概要
- 公共セクターの ARIN 依存は、所有権の主張ではなく継続性の問題である。税制、裁判所、医療ネットワーク、教育プラットフォーム、緊急サービス、港湾、空港、自治体システムはすべて、公的機関が十分に管理していない番号リソースの証拠に依存している。
- レジストリ記録は、機関がサービスを移行し、クラウド上で BYOIP を検証し、逆引き DNS を維持し、災害後に復旧し、ルート起点を承認し、法執行や監査の質問に対応し、公共プレフィックスを管理できる主体を証明する際に、運用上の証拠となる。
- IPv4 の不足とパブリッククラウド調達は、台帳を経済的により重要にするが、ARIN の正当な役割は狭いままである。正確な記録、限定されたポリシー実行、信頼できるレジストリサービス、明確な復旧経路であり、公共ネットワークに対する広範な権限ではない。
- 機関にとっての実際の試練は、アドレスガバナンスが継続性計画、契約、災害訓練、出口戦略に現れているかどうかであり、危機が時代遅れの連絡先、ベンダーロックイン、または検証不可能なルーティング権限を露呈する前に対処する必要がある。
IT の付属文書に留めておけない継続性レビュー
インターネット番号リソースに関する本質的な議論は、レジストリ会合、キャリアのピアリングフォーラム、あるいはクラウドアーキテクチャのサミットでは行われない。それは継続性の部屋で行われ、テーブルを囲む人々はインターネットガバナンスについて全く考えていないときに起こる。
毎年の申告ラッシュに備える州の歳入局を想像してみてほしい。税ポータルは、商用 DDoS サービスの背後に公開フロントエンドを持ち、複数年契約で調達された ID プロバイダー、厳格なアドレス許可リストを持つ決済ゲートウェイ、そして第 2 のクラウドリージョンでの復旧手配を備えている。局は、認証情報の盗難に対するインシデント対応計画、データベース破損に対する災害復旧計画、納税者に通知するためのコミュニケーション計画を持っている。最高情報セキュリティ責任者は、脆弱性の優先順位付けを説明できる。調達担当者は、クラウド契約が軽々しく変更できない理由を説明できる。継続性リーダーは、ポータルの復旧時間目標を説明できる。しかし、これらすべての計画の下には、より静かな依存関係が存在する。それは、サービスが依存する公開アドレス空間を、証明し、維持し、ルーティングし、説明する機関の能力である。
この依存関係は、公的セクターのリスクとして名指しされることはめったにない。それは配管のように扱われ、ネットワークエンジニアに委譲されるか、ベンダーのマネージドサービスの中に隠されている。しかし、公共サービスが移動、再広告、復旧、調査、許可リストの防御、独自のアドレスブロックのクラウドプロバイダーへの持ち込み、特定の時点でどの組織がプレフィックスを管理していたかの証明を行わなければならなくなった瞬間、レジストリ記録はバックグラウンドのインフラではなくなる。それは行政の一部となる。
アメリカ合衆国、カナダ、プエルトリコ、英語圏カリブ海の大部分、および北大西洋の島嶼地域や諸領土にとって、そのレジストリが ARIN である。ARIN の公式サービス地域ページには、アメリカ合衆国、カナダ、プエルトリコ、バーミューダ、ジャマイカ、バルバドス、バハマ、ケイマン諸島、米領バージン諸島、英領バージン諸島、タークス・カイコス諸島、セントルシア、セントクリストファー・ネイビス、セントビンセントおよびグレナディーン諸島、グレナダ、ドミニカ国、アンギラ、アンティグア・バーブーダ、モントセラト、グアドループ、マルティニーク、サン・バルテルミー、サン・マルタン、サンピエール島・ミクロン島などが記載されている。ARIN はこれらの場所のいずれの政府機関でもない。公共機関が運営するネットワークの所有者でもない。裁判所、税制、自治体警察ネットワーク、大学のバックボーン、空港ポータル、港湾コミュニティシステム、あるいは公衆衛生報告プラットフォームを運用しているわけではない。誰がインターネット番号リソースを使用するために登録されているかという地域記録を維持し、その記録を支えるサービスを運用している。
この区別が、公共セクターのアドレス依存性の経済学の出発点である。レジストリは行政上の台帳であり、所有者ではない。それは台帳であり、統治者ではない。しかし、IPv4 の不足、クラウド移行、サイバー調査、ルーティングセキュリティ、逆引き DNS、継続性義務の世界では、台帳はゲートキーパー効果を獲得している。公的機関は、通常、法的文書が認める以上にこれに依存しているが、その運営ルールの多くを定める制度もポリシープロセスも所有していない。
レジストリが規律を保ち、権限の範囲を限定し、記録保持が予測可能で、技術的に回復力があり、周囲に蓄積された公共の依存に対して説明責任を果たすならば、この非対称性は管理可能である。レジストリがスチュワードシップと所有権を混同したり、公的機関がアドレス記録を通常のベンダー書類と混同したり、あるいは不足が共有の管理機能を私的なレバレッジの場に変えたりするならば、危険になる。問題は、ARIN が有用かどうかではない。明らかに有用である。問題は、公共サービスが非国家レジストリによって管理される希少な番号リソースに依存する場合に、どのような制度的行動が必要かということである。
公共アドレス空間がただの IT 資産ではない理由
公共セクターのテクノロジーは、故障するまでは凡庸に見えるものばかりだ。裁判所の提出システムは、弁護士が提出期限を守れなくなるまではアプリケーションに見える。学校ネットワークは、生徒記録、学習プラットフォーム、緊急通知、試験システムがオフラインになるまではローカルインフラプロジェクトに見える。自治体ネットワークは、洪水時に警察、消防、水道、交通、図書館、許認可システムが稼働する必要に迫られるまではコストセンターに見える。保健局のポータルは、アウトブレイク時に研究所、病院、公衆がタイムリーな報告を必要とするまではウェブサイトに見える。
公開 IP アドレス空間は、こうした静かな依存関係の部類に入る。それはコンテンツではない。ソフトウェアではない。通常の政府予算の用語では公共サービスではない。それは、ネットワークを一意に識別し到達可能にする番号リソースである。しかし、公開 IPv4 アドレスは希少な管理上のインプットとなっている。レガシーシステム、ファイアウォールルール、パートナー統合、決済処理業者、メールレピュテーションシステム、セキュアトンネル、監視ツール、ジオロケーションサービス、監査証跡によって必要とされる。IPv6 の採用は長期的に IPv4 の技術的必要性を減少させるが、公共セクターが IPv4 ベースの管理と数十年にわたって統合されてきた現実を消し去るわけではない。ほとんどの機関は、次の四半期までにすべての請負業者、裁判所利用者、病院、学区、緊急管理責任者、隣接する管轄区域に対して IPv6 クリーンになるように指示することはできない。
不足はリソースの制度的性格を変える。IPv4 が豊富だった頃は、アドレスブロックは割り当ての詳細として扱えた。IPv4 がフリープールレベルで枯渇し、移転がアドレス空間を取得する通常の経路となった現在、公開アドレスブロックは継続性計画、調達経済学、そして行政上の正当性の一部となる。ARIN の移転資料には、ARIN またはその前身によって発行された IP アドレスと自律システム番号は、合併、買収、組織再編、指定受領者移転、または互換性のあるポリシーに基づくレジストリ間移転を含む特定のポリシー経路を通じてのみ移転できると記載されている。同資料はまた、記録の維持を継続的な責任としている。組織識別子、連絡先、責任ある再割り当て、逆引き DNS、料金のすべてが重要である。
これらの詳細は事務的に聞こえるが、そうではない。公衆衛生機関がクラウドプロバイダーにプレフィックスをオンボーディングする際にその管理を証明できない場合、移行が遅れる可能性がある。地方自治体がレジストリデータ内の連絡先が古い場合、時間的制約のあるルーティングセキュリティ修正が遅くなる可能性がある。逆引き DNS 委任が不適切に処理されると、メール、ログ記録、レピュテーションチェック、フォレンジックな解釈に支障をきたす。公共ネットワークが適切なルート起点認証を欠いている場合、一部のネットワークは、ルーティング検証の展開状況に応じて、そのルートを信頼性が低いと見なす可能性がある。調達によって公共のエンドポイントがベンダーのアドレスプールの背後に置かれると、機関は利便性を得る一方で、ポータビリティと証拠の明確さを失う可能性がある。
