要約
- 移行アーキテクチャは ARIN 廃止の論拠ではない。それは、レジストリ機能の継続性を、いずれか一つの事業者の裁量的永続性から分離するための設計演習である。
- ARIN が適切な成熟事例である理由は、その記録が高価値 IPv4 移転市場、レガシーリソース管理、公開ディレクトリへの依存、RPKI、逆引き DNS、裁判所の証拠、クラウドオンボーディング、小規模事業者の継続性を支えているからである。
- 最小の不変条件は一意性である。地域レジストリを超えるいかなるアーキテクチャも、移行のあらゆる時点で、各番号資源に対して監査可能な単一の登録主張を保持しなければ、信頼に値しない。
- 実用的なアーキテクチャは、エスクロー管理されたレジストリ状態、署名付きの変更履歴、中立の継続オペレーター、保有者認証の可搬性、制約付きの緊急権限、そして RDAP、Whois、逆引き DNS、RPKI に関する検証済みサービス継承を組み合わせる。
- 真剣な切り替えは、段階的で、可逆的で、退屈なものになる。すなわち、最後に検証された状態を凍結し、監査データをシャドー公開し、既存サービスを維持し、認証を移行し、セキュリティチェーンの継続性をテストし、一意性を損なわないことが証明された機能のみを移行するのである。
移行設計は廃止ではない
地域インターネットレジストリの先にある未来を議論する最も有用な方法は、廃止から始めることではない。廃止は組織の結論である。移行アーキテクチャはエンジニアリングと経済の問題である。それは、現在の事業者が、市場が信頼できる方法でレジストリ機能を実行するにはあまりにも裁量的、脆弱、高コスト、利害が衝突しすぎている、法的に制約されすぎている、あるいは弱すぎる場合に、何を継続しなければならないかを問うものである。答えは、現在の事業者がより厳格な制約の下で継続するかもしれないし、緊急事業者がガバナンスが修復される間に狭いサービスを実行するかもしれないし、一部の機能がよりオープンな技術層に移行し、他は現行機関に残るかもしれないし、現行機関が長期間にわたって最良の事業者であり続けるかもしれない。これらの答えはいずれも、機能がまず組織から分離されない限り評価できない。
ARIN が有用なケースであるのは、それが明白な故障ケースではないからに他ならない。それは成熟した地域を担い、深い技術力、洗練された資源保有者、長いレガシー記録、枯渇した IPv4 フリープール、活発な移転、裁判所、銀行、クラウドプロバイダー、セキュリティチーム、事業者による強い依存を特徴とする。その成熟は、問題を難しくするのであって、易しくするのではない。もし ARIN について無謀に聞こえずに移行アーキテクチャを記述できないなら、それはおそらくアーキテクチャではない。一意性、セキュリティ、継続性、市場の信頼を保持する方法で ARIN について記述できるなら、同じ枠組みはより弱い、あるいはよりストレスのかかる地域に適応できる。
目的は、既知の機関をスローガンで置き換えることではない。インターネット番号システムは抗議によって稼働し得ない。それには記録、検証、認証された変更、公開クエリサービス、料金による裏付け、紛争処理、逆引き DNS 委任、ルーティングセキュリティの公開、レガシー保有者の継続性、そして何らかの形の認知された調整が必要である。これらを壊す移行は、レジストリ権力を規律するものではない。それは、レジストリ層が退屈であることに依存するネットワークを罰するであろう。
しかし、逆の誤りもまた一般的である。レジストリ機能が重要であるがゆえに、人々は現行事業者の裁量的地位全体が保護されねばならないと推論する。その推論は過大である。一意性が継続しなければならないという事実は、あらゆるポリシー手段、理事会の理論、料金設計、執行慣行、組織の境界が変更されてはならないことを証明しない。重要インフラは通常、反対の方向を指し示す。機能が重要であるほど、その事業者はより復旧可能、監査可能、代替可能であるべきだ。
したがって、移行アーキテクチャは区別から始まる。保護されるべきものは登録機能である。すなわち、番号資源の単一の認知された状態、変更の背後にある証跡、記録を利用可能にする公開サービス、紛争が解決される間に稼働中のネットワークが安定を保つ能力である。保護されるべきものは、その機能のための唯一の想像可能な器であるという現行事業者の主張ではない。
この枠組みは、問題を制度経済学の範囲内に留める。レジストリは、市場に信頼できる参照点を与えることで取引コストを下げる。その参照点があまりにも裁量的になると、依存のコストが上昇する。買い手はより多くの保証を求め、売り手は割引を受け入れ、銀行はより大きなヘアカットを適用し、クラウドプラットフォームはより多くの証明を求め、小規模事業者は拡大を遅らせ、裁判所や規制当局は技術的な不確実性に直面する。移行アーキテクチャは、制度的信頼だけではもはや十分でなくなったときに、コスト低減機能を保持する方法である。
ARIN にとって、問題は、その地域が明日、異なるレジストリの下で目覚めるべきかどうかではない。そうすべきではない。問題は、北米のレジストリ機能が、もしそのような移行がいつか必要になったとしても、即興なしに起こり得るようにすでに設計されているかどうかである。成熟したシステムは、救命ボートを必要になる前に建造する。彼らはその救命ボートで恒久的に航海するわけではないし、救命ボートの存在を船への攻撃と呼んだりしない。
ARIN は機能しているからこそ難しいケースである
移行の議論はしばしば、苦境にある組織から始まる。苦境がリスクを可視化するからである。それは理解できるが不完全である。崩壊だけのために作られた計画は、緊急事態に偏重し、市場には弱い傾向がある。それは、理事会が機能不全に陥り、オフィスが麻痺し、裁判所が介入したときに、どのようにレジストリを維持するかを述べる。それは、成熟し機能しているレジストリが、信頼に値する十分な代替可能性をいかにして自分自身で備え得るかについては、あまり語らない。ARIN は第二のカテゴリーに属する。
ARIN の公開されている担当地域には、米国、カナダ、および多くのカリブ海・北大西洋の司法管轄が含まれる。経済的な幅は広い。ハイパースケールクラウドプラットフォーム、大手通信事業者、大学、公的機関、金融機関、コンテンツネットワーク、ホスティング事業者、セキュリティ企業、エンタープライズのレガシー保有者、小規模アクセス事業者は、それぞれ異なる方法でレジストリ記録に依存している。法務チームやアドレス市場アドバイザーを持つ者もいれば、ルーティング、カスタマーサポート、事務処理を一人のエンジニアが行う者もいる。移行アーキテクチャは、複雑さを乗り越える余裕のある企業だけのために設計されてはならない。
ARIN のIPv4 フリープールは 2015 年 9 月以降枯渇している。この事実は、レジストリの経済的意味を変える。割り振りの時代においては、鍵となる問題は新しい供給をどう分配するかであった。枯渇の時代においては、鍵となる問題は、古く、移転された資源がどのようにして判読可能で、市場性があり、運用上安全に保たれるかである。移転、返却スペース、待機リストのメカニズム、レガシー資源の取り扱い、サービス契約、アカウント権限、RPKI、逆引き DNS、公開ディレクトリの正確性は、すでにネットワークやビジネスに組み込まれた希少なインプットの利用可能性に影響するため、重要である。
これが、ARIN がすでに目に見えて壊れているレジストリよりも移行設計のより良いテストである理由である。ARIN 地域の記録は単なるリストではない。それは、移転の決済参照点であり、合併や再編のためのデューデリジェンスの補助であり、不正利用対応のための連絡層であり、逆引き DNS への依存関係であり、ルーティングセキュリティサービスの基盤であり、誰が資源保有者のために行動できるかに関する紛争における実際的な事実である。周辺市場が大きければ大きいほど、無秩序な移行のコストは高くなる。
