概要

  • ARIN 地域のサブアロケーション可視性は責任連鎖の問題である。カスタマー、再販業者、テナント、ホスティングユーザー、クラウド BYOIP ユーザー、MSP クライアント、関連会社、大学、公共部門契約者が、公開ホルダーラインより下の運営責任を創出しうる。
  • 公開記録はカスタマーリストより薄く、名前より厚く保つべきであり、ホルダー記録、役割連絡先、提供者記録証拠、ルート起点証拠、逆引き DNS パス、機密在庫、監査証跡、緊急開示を組み合わせる。
  • ARIN の価値は公開台帳および調整のアンカーとしてであり、個々のリース、カスタマー割り当て、再販業者関係、クラウドアーキテクチャ、プロバイダ割り当て製品を商業的に裁く主体としてではない。
  • より良い段階的可視性は、検索コスト、過剰ブロッキング、ルーティング遅延、陳腐化した連絡可能性、合法通知の失敗、継続性の不意打ち、ジオロケーションとレピュテーションの波及、および大規模プラットフォームに有利な隠れた集中を低減する。

ホルダーライン下のトラブルチケット

このトラブルチケットは、ポリシー論争として始まったわけではない。ある銀行への不審なログイントラフィックを送信していた管理ホスティングカスタマーが使用していた小規模なアドレスブロックから始まった。公開記録には親レンジのホルダーが記載されていた。ルートコレクターは、ホスティングプロバイダが運用する起点 AS を示していた。逆引き DNS は依然として中立的なプロバイダ命名スキームを使用していた。不正利用メールボックスは役割アカウントに到達したが、その役割アカウントはカスタマーではなく、侵害されたマシンを運用していない会社に属していた。再販業者がカスタマーにそのサービスを販売していた。管理ファイアウォールベンダーがエッジアプライアンスを制御していた。カスタマーは、規制対象事業者であり、インシデントがまだ理解されていなかったため、名前を公の検索から除外することを望んでいた。銀行はトラフィックを止められる誰かを求めていた。アップストリームはルートが認可されている証拠を求めていた。プロバイダは、クライアントを晒すことなく自身の評判を守りたかった。

これがサブアロケーション可視性の背後にある実際的な問題である。ARIN の用語では、関連する運用記録は再割り当て、再譲渡、公開カスタマー記録、非公開カスタマー情報、ダウンストリームプロバイダ記録、SWIP 状の報告、ルート起点証拠、逆引き DNS 委任、アカウント権限として現れることがある。したがって、「サブアロケーション」という言葉はここではより広い市場の意味で用いられ、ある階層で認識されたアドレス空間が、外部からはその身元、役割、責任が十分に見えないダウンストリーム当事者によって使用される瞬間を指す。その形態は、他のネットワークへの正式な再割り当てであったり、カスタマー割り当てであったり、ホスティング、クラウド BYOIP、管理セキュリティ、再販業者契約、親会社ブロックの関連会社による利用、大学の委任キャンパスネットワーク、公共部門契約者の管理サービス、リース、あるいは独立した公開ホルダーとして決して現れないプロバイダ割り当ての代替手段などである。

この区別が重要である理由は、IPv4 の枯渇がダウンストリーム利用を経済的事実に変えたからである。もしカスタマー、再販業者、テナント、管理サービス顧客が、不正利用の停止、ログの保持、ファイアウォールルールの変更、逆引き DNS の修正、ジオロケーションの説明、合法的な通知の支援、ルート権限の証明、出口計画を実行できる当事者であるならば、その責任を隠してもそれを排除したことにはならない。単に発見コストを他の全員に押し付けているだけである。一般にはホルダーが見える。市場が必要とするのは責任の連鎖である。