公的機関は単にロゴの異なる企業ではない。民間企業は、停止をビジネスリスク、顧客関係の問題、あるいは保険会社向けの問題と判断できる。公的機関には法的義務がある場合がある。裁判所を開き続け、税の申告を受け付け、公衆衛生を守り、緊急警報を発し、選挙を支援し、給付を処理し、公的記録を維持し、代替となる供給者がいない人々のアクセスを確保することが求められるかもしれない。民間企業は、投資収益率が気に入らなければ技術アップグレードを延期できる。地方自治体は、予算サイクル、調達ルール、組合協定、州の監視、災害復旧義務、情報公開法、政治的説明責任に縛られる。アドレス空間の民間保有者は、移転やリースをバランスシート上の決定と見なすことができる。公的機関は、希少な公共サービス投入物を、収益化すべきか、外部委託すべきか、あるいは市民が知ることのできない契約上の依存関係に置くべきかを問わなければならない。
したがって、経済学の出発点は、選択肢ではなく義務である。公的機関は単に「このアドレスブロックの市場価値はいくらか」と問うのではなく、「どの公共機能がこのアドレスブロックに依存しているか、それを使用しルーティングする権利をどのような証拠が証明するか、記録が争われたり古くなったりした場合に何が起きるか、誰が深夜 2 時に行動できるか、どのベンダーが変更を行えるか、そして後で我々の決定をどのように説明するか」と問うか、あるいは問うべきである。
所有者ではなく台帳としての ARIN
ARIN の公開資料では、定義された地域内で IP アドレス空間と自律システム番号を管理・発行する地域インターネットレジストリについて説明している。Whois および RDAP を通じて登録データへのアクセスを提供する。リソース保有者の逆引き DNS 委任を管理する。リソース公開鍵基盤(RPKI)やインターネットルーティングレジストリ(IRR)などのルーティングセキュリティサービスを提供する。企業文書、予算、年次報告書、ポリシーマニュアル、サービス資料を公開している。これらの事実は、その機関が実際に何をしているかを示すため、重要である。
同時に、それがどうあるべきではないかを示してもいる。ARIN は通信規制当局ではない。国の公共事業委員会ではない。公共調達機関ではない。オンライン行動に対する一般管轄権を持つ裁判所ではない。警察署がそのデータベースに登録されたアドレスブロックを使用しているからといって、ARIN が警察ネットワークを所有しているわけではない。大学が ARIN の組織識別子を保持しているからといって、ARIN が大学ネットワークを所有しているわけではない。郡の復旧計画が ARIN が公開を支援する逆引き DNS やルーティング証拠に依存しているからといって、ARIN が災害復旧計画を所有しているわけではない。
正しい制度モデルはより抑制的であり、それゆえにより重要である。ARIN は運用サービスを伴う台帳機関である。組織と番号リソースとの関連を記録する。オペレーター、調査者、ベンダー、取引相手が登録されたリソース保有者を特定できるよう、公開検索機能を提供する。リソース保有者が逆引き DNS 委任を維持できるようにする。リソース保有者がどの自律システムがプレフィックスを起点とすべきかを証明できる機能を含め、ルーティングセキュリティ表明をサポートする。コミュニティが策定したポリシーを要求と移転に適用する。料金を課し、機構の運用を維持するためのスタッフ能力を保持する。
台帳は、制度的に法的あるいは道徳的な意味でのゲートキーパーでなくとも、ゲートキーパー効果を生み出すことがある。例えば、Amazon EC2 に自分の IP アドレス範囲を持ち込むための AWS ドキュメントでは、顧客は公開ルーティング可能な IPv4 または IPv6 範囲の一部または全部を AWS アカウントに持ち込み、AWS がそれを広告する間もその範囲を管理し続けることができると説明している。同ドキュメントでは、AWS はその範囲の管理を検証し、その範囲が ARIN、RIPE、APNIC などの RDAP をサポートするインターネットレジストリに登録されている場合、顧客はレジストリ記録内の X.509 証明書を通じて管理を検証できるとも述べている。また、アドレス範囲はサポート対象の地域インターネットレジストリに登録され、個人ではなく企業または団体に登録され、IPv4 の場合は/24 が最も具体的なサイズであるとも記されている。Azure のカスタム IP プレフィックスに関するドキュメントも同様に、持ち込まれたアドレス範囲を外部顧客が所有する公開範囲として扱い、ARIN や RIPE などのルーティングインターネットレジストリへの登録を求め、Microsoft がその範囲を広告するための承認を必要とし、いくつかの手順は Azure の外部で行われると述べている。
クラウドプロバイダーは ARIN をクラウド承認局に変えているわけではない。レジストリ記録をコントロールプレーンのファクトとして信頼しているのである。そこがポイントだ。現代の公共セクターインフラにおいて、レジストリエントリはもはや whois データベースの一行ではない。それは、クラウドオンボーディング、ルート起点、不正利用対応、調達受入、インシデント調査、災害復旧の証拠となり得る。台帳の品質が公共サービスの品質となる。
これが、番号リソースを巡る所有権の言説に注意が必要な理由である。レジストリを所有者として扱うことは越権を招く。リソース保有者を無条件の私的資産の絶対的所有者として扱うことは、別の種類の越権を招く。行政には第三の語彙が必要である。すなわち、登録されたスチュワードシップ、運用の継続性、公開証拠、そして限定された移転可能性である。公的機関は、レジストリが自らの主権的保証人であるかのように振る舞うことなく、登録されたリソースに依存できるべきである。ARIN は、公共サービスを単に私的な会員の問題であるかのように扱うことなく、ポリシーの規律を維持できるべきである。
公共セクターの違い
公的機関のアドレス問題は民間企業のそれと似ているように見えるかもしれないが、ほとんどすべての重要な点でインセンティブが異なる。
第一に、公的機関には、ベンダーが失敗しても消滅しない義務がある。歳入局は税金を徴収しなければならない。裁判所システムは申立や命令へのアクセスを維持しなければならない。公衆衛生機関は情報を受領し公開しなければならない。緊急サービスは通信しなければならない。学校は生徒システムを運用しなければならない。港湾や空港は安全、物流、セキュリティ、税関、旅客、テナント、運送業者を調整しなければならない。企業は製品ラインから撤退できる。地方自治体は、アドレス記録が不便だからといって許認可、公共安全、水道料金の請求から撤退することはできない。
第二に、公的機関は調達の制約の中で生きている。民間のテクノロジーチームは、ブローカー経由でブロックを購入したり、トラフィックを新しいプロバイダーに移したり、契約を変更したり、専門的なネットワーク支援を迅速に手配したりできるかもしれない。公的機関は、競争入札による調達、修正、理事会の承認、州の審査、予算の移転、あるいは立法上の許可が必要になるかもしれない。緊急調達権限でさえ、通常は後に監査人が検査できる記録を残す。アドレスブロックの継続性がニッチな仲介業者や単一のマネージドサービスプロバイダーに依存している場合、公的機関は民間企業よりも即興で対応する自由が少ない。
第三に、公的機関には政治的説明責任がある。申告週間に税ポータルが故障すると、市民はその問題を抽象的な運用インシデントとして扱わない。給付ポータルにアクセスできない場合、公的機関は公衆の怒りに直面し、しばしば立法府の精査を受ける。裁判所アクセスシステムが利用できない場合、弁護士や訴訟当事者はデュープロセスの懸念を提起するかもしれない。緊急警報プラットフォームが誤ったルーティングをしたり到達不能になったりすると、問題は公共安全となる。レジストリ記録がニュースの見出しになることはまずないが、時代遅れの記録管理、弱いルート認証、あるいは不適切に構成されたクラウド移行が問題に寄与していた場合、その説明は公的な言葉でなされなければならなくなる。
第四に、公的機関には記録に対する期待がある。公的機関は内部統制だけでなく法的説明責任のために監査証跡を作成する。レジストリデータ、逆引き DNS、ルート起点記録、移転文書、サービス契約、インシデントのタイムラインは、証拠の連鎖の一部となり得る。ARIN の法執行および公共安全に関する資料は、これを別の側面から明確にしている。そこでは、一般に公開されている Whois データには、IP アドレス、自律システム番号、組織、連絡先、顧客の再割り当て、参照情報に関する登録情報が表示される可能性がある一方、非公開情報には一般に、正式に発行された召喚状または裁判所命令が必要であると述べられている。また、リソース保有者が連絡先記録を維持する責任があるため、Whois データが最新でない可能性があること、および ARIN はレジストリアドレスがネットワークの物理的な位置を反映していることを保証できないと警告している。