そのコストこそが、必要になる前に設計することの主な論拠である。もしレジストリ機能がパニックの中で移されなければならなくなった場合、あらゆる不確実性が取引コストとなる。どの記録が権威を持つのか?どの認証資格が生き残るのか?どの移転キューが凍結されるのか?どの逆引き DNS 委任が継続するのか?どの RPKI 証明書が有効なままか?どの裁判所命令がどの資源を制御するのか?どのスタッフがどの運用行為に署名できるのか?移行中にどの料金がサービスを賄うのか?どの変更が可逆的か?どの当事者が誤りに対して責任を負うのか?答えが出ない疑問の一つ一つがリスクプレミアムとなる。
機能している ARIN は、それらの疑問をパニックなしに問うことができる。いかなる組織的混乱があっても存続しなければならない最小限のサービスセットを特定できる。レジストリ状態の独立したエスクローを設計できる。公開フェイルオーバーをテストできる。アカウント権限を可搬性のあるものにできる。緊急権限がどのように始まり終わるかを定義できる。どの機能が純粋に事務的で、どれが市場を動かし、どれがセキュリティ上敏感で、どれがガバナンスを伴うかを特定できる。これらすべてを、自らが事業者であり続けながら行える。
だからこそ、移行アーキテクチャは ARIN への敵意と読まれるべきではない。むしろ、成熟したレジストリこそが、この規律を最も開発しやすい場所であるはずだ。弱い組織は、代替可能性が弱点を露呈させるために恐れる。強い組織は、代替可能性を強さの証拠として扱うことができる。自らの機能が、自らの一時的な不能状態を生き延びられると証明できるレジストリは、市場に今日レジストリに依存する理由を与える。
政治的な難しさは、代替可能性が権威の心理を変える点にある。自らをスチュワードと見なすレジストリは、バックアップを受け入れるかもしれない。継続性を組織的な当然の権利と見なし始めたレジストリは、それに抵抗するかもしれない。ARIN の成熟は、これを文化の生きた試金石とする。すなわち、安定性が台帳の保護として理解されるのか、オフィスの保護として理解されるのか、という点である。
不変条件は現行事業者ではなく一意性である
地域レジストリを超えるいかなる移行の第一のルールも、一意性が損なわれてはならないということである。他のあらゆる改革は二次的である。同じ番号資源に対して二つの両立しない登録主張を作り出すアーキテクチャは、システムを改善すると主張できない。もし移行が、重複した認識された保有者、不確かな権限の連鎖、あるいは取引相手が解決できない、争点となっている公開記録を生み出せば、治療は失敗である。
一意性は単純に聞こえる。一つの資源、一つの認識された登録状態。実際には、それは制御の束である。システムは、どのエンティティが現在保有者または責任当事者として記録されているかを知らねばならない。どの資格情報または法的文書が変更を承認できるかを知らねばならない。過去の変更を保存しなければならない。無関係な記録を書き換えずに紛争をマークしなければならない。同じ資源が二度移転されるのを防がなければならない。部外者が現在の状態を観察できるように公開サービスを維持しなければならない。裁判所、規制当局、監査人、買い手、またはネットワーク事業者が、記録がなぜそうなっているのかを理解できるだけの十分な証拠を保持しなければならない。
現行のレジストリは、この不変条件を提供する一つの方法ではあるが、不変条件そのものではない。事業者を不変条件と混同することは、多くの悪い議論の根源である。都市は水道圧を必要とするが、特定の管理者を永遠に必要とするわけではない。決済システムはファイナリティを必要とするが、内部のあらゆる委員会が恒久的である必要はない。番号システムは一意性を必要とするが、現在のレジストリモデルのあらゆる裁量的特徴が自然法として扱われる必要はない。
ARIN にとって、一意性は特別な歴史的テクスチャを持つ。この地域には、現代の契約が現在の密度を持つ以前に割り当てられたレガシー資源、現代的ポリシーの下で取得された移転資源、ルーティング関係で使用される自律システム番号、異なる希少性経済を持つ IPv6 割り振り、複雑な企業履歴を有する保有者が含まれる。移行問題は、現在の記録のテーブルをエクスポートすることで解決されるものではない。保管連鎖は、市場が記録の内容だけでなく、その記録が異議申し立てに対して耐えられるかどうかを問うために重要である。
だからこそ、最小限の移行アーキテクチャは、署名付きのバージョン管理された状態モデルから始まる。各々の権威ある変更は、先行状態、権限あるアクター、権限の根拠、タイムスタンプ、サービスカテゴリ、レビュー証跡に帰属可能であるべきだ。このモデルは機密の詳細を公衆に公開する必要はない。しかし、現在の状態が、私的な行政上の主張からではなく、管理されたシーケンスから生じたことを独立して検証できるようにする必要はある。市場はすべてのサポートチケットを読む必要はない。目に見えない書き換えが発生していないという保証を必要とする。
ここでもまた、開かれた監査レイヤーは、開かれた政治レイヤーよりも有用である。レジストリ移行は、すべての市場参加者がすべての変更について投票することを必要としない。それは、すべての関係者が状態機械が制約されていることを知ることを必要とする。公衆は、コミットメント、ハッシュ、シーケンス番号、紛争マーカー、緊急状態宣言、サービス継続の証明書を見られるべきである。機密の保有者文書は保護されたままでよい。台帳が黙って改変されていないことの証明は、保護されないべきである。
一意性はまた、紛争のルールを必要とする。移行中に、いくつかの記録は争点となる。企業が支配権を変更したかもしれない。レガシー保有者が古い連絡先を持っているかもしれない。移転が保留中かもしれない。裁判所が、ある資源には影響するが別の資源には影響しない命令を発したかもしれない。アーキテクチャは、行政的なスピードですべての紛争を解決すべきではない。最後に検証された状態を保存し、紛争をマークし、両立しない変更をブロックし、紛争を独立したフォーラムまたは定義された法的チャネルに送るべきである。これにより、レジストリ事業者がライブレコードを変更することによって、あらゆる争点のある経済的問題を決定する権力を与えずに、一意性が保持される。
したがって、不変条件は狭く、要求が厳しい。一つの権威ある状態を保持すること。それが知られる証拠を保持すること。外部者がそれに依存できる十分な証拠を公開すること。正当な更新を許可すること。二重認識を防ぐこと。紛争を隔離すること。それを超えるものはすべて、自らを正当化すべきである。
エスクローは継続性を約束ではなくオプションにする
レジストリの継続性は、しばしば安心させる言葉で語られる。サービスは冗長化されており、スタッフは有能であり、手順は存在し、組織はその責任を理解している。安心感は移行アーキテクチャにとっては十分ではない。エスクローは、継続性を約束からオプションに変えるメカニズムである。もし権威ある状態、認証マテリアル、公開設定、サービス依存関係が、一つの組織の排他的な実質的支配下に留まるなら、あらゆる緊急計画は最終的にはその組織の協力を求める要求となる。
エスクローはバックアップファイルよりも広範でなければならない。データベースの静的コピーは災害復旧に役立つかもしれないが、レジストリ移行には運用的エスクローが必要である。それには、現在のレジストリ状態、先行状態、署名付き変更ログ、連絡先および権限メタデータ、移転キュー状態、紛争マーカー、逆引き DNS 委任データ、RDAP および Whois 公開マテリアル、RPKI リポジトリおよび証明書状態情報、サービス設定、管理された保管下の関連暗号マテリアル、および資格のある継続オペレーターが最小限のサービスセットを実行するのに十分な指示が必要である。
データエスクローと機能エスクローの区別は重要である。データエスクローは「記録は復元できるか」という問いに答える。機能エスクローはより難しい問いに答える。すなわち、「緊急事業者に無制限の権限を与えずに、記録を緊急権限の下で提供し、認証し、更新し、保護できるか」である。成熟したレジストリは、両方に答えられるべきである。