ARIN が有用な試験ケースである理由は、北米およびカリブ海のアドレス経済が深く、成熟し、階層化しているからである。American Registry for Internet Numbers は、アメリカ合衆国、カナダ、そして多くのカリブ海および北大西洋諸国の経済にサービスを提供している。そのフリーIPv4 プールは 2015 年 9 月に枯渇した。それ以降、新たな運用需要は、移転、順番待ちアドレスプール、旧来の保有枠、企業再編、プロバイダ割り当てアドレス、リース、クラウドアドレスサービス、管理ネットワーク、そして IPv6 の段階的なエンジニアリング作業を通じて満たされてきた。ARIN は、Whois と RDAP を通じた登録データ、管理窓口、組織およびネットワーク記録、逆引き DNS 管理、ルーティングセキュリティサービス、ルーティングレジストリ機能、ポリシーに基づく移転承認といった公共のアンカーを提供する。これらの機能は、まさにそれらがすべてのホルダーの下位にある完全な商業連鎖を記述しないからこそ、ARIN を重要なものにしている。

難しい問題は、ARIN がすべてのエンドユーザーを知るべきかどうかではない。ARIN は、あらゆるカスタマー関係の商業調査者、全テナントの公開調査書類、あるいはホスティング、リース、再販、クラウドアーキテクチャの判事になるべきではない。カスタマーの機密性、個人の安全、競争上の秘密、合法的なプライバシーはいずれも重要である。難しいのは、市場がこれらの利益を保護しつつ、盲目的な委任連鎖をどう回避するかである。登録台帳は境界を保ちつつも、不正利用対応、ルート受け入れ、カスタマーの継続性、合法的エスカレーション、公共の説明責任のために十分な構造化された可視性を要求しうる。

有用な基準は段階的可視性である。公衆は、ホルダー記録、現在の役割連絡先、そして責任の所在を知るのに十分な役割情報を必要とする。運用上の取引相手は、ルート起点証拠、逆引き DNS 権限、提供者記録確認、不正利用エスカレーションパスを必要とするかもしれない。カスタマー、貸し手、買い手、公共部門機関は、どのプロバイダがアドレス空間を管理し、出口で何が起こるかを示す非公開のデューデリジェンスを必要とするかもしれない。ホルダーは機密のカスタマー在庫と監査証跡を必要とするかもしれない。合法的な緊急チャネルは、プライバシー保護された割り当ての背後にいる当事者を外部に公開することなく、その当事者に連絡する方法を必要とするかもしれない。各階層は異なる問いに答える。それらを一つの問いとして扱うことが、過剰開示か危険な不透明性のいずれかを生み出す。

ダウンストリームユーザーは今や資産の一部である

IPv4 が豊富だった世界では、隠れたダウンストリームカスタマーはしばしば運用上の不便として扱われることができた。プロバイダは内部でカスタマーを追跡できた。侵害されたサーバーはプラグを抜かれることができた。古い連絡先は苦情を遅らせるかもしれないが、レンジ全体の価値を変えることはなかった。再番号付けは不快だが、時には実行可能だった。経済的利害は低かった。なぜなら代替容量の不足が少なく、小さなパブリックレンジを永続的なアイデンティティとして扱うカスタマーシステムが少なかったからだ。

その世界は去った。/24 は、ホスティングクラスタ、決済ゲートウェイ、SaaS サービス、カスタマー通知プラットフォーム、管理ファイアウォール設備、公共部門ポータル、大学サービス、地域 ISP プロダクト、VPN アクセスレイヤー、銀行向け API を支えることができる。その/24 内のより小さなスライスであっても、カスタマー、サプライヤー、監査人、許可リスト、不正検知ツール、インシデントログが認識するパブリックアドレスであるがゆえに、有意なカスタマー価値を持ちうる。利用がダウンストリームに移動すると、ダウンストリームユーザーはアドレスブロックの経済的プロフィールの一部となる。

不透明性の第一のコストは探索である。不正利用対応デスク、アップストリームプロバイダ、法執行アナリスト、カスタマー保証チーム、クラウドオンボーディンググループ、または取引のバイヤーは、誰が行動できるかを発見しなければならない。公開ホルダーが適切な当事者かもしれない。それは単に登録関係を持つ当事者に過ぎないかもしれない。起点 AS が適切な当事者かもしれない。それはトランジットもしくは管理ホスティングプラットフォームかもしれない。逆引き DNS オペレータは命名には適切だが、不正利用には適切でないかもしれない。カスタマーが侵害されたマシンを持つ唯一の当事者かもしれない。責任のある層を特定するために費やされる毎時間は、より良い可視性によって低減できたはずのコストである。