公的機関にとって、この注意書きは両方の意味を持つ。レジストリデータが証明することを過大に主張すべきではない。しかし、それを軽々しく扱ってもいけない。古い連絡先は単に整理されていないというだけではない。召喚状を遅らせ、インシデント対応者を混乱させ、ベンダーとの摩擦を生み、管理の公開記録を弱体化させる可能性がある。誤解を招く組織記録は、風評や調査上の問題を引き起こす可能性がある。継続性の事態において機関内の誰も更新できないレジストリ記録は、回避可能なガバナンス上の欠陥である。
第五に、公的機関は不足の経済学に適合しない予算サイクルを持っている。IPv4 の不足は、難しい決定を先延ばしにするインセンティブを生み出す。古い割り当てを維持し、断片化を許容し、ベンダー経由でルーティングし、IPv6 を延期し、クラウドプロバイダーのプールに依存する。会計年度は、より安価な短期的な答えに報いる。継続性計画は後でそのツケを払わされる。今日アドレスガバナンスのコストを回避する公的機関は、ベンダーロックイン、失敗した復旧テスト、緊急コンサルティング、不十分なインシデント証拠、政治的リーダーシップがサプライヤーの変更を要求した場合にサービスを移行できないことによって支払うことになるかもしれない。
これらの違いは、公共セクターのアドレス依存性が個別の分析に値する理由を説明している。法定サービスは、リソース不足とインフラの外部委託の中で、非国家台帳への依存を蓄積しているのである。
公開証拠としてのレジストリ記録
依存の第一層は証拠に関するものである。公的機関は、自らが使用するアドレスリソースの登録保有者、顧客、または認可ユーザーであることを示す必要がある。これは、どの公的機関、どのオフィス、どの法律上の名称、どの請負業者、どの連絡先が記録に現れているかを問うまでは単純に聞こえる。
政府は、運用上の意味において単一の組織ではない。州には、中央の技術オフィス、独立した憲法上の機関、公立大学、公立病院、交通局、緊急管理機関、裁判所、法執行機関、学校ネットワーク、特別区が存在するかもしれない。市には、市長行政、警察署、公共図書館、公営住宅、公共事業、水道、交通、準独立機関が存在するかもしれない。カリブ海の管轄区域では、単一の小さな中央省庁が、大規模な北米の管轄区域では数十の機関に分散される機能を担っているかもしれない。名称は変わる。部局は統合される。共有サービスが作られる。請負業者は交代する。政権は移り変わる。
レジストリ記録は、そのような行政の再編を生き延びなければならない。ブロックが、旧式の部局、古い請負業者、退職した従業員のロールアカウント、あるいはその権限がもはや理解されていない曖昧な技術オフィスに登録されている場合、その機関は継続性リスクを生み出している。そのリスクは何年も休眠している可能性がある。クラウドプロバイダーが検証を求めたとき、ネットワークオペレーターがルート問題を報告したとき、法執行の要請を解釈しなければならないとき、逆引き DNS 委任を変更しなければならないとき、公共機関が再編されたとき、あるいは公的法人が解散または省庁に統合された後に移転を文書化しなければならないときに顕在化する。
RDAP と Whois は、この記録を見えるようにする。ARIN は、自らの Whois サービスは、ARIN に登録された IP 番号リソース、組織、連絡先に関する情報を取得するための公開リソースであり、RDAP は登録データの照会を可能にし最終的に Whois を置き換えるために IETF によって開発されたと述べている。RDAP インターフェースは、ウェブ検索または照会 URL を通じてアクセスでき、IP ネットワーク、自律システム、ドメイン、エンティティの検索をサポートする。マシンが記録を利用できるため有用である。また、公共の管理者がその上にどれだけ多くのものが構築されているかに気付かないまま、マシンが記録に依存する可能性があるため、リスクも伴う。
したがって、公共セクターの継続性の問題は、「アドレス空間を持っているか」だけではない。「何を持っているかを証明できるか、誰がそれに対して行動できるか、どのシステムがそれに依存しているか、どのベンダーがそれを認識しているか、危機の際にどの記録が参照されるか」である。レジストリ記録は、通常の土地法の意味での所有権証書ではない。しかし、運用市場においては公開証拠として機能する。クラウドプロバイダー、セキュリティチーム、ネットワークオペレーター、調査者、保険会社、監査人、取引相手はそれをシグナルとして扱う。シグナルが弱い場合、機関は遅延と曖昧さによって代償を支払う。
この証拠としての役割は、公的機関にとって特に重要である。なぜなら、公的機関は常に秘密やスピードに頼ることができないからだ。民間のオペレーターは、非公式な役員経路を通じて記録問題を解決できることがある。公的機関は、書面による権限、調達コンプライアンス、紙の証跡を必要とするかもしれない。レジストリは、その遅さを搾取するのではなく尊重すべきである。公的機関は、危機が到来したときに工学上の都合が行政法を覆すと見なすのではなく、それを予期すべきである。
逆引き DNS、レピュテーション、そしてポインタレコードの官僚的な生活
逆引き DNS は、大きな行政上の結果を伴う小さな技術用語である。ARIN は、逆引き DNS が IPv4 アドレスからホスト名を判別し、ポインタレコードを使用し、ネットワークトラブルシューティング、スパム・フィッシングスクリーニング、不審ドメインのチェック、データロギング、分析をサポートすると説明している。また、逆引き DNS データベースは、IPv4 の場合はin-addr.arpaの下に、IPv6 の場合はip6.arpaの下にルートがあり、ARIN は逆引き DNS を円滑に動作させるために、関連ネットワークのポインタレコードを維持するよう組織に求めていると述べている。
公的機関にとって、逆引き DNS はインターネット番号が他の機関に対して判読可能になる場である。メールシステムはそれを検査する。セキュリティツールはそれをログに記録する。調査者はそれを読む。ベンダーは、一般的、古い、または矛盾した逆引き名を弱い衛生状態の証拠として扱うかもしれない。ポインタレコードは本人性の証明ではないが、信頼の行政上のテクスチャの一部である。通知を送信する公衆衛生研究所、提出確認を送信する裁判所システム、または支払い領収書を送信する税ポータルは、逆引き DNS、SPF、DKIM、DMARC、アドレスレピュテーションのすべてが公共サービスの信頼性の懸念として相互作用することを発見するかもしれない。
逆引き DNS はフォレンジックな解釈にも影響する。インシデント中、ログにはアナリストがレジストリと DNS データで補強する IP アドレスが含まれることがある。自治体サービスが旧式の部局名で表示されたり、請負業者の逆引き名が公共機能を不明瞭にしたりすると、対応者が時間を浪費する可能性がある。裁判所や監査の場では、その浪費は争点となる。弁護人、監察総監、または立法調査官は、なぜ記録が政府のシステムに関する公的な説明と一致しなかったのかと問うかもしれない。
「誰もポインタレコードに資金を提供していないから」という答えは通用しない。重要な公共向けサービスを持つ公的機関は、逆引き DNS が直接保持されているのか、ISP を通じて委任されているのか、クラウドプロバイダーによって処理されているのか、請負業者によって管理されているのか、誰がそれを変更できるのか、変更を裏付ける証拠は何か、復旧状況下でテストされたかどうかを知っておくべきである。ARIN の資料はまた、一部の再割り当てまたは再配分されたアドレス空間に対する共有権限と、顧客が切断した場合にレコードを削除する必要性についても言及している。請負業者が機関のためにアドレス空間を管理している場合、あるいは機関がネットワークプロバイダーを変更する場合、古い共有権限は運用上の混乱と風評リスクの両方を生み出す可能性がある。
ルーティングセキュリティと到達可能性の公的な約束