ARIN にとって、エスクローは機密性と法的義務を尊重しなければならない。保有者文書、本人確認ファイル、アカウント資格情報、サポート通信、取引詳細は、単に公開することはできない。しかし機密性はエスクローに対する反論ではなく、階層化された保管の論拠である。公開コミットメントは、状態が存在し、変更されていないことを証明できる。独立した保管者は暗号化された資料を保持できる。アクセスには複数当事者の承認が必要となり得る。裁判所は定義された状況下で開示を強制できる。監査人は、すべての文書を市場に公開することなく、管理をレビューできる。
経済学は単純明快である。エスクローが信頼できるものであれば、市場はより少ない制度的テールリスクを織り込む。IPv4 アドレス空間の買い手は、レジストリが混乱した場合でも、最後に検証された状態と移転の証拠が復元できることを知っている。アドレス依存ビジネスに融資する銀行は、認知された記録が一つのオフィスの人質にならないことを知っている。持ち込みアドレスアレンジメントに依存するクラウドプロバイダーは、組織的ストレス下でもアカウント権限とルーティングセキュリティサービスが維持できることを知っている。小規模事業者は、自らの継続性が、緊急官僚制度を乗り越える能力だけに完全に依存していないことを知っている。
エスクローはまた、現行事業者を規律する。記録が独立して保存されている組織は、不確実性をテコとして使う能力が低い。それは現行事業者が日常業務に対する権限を失うことを意味しない。その権限が証拠によって限定されることを意味する。適切に行動するレジストリは恩恵を受ける。エスクローはその作業の質を確認する。日和見的に行動するレジストリは、不透明さのカバーを失う。
設計上の課題は、新しい説明責任のない保管者を作らないことである。エスクローは裁量権を ARIN から単一の秘密主義のバックアップ請負業者に移すべきではない。保管者の役割は狭くあるべきである。すなわち、資料を保存し、完全性を検証し、継続性トリガーを有効にし、事前に定義された権限の下でアクセスを提供することである。保管者はポリシーを決定したり、移転を承認したり、契約を再解釈したり、影のレジストリになるべきではない。その正当性は、地域的権威への新たな主張からではなく、技術的保管と監査可能なルールから来るべきである。
エスクローはまた、継続的であるべきである。年に一度のデポジットは、移転、アカウント変更、ルーティングセキュリティ更新、逆引き DNS 変更が日々重要であり得る市場にとっては遅すぎる。適切な周期はサービスに依存するが、原則は明らかである。検証可能な状態の最大損失は、事業者と取引相手が許容できるほど小さくなければならない。一部の公開サービスにとっては、ほぼリアルタイムの複製を意味するかもしれない。深く機密のファイルにとっては、制御された取得を伴う頻繁な暗号化コミットメントを意味するかもしれない。
キーポイントは、エスクローが移行を容易にするということではない。それは移行を可能にするということである。エスクローなしでは、機能不全のレジストリ事業者を置き換えたり制約したりするあらゆる議論は理論的である。エスクローがあれば、問題はガバナンスの問題となる。すなわち、誰が、どのサービスのために、どのような制限の下で、どのような通常業務への復帰経路をもって、継続性をアクティブにできるか、という問題である。
中立の継続オペレーターは、その退屈さにおいてのみ強力であるべきだ
もしレジストリ機能が組織的障害を通じて遂行されなければならないなら、継続オペレーターが必要になるかもしれない。この用語は意図的に退屈に聞こえるべきである。継続オペレーターは、競合する政府でも、新しい地域的聖職者層でも、ポリシー議会でも、商業ブローカーでも、ステルスによる恒久的後継者でもない。それは、通常の事業者が信頼できないか、機能できないときに、狭い権限の下で最小限のサービスセットを実行できるエンティティである。
最小限のサービスセットは、事業者が選ばれる前に定義されるべきである。それには、最後に検証されたレジストリ状態の公開、RDAP および Whois の継続性、逆引き DNS の維持、RPKI リポジトリと証明書状態の継続性、緊急性の低い変更のための認証された保有者サポート、不正な完了なしの移転キューの保持、紛争マーキング、サービスを維持するのに十分な料金収受、裁判所、規制当局、資源保有者とのコミュニケーションが含まれるべきである。それには、幅広いポリシー改定、裁量的再割り振り、マーケットメイキング、懲罰的取消、組織的ロビー活動、レジストリのミッションの拡大は含まれるべきではない。
事業者の美徳は手続き上の謙虚さである。明かりを保ち、台帳を保存し、制限された変更を認証し、パニックを防ぐ。それは、番号資源の所有権、地域主権、移転経済、RIR モデルの未来についてのイデオロギー的な問いを片付けるために緊急事態を利用したりしない。それらの問いは重要かもしれないが、緊急継続性はそれらにとって間違った場である。
中立性にはいくつかの次元がある。第一に、事業者はアドレス移転、リース、ブローカー業務、または競合するレジストリビジネスに直接の商業的利益を持つ市場参加者であってはならない。第二に、それは緊急事態を引き起こした現行事業者によって支配されるべきではない。第三に、それは現行機関クラスを保護するインセンティブを共有する同業機関だけによって支配されるべきではない。第四に、それはあらゆる法的要求を地政学的紛争に変えることなく、裁判所や規制当局の指示を受け取り、従う法的能力を有するべきである。第五に、それはその中立性が無能の言い訳にならないように十分に技術的に有能であるべきである。
ARIN にとって、これは高いハードルである。地域の市場の洗練度は、あらゆる継続オペレーターが弁護士、銀行、ブローカー、クラウドプラットフォーム、小規模事業者、公共機関、ネットワークエンジニアによって監視されることを意味する。失敗は実際の価値を動かし得る。遅延したサービスは顧客を混乱させ得る。不注意な RPKI アクションはルーティング上の結果を生み出し得る。不十分に扱われたアカウントの回復は詐欺を招き得る。したがって、事業者は事前認定され、保険に加入し、監査を受け、リハーサルされ、制限されなければならない。
緊急権限はまた、可逆的であるべきである。継続オペレーターは、最後に検証された状態から開始し、自らが実行する全ての行為の厳格な記録を保持すべきである。通常の権限が回復されたとき、または後継者が選ばれたとき、その変更はレビュー可能で、適切な場合には可逆的であるべきである。これは特に市場を動かす行為にとって重要である。日常的な公開継続性は、単に時間が経過するという意味でしか不可逆的でないかもしれない。移転承認、取消、または完全なアカウント権限の置き換えは、交渉の立場を変え得る。これらの行為には、サービス継続性が他の方法で害されない限り、独立した承認または遅延完了が必要である。
資金調達は緊急時の即興に依存すべきではない。アクティベーション後に支払いを交渉しなければならない継続オペレーターは、自らがサービスを提供するか制約する当事者からの圧力に直面するであろう。より良い構造は、事前に積み立てられた準備金、保険のような拠出、または最小サービスセットに結びついたエスクローサービス料金メカニズムである。金額は法外である必要はない。その目的は、第二の恒久的官僚を作り出すことではなく、技術的継続性に資金を供給することである。
政治的な誘惑は、事業者をあまりにも代表制にしすぎようとすることだろう。委員会は議席を欲するかもしれない。利害関係者は公式な発言権を要求するかもしれない。政府は保証を求めるかもしれない。保有者は保護を欲するかもしれない。代表性は重要だが、継続オペレーターは審議集会になってはならない。監督はその周りに座ることができる。権限は狭いままでなければならない。事業者の仕事は、正当な機関が次に来るものは何かを決定する間に、レジストリ機能が失敗するのを防ぐことである。
だからこそ、事業者はその退屈さにおいてのみ強力であるべきである。そのマンデートはあまりにも限定され、行為はあまりにもログされ、トリガーはあまりにも定義され、出口はあまりにも明確であるべきであり、誰も政治的利益のためにそれを支配しようと合理的に求めないようになるべきである。それが賞品として魅力的になるならば、その設計は失敗している。
