポータルを含むべきである。目標は、現職を困らせることではない。目標は、オフィスが行動できない週末にネットワークが生き延びられるかどうかを知ることである。
第三段階は紛争の隔離である。レジストリは、リソースレベルで紛争を分類しマークし、コーポレートガバナンス紛争をサービス紛争から分離し、非センシティブなステータスを公開し、証拠を保存し、無関係なサービスを継続すべきである。この段階は、既存のレジストリの内部でさえ実施可能である。それは、いかなる代替も行われる前に害を減らす。それはまた、現職が自らの裁量の制限を受け入れられるかどうかを明らかにする。
第四段階は緊急サービス代替である。客観的なサービストリガーが満たされた場合、一時的なオペレーターまたは信託受託者が、エスクローデータから狭い機能を実行できる。トリガーには、サービスの喪失、不可欠なシステムの維持不能、合法的な企業権限の不在、裁判所命令、実証されたデータ完全性リスク、定義された時間内の争いのない緊急変更の処理不能が含まれうる。代替は、ポリシーではなくサービスを実行する。それは支払われ、監査され、除去可能である。
第五段階は、境界づけられた条件下でのポータビリティである。検証されたポジション、支払い済みの手数料、境界のない紛争がない保有者は、サービス認識を承認された継続性アレンジメントに移動できる。争われているリソースは保持されうる。争いのないサービスは継続できる。ポータビリティがオフィスが死んだ後にしか到着しないならば、それは到着が遅すぎる。
第六段階は権限の再構築である。後継地域機関、連合モデル、信託受託者構造、薄い調整層が、継続性が保護された後にのみ、狭い権限を引き継ぐことができる。後継者は、裁量的囚われを再創造することなく台帳を維持できることを証明しなければならない。
段階を踏むことは、恐怖を下げるので重要である。現職はどの権限が実際にリスクにさらされているかを見ることができる。メンバーはどのサービスが継続されるかを見ることができる。裁判所はどの段階が可逆的かを見ることができる。政府はグローバルな一意性が保護されることを見ることができる。技術オペレーターは火事の前にシステムをテストできる。段階的な移行は暗闇への飛躍ではない。それは、皆がまだ使わねばならない建物内の脱出ルートの照明である。
AFRINIC は、希少性、法的形態、公共的信頼を兼ね備えるがゆえのリハーサルである
AFRINIC は、風変わりな例外として扱われるべきではない。まさに、その困難さが RIR システム全体に存在する特徴を露呈するがゆえに、リハーサルなのである。地域レジストリは国内法の下での私的な法的実体でありながら、多くの法域のネットワークが依存するサービスを提供する。それは、経済的重要性が古い事務的割り当ての言語をはるかに超えた希少リソースを管理する。それは公開クエリと委任機能を運用する。それはメンバーの信頼、裁判所の承認、技術的能力、グローバルな受容に依存する。これらの支持のどれかが弱まったとき、システムは、それが設計したものより、いかに多くを前提としていたかを発見する。
管財人制度は一つの教訓を与えた。法制度は、何を保存しなければならないかを理解している場合にのみ、業務を維持できる。2023 年の報道は、AFRINIC の管財人制度を、リーダーシップが修復される間、サービスを維持しうる法の支配のメカニズムとしてフレームした。それは裁判所の関与の楽観的なバージョンである。それは、国内法が自動的にインターネットガバナンスの敵ではないことを示す。しかしそれはまた、レジストリコミュニティが単純に自らを通常の法的現実の外側にあると宣言できないことも示す。法的な器が破綻すれば、裁判所は行動を求められるだろう。移行アーキテクチャは、彼らがインターネットを理解していないと後で不平を言うのではなく、彼らを装備すべきである。
選挙紛争は別の教訓を与えた。サービスが必要であり続ける間、企業の正当性は不確実でありうる。代理投票の不正の疑い、ICANN の懸念、管財人の裁量、メンバー権の分類、最終的な理事会の回復のいずれを強調するにせよ、運用上の要点は同じである。ガバナンスは数ヶ月から数年にわたって争われうる。その間、台帳は完全な正当性を待つことができない。システムはセーフモードを必要とする。すなわち、狭いサービス、保存されたデータ、凍結された高リスク変更、処理された低リスク変更、構造化された証拠、透明なメンバー通知である。
IPv4 枯渇の状況は第三の教訓を与える。AFRINIC 自身の枯渇ページは、フェーズ 2 の希少性、小さな割り振り・割り当て範囲、利用率要件、リクエスト処理を説明している。希少性は、遅延が価値を持つことを意味する。それは移転の確実性が重要であることを意味する。それは、古いレコードが財務的証拠になることを意味する。それは、レジストリオフィスの「はい」「いいえ」「後で」「再証明せよ」と言う能力が経済的に重要であることを意味する。移行の設計は、ウェブサイトをオンラインに保つことに制限できない。それは希少リソースをめぐる決済の信頼を保存しなければならない。
メンバー権をめぐる論争は第四の教訓を与える。2026 年の公開報道は、モーリシャス会社法の下での AFRINIC リソースメンバーと登録メンバーの関係に関する議論を伝えた。この区別は地域的で狭く聞こえるかもしれないが、移行アーキテクチャの中核である。リソースへの依存とコーポレート投票権は同じものではない。保有者は、会社法がそのガバナンスの役割をより狭く扱っていても、レジストリサービスに依存しうる。逆に、コーポレートアクターは、特定のリソースレコードを変更する適切な当事者でなくとも、ガバナンス上の権限を持ちうる。移行は、両者を尊重しつつ、サービスの依存を企業の形式的要件から分離しなければならない。