第二層はルーティングの証拠である。公開インターネットは依然として、その正当性がパケット自体から自明でない Border Gateway Protocol のアナウンスに依存している。RPKI は、リソース保有者がどの自律システムがプレフィックスの起点として認可されているかについて暗号的に検証可能な宣言を行えるようにすることで、この状況を改善する。ARIN の RPKI ページでは、RPKI がインターネット番号リソースを表明された保有者に結びつけ、リソース保有者がどの自律システム番号が自らのプレフィックスを起点とすべきかを証明できるようにすると説明されている。ネットワークオペレーターは、BGP アナウンスと RPKI の有効性データを比較し、ルーティングセキュリティの決定を下すことができる。
公共セクターにとっての関連性は明白である。公共サービスは、多くの他のネットワークがそこへのルートを受け入れて初めて到達可能となるかもしれない。不良なルート、ハイジャック、または設定ミスのルート起点認証は、公共サービスインシデントになり得る。機関がクラウド、DDoS 保護、コンテンツ配信ネットワーク、リージョン間フェイルオーバー、マネージドトランジットを利用すればするほど、誰がどのような条件下で自らの公開プレフィックスを起点として認可されているかを理解しなければならなくなる。
RPKI はすべてのルーティング問題を解決するわけではない。すべてのネットワークが同じ方法でルート起点検証を実施しているわけではない。有効なルートでも、欠陥のあるアーキテクチャの一部であることがある。無効なルートは、一部のネットワークで拒否され、他のネットワークでは受け入れられるかもしれない。しかし、制度の問題として、RPKI はベースラインを引き上げる。それは、まともなリソース保有者がマシンチェック可能な方法でルーティングの意図を表明できるという期待を生み出す。その期待を無視する公的機関は、単に技術的流行に遅れているだけではない。利用可能な継続性と信頼の手段を活用できていない可能性がある。
経済学はここでも非対称である。民間ネットワークは、ルート検証リスクを商業上のリスク許容度の一部として受け入れることができる。公的機関は、法定サービスに影響するリスクを正当化しなければならない。クラウド移行後にルート起点記録が古かったために、一部のネットワークで裁判所ポータルが到達不能になった場合、RPKI 導入が不均一だと言っても説明は改善されない。請負業者が古い記録の削除を怠ったために緊急管理システムに矛盾するルートオブジェクトがある場合、その誤りが技術的なものであるという事実によって公共の害が軽減されるわけではない。
ARIN の移転ガイダンスはこの点を強調している。指定受領者移転またはレジストリ間移転に関与するソース組織向けのルーティングセキュリティチェックリストには、移転対象のプレフィックスをソースのルート起点認証から編集または削除すること、最大長の値を確認すること、インターネットルーティングレジストリ(IRR)オブジェクトを更新または削除すること、受領者と逆引き DNS 委任計画を調整すること、そして移転後に受領者が RPKI、IRR レコード、逆引き DNS の責任を理解していることを確認することが含まれている。これは単なる販売後の後片付けリストではない。レジストリ記録、ルーティング証拠、運用管理が乖離したときに破綻し得る依存関係の地図である。
公的機関は、こうしたリストを民間のアドレストレーダーとは異なる目で読むべきである。教訓は、取引を完了する方法ではない。教訓は、どれほど多くの公共サービスの前提が記録の規律にかかっているかである。移転が考えられていない場合でも、同じカテゴリーが重要である。プレフィックスの起点を誰が行うか、ルートオブジェクトを誰が維持するか、誰が逆引き DNS を管理するか、フェイルオーバー時に何が起きるか、古い記録をどのように廃止するか。
公共調達の観点もある。ルーティングセキュリティは運用面では外部委託できるが、説明責任は外部委託できない。クラウドプロバイダーがプレフィックスを広告できる。マネージドネットワークプロバイダーが BGP を運用できる。コンサルタントがルート起点記録を作成できる。しかし、なぜそのサービスが到達可能だったのか、到達不能だったのか、誤った方向に向けられたのか、単一のベンダーに依存していたのかを説明しなければならないのは、依然として公的機関である。ARIN のようなレジストリは、その結果の保証人として扱われてはならない。しかし、公的機関が責任ある決定を下せるように、記録とサービスを維持しなければならない。
クラウド移行がレジストリをコントロールプレーンの証人に変える
パブリッククラウドの採用は、アドレスの問題を変えた。以前の世代の政府ネットワークは、しばしばアドレス空間をデータセンターの関心事として扱っていた。公的機関には、オフィス、メインのデータセンター、おそらくバックアップサイト、ISP 契約、ネットワークチームがあった。今日では、同じ公的機関が SaaS、プラットフォームサービス、IaaS(Infrastructure as a Service)、DDoS スクラビング、ID プラットフォーム、クラウドホスト型のケース管理、公開 API、分析、マネージドセキュリティツールの混合を使用するかもしれない。アドレスは、ベンダーのプール、クラウドプロバイダーの範囲、クラウドに持ち込まれた公的機関自身の範囲、または ISP の委任されたアドレス空間に存在するかもしれない。
FedRAMP のマーケットプレイスには、数百の認可されたクラウドサービスが公開されている。正確な数は変わるが、シグナルは持続的である。クラウドは例外的な公共セクターの実験ではない。認可構造、評価者、機関スポンサー、調達チャネルを備えた運用環境である。カナダ、州、都市、大学、カリブ海諸国政府は、クラウド調達とセキュリティレビューについて独自のバリエーションを持っている。詳細は異なるが、方向性は似ている。公的機関は、公共向け機能のためにますますクラウド環境に依存するようになっている。
BYOIP、すなわち自身の IP アドレス範囲をクラウドプロバイダーに持ち込むことは、レジストリがコントロールプレーンの証人になるところである。AWS は、顧客が公開ルーティング可能な IPv4 または IPv6 範囲をオンプレミスネットワークから AWS に持ち込み、その範囲の管理を継続し、AWS がそれを広告することができると述べている。AWS はまた、RDAP レコードまたは DNS TXT レコードに結びついたメカニズムを使用して、顧客がその範囲を管理していることを検証し、ルート起点認証と RDAP レコードをプロセスの一部として説明している。Azure も同様に、カスタム IP プレフィックスを、外部顧客が所有する公開アドレス範囲として位置付け、サブスクリプションにプロビジョニングでき、Microsoft がそれらを広告することを認可し、所有権とサブスクリプションの関連付けは Azure 外部の手順で検証される。Azure はまた、カスタム IPv4 プレフィックスのサイズ範囲や、カスタム IP プレフィックスが Azure 所有のゾーンを使用した逆引き DNS 検索をサポートしていないことなどの制限にも言及している。顧客は、自身の逆引きゾーンを Azure DNS にオンボードしなければならない。
公的機関にとって、これらの詳細は 3 つの点で重要である。
第一に、レジストリの衛生状態が移行スピードの前提条件となる。古い ARIN レコードは、クラウドアーキテクチャの準備が整っていてもクラウドオンボーディングを遅らせる可能性がある。その遅延は、契約期限、廃止スケジュール、災害復旧のコミットメント、政治的約束と衝突する可能性がある。コストは単なるエンジニアリング時間ではない。変更指示、説明、達成できなかったマイルストーン、時に緊急例外といった公共セクターの摩擦である。
第二に、クラウドの選択はアドレス管理の性格を変える。クラウドプロバイダー提供のアドレスを使用することは、迅速で便利である。しかし、公共のエンドポイントをプロバイダーの番号付け、レピュテーション、ジオロケーション、運用慣行に結びつけることにもなる。機関管理のアドレス空間を持ち込むことは、許可リスト、レピュテーション、市民向けエンドポイントの継続性を維持できるが、レジストリ記録、ルート起点表明、逆引き DNS、クラウド承認に対するより強力な内部管理を必要とする。どちらの選択肢が道徳的に優れているということはない。間違いは、それを純粋に技術的なものとして扱うことだ。それは調達と継続性の決定である。