オープンな監査レイヤーは、あらゆる決定を政治化せずに状態を証明すべきである
番号資源の文脈におけるオープンな台帳は、あらゆる機密のレジストリファイルが公開になったり、あらゆる保有者の商業情報が公開チェーンに載せられたりすることを意味する必要はない。有用なアイデアはより狭い。すなわち、権威ある状態とその遷移は独立して検証可能であるべきだ。公衆の信頼は、現行事業者の非公開データベースが首尾一貫しているという主張だけに依存すべきではない。
アーキテクチャは、三つのレイヤーを分離できる。第一は機密証拠レイヤーである。契約書、本人確認文書、企業記録、サポートチケット、移転ファイル、制裁チェック、法的通信、セキュリティ上敏感なアカウント資料。第二は権威あるレジストリ状態である。保有者、資源、ステータス、適切な場合の公開連絡先、逆引き DNS 情報、ルーティングセキュリティ適格性、紛争マーカー、サービス状態。第三は監査レイヤーである。署名付きコミットメント、変更シーケンス番号、状態ハッシュ、緊急宣言、保管証明、どの状態が最新であるかについての公開声明。
第三のレイヤーは、第一のレイヤーを公開することなくオープンにできる。それにより、外部者は、ある記録が特定の時点でレジストリ状態の一部であったこと、変更が定義されたシーケンスで発生したこと、変更が認識された経路を通じて認可されたこと、サイレントフォークが持ち込まれていないことを知ることができる。それはまた、継続オペレーターが、便宜的な再構成からではなく、最後に検証された状態から開始したことを証明することを可能にする。
ARIN の市場にとって、これは危機がなくとも価値があろう。移転は、よりクリーンな監査証跡を持つことになる。レガシー保有者の正規化は、デューデリジェンスが容易になるだろう。銀行や買い手は、ナラティブよりも証明を求めることができるだろう。裁判所は、レジストリの証明書を証拠と比較できるだろう。セキュリティチームは、古い公開連絡先を未検証の書き換えと区別できるだろう。小規模事業者は、非公式の信頼や専門の仲介者への依存が低くなるだろう。
リスクは、オープンな監査がパフォーマティブな透明性になることである。大量のデータを公開することは、システムを説明責任があるように見せかけながら、通常の利用者が決定的な事実を理解するのを難しくする可能性がある。良い監査レイヤーは特定の問いに答えるべきである。現在の権威ある状態は何か?先行状態は何だったか?いつ変更されたか?どの権限クラスの下で変更されたか?資源は争点になっているか?公開サービスは通常の権限下か緊急権限下で運用されているか?継続性トリガーは発動されたか?どの記録が凍結されているか?どのサービスがシャドー公開されているか?
ここでもまた、決定論的検証が助けになる。一部のルールはローカルにチェックできる。状態遷移は同じ資源を二度割り振ったり認識したりすべきではない。移転は、先行状態で認識された保有者から開始しなければならない。緊急宣言は開始時間、範囲、認可トリガーを持つべきである。紛争マーカーは、両立しない変更をブロックしつつ、最後に検証された状態を保持すべきである。逆引き DNS の更新は、認識された資源保有者または認可された委任先にマップすべきである。そのようなルールが機械的に検証できるほど、システムが必要とする裁量的信頼は少なくなる。
全ての問いが機械的にできるわけではない。合併文書が有効かどうかは法的判断を要するかもしれない。裁判所命令が特定の関連会社に適用されるかどうかは解釈を要するかもしれない。制裁リスクがサービスをブロックするかどうかは法律に依存するかもしれない。監査レイヤーは判断を置き換えるふりをすべきではない。判断を帰属可能、限定、レビュー可能にすべきである。
オープンな監査レイヤーはまた、時期尚早な地方分権を強いることなく、将来の地方分権の基盤を作る。システムは、現行レジストリの状態の周りに証明を公開することから始められる。時間をかけて、保有者はポータブルな資格情報、独立した検証ツール、ローカルにチェック可能な記録を受け取ることができる。制度的信頼から技術的検証可能性への移行は段階的で良い。目標は、一度の動きで ARIN のデータベースから完全に分散した世界に跳躍することではない。それは、ある時点である単一事業者に置かねばならない信頼の量を減らすことである。
緊急権限は構築によって失効しなければならない
あらゆる移行アーキテクチャは緊急権限を必要とする。それはまた、緊急権限を不信する必要がある。レジストリ機能が危機に入った瞬間、誰かが、どの状態を凍結するか、どのサービスを継続するか、誰が緊急の変更を行えるか、保有者がどのように認証するか、裁判所と規制当局が何を受け取るか、そしてハイコンシークエンスな取引をいつ一時停止するかを決定しなければならない。誰も行動できなければ、継続性は失敗する。誰かが制限なく行動できれば、緊急事態は新しい裁量権力の源となる。
解決策は、緊急権限を最初から可逆的で、範囲が限定され、時間制限付きにすることである。トリガーはその条件を特定すべきである。すなわち、サービスの喪失、定足数の喪失、裁判所が任命した管理、支払不能、深刻なセキュリティ侵害、検証されたデータ完全性の侵害、主要サービスの公開不能、または別の事前定義されたイベント。宣言はサービスの範囲を述べるべきである。すなわち、公開のみ、サポート継続性、セキュリティチェーンの維持、移転凍結、紛争隔離、または完全な最小サービス運用。それは、誰がトリガーを認可したか、どのような証拠がそれを支持したか、いつ失効するか、どのように更新できるかを述べるべきである。
ARIN にとって、緊急事態の範囲は細かなグラニュラリティを必要とするだろう。RDAP 公開継続性は移転承認とは異なる。逆引き DNS の維持は料金ポリシーの変更とは異なる。RPKI リポジトリの継続性は、争点のある保有者に対する新しい資源証明とは異なる。アカウントパスワードの回復は、ある組織の権限構造全体の置き換えとは異なる。単一の緊急ラベルが、これらすべての行為に対して一事業者に等しい裁量を与えてはならない。
失効は形式的なものではない。ストレス下にある組織はしばしば、一時的な措置が便利であることに気づく。継続オペレーターは、自らが有用になったことに気づくかもしれない。同業機関は、難しいガバナンス問題を再開しないことを好むかもしれない。大規模な市場参加者は緊急体制に適応し、静かにその延長のためにロビー活動をするかもしれない。スタッフは一時的な指揮命令の明確さを好むかもしれない。したがって、緊急権限は、証拠が更新を正当化しない限り、自動的に終了する傾向を持たなければならない。
更新は、基礎となる証拠が機密のままである場合でも、公開されるべきである。通知は、通常の事業者が技術的能力を回復していないために、裁判所命令が未解決であるために、鍵となる資料がリスクにさらされているために、またはセキュリティレビューが完了していないために、特定のサービスが継続性権限下にあることを伝えることができる。通知は、機密の資格情報や非公開の保有者ファイルを明らかにする必要はない。それは、影響を受ける当事者が、緊急権限が惰性で走っていないことを知るのに十分なだけ明らかにすべきである。
緊急権限はまた、デフォルトで非破壊的であるべきである。最後に検証された状態は保存されるべきである。矛盾する変更は一時停止されるべきである。既存の有効な公開は継続すべきである。稼働中のネットワークは、ガバナンス層が争われているという理由だけで、番号を振り直したり、逆引き DNS を失ったり、セキュリティ証明を失ったり、公開連絡可能性を失ったりすることを強いられるべきではない。独立した法的判断が破壊的な行為を要求する場合、アーキテクチャはその決定を記録し、範囲を狭くし、レビューのために証拠を保存すべきである。