解散紛争は最後の教訓を与える。レジストリは地域の会社でありながら、依然としてグローバルな公共機能を担いうる。そう言うことは、それを主権者にするわけではない。それは、法的救済策が、企業の外殻と台帳の継続性機能を区別すべきであることを意味する。会社が再構築され、置き換えられ、清算される場合、リソースレコードはオフィスの椅子のように扱われるべきではない。それらはグローバルな調整システムにおける信頼の記録である。移行の問いは、法的形式が重要でないふりをする方法ではなく、その信頼を合法的にどう移動させるかである。
したがって、リハーサルとしての AFRINIC の価値は、一つの党派が正しいことを証明するからではない。それは、設計の問いを公然と押し出すからである。オフィスが機能できないときに、正確に何が継続しなければならないのか? どの権限が必要で、どれが過去の習慣で、どれが危険なのか? 誰が台帳を検証するのか? 誰がサービスを運営するのか? 誰がレコードを変更できるのか? 誰が紛争を審理するのか? 誰が小規模ネットワークを保護するのか? 誰が裁判所に知らせるのか? 誰が橋の費用を支払うのか? これらの問いに答えられないシステムは、安定しているのではない。単にテストされていないだけである。
実践的なテストは、台帳がゲートキーパーよりも長生きできるかどうかである
最終テストは意図的に単純である。AFRINIC、またはいずれかのレジストリが明日破綻した場合、台帳は存続できるか? それはファイルダンプ以上のものを意味する。それは、完全で、署名され、監査され、利用可能なレコード;保有者アクセスの証拠;現在のステータスを説明するのに十分な履歴;公開クエリの継続性;プライバシー管理;紛争フラグ;裁判所で利用可能な依存関係のスケジュールを意味する。答えがノーならば、その地域は制度的な幸運に頼っている。
ユーザーはサービスを受けられるか? これは、RDAP と Whois の応答、逆引き DNS の維持、ASN レコードのサポート、該当する場合の RPKI と証明の継続性、争いのないケースの移転処理、緊急のコンタクト修正、abuse contact の公開、メンバーサポート、明確な通知を意味する。サービスレベルの期待、緊急資金調達、プレッシャーの下で実行できる技術オペレーターも意味する。答えがノーならば、レジストリは薄いコーディネーターではない。それは単一障害点である。
紛争は隔離できるか? これは、一つの争われたプレフィックスが大陸を停止させないことを意味する。一つの選挙紛争がサービスを無効化しない。一つの裁判所提出が一般的なポリシー拒否権にならない。一つの疑惑の偽造された権限がすべての保有者を汚染しない。隔離には、分類、証拠基準、リソース固有の保留、レビューパス、ログ、規律あるコミュニケーションが必要である。答えがノーならば、紛争層は既にサービス層を掌握している。
ネットワークを人質に取ることなく、権限は再構築できるか? これは、緊急オペレーターが新たな支配者にならないこと、現職がサービス囚われを使って恭順を要求しないこと、大規模保有者が後継者を買収しないこと、政府が台帳を断片化しないこと、小規模ネットワークが弁護士を欠くためにアクセスを失わないことを意味する。それは、カストディが狭められる一方で、地域の声が可能であり続けることを意味する。それは、ポータビリティが崩壊前に存在することを意味する。それは、法的引き継ぎがマッピングされており、希望的に生み出されていないことを意味する。
これが、RIR を超えた移行アーキテクチャの経済学である。論点は、一意性がもはや重要でないということではない。それはかつてないほど重要である。論点は、レジストリサービスが些細であるということではない。それらは、まさにネットワークがそれらに依存しているからこそ価値がある。論点は、裁量が一夜にして消え去りうるということではない。詐欺防止、法的遵守、例外的なケースには、いくらかの判断が残るだろう。論点は、現在の束が、オフィスにあまりに多くの制度的テコ入れを与え、台帳、サービス、ユーザーにあまりに少ない独立したレジリエンスを与えているということである。
AFRINIC は、危険性と道筋の両方を示している。危険性は、企業の生命、選挙プロセス、法的紛争、メンバー間の対立が重要なレコードと絡み合いうる地域レジストリである。道筋は無謀な閉鎖ではない。それは段階的な継続性である。すなわち、エスクローされた台帳データ、ポータブルな証拠、サービス代替、狭い権限、紛争隔離、法的引き継ぎ、メンバー保護、公開証拠、カストディから分離された地域の助言である。これは改革や革命という言葉よりも劇的ではない。そしてまた、より真剣でもある。
インターネットの番号層は、退屈であるべきだという前提で許容されてきた。希少性、資産価値、地政学的圧力、制度的危機が、それを最悪の意味で面白くした。治療法は、新しい神権をもっと面白くすることではない。治療法は、重要な部分を再び退屈にすることである。すなわち、検証可能なレコード、予測可能なサービス、境界づけられた権限、そして拡散しない紛争である。
レジストリが、自らの失敗の後も台帳が存続することを証明できるならば、それはより多くの信頼に値する。それができないならば、コミュニティ、歴史、認識に関するいかなるレトリックも十分であるべきではない。適切な忠誠は、ゲートキーパーに対してではない。それは、ゲートキーパーが単に記録することになっていた番号の上に、真のネットワークを構築したユーザーの継続性に対してである。