第三に、BYOIP は隠れた主権問題を明らかにする。公的機関は、公共サービスが単一のプロバイダーの人質になるべきではないため、認識可能で移植可能なアドレスリソースを維持することを好むかもしれない。しかし、移植可能性を可能にするツールは、民間の非営利レジストリ、クラウドプロバイダーの検証ルール、より広範なインターネットによるルーティングの受け入れに依存している。国家はスタック全体に対して主権を有しているわけではない。それは制度の網の目の中の一参加者である。良い公共ガバナンスは、クラウドプロバイダーとの契約がリスクを使い果たすかのように見せかけるのではなく、その網の目を認識することを必要とする。
同様のことは ID システムにも当てはまる。市民 ID ポータル、シングルサインオンサービス、デジタル裁判所アクセスシステム、または医療資格情報交換は、公開エンドポイント、証明書検証、DDoS 保護、メール到達性、許可リスト登録された API、ログ証拠に依存するかもしれない。調達においてアドレス層が見えない場合、機関は安全なクラウドサービスを購入しながら、脆弱な公共インターフェースを残すことになるかもしれない。調達がセキュリティベースラインを満たしていても、アドレス継続性テストに失敗する可能性がある。
公共調達と委任された管理の経済学
公共調達は、技術的依存関係を契約上の依存関係に変換する傾向がある。それは多くの場合有用である。政府はすべてを自ら構築することはできず、またすべきでもない。しかし、調達はサービス提供と制度的コントロールの違いを隠してしまうこともある。
マネージドネットワークプロバイダーは、公共顧客に代わってルーターを運用し、BGP セッションを維持し、逆引き DNS を管理し、ARIN とやり取りするかもしれない。クラウドインテグレーターは、BYOIP 検証を準備し、ルート起点レコードを作成し、DDoS サービスを調整するかもしれない。SaaS プロバイダーは、自身のアドレス空間の下で公共エンドポイントを公開するかもしれない。学校ネットワークコンソーシアムは、多くの学区のためにアドレスを保持するかもしれない。公立大学は、公立機関としてだけでなく、提携する研究、医療、教育機関のネットワークプロバイダーとしても機能するかもしれない。港湾当局は、ターミナルオペレーター、税関システム、警察ネットワーク、キャリアポータル、自治体緊急ネットワークに依存するかもしれず、それぞれが異なるアドレスの前提を持っている。
委任された管理の経済学は、所有権の経済学と同じではない。ベンダーは、専門知識を集約するために効率的であるかもしれない。また、公的機関がベンダーなしでは行動するためのスタッフ、資格、権限を欠いているために、チョークポイントになるかもしれない。ベンダーが逆引き DNS、ルートオブジェクト、クラウド検証手順、または ARIN の連絡手順を管理している場合、機関の復旧能力は、契約の緊急条項とベンダーの実際の応答性によってのみ左右される。稼働時間で測定されるサービスレベル契約は、クラウドフェイルオーバーに必要なレジストリ記録の修正をカバーしないかもしれない。月次コストで評価される調達は、アドレスの移植性を評価しないかもしれない。サイバー保険の質問票は、地域的な停止時に誰が RPKI レコードを更新できるかを尋ねないかもしれない。
ここで不足が依存を深める。IPv4 アドレス空間が豊富ならば、公的機関は新しいアドレス空間を取得して移行することでベンダーロックインを解決できるかもしれない。枯渇した IPv4 環境では、新規の直接割り当ては制約され、移転にはポリシー準拠が必要で、市場価格は公的予算が容易に吸収できる額を超える可能性がある。IPv6 は展開されるべきだが、デュアルスタックの公共サービスは、市民、パートナー、ベンダー、レガシーシステムが依然として不均一であるため、長期間にわたって IPv4 に依存し続ける可能性がある。したがって、公的機関は、移植可能な公共アドレス空間への道が行政上および財政上困難であるため、最適とは言えないベンダーアドレスの取り決めを許容するかもしれない。
公共調達には政治的視認性の問題もある。市民はポータルがダウンしたときは気付くかもしれないが、市が自身の ARIN 登録アドレス空間、ISP の再割り当て、クラウドプロバイダーのアドレス、CDN のアドレス、リースされたブロックのどれを使用しているかは知らない。議員は、公開アドレス、逆引き DNS、ルート認証、退出権がどのように扱われるかを尋ねずにクラウド移行を承認するかもしれない。監査人は、番号リソースの管理をマッピングせずにセキュリティ管理策を検査するかもしれない。調達委員会は、アプリケーション層でのベンダーロックインを評価しながら、ネットワークエッジでのアドレスロックインを無視するかもしれない。
ARIN のようなレジストリは調達設計を修正することはできない。しかし、公共の依存をより見えやすくすることはできる。明確な文書、予測可能な記録復旧手順、強力な連絡先検証、透明性のあるサービス状況、公的機関向けの実践的なトレーニング、レジストリサービスと市場促進の分離はすべて役立つ。レジストリは、あらゆる政府の購入者にとってのコンサルタントになるべきではない。規律ある公開記録と、公共の購入者がレジストリに依存する管理策を契約に含められるだけの十分な制度的明瞭性を維持すべきである。
公的機関もまた応じるべきである。契約において、誰がアドレス空間を保持するか、誰がレジストリの連絡先を更新できるか、誰が逆引き DNS を管理するか、誰がルート起点認証を作成・廃止するか、誰が IRR オブジェクトを維持するか、BYOIP 検証がどのように実施されるか、契約終了時に何が起こるか、ベンダーが緊急公共サービス継続性をどのようにサポートするかを明記することを求めるべきである。これは風変わりなことではない。適切な場合に、データのエクスポート、監査ログ、インシデント通知、ソースコードエスクローを要求することのネットワーク版である。
継続性計画には番号層を含めなければならない
NIST Special Publication 800-34 Revision 1(連邦情報システムのための緊急時計画ガイド)は、ビジネス影響分析、リソース要件、復旧優先順位、予防的管理策、バックアップと復旧、代替サイト、役割と責任、テスト、トレーニング、演習、計画の維持といったおなじみの概念を示している。それは番号リソースのマニュアルではない。しかし、その論理は公共アドレス依存性に直接当てはまる。
情報システムがミッションプロセスをサポートしている場合、復旧計画はそれを復旧するために必要なリソースを特定すべきである。公共向けサービスにとって、それらのリソースにはサーバー、データベース、認証情報以上のものが含まれる。公開アドレスの到達可能性、DNS、該当する場合の逆引き DNS、ルートアナウンス、ルーティングセキュリティ記録、プロバイダー認可、DDoS サービス、証明書依存関係、許可リスト、レジストリ連絡先が含まれる。アプリケーションを第 2 のリージョンに復旧するが、公開アドレスの広告をテストしない復旧テストは不完全である。ベンダーが公開プレフィックスをオンラインにできると想定するが、レジストリベースの検証をテストしないフェイルオーバー計画は楽観的すぎる。プレス声明やコールツリーを含むが、レジストリ連絡先の権限を含まない継続性演習は、静かな障害モードを見逃している。
ARIN の地域におけるカリブ海と北大西洋の部分は、これを特に具体的にしている。ハリケーン、地震、海底ケーブル障害、電力途絶、サプライチェーンの制約は、島嶼や沿岸の公共サービスに影響を与える可能性がある。領土や小国は、コンパクトな技術スタッフ、少数の通信プロバイダー、地域的なクラウドアクセス、外部ベンダーに依存するかもしれない。災害時には、公衆衛生、税関、港湾運営、緊急管理、教育、税収システムを稼働し続けるか、迅速に復旧する必要があるかもしれない。公的機関は、離散コミュニティ、連邦パートナー、援助機関、航空会社、海運業者、病院、隣接政府と通信しなければならないかもしれない。
そのような状況において、アドレスの継続性は学術的なものではない。公的機関の主要プロバイダーがダウンした場合、別のプロバイダーを通じてプレフィックスを再広告できるか?ルート起点レコードはそのケースに備えて準備されているか、それともフェイルオーバーが無効なルーティングを生み出すか?メールとロギングが移動した場合、誰が逆引き DNS を更新できるか?レジストリの認証情報は、ハリケーンの際に連絡可能な人物が保持しているか?機関は、影響を受ける地域外に第 2 の認可された連絡先を持っているか?クラウドプロバイダーの BYOIP プロセスは、オフィスが閉鎖されている間は完了できない手順を要求するか?機関は、パートナーの許可リストがアドレス、DNS 名、あるいはベンダーの範囲に従うかをテストしたか?管理の公開記録は、緊急調達のために十分に明確か?