このことは重要である。なぜなら、番号資源の紛争は、組織を自衛行為へと駆り立てうるからである。保有者がポリシーに違反したと信じるレジストリは、取消を欲するかもしれない。債権者は移転のブロックを欲するかもしれない。買い手はクロージングの加速を欲するかもしれない。政府は資源の無効化を欲するかもしれない。継続オペレーターは、自分の要求を緊急と見せかけることができる当事者にとって都合の良い道具になることに抵抗すべきである。そのルールは、定義された権威が特定の変更を必要としない限り、保存であるべきである。
緊急権限のテストはシンプルである。同じメカニズムが、それを呼び出す当事者が信頼されていない場合にも安全に使用できるだろうか?答えがノーなら、そのメカニズムはあまりにも裁量的である。移行アーキテクチャは、善良な人々が緊急役職を占めることに依存すべきではない。それは、彼らの選択を、信頼が助けにはなるが致命的ではないほど十分に狭くすべきである。
保有者認証はポータブルにならなければならない
レジストリ記録は、誰がそれを変更できるかを決定するシステムと同じ程度にしか有用ではない。したがって、保有者認証は移行アーキテクチャの最も重要で、議論が十分でない部分の一つである。もし資源保有者の権限が一つのレジストリのアカウントシステム内にしか存在しないなら、その保有者はポータブルではない。それは貴重な番号資源、公開記録、運用上の依存を所有しながらも、行動する能力を認識してもらうために現行のレジストリに依存したままかもしれない。
ポータビリティは、どんな保有者もチェックなしに要求に応じてどこへでも移動できることを意味しない。それは、保有者権限の証明が、レジストリ事業者、継続オペレーター、またはサービスモデルの変更を生き延びることができるべきだということを意味する。保有者は、正当な登録サービスを維持するためだけに、番号を振り直したり、全履歴を一から再証明したり、機能不全の組織から裁量的許可を得たりする必要があってはならない。
ARIN にとって、ポータブルな認証はいくつかの集団を扱う必要があるだろう。現代的な成員や顧客は、明確なアカウント構造、サービス契約、検証された連絡先を持っているかもしれない。レガシー保有者は、より古い記録、部分的な文書、歴史的な企業変更、特別なサービス取り決めを持っているかもしれない。移転受領者は、最近の承認ファイルを持っているかもしれない。公共団体は、法定権限を持っているかもしれない。大学は、分散化された内部管理を持っているかもしれない。企業は、合併、再編、破産、または委任された技術連絡先を持っているかもしれない。単一のパスワードシステムは、これらすべての意味を運ぶことはできない。
アーキテクチャは、身元証明、権限証明、および資源関係証明を分離すべきである。身元はアクターが誰かを問う。権限はアクターが保有者を拘束できるかを問う。資源関係は、保有者が当該資源について認識されているかを問う。通常のレジストリ運用では、これらはアカウントインターフェースに圧縮されるかもしれない。移行では、圧縮はリスクになる。ポータブルな資格情報は、継続オペレーターまたは後継者が、隠された現行事業者の知識に依存することなく、同じカテゴリーを検証できるようにすべきである。
一つの可能なモデルは、保有者権限パッケージである。すなわち、保有者、認可された役割、資源リスト、契約またはサービス状態、委任された連絡先、紛争制限、緊急時利用条件を特定する、署名され、定期的に更新されるアサーションのセットである。一部は公開にできる。一部はエスクローのために暗号化できる。一部は公証された、または同等の法的証拠を要求できる。一部は多要素の技術的管理を通じて検証できる。特定の技術は、特性ほど重要ではない。すなわち、保有者は運用上の文脈を越えて検証可能な権限を運ぶことができる。
ポータブルな認証はまた、レジストリに対する説明責任を生み出す。もし保有者が一つのアカウントポータルから独立して自らの権限を保持できるなら、レジストリはロックインではなく、サービス品質、正確さ、信頼において競争しなければならない。これは地域的な調整を消滅させるものではない。それは資源保有者に安全弁を与える。平常時には、安全弁は使われずに座しているかもしれない。その存在がインセンティブを変えるのである。
DNS 市場は不完全なアナロジーを提供する。ドメインの登録者はしばしば、ドメインの継続性を保持するルールの下で、レジストラ間を移転できる。レジストリとレジストラの構造は、インターネット番号資源管理と同じではないし、アドレスはドメイン名ではない。それでも、経済的な教訓は関連がある。すなわち、ポータビリティは、基礎となる名前空間を混沌とさせることなく、サービスプロバイダーを規律することができる。難しいのは、消費者の便宜だけではなく、一意性、セキュリティ、法的証拠を中心にポータビリティを設計することである。
ポータブルな保有者認証はまた、緊急時の摩擦を減らすであろう。継続オペレーターは、プレッシャーのかかる中で保有者ごとに信頼を再構築する必要がなくなる。それは事前に存在する署名付き権限パッケージ、エスクローされた検証記録、定義された更新ルールを使用できる。裁判所と規制当局はより明確な証拠を得るであろう。小規模事業者は、一人の管理担当者が企業を去ったか、一つのレジストリポータルが利用できなくなったために、サービスを失う可能性が低くなるであろう。
目的は、保有者にすべての義務から逃れさせることではない。紛争下、制裁制約下、詐欺レビュー下、裁判所命令下にある保有者は、制限に直面するかもしれない。ポータビリティはそれらのマーカーもまた運ぶべきである。信頼できるアーキテクチャは、権限と制約を一緒に移動させる。それはレジストリの人質権力と保有者の日和見主義の両方を防ぐ。
RPKI、RDAP、逆引き DNS は危険な継ぎ目である
レジストリ移行をデータベース問題として記述するのは魅力的である。その魅惑は危険である。番号資源レジストリは、保有者と資源のテーブルだけではない。それは、他のシステムが消費する公開およびセキュリティサービスに囲まれている。RDAP、Whois、逆引き DNS、RPKI は、不十分に設計された移行が目に見える運用上の害を生じさせうる継ぎ目のうちにある。
RDAP と Whoisは公的な依存サービスである。それらは事業者、不正利用デスク、セキュリティ研究者、取引の相手方、その他が、誰が資源に関連付けられているか、そしてレジストリがその関連付けをどのように提示しているかを学ぶのを助ける。それらは運用上の制御の完全な記録ではなく、プライバシーや正確さの限界は重要であり得る。しかし、それらは市場の通常の証拠セットの一部である。移行中、公開ディレクトリは、最後に検証された状態から継続すべきであり、緊急権限、凍結された記録、または紛争に関する明確なマーカーを伴うべきである。沈黙は噂を招く。矛盾した並行公開は裁定取引を招く。
逆引き DNSは異なる結果を持つ。それは番号資源管理を、メールレピュテーション、診断、セキュリティツール、運用慣行に使われる命名インフラに結びつける。逆引き DNS 委任を誤った移行は、ルーティングが継続しても顧客向けの摩擦を生み出しうる。ルールは、保有者が正当な更新を要求するか、独立した決定が変更を要求するか、セキュリティインシデントが狭く範囲を決められたアクションを要求しない限り、既存の委任の継続であるべきである。継続オペレーターは、サービスを維持するために必要なデータと資格情報を持つべきで、委任を再編成する広範な裁量を持つべきではない。
RPKIは最もセキュリティ上敏感な継ぎ目である。それは資源証明書、ルートオリジン認可、リポジトリ、マニフェスト、失効マテリアル、公開ポイント、依存当事者検証を含む。不注意な移行はセキュリティアサーションを無効にし、古いマテリアルを作り、リポジトリの可用性を壊し、依存当事者を混乱させうる。静的バックアップでは不十分である。アーキテクチャは、鍵保管ルール、緊急署名手続き、証明書状態の継続性、リポジトリのフェイルオーバー、失効計画、および事業者が危機の前にテストできる移行パスを必要とする。