第二のコストは過剰反応である。申立人が責任のある/29 を特定できなければ、その/24 全体をブロックするかもしれない。銀行がどのカスタマーがトラフィックを引き起こしたかを特定できなければ、そのプロバイダを疑うかもしれない。セキュリティベンダーが再販業者のカスタマーとホルダーを区別できなければ、ホルダーの評判を汚すかもしれない。トランジットプロバイダが委任されたオペレータを検証できなければ、ルートを遅延させるかもしれない。公的機関バイヤーが提供者記録を証明できなければ、入札を拒否するかもしれない。不透明性は、問題に最も近いアクターから親レンジ周辺の全員へとリスクを拡散させる。

第三のコストは逆選択である。良好なカスタマー在庫、不正利用経路、ルーティング証拠、エグジットプロセスを維持するプロバイダは実際のコストを負う。不透明な利用を売るプロバイダは、何かが破綻するまでは安く見えることがある。市場が両者を区別できなければ、責任あるプロバイダは不透明なプロバイダによって価格を下回られる。希少な IPv4 は、そのビジネスモデルが特定困難であることで利益を得るような利用者を惹きつける。その結果はプライバシーではない。それは、不透明性そのものが製品の一部となる市場である。

第四のコストは、ガバナンスが私的仲介者へと隠れた形で移転することである。公開レジストリ記録が十分に示さなければ、買い手、銀行、クラウド、キャリア、レピュテーションベンダーは私的な受け入れシステムを構築する。彼らは、どの証拠が十分で、どのホルダーが信用でき、どのリースマネージャーが信頼され、どの再販業者が受け入れられ、どのカスタマーが再番号付けしなければならないかを決定する。そうした私的な審査の一部は必要である。しかし、公開可視性が薄すぎると、私的なゲートキーパーはより強力になる。なぜなら、彼らは公開台帳が提供し損ねた信頼を売るからである。

だからこそ、サブアロケーション可視性は狭いデータ品質の問題ではない。それは、アドレス枯渇後のアドレス経済における情報アーキテクチャである。問いは、すべてのダウンストリームカスタマーを公開することなく、市場コストを低減するのに十分なほど、いかにして責任を見えるようにできるかである。

ホルダーはアンカーであり、全体像ではない

ARIN の公共的価値は、認知されたホルダーから始まる。安定したホルダー記録は、どの組織がリソースと公に関連付けられているか、どのアカウント関係が登録変更を要求できるか、どの公開連絡先が利用可能かを外部に知らせる。このアンカーがなければ、移転はより困難になり、ルート認可はより疑わしく、逆引き DNS 変更はより信頼しにくく、不正利用苦情は噂から始まる。ホルダー記録は些細な管理上の線ではない。それは希少な番号リソース依存の最初の公開参照点である。

しかし、ホルダーが常に運用ユーザーであるとは限らない。企業はレガシー割り当てを保持しつつ、ワークロードをクラウドアカウントで実行するかもしれない。親会社は、複数の関連会社が使用するブロックを保持するかもしれない。大学は広いレンジを保持しつつ、学部、研究室、病院、および契約業者がその一部を運用するかもしれない。ホスティング事業者がホルダーでありつつ、カスタマーがサーバー、セキュリティ機器、メールシステムを運用するかもしれない。マネージドサービスプロバイダが、クライアントに登録されたアドレスのルーティングを制御するかもしれない。キャリアが、プロバイダ集約されたアドレス空間を、その顧客のさらにそのカスタマーがサービスを体験するようなビジネスカスタマーに割り当てるかもしれない。公共部門の契約業者は、商業連鎖を通じて取得したアドレス上で政府ポータルをサポートするかもしれない。