大規模な北米の機関は規模が異なるが、同様の依存関係がある。州の裁判所システムは、冗長化されたデータセンターとクラウド復旧設計を持っているかもしれないが、それでも検察官、弁護人、法律事務所、決済処理業者、文書サービスのためのアドレス許可リストに依存しているかもしれない。公立大学のネットワークは、研究、病院システム、ID フェデレーション、学生サービス、緊急通信をサポートしているかもしれない。連邦政府の部門は、階層化されたネットワークプログラムや中央のセキュリティルールを持っているかもしれないが、レガシー割り当てやルートセキュリティのために正確な ARIN レコードを依然として必要としている。自治体の公共安全ネットワークは、商用キャリア、地域データセンター、クラウドディスパッチインターフェースに依存しているかもしれない。番号層は通常、最も目に見えるリスクではない。それは、目に見える復旧を部分的なものに変えてしまうリスクである。
したがって、継続性計画は簡単なルールを採用すべきである。すなわち、サービスに公開アドレス依存性がある場合、番号リソースの状態は復旧ベースラインの一部である。計画は、登録保有者、アドレス範囲、組織 ID または同等の識別子、連絡先、逆引き DNS 委任、ルート起点認証、IRR オブジェクト、クラウド BYOIP 検証、ベンダー依存関係、緊急権限、テスト済みの復旧手順を捕捉すべきである。どのアクションが ARIN とのやり取りを必要とし、どれがクラウドプロバイダーのアクションを必要とし、どれが ISP のアクションを必要とし、どれが内部で実施できるかを特定すべきである。そして、公共がそれらを必要とする前に、それらのアクションをテストすべきである。
これは、すべての公開アドレスを単一の政府機関に集約することを主張するものではない。一部の政府は中央調整から利益を得るかもしれないし、他は分散管理を必要とするかもしれない。制度上のポイントはより狭い。公共の継続性レビューは、ARIN レジストリの継続性を公共サービス継続性の一部として扱うべきであり、ネットワークエンジニア向けの分かりにくい付属文書としてではない。
裁判所、税、医療、教育、そして依存の行政地図
公共セクターのアドレス経済は、組織図よりも機能を追うことによって最もよく理解される。税制は、市民ポータル、決済処理業者、不正対策、パートナーAPI、バッチ提出チャネル、メール、コールセンター、厳格な季節的ピークを組み合わせている。州または国の歳入庁は、申告シーズン中のクラウド移行の遅延に対してほとんど寛容ではない。公開アドレスが変更された場合、許可リスト、不正対策、決済接続、市民への通知はすべて調整を必要とする可能性がある。継続性を維持するために機関が独自のアドレス範囲を持ち込む場合、ARIN レコードとクラウド検証は、単なるネットワーク管理ではなく、税務行政の一部となる。
裁判所には別の依存関係がある。手続き上の正当性である。電子提出、事件記録へのアクセス、リモート審理、公告、支払いシステム、弁護士ポータル、矯正施設とのインターフェース、法執行システムはすべて、到達可能性と証拠を必要とする。裁判所システムが故障すると、問題は司法へのアクセスになり得る。レジストリデータは後に、インシデント調査、ベンダー紛争、または専門家証拠に現れるかもしれない。デジタル証拠に関する紛争を裁定する機関自体が、裁判所ではないレジストリが維持する番号リソース記録に依存し得る。これはレジストリの正当性を損なうものではない。それは、裁判所自身の技術ガバナンスが証拠連鎖に注意を払うべきであることを意味する。
公衆衛生と教育は、裁判所ほどではない環境で同じパターンを示す。検査報告、疾患サーベイランス、医療機関ポータル、ワクチン接種システム、病院間連携、公共ダッシュボード、学校 ID システム、研究ネットワーク、学習プラットフォームはすべて、公共エンドポイントに依存している。危機の際、機関はキャパシティを追加したり、クラウドサービスに移行したり、新しい API を立ち上げたりするかもしれない。古いアドレス記録や不明瞭なルート認証が、主要な疫学的あるいは教育的問題になることはないが、最悪のタイミングで回避可能な摩擦を生み出す可能性がある。教育は別の複雑さを加える。公立大学、コミュニティカレッジ、学区、図書館、研究ネットワークは、一つの公共サービスという傘の下で異なるアドレスの歴史を持っていることが多い。
自治体ネットワーク、港湾、空港は、物理経済の次元を加える。市は、数十年にわたるキャリア契約や部門プロジェクトを通じて、公衆 Wi-Fi、カメラ、交通システム、許認可、水道料金請求、公共安全アプリケーション、図書館、公園、住宅、オープンデータポータル、緊急オペレーションを運用しているかもしれない。港湾や空港は、物流、税関、テナント、旅客、運送業者、アクセス制御、緊急対応を支えている。レジストリはそれらのシステムを管理しない。しかし、アドレス層での記録の規律は、複雑なエコシステム全体にわたって管理を見えるようにするのに役立つ。サービスが機能的に重要であるほど、証拠層が古くなっていたり、ベンダーに縛られていたり、テストされていなかったりすることを発見することが受け入れがたくなる。
北米とカリブ海の非対称性
ARIN の地域には、世界最大級の公共セクター技術組織と、最も小規模な組織が混在している。アメリカ合衆国連邦政府、カナダの連邦機関、州および地方政府、主要な公立大学システム、防衛・研究ネットワーク、大規模な自治体当局は、はるかに薄い行政能力しか持たない小島嶼政府、領土当局、公共事業体、学校、港湾、緊急サービスと同じ地域レジストリシステムに属している。この多様性こそ、レジストリポリシーの純粋に形式的な説明が不十分である理由の一つである。
能力が第一の非対称性である。連邦政府の部門や大規模な州は、ネットワークエンジニア、法務顧問、調達チーム、継続性プランナー、クラウドアーキテクト、セキュリティオペレーションを擁しているかもしれない。小さな島嶼政府は、多くの役割をカバーする少数のスタッフしかいないかもしれない。どちらも ARIN レコードに依存しているかもしれないが、ポリシーを解釈し、連絡先を維持し、RPKI を展開し、逆引き DNS を管理し、ベンダー条件を交渉する能力は大きく異なる。高度なオペレーターにのみ情報を伝えるレジストリは、形式的なコミュニティには役立つが、公共の依存に対しては不十分にしか応えられない。
地理と政治的地位がギャップをさらに広げる。島嶼の管轄区域や遠隔の領土は、嵐、ケーブル切断、電力途絶、物流の遅延、限られたプロバイダーの多様性に直面するかもしれない。地元のインフラが脆弱であるからこそ、クラウドや外部ホスティングを必要とするかもしれないが、クラウド検証、ルートセキュリティ、アドレス管理には、そのタイムラインが地域の緊急事態を尊重しないグローバルシステムとのやり取りが必要となる。ARIN の地域にはまた、主権国家、領土、海外県、属領、特別な地理的領域も含まれている。契約を結び、リソースを保持し、危機の際に行動する公的権限は、地方政府、宗主国、連邦機関、民間事業者の間で分割されているかもしれない。
交渉力が最後の非対称性である。大規模な機関や大規模なベンダーは通常、注意を引くことができる。小規模な公的機関は、ブローカー、リース、専門コンサルティングの市場を不足が生み出す場合に、過剰に支払ったり、仕様を過小にしたり、回避可能なロックインを受け入れたりするかもしれない。これらの非対称性は、ARIN が開発銀行、緊急省庁、あるいは通信当局になるべきだということを意味しない。それは、レジストリの規律が公共依存に対する説明責任を含まなければならないことを意味する。すなわち、すべての正規のリソース保有者に対する予測可能なサービス、不足を恣意的な裁量に変えることの拒否、そして小規模な政府が危機の前に正しい行動をとれるだけの理解しやすい記録維持の経路である。
不足と、価格を公共的価値と混同する誘惑
IPv4 の不足は価格を生み出す。価格は物語を生み出す。物語はポリシーへの圧力を生み出す。希少なアドレスブロックは、資産、商品、公共投入物、レガシー割り当て、ルーティング識別子、市場財、あるいはスチュワードシップ責任と説明され得る。それぞれの説明は、何か現実的なものを強調し、別の何かを隠している。