ARIN にとって、この感度は、洗練されたネットワーク間でのルーティングセキュリティ採用の規模と資源の市場価値によって増幅される。大規模アドレス保有者は、プロバイダー間のルーティングポリシーをサポートするために RPKI に依存するかもしれない。クラウド顧客は、セキュリティ態勢に資源証明を含む持ち込みアドレスアレンジメントに依存するかもしれない。小規模 ISP は完全なチェーンを理解していないかもしれないが、アップストリームがルートオリジン検証を実施すれば、依然として影響を受けるかもしれない。移行設計は、専門家ユーザーと、何かが壊れて初めてその依存関係を発見するユーザーの両方を保護しなければならない。
より安全なアプローチは、層化された継承である。第一に、現行事業者は、平常時にサービスを運用し続けながら、監査コミットメントを公開し、エスクローを維持する。第二に、シャドー継続環境は、ライブの矛盾データを提供することなく、RDAP、Whois、逆引き DNS、RPKI の状態が再構築できることを定期的に証明する。第三に、緊急手続きは、本番外の資源または管理されたテストケースでリハーサルされる。第四に、アクティベーションルールは、どのサービスがフェイルオーバーでき、そのフェイルオーバーが読み取り専用か、メンテナンス専用か、完全に運用的かを定義する。第五に、復帰パスが定義され、緊急サービスが恒久的なフォークにならないようにする。
RPKI には特別なアンチフォークルールが必要である。同じ資源について、同じ信頼期待の下で、矛盾するセキュリティマテリアルを発行する二つのライブの権威があってはならない。もし移行が公開または署名権限の移動を要求するなら、それは調整され、ログされ、依存当事者に見えるものでなければならない。セキュリティチェーンにおける曖昧さは、自動化されたルーティング決定が、人間がそれを説明できるよりも早く曖昧さを読み取るかもしれないため、通常の管理上の遅延よりも悪い。
より広い教訓は、レジストリの権力がポリシーだけでなくサービスに埋め込まれていることである。テーブルを保持しながら継ぎ目を壊す移行は、市場にとって失敗であろう。継ぎ目を安定に保ちながら裁量を減らす移行は、レジストリの継続性と組織の永続性が同じものではないことを示すであろう。
裁判所と規制当局は読みやすいレジストリ状態を必要とする
番号資源の紛争は、ますます、ルーティングテーブルの周りに構築されたのではない法的機関に触れる。裁判所、管財人、倒産専門家、規制当局、公共調達チーム、法執行チャネルは、誰が認識されているか、レジストリがどのような権限を持っていたか、どのサービスが影響を受けるか、どの行為が第三者に害を及ぼすかを理解する必要があるかもしれない。移行アーキテクチャは、法を外部の厄介者として扱うのではなく、その世界と両立するべきである。
第一の要件は可読性である。裁判官や規制当局は、専門用語、組織の評判、または私的な保証からレジストリの状態を推論しなければならないべきではない。記録は、技術的および法的な読者の両方が解析できる形式で、資源、認識された保有者、権限の経路、紛争状態、サービス状態、関連する制約、履歴の変更を述べるべきである。これはレジストリを通常の財産の言語に縮小することを意味しない。それは、認識の運用上の事実を、法的命令が狭くできるほど十分に明確にすることを意味する。
狭さは重要である。裁判所は、無関係な逆引き DNS の維持に影響を与えずに、争点のある移転を凍結する必要があるかもしれない。規制当局は、保有者状態を変更せずに連絡証拠を必要とするかもしれない。管財人は、RPKI の継続性を保持しながら、破産した企業のアカウント権限へのアクセスを必要とするかもしれない。制裁当局は、資源範囲全体を汚染することなく、特定のエンティティに対するサービス制限を要求するかもしれない。もしレジストリ状態がサービスカテゴリに分解されていなければ、法的指示は意図よりも広範になり得る。
ARIN の地域にとって、法的な両立性はオプションではない。周辺の経済は法的に洗練されている。アドレス保有は、合併、融資、破産、税務分析、公共調達、クラウド契約、商業紛争に現れ得る。弁護士は、番号資源を財産、契約上の権利、運用上の主張、ライセンス的な利益、その他として記述すべきかどうかについて意見が分かれるかもしれない。レジストリは法理論の全てを解決できない。それは、自らの認識状態とサービス境界を正確にすることができる。
これは、台帳を裁量的執行から分離するもう一つの理由である。レジストリまたは継続オペレーターは裁判所に次のように伝えることができるべきである。すなわち、これが最後に検証された状態であり、これが保留中のリクエストであり、これが私たちが維持できるサービスであり、凍結が影響を及ぼすのはこれであり、取消が必要となるのはこれであり、RPKI が変更されるのはこれであり、稼働中のネットワークをそのままにするのはこれである。この種の説明は、裁判所が粗雑な救済を避けるのを助ける。
規制当局もまた、移行が私的な無法地帯を作らないという保証を必要とする。RIR の裁量を超えた動きは、資源保有者が通常の法から免除されることを意味すべきではない。それは、執行が不透明なレジストリの自己救済を通じてではなく、正当な法的・技術的チャネルを通じて生じることを意味すべきである。もし国家がその管轄内の事業者に対して合法的な権限を持つなら、移行アーキテクチャは特定の命令を記録し執行できるべきである。それは、外国または超国家的な民間団体がその命令を、無関係なネットワークに対する一般的な権力に拡大することを許すべきではない。
同じ原則が市場規制にも適用される。アドレス移転、リース、使用の取り決めは、詐欺、制裁、税務、消費者保護、または競争の懸念を提起するかもしれない。レジストリの仕事は、普遍的な商業規制者になることではない。その仕事は、正確な認識を維持し、重複主張を防ぎ、変更を認証し、紛争をマークし、合法的な指示に従うことである。これらの機能を可読にする移行アーキテクチャは、適切な当局が、法の代替としてレジストリの裁量を使用することなく、不正行為に対処するのを容易にするであろう。
法的な両立性はまた、レジストリを保護する。組織は、自らの行為を通常のカテゴリーで説明できないとき、不信に直面する可能性がより高い。もし ARIN またはいかなる後継者が、管理された状態、監査可能な権限、狭いサービス効果、保存された証拠を示すことができれば、それは恣意的として扱われる可能性が低い。法は、レジストリ機能が単純であることを必要としない。それは理解可能であることを必要とする。
資金調達は、第二の現行事業者ではなく、レジリエンスを買うべきである
資金調達されなければ、いかなる移行アーキテクチャも信頼に値しない。エスクロー、監査、シャドー公開、緊急リハーサル、鍵保管、継続性スタッフ、保険、法的準備、公開コミュニケーションはすべて費用がかかる。これらに十分な資金を提供しないと、必要なときに失敗する装飾的な計画を作り出すことになる。過剰な資金提供は、自らの永続への欲求を持つ新しい組織を作り出しうる。したがって、資金調達モデルは、第二の現行事業者を買うことなく、レジリエンスを買わなければならない。
コストベースは最小限のサービスセットに従うべきである。もし継続性アーキテクチャが、レジストリ状態、公開ディレクトリサービス、逆引き DNS、RPKI の継続性、認証された緊急変更、紛争マーカー、証拠保管を保持することを意図されているなら、その予算はそれらの機能に結びつけられるべきである。幅広いポリシープログラム、アドボカシー、会議、市場分析、または組織拡大に資金を提供すべきではない。継続性に対して支払う準備金は、静かに並行するレジストリ官僚機構に成長する準備金よりも正当化しやすい。
いくつかの源泉があり得る。レジストリ料金への小さなレジリエンスサーチャージが、エスクローと継続性テストに資金を提供できる。既存の準備金の一部が、緊急運用のために充てられ得る。移転関連の料金は、移転が市場の信頼に大きく依存するため、監査インフラに貢献し得る。保険商品が特定の運用コストをカバーできる。大規模保有者は、そのようなサービスが彼らに特権的なレジストリステータスを与えないという条件で、任意の拡張保証サービスに資金提供するかもしれない。公的助成金は小規模事業者のためのレジリエンスを支援できるが、国家資金は政治的捕捉に対するセーフガードを必要とするだろう。