これらの構造はいずれも本質的に疑わしいものではない。ネットワーク運用における分業は普通である。記録上のホルダーは最も安定した当事者であるかもしれず、ARIN との関係を持つ唯一の当事者であるかもしれず、あるいはダウンストリームの運用が変化する間も公開登録を安全に維持できる当事者であるかもしれない。問題は、公開記録が運用の実体にはない単純さを示唆するときに生じる。もしすべての外部者がホルダーを唯一の責任当事者として扱わねばならないならば、ホルダーはダウンストリームで創出されるリスクの公開衝撃吸収材となる。もしホルダーが、ダウンストリームの事実は公開されていないという理由でそれを否認できるならば、ダウンストリームユーザーは部外者に対して責任を負わなくなる。

正しいモデルは、ホルダー、オペレータ、カスタマー、ルート起点を一つのフィールドに押し込めることではない。役割を分離することである。ホルダー役割は、「誰が認知された登録者またはリソース保持者か?」に答える。オペレータ役割は、「誰がこのアドレス空間の一部を使ってネットワークやサービスを運営しているか?」に答える。提供者記録役割は、「どの商業プロバイダがカスタマー関係と利用の継続性に責任を負うか?」に答える。ルーティング役割は、「どの AS やプラットフォームが起点として認可されているか?」に答える。命名役割は、「誰が逆引き DNS を管理しているか?」に答える。不正利用役割は、「どのデスクが通報に対応できるか?」に答える。法的通知役割は、「どの当事者が公式の要求を受信し、経路付けできるか?」に答える。プライバシー役割は、「ダウンストリームユーザーが存在するが、公に名前が挙げられていないか?」に答える。

公開台帳は、すべてのカスタマーを晒すことなく、これらの役割の一部を開示できる。通常の住宅、小規模事業者、またはセキュリティに敏感なカスタマーの利用の多くでは、公開の名前表示は不要であり、時に有害である。必要なのは、機能する役割が存在すること、ホルダーが必要に応じて責任あるカスタマーを追跡できること、そして市場がプライバシー保護された責任を無知と区別できることである。「カスタマーID は非公開だが、ホルダーエスカレーションを通じて追跡可能」という状態は、「不明なカスタマー」とは異なる。「不正利用と逆引き DNS に責任を持つマネージドサービス事業者」は、「ホルダーのみ」とは異なる。「さらに割り当てることを認可されたダウンストリームプロバイダ」は、「運用責任のない再販業者」とは異なる。

この分離は ARIN も保護する。もしレジストリがすべての商業的な問いに自ら答えようとすれば、ビジネスモデルの判事になってしまう。もしホルダーの身元にしか答えなければ、あまりに多くのコストを市場に残す。役割ベースの台帳は、ARIN をその本来の機能に近づける。すなわち、調整に十分な責任を記録しつつ、契約、カスタマープライバシー、セクター規制、商業的判断をそれらが属する場所に残す、公共のアンカーである。

公開可視性はカスタマーリストより薄く、名前より厚くあるべき

公開記録がカスタマーディレクトリになる必要はない。すべてのテナント、すべてのマネージドサービスクライアント、すべてのセキュリティカスタマー、すべての小規模な割り当てを公開すれば、予測可能な害が生じる。競合他社はカスタマー関係を推測できるかもしれない。攻撃者は高価値の標的を特定できるかもしれない。個人や小規模事業者は晒されるかもしれない。規制対象のカスタマーは直接のアドレス使用を避けるかもしれない。プロバイダは開示を避けるために、より非公式な取り決めに活動を移すかもしれない。最大限の透明性は、正直な報告のコストを高くすることで信頼を損なう可能性がある。

しかし、ホルダーだけの記録は、現代の多くの利用形態に対しては薄すぎる。部外者はしばしば、そのアドレスがホルダー自身によって運用されているのか、カスタマーに割り当てられているのか、他のプロバイダに再割り当てされているのか、マネージドサービスの下で使われているのか、クラウドにインポートされているのか、関連会社に委任されているのか、専門事業者を通じてリースされているのか、公共部門の契約者によって使用されているのか、プライバシー保護下にあるのかを知る必要がある。その情報は、生のカスタマー名としてではなく、役割とステータスとして開示されうる。