公的機関にとっての危険は、問題を価格に還元してしまうことである。当面の必要以上の IPv4 アドレス空間を保有する政府機関は、そのアドレス空間に市場価値があると言われるかもしれない。それは事実かもしれない。だからといって、迅速な収益化が公共の利益に資するわけではない。公共サービスのために IPv4 アドレス空間を必要とする別の政府機関は、市場がそれを供給できると言われるかもしれない。それも事実かもしれない。だからといって、調達が購入、リース、ベンダー割り当てを通常の商品取引として安全に扱えるわけではない。
アドレス空間の公共的価値は、市場価格だけでなく、継続性、移植性、証拠の明確さ、依存の削減に依存する。ブロックを売却または移転すれば、短期的な収益を生むかもしれないが、将来の柔軟性を低下させる。アドレス空間をリースまたは借用すれば、展開上の問題を解決するかもしれないが、ルート認証、レピュテーション、逆引き DNS、出口に不確実性を生み出す。プロバイダー割り当てのクラウドアドレスを使用すれば、運用負荷を減らせるかもしれないが、ロックインを強める。機関が管理するアドレス空間をクラウドに持ち込めば、アイデンティティと許可リストを維持できるかもしれないが、より強力なガバナンスが必要になる。IPv6 への積極的な移行は必要だが、それはパートナーシステムと市民のアクセスの現実と一致していなければならない。
この状況において、国家は投機家としては不適切である。なぜなら、アドレス取引益を最大化することは想定されていないからだ。公共機能を維持することが想定されている。これは、公的機関が正当な理由なく希少なリソースをため込むべきだということを意味しない。浪費もまた公共の問題である。他の公共サービスが苦慮している中で未使用の IPv4 アドレス空間を保持している機関は、レジストリ記録が有効であるというだけで賢明に行動しているわけではない。正しいテストは機能的である。すなわち、どの公共義務がそのアドレス空間に依存しているか、どのような移行経路が存在するか、移転によってどのようなリスクが生じるか、どのような IPv6 およびアーキテクチャ計画が整っているか、そして停止後の監査でその決定がどのように見えるかである。
ここでの ARIN の役割は規律正しく、限定されるべきである。ポリシーベースの移転プロセス、正確な記録、技術サービスを維持すべきである。市場促進者、公的財務顧問、あるいはポリシーを超えて公共リソースに対する裁量的管理を主張する所有者になるべきではない。また、反対の圧力にも抵抗すべきである。すなわち、いかなる登録保有者の不足による優位性も、公共の利益の精査を免れる絶対的な支配権として扱うことだ。レジストリの任務は、行政上の気まぐれで公共的価値を再分配することではない。番号システムを首尾一貫させ、自身のポリシー内で公正に、そして運用上信頼できるものに保つことである。
国家による掌握なき公共の説明責任
公的機関が ARIN に依存しているという事実は、政府がそれを接収すべきだということを意味しない。番号リソースの国家による掌握は、それ自体のリスクを生み出すだろう。政治化された割り当て、監視の圧力、国家の依怙贔屓、不興を買ったネットワークへの報復、あるいは官僚的な遅鈍さである。いずれか一つの国家の機関となるレジストリは、複数の主権国家、領土、および民間ネットワークを含む地域に奉仕することはないだろう。公共依存の治療法は、粗野な国有化ではない。
しかし、レジストリが民間、非営利、あるいはコミュニティベースであるから公共依存は無関係であると言うこともまた答えにはならない。公共の説明責任は国家の所有権なしでも存在し得る。それは、運用の透明性、正確な記録、公正な手続き、限定された権限、そして機関がすでに抱えている依存関係を管理するための十分な公共セクターのリテラシーを意味する。
運用の透明性とは、サービス状況、停止履歴、セキュリティ態勢、保守慣行、監査資料、インシデントコミュニケーションが内向きの事柄としてのみ扱われないことを意味する。公的機関は、RDAP、Whois、逆引き DNS、RPKI、移転処理、記録復旧、認証に依存している。継続性計画に含めるために、これらのサービスについて十分に知る必要がある。記録の説明責任とは、公的セクターの保有者が正確な組織情報と連絡先記録を維持すべきであり、一方レジストリは、再編、退職職員、請負業者の撤退、共有サービスオフィス、緊急委任といった予測可能な政府の現実にわたって、復旧と検証を現実的に実施できるようにすべきであることを意味する。
手続きの公正さと境界の規律が残りの半分である。公的機関は秘密の便宜を受けるべきではないが、監査人や裁判所に説明できない不透明な裁量に直面すべきでもない。ARIN は、自らのサービスの公共的重要性を、公共ネットワークに対する広範な権限の主張にしてはならない。その権限は、狭い場合に最も強力である。すなわち、番号リソース記録、登録サービス、逆引き委任、ルーティングセキュリティ証拠、ポリシー執行である。公的機関は、レジストリプロセスを、調達、裁判所、サイバーセキュリティオペレーション、あるいは公法に属する紛争の近道として使うべきではない。
AFRINIC の警告、適切な位置に留めて
最近の AFRINIC の危機は、この記事の主題ではなく、ARIN の公共セクター依存性の分析を席巻させるべきではない。地域、法的環境、歴史、制度的条件は異なる。しかし、この危機は有用な境界標識である。なぜなら、ガバナンス、訴訟、希少な IPv4 の価値、制度的正当性が衝突したときに、どれほど急速にレジストリがより広範な公共リスクになり得るかを示しているからだ。
AFRINIC は、何年にもわたる訴訟、ガバナンスの不安定さ、財産管理人の選任、機能する理事会を復旧させようとする争いのある取り組みに直面してきた。2025 年の報告は、無効とされた選挙の取り組み、投票不正の申し立て、モーリシャスにおける裁判所と政府の関与、そして地域レジストリが正常に機能できなくなった場合に何が起こるかについてのインターネットガバナンス機関の間でのより広範な懸念を報じた。技術的なインターネットは、レジストリが危機に陥ったからといって単に停止したわけではない。それは重要だ。ルーティングは分散化されており、多くのサービスはストレス下でも継続できる。しかし、レジストリ機能の継続性、記録への信頼、ポリシー執行、RPKI および逆引き DNS の運用、会員サービス、長期的な正当性はすべて、制度的紛争が支配的になったとき、より脆弱になる。
どの地域の公共セクターのユーザーにとっても、警告は「これがここで起こる」ではない。警告は「レジストリの危機を待って、公共サービスがレジストリの継続性に何を依存しているかを発見するな」である。公的機関は、どの機能がレジストリの利用不能、争われている記録、遅延した移転、弱体化したガバナンス、レジストリ権限の緊急変更によって影響を受けるかを知っておくべきである。レジストリは、公共サービスがその記録に依存しているとき、自身の内部ガバナンス問題は純粋に内部的なものではないことを知るべきである。
AFRINIC の注意はまた、二つの極端な物語の危険性を示している。一つは、IP アドレスは単なる私的資産であり、レジストリは市場の自由に対する障害であるというものだ。もう一つは、レジストリは守護者であり、その制度的自己記述は公共の利益として受け入れられるべきだというものだ。どちらも不完全である。希少なアドレスリソースは、公共および民間のサービスに組み込まれている。レジストリには正当性が必要であり、崇拝ではない。リソース保有者には予測可能性が必要であり、無制限の支配ではない。公的機関には継続性が必要であり、イデオロギーのスローガンではない。
このような危機から ARIN が学ぶべき教訓は、予防的な謙虚さである。その強みは、退屈であり続けることにある。記録は正確に、サービスは利用可能に、手続きは予測可能に、権限は限定され、財政は安定し、紛争は早期に処理され、公共の依存は訴訟や不足がそれらをレバレッジに変える前に認識される。公的機関は、ARIN が他の問題を抱えるレジストリよりも安定しているからといって、継続性計画が必要ないと考えるべきではない。安定性は維持されるものであり、自動的なものではない。
ARIN のようなレジストリがすべきこと
ARIN のようなレジストリにとっての建設的なテストは、スチュワードシップについて説得力のある言葉を生み出せるかどうかではない。番号リソース台帳の周りに蓄積された公共の依存を、日々の規律が保護しているかどうかである。