ARIN にとって、分配の問いは重要である。一律のサーチャージは、大規模プラットフォームにとっては些細でも、小規模ネットワークにとっては重要かもしれない。資源サイズに基づくサーチャージは正当化しやすいかもしれないが、レガシー保有への別の課税と見られるかもしれない。移転に連動した拠出は、市場の依存と整合するかもしれないが、すべての継続性のニーズをカバーしないだろう。準備金で賄うモデルは新たな料金を避けるかもしれないが、準備金が適切で、適切に統治されているという信頼を必要とする。正しいミックスは、誰が支払い、なぜ支払うのかについて透明であるべきだ。
資金調達はまた、パフォーマンスに条件付けられるべきである。エスクローデポジットは検証されるべきである。シャドーシステムはテストされるべきである。監査は有用なサマリーを公開すべきである。継続オペレーターはリハーサルに合格すべきである。RPKI 継承は、実際の検証行動に対して測定されるべきである。RDAP と逆引き DNS のフェイルオーバーには、スライドウェアではなく証拠があるべきである。もしアーキテクチャが資金提供されていてもテストされなければ、市場はやがてそれを割り引くことを学ぶであろう。
第二の現行事業者を作り出すリスクは、調達とローテーションを通じて減らすことができる。保管、監査、継続性の役割は分離できる。ベンダーはローテーションされるか、定期的に再入札され得る。単一の請負業者がすべての鍵、すべての証拠、すべての運用能力を保持すべきではない。監督には技術的、法的、保有者の視点が含まれるべきだが、それは大規模な恒久的議会になるべきではない。アーキテクチャは、その機関が壮大だからではなく、その義務が明確だからこそ、レジリエントであるべきだ。
責任は資金調達の一部である。ミスを犯し得る継続オペレーターは、狭い制限内での保険または補償を必要とする。監査人は報復に対する保護を必要とするが、重過失に対する免責は必要ない。保管者は契約と法によって執行可能な義務を必要とする。保有者は、緊急行為が権限を超えた場合の救済を必要とする。責任モデルなしでは、アーキテクチャは有能な事業者を引き付けないか、事業者に過剰な保護を与えるかのいずれかである。
経済原則は、レジリエンス支出が依存の総コストを削減すべきだということである。もし市場が移行準備に 1 ドル支払うが、より低いデューデリジェンス、より低い紛争リスク、より低い緊急不確実性、より低い継続性プレミアムにおいて数ドル節約するなら、その支出は正当化される。もし支出が主に組織の芝居を支えるなら、それは正当化されない。成熟した ARIN 地域のアーキテクチャは、その計算をあからさまに述べることができるはずである。
移行ガバナンスはドラマではなくシーケンスである
移行という言葉は、映画的な思考を招き得る。すなわち、危機、宣言、置き換え、新しい秩序。実際の移行は、はるかにドラマチックではないべきだ。最も安全な移行は、ほとんどのアクターが、システムがより監査可能で、一人の事業者に人質にされにくくなったことに気づくだけのものである。ガバナンスは、スペクタクルではなく証明を中心にシーケンス化されるべきだ。
第一段階はマッピングである。レジストリ機能は、記録状態、公開ディレクトリ公開、逆引き DNS、RPKI、保有者認証、移転処理、紛争処理、課金、ポリシー開発、法的コンプライアンス、メンバー説明責任に分解されなければならない。各機能は、可逆性、市場への影響、セキュリティ感受性、機密性、リアルタイム継続性の必要性によって分類されるべきである。この分類は、「レジストリ」についての漠然とした議論が、異なる部分が異なる移行ツールを必要とするという事実を覆い隠すのを防ぐ。
第二段階は証拠保存である。署名付き状態コミットメント、変更ログ、エスクローデポジット、権限パッケージ、サービス依存関係は、現行事業者が機能している間に捕捉されるべきである。故障するまで待つのは非合理である。機能不全の組織は、移行証拠が最も価値があるまさにそのときに、最も能力が低く、最も信頼されず、最も利害が衝突している。
第三段階はシャドー運用である。継続性環境は、公開記録を再構築し、RDAP 出力をテストし、逆引き DNS 委任をモデル化し、安全な方法で RPKI リポジトリ状態をミラーリングし、保有者権限パッケージを検証し、矛盾するライブデータを提供することなく緊急サポートをリハーサルすべきである。シャドー環境はライバルレジストリではない。それは、必要ならば機能が運用され得るという証明である。
第四段階は限定的ポータビリティである。保有者は、権限パッケージをダウンロードまたは検証し、資源リストを確認し、委任された連絡先をテストし、自らの記録が継続オペレーターによって認識され得ることを検証できるようにされる可能性がある。これは、古くなった連絡先、企業履歴の問題、レガシー文書のギャップを、危機においてではなく平常時に明らかにするだろう。それはまた、ポータビリティが革命的なスローガンではなく、実践的なコントロールであることを保有者に教えるだろう。
第五段階は緊急準備である。トリガー、通知、サービス範囲、更新ルール、料金フロー、裁判所インターフェース、コミュニケーションテンプレートがテストされるべきである。レジストリ、保管者、継続オペレーター、監督参加者は、アクティベーションが要求された場合に何が起こるかを知っているべきである。机上訓練だけでは不十分だが、即興よりはましである。技術的フェイルオーバーテスト、法的シミュレーション、保有者サポート訓練はすべて重要である。
これらの段階の後にのみ、ライブの切り替えが考慮されるべきである。その場合でも、切り替えは部分的かもしれない。通常の保有者変更が一時停止されている間に、RDAP 公開がフェイルオーバーするかもしれない。移転が凍結されたまま継続性権限の下で逆引き DNS の維持が委任されるかもしれない。RPKI リポジトリの継続性は、狭いルールの下を除いて新しい証明書を発行せずに維持されるかもしれない。保有者サポートは、市場を動かす移転ではなく、緊急の連絡先更新を処理するかもしれない。アーキテクチャは、部分的なアクティベーションを許容すべきである。なぜなら、現実の危機はめったに全面的ではないからである。
移行のガバナンスには、出口基準が含まれるべきである。何が通常運用を回復させる証拠か?どの欠陥が延長を要求するか?復帰後、どの行為がレビュー可能なままか?緊急サービス中に収受された料金はどうなるか?保有者は、権限が復帰したこと、または移動したことをどのように通知されるか?移行中に生じた紛争はどのように解決されるか?出口基準なしでは、移行計画は不完全である。
移行がシーケンス化されればされるほど、それは政治性を低める。人々は壮大な移行について戦うが、それは結果が不透明だからである。彼らは段階的なコントロールを評価できるが、それは各段階にテストがあるからである。エスクローは機能したか?監査コミットメントはデータベースと一致したか?RDAP シャドー公開は公開記録を再現したか?逆引き DNS フェイルオーバーは委任を維持したか?依存当事者は RPKI 継承テストを受け入れたか?保有者は首尾よく認証したか?これらは答えられる問いである。
段階的切り替えは読み取り専用の真実から始めるべきである
もしライブの切り替えがいつか必要になったとしても、最も安全な最初の動きは読み取り専用の真実であろう。継続オペレーターまたは後継者は、最後に検証された状態を、緊急マーキング付きで公開し、一方で矛盾する書き込みを防ぐべきである。これは一意性を保護し、市場に参照点を与える。長期にわたっては十分ではないが、それは正しい出発点である。
読み取り専用の真実にはいくつかの利点がある。部外者が依然として記録をクエリできるため、パニックを減らす。権限が争われている間に日和見的な変更を防ぐ。裁判所と規制当局がベースラインを見ることを可能にする。保有者に自らの資源リストと連絡先を検証する時間を与える。技術チームが RDAP、Whois、逆引き DNS、RPKI の継続性を個別に監視することを可能にする。あらゆるサービスが通常通り継続できると見せかけることなく、時間を稼ぐ。