建設的な公開記録は、認知されたホルダー、永続的な役割連絡先、検証の鮮度、そして公的依存がそれらに依存する場合の意味のあるステータスを示すであろう。それは、ホルダー運用アドレス空間とダウンストリーム運用アドレス空間を区別できる。それは、すべてのダウンストリームカスタマーを名指しすることなく、ダウンストリームプロバイダが存在することを示せる。それは、カスタマーID が保留されているが、指名されたプロバイダ役割を通じて追跡可能であることを示せる。それは、不正利用経路、ルーティング連絡先、逆引き DNS 連絡先、ホルダーエスカレーションを識別できる。それは、当該役割がホルダー証明済みか、レジストリ検証済みか、ルート観測済みか、クラウド検証済みか、カスタマー機密か、陳腐化しているか、係争中か、更新待ちかを示せる。

証拠ラベルは役割と同じくらい重要である。「ダウンストリームオペレータ」と書かれた公開フィールドは、すべてのケースで同じように有用とは限らない。その記述は先週ホルダーによって提出されたのか?移転時に検証されたのか?BGP から推測されたのか?古い逆引き DNS 命名からコピーされたのか?クラウド BYOIP プロセスによって確認されたのか?プライバシーのために編集されたが、機密の在庫によって裏付けられているのか?同じ公開の文章が非常に異なる信頼度を支えることがある。市場はラベルだけでなく、信頼度を知る必要がある。

階層化されたアクセスが問題の一部を解決する。公開ユーザーは、役割、連絡先パス、および信頼ステータスを必要とするかもしれない。認証された取引相手はより多くを必要とするかもしれない:LOA、カスタマーカテゴリ、提供者記録確認、期間、ルート起点権限、逆引き DNS 手続き、緊急連絡先、エスカレーション義務。購入者は、非公開のダウンストリームユーザーが継続性の請求権を持つかどうかを知る必要があるかもしれない。貸し手は、アドレスに支えられた収益が追跡不可能な再販業者チェーンの上に築かれていないという保証を必要とするかもしれない。公共機関は、契約者の公開エンドポイントがサードパーティの賃借人に依存しているかどうかを知る必要があるかもしれない。法的手続きでは、正式な条件の下でより深い開示経路が必要になるかもしれない。

ホルダーは、これらの多くを非公開の証拠ファイルに保持できる。ARIN はデフォルトですべてのカスタマー契約を必要とするわけではない。しかし、公開台帳は、非公開の証拠層が存在し、ホルダーまたはプロバイダが定義された目的のためにそれを提示できることを明確にできる。そのシグナルだけでもインセンティブを変える。それは追跡可能な記録を保持するホルダーを報いる。それは仲介者が責任連鎖を文書化しないままアドレス利用を販売するのを阻む。それは、あらゆるカスタマーの公開を強いることなく、取引相手にデューデリジェンスのための語彙を提供する。

鍵は、可視性を依存度に比例させることである。公開のホルダーおよび役割情報は安定し、低リスクであるべきだ。運用上の証拠は、ルーティング、診断、調達、資金調達、調査を行う必要がある当事者が利用できるべきである。センシティブなカスタマーID は、定義された理由が開示を正当化するまで保護されるべきである。これらの層を見ることができる市場は、公開露出と私的な霧の二者択一を強いられる市場よりも、責任を適切に値付けするだろう。

再割り当てと再譲渡は、新しい経済にとって古い言葉である

ARIN は長らく、ダウンストリーム登録のための用語を持っていた。インターネットサービスプロバイダやその他のホルダーは、常に自分たちのためだけにアドレスを使うわけではない。彼らはカスタマーにアドレスを割り当て、ダウンストリームプロバイダにアドレスを再割り当てし、カスタマー向けの記録を公開または維持し、またいくつかの設定では、非公開のカスタマーデータや委任された報告メカニズムに依存する。正確な閾値や報告ツールは、ここでは制度的な事実ほど重要ではない:ARIN 自身のシステムが、最初のホルダーより下位の登録が重要でありうることを認識しているということである。