台帳を正確かつ利用可能に保つべきである。強力な連絡先検証、実用的な組織復旧、公共セクターの名称変更への明確な対応、ポリシーが必要とする場合の正確な再割り当て記録、マシンと人間の両方が使用できる RDAP サービス。正確さは運用上の目標であるべきで、単なるコンプライアンスのスローガンではない。また、限定された権限を保持すべきである。レジストリは、番号リソース、登録データ、逆引き DNS 委任、ルーティングセキュリティサービス、ポリシー実施を管理すべきである。一般的なインターネット行動規制官、公的財務顧問、あるいは市場促進者になってはならない。
継続性の証拠を維持すべきである。公的機関は、レジストリサービスがどのようにバックアップされているか、インシデントがどのように通知されるか、緊急時の記録修正がどのように処理されるか、認証失敗がどのように復旧されるか、法的命令がどのように処理されるか、データ完全性がどのように保護されているかを知る必要がある。すべてのセキュリティ詳細が公開できるわけではない。しかし、リソース保有者が計画を立てるのに十分な情報は明確でなければならない。年次報告書や予算は有用だが、運用継続性のコミットメントの方が公共の依存により直接的に関連する。
ルーティングセキュリティの採用を、強制的な芝居にすることなく容易にすべきである。RPKI、IRR レコード、ルート起点認証、逆引き DNS、DNSSEC シグナルは、明確なガイダンスと信頼できるツールでサポートされるべきである。移転ガイダンスは、クリーンな移行を引き続き重視すべきである。緊急変更には文書化された経路があるべきである。小規模な公的機関は、例外的なケースではなく、正当な依存者として扱われるべきである。限られたスタッフしか持たない自治体、学校ネットワーク、公衆衛生機関、港湾、空港、領土行政、カリブ海の公共機関のすべてが、記録の規律に至る理解可能なルートを必要としている。
紛争の境界を見えるようにすべきである。レジストリ記録が争われている場合、公的機関に権限がない場合、請負業者が管理権を主張する場合、または裁判所命令が届いた場合、プロセスは明確であるべきだ。レジストリは、自らの役割を超えた問題を裁定することも、曖昧さの背後に隠れることもすべきでない。何よりも、正当性は抑制と信頼性から来ることを忘れてはならない。レジストリは、公的機関が毎日それについて考えなくて済むとき最も価値があるが、その静けさは規律あるサービスによって勝ち取られるものであり、制度の神話によってではない。
パブリッククラウド、ソブリン調達リスク、そしてアドレス退出問題
ソブリン調達リスクは、データの所在地、外国法、サプライヤー集中、暗号化、運用レジリエンス、非国内当局によるアクセスという観点からしばしば議論される。アドレス依存性は、より静かな次元を加える。公的機関は、ネットワークのアイデンティティ、パートナーの信頼、あるいは管理の証拠を失うことなく、公共向けサービスを移行できるだろうか?
公的機関がクラウドプロバイダーのアドレスを使用している場合、退出には公開エンドポイント、パートナーの許可リスト、ファイアウォールルール、メールレピュテーション、不正対策、ジオロケーションの前提、市民向け通知の変更が必要になるかもしれない。DNS はこの一部を抽象化できるが、すべてではない。脆弱な許可リストを避けるよう何年も助言されてきたにもかかわらず、多くの統合は依然として IP アドレスを信頼のアンカーとして扱っている。公的機関は、パートナーの管理の現実を引き継ぐ。調達紛争、ポリシー変更、セキュリティ上の懸念、コスト増加の後に機関がプロバイダーを変更する場合、アドレス層は隠れたスイッチングコストになり得る。
機関が BYOIP を通じて自身のアドレス空間を使用している場合、退出はより現実的だが、コストがかからないわけではない。機関は、クリーンなレジストリ記録、ルート起点認証、逆引き DNS の手配、クラウド固有の検証、広告の撤回と再広告計画、DDoS 調整、アドレスレピュテーションを維持しなければならない。リソースは、ガバナンスがそれを支える場合にのみ移植性を提供する。
これが、ソブリン調達リスクを「パブリッククラウドは悪い」や「パブリッククラウドは良い」に還元できない理由である。クラウドはレジリエンス、セキュリティ、スケーラビリティ、サービス提供を改善できる。また、依存を集中させる可能性もある。公共アドレス空間をクラウドに持ち込むことは継続性を維持できるが、レジストリとルーティングの責任をもたらす。プロバイダー所有のアドレスは運用を簡素化できるが、退出を弱めるかもしれない。ARIN はソブリン調達ポリシーに責任を負うわけではないが、その RDAP レコード、逆引き DNS 委任、RPKI サービス、移転ルール、記録維持プロセスは、退出計画の信頼性に影響を与える。公共の購入者は、アドレスガバナンスを調達要件として扱うべきである。レジストリとクラウドプロバイダーは、公共の継続性テストのために境界プロセスを十分に明確にすべきである。
退屈な台帳の制度経済学
この文脈でレジストリに対する最高の賛辞は、それが先見的であることではない。正しい意味で退屈であることだ。
退屈なレジストリは、記録を安定して保つが修正可能でもある。大げさな妨害なしに権限を検証する。定型的な変更を予測可能に処理する。リソース保有者が計画を立てるのに十分な情報を公開する。通常のストレスの中でもサービスを維持する。ポリシーと人格を分離する。あらゆる不足紛争を実存的なドラマに変えたりしない。台帳の多くのユーザーがインターネットのインサイダーではないことを認識している。公的機関がポリシー議論には参加していなくとも、その結果に依然として依存していることを理解している。
こうした退屈さの経済学は過小評価されている。台帳が信頼されると市場はより良く機能する。記録が明確だと公共サービスはより早く復旧する。検証が予測可能だとクラウド移行はより円滑になる。レジストリの証拠が最新かつ適切に制限されていると、法執行と裁判所のプロセスはよりクリーンになる。レジストリが所有権の越権と市場の掌握の両方を拒絶するとき、希少な IPv4 の価値が制度を歪める可能性は低くなる。
逆に、刺激的なレジストリはしばしば悪い兆候である。レジストリが絶えず訴訟の的になり、政治化され、財政的に不安定で、裁量に依存し、不透明で、あるいは拡大された権限に誘惑されるならば、コストは外側に広がる。より多くのベンダーヘッジ、より多くの法的な不確実性、記録への信頼の低下、より複雑なクラウド検証、そして不安定性を公共の購入者よりもよく理解している仲介者への公共セクターの依存の増大である。
したがって、ARIN の公共セクターにとっての課題は、公共セクターの機関として自身を再発明することではない。それは、自らの台帳が公共機能を引き受けていることを認識しつつ、規律あるレジストリであり続けることである。公共セクターの課題は、ARIN に対する支配を要求することではない。依存関係を理解し、記録を維持し、賢明に契約し、復旧をテストし、IPv4 依存が消えたかのように見せかけずに IPv6 を展開することである。
台帳層という考え方が有用なのは、二つの誤った描像を拒絶するからだ。レジストリはネットワークの上に立つ所有者ではない。公共的な結果を持たない受動的なノートでもない。それは、他の機関が依存する希少な識別子の台帳を管理する制度的な層である。その権限は、権限の範囲によって制限され、証拠によって規律され、継続性のために保護され、自身が生み出す依存に対して説明責任を果たす場合にのみ正当となる。
これが、この領域における制度経済学の要点である。インターネット番号レジストリは、ドラマチックなインフラではない。それは、公共の能力に対する静かな制約である。公共サービスがクラウドに移行すればするほど、IPv4 は希少であり続け、ルーティングセキュリティが期待されるようになり、市民がデジタルエンドポイントを通じて政府を経験するようになるほど、この静かな制約が重要になる。ARIN は公共セクターのネットワークを所有しているわけではないが、公共セクターは ARIN の記録とサービスの継続性に依存している。この非対称性が受け入れられるのは、関係者全員が台帳を公共依存の真剣さと、限定された権限の抑制をもって扱う場合のみである。