第二の動きはメンテナンス書き込みである。これらは、サービスを維持するために必要な低リスクの変更である。すなわち、壊れた連絡先の訂正、争点のない保有者のための逆引き DNS 委任の維持、RPKI 公開の保持、緊急コミュニケーションチャネルの更新、紛争マーカーの記録。メンテナンス書き込みは、通常でない権限の下で発生するため、通常の書き込みよりも重くログされるべきである。それらは、回避可能な損害を防ぐこと以外には経済的価値を動かさないよう、十分に狭くあるべきである。
第三の動きは、認証された保有者書き込みである。ポータブルな権限パッケージまたは同等の検証が機能するようになれば、保有者は争点のない通常の更新を実行できるべきである。システムは、継続性を保持する変更と、支配権を移転する変更とを区別すべきである。技術連絡先の更新は、保有者の置き換えと同じではない。サービスの更新は、移転の承認と同じではない。成熟したインターフェースは、その違いをエンコードすべきである。
第四の動きは、キューに入れられた市場活動である。移転、合併、買収、再編、レガシーの正規化は、最終的には進行する必要があるかもしれない。しかし移行中は、独立したレビュー、明確な優先ルール、明示的な紛争チェックで扱われるべきである。市場は無期限に凍結できない。希少性は流動性を価値あるものにする。しかし、不確かな権限の下での流動性は、詐欺や不平等な交渉を招き得る。正しいシーケンスは、「市場を止める」でも「通常通り」でもなく、「ハイコンシークエンス活動は、権限の経路が証明されたときにのみ再開する」である。
第五の動きは、ポリシーの復旧または後継ガバナンスである。最小限のサービスと市場活動が安定すれば、より幅広い問いが扱える。すなわち、現行事業者が復帰すべきか、後継者が引き継ぐべきか、特定の機能はオープンな監査レイヤーに残るべきか、保有者ポータビリティは恒久的になるべきか、地域ポリシーメカニズムは改定されるべきか。それらは大きな制度的問いである。それらは、継続性が保護された後に答えられるべきであり、記録自体がリスクにさらされている間ではない。
ARIN にとって、段階的切り替えは、レガシー資源の周りで特に注意深くなければならないであろう。市場の依存の大部分は、歴史的文書が不揃いであるか、その現代契約との関係が保有者ごとに異なる資源に関するかもしれない。読み取り専用フェーズは、それらの差異を平坦化するのではなく、保存すべきである。メンテナンスフェーズは、緊急権限を使って新しい契約上の選択を強制すべきではない。市場活動フェーズは、すべてのレガシー保有者に初期インターネットの全履歴を証明させることなく、詐欺を防ぐのに十分な証拠を要求すべきである。
中心的なメトリックは、シーケンスを通じて一意性が損なわれないままであるかどうかである。どの時点でも、二つのライブシステムが同じ資源に対して同等の権限を主張すべきではない。どの時点でも、保有者が移行を悪用して重複認識を得るべきではない。どの時点でも、緊急事業者が、後のレビュー担当者が理解できる証跡を残さずに状態を変更すべきではない。これらのルールが保持されるなら、移行はそこからの断絶ではなく、レジストリ規律の延長となる。
ARIN はレジストリがレジストリを生き延びられることを証明できる
ARIN にとっての成熟したテストは、単純な命題を証明できるかどうかである。すなわち、北米の番号登録機能は、一意性を壊すことなく、一時的な不能、過度な裁量、または事業者の置き換えを生き延びることができる。この命題は ARIN が消滅することを要求しない。それは、機能が現在のオフィスよりも大きく、現在の裁量よりも規律されていることを ARIN が示すことを要求する。
第一の実際的なステップは、公開の最小サービス定義である。ARIN は、いかなる制度的ストレスの下でも継続しなければならないサービスを特定できるだろう。すなわち、レジストリ状態公開、RDAP と Whois、逆引き DNS、RPKI リポジトリ継続性、認証された緊急サポート、紛争マーキング、証拠保存、コミュニケーション。それは、それらを、一時停止できるサービスから区別できるだろう。すなわち、主要なポリシー変更、ハイコンシークエンスな移転、争点のあるアカウント置き換え、異常な執行行為、必須でないプログラム。
第二のステップはエスクロー設計である。どの状態がデポジットされるか?どのくらいの頻度で?誰の保管の下に?どのような暗号化で?どのようなトリガーの下に?何が公開で検証できるか?何が機密のままか?どのような裁判所または規制当局のインターフェースが存在するか?デポジットはどのようにテストされるか?これらの問いは革命的ではない。それらは重要インフラのレジリエンスの通常の問いである。
第三のステップは保有者ポータビリティである。ARIN は、保有者が権限パッケージを検証し、古くなった記録を訂正し、委任された連絡先を特定し、自らの認証が緊急運用をどのように生き延びるかを理解できるようにできるだろう。これは、移行が決して起こらなくても、現在のデータ品質を改善するだろう。それはまた、レガシーリソースの問題が緊急になる前に可視化されるようにするだろう。
第四のステップはサービス継承テストである。RDAP と Whois のシャドー公開はライブ出力に対してチェックできる。逆引き DNS フェイルオーバーは、管理されたケースの下でリハーサルできる。RPKI 継承は、本番でないマテリアルと文書化された依存当事者の振る舞いでテストできる。移転キューは凍結と再開のためにモデル化できる。アカウント回復はシミュレートできる。目的は公共のドラマを演出することではなく、最小サービスセットが運用可能であることを証明することである。
第五のステップは緊急ガバナンスである。トリガー、範囲、失効、更新通知、独立レビュー、復帰条件が定義されるべきである。緊急オペレーターは事前認定されるべきだが、政治的賞品として魅力的でないべきである。その役割は統治ではなく維持であるべきである。その権限は、最後に検証された状態を保持するときには最も強く、経済的地位を変えるように求められたときには最も弱くあるべきである。
第六のステップは市場コミュニケーションである。買い手、売り手、銀行、クラウドプラットフォーム、小規模事業者、公共団体、セキュリティチームは、アーキテクチャが何をするのか、何をしないのかを理解すべきである。それは認識状態を保持する。それはあらゆるネットワークによるルーティングを保証しない。それはセキュリティチェーンの継続性をサポートする。それはすべての法的紛争を除去するものではない。それは保有者権限を保持する。それは詐欺的な移転を容易にするものではない。明確な限界は信頼性の一部である。
もし ARIN がこれらのことを行えるなら、それは自らを弱めることはないだろう。それは、レジストリが仕える機能に対して自らを説明責任あるものとしたため、信頼できることを示すだろう。古いモデルは、機関が認識されているために、市場がその機関を信頼するよう求める。より良いモデルは、認識がエスクロー、監査可能性、ポータビリティ、緊急制限、テスト済みの継続性によって支えられているために、市場がその機関を信頼するよう求める。
それが RIR を超える移行アーキテクチャの経済学である。それは機能しているレジストリを破壊することを呼びかけるものではない。それは、人質のロジックを重要な調整レイヤーから取り除くことを呼びかけるものである。一意性を保持せよ。記録を保持せよ。RDAP、Whois、逆引き DNS、RPKI を保持せよ。稼働中のネットワークと市場の依存を保持せよ。法的可読性を保持せよ。しかし、それらの目標を、いずれか一つのレジストリ事業者の恒久的裁量権力と混同するな。
ARIN の成熟は、この区別を普通のものにすることでリードする機会を与える。レジストリを生き延びられるレジストリは、より弱いのではない。それは、ついにインフラのように設計されたのである。