その認識を取り巻く商業環境は変化した。以前のダウンストリーム登録は、しばしばかなり読み取りやすいプロバイダとカスタマーのパターンを中心に想像されていた:ISP がビジネスカスタマーにアドレスを提供する;ダウンストリーム ISP が自身のカスタマーのためにアドレスを受け取る;住宅向けカスタマーが動的または静的なサービスを受ける;企業が専用アドレスを受け取る;公開記録または非公開カスタマーエントリが割り当てを反映する。これらのカテゴリは依然として存在する。しかし現代のアドレス利用は、それほど直線的ではない。

SaaS プロバイダが、サードパーティホルダーを通じて取得したアドレスを用いて、ホスティングネットワーク内でカスタマー専用エンドポイントを運用するかもしれない。管理セキュリティプロバイダが、複数のカスタマーファイアウォールのためにプレフィックスを広告する一方で、ホルダーは別の会社のままかもしれない。クラウドカスタマーが、自身の ARIN 地域プレフィックスをハイパースケールプラットフォームに持ち込み、そのプラットフォームが製品固有のシステムを通じてそれを広告するかもしれない。親会社が関連会社にレガシーブロックの一部を使用させるかもしれない。大学が、アドレス責任を医療センターや研究コンソーシアム、または外部委託されたネットワークチームに委任するかもしれない。政府の契約業者が、プロバイダ割り当てのアドレスで公共システムをホストする一方で、契約上の継続性はホルダーではなく契約業者に依存するかもしれない。再販業者が、自らはアドレス管理者から容量をリースしているホストから、仮想サーバーをパッケージ化するかもしれない。

正式な記録は、古いカテゴリの一つですべての運用的なニュアンスを捉えることはできない。「再割り当て」はカスタマーを識別するかもしれないが、実際に不正利用苦情を受け取るマネージドサービスプロバイダを識別しないかもしれない。「再譲渡」はダウンストリーム ISP を識別するかもしれないが、その下の再販業者を識別しないかもしれない。非公開カスタマーエントリはプライバシーを満たすかもしれないが、部外者が誰が対応できるのか不確かなままにする。ルートオブジェクトや ROA は、特定の ASN がプレフィックスを起点としてよいことを確認するかもしれないが、どのカスタマーがサービスの背後にいるかについては何も言わない。逆引き DNS は運用ブランドを明らかにするかもしれないが、法的責任は明らかにしない。クラウド BYOIP 検証はプラットフォームにとっては十分かもしれないが、銀行や公共の買い手にとっては不十分である。

これがサブアロケーション可視性が形式的にではなく機能的に読まれるべき理由である。関連する問いは、ある関係がポリシー上の一語に当てはまるかどうかではない。問いは、ダウンストリームの役割が公共の信頼にとって何を変えるかである。それは不正利用の受信者を変えるか?ルート起点権限を変えるか?逆引き DNS を変えるか?カスタマー継続性の主張を生み出すか?合法的通知の複雑さを生み出すか?ジオロケーションやレピュテーションの帰結を生み出すか?カスタマー審査を管理する再販業者を持ち込むか?ホルダー関係が終了した場合のエグジットリスクを生み出すか?

登録ポリシーは、普遍的なカスタマー管理レジームにまで引き伸ばされるべきではない。しかし、役割を変える委任を識別できる程度には現代的であるべきだ。もしダウンストリーム利用が見えないにもかかわらず、ルーティング、不正利用、命名、継続性、または合法的エスカレーションに実質的に影響を与えるならば、市場はその不可視性に対して代償を支払う。ホルダーは評判とデューデリジェンスを通じて支払うかもしれない。カスタマーはより弱い出口権を通じて支払うかもしれない。アップストリームは誤検知を通じて支払うかもしれない。レジストリは、より狭い証拠が入手できないために、より広範なレビューを実施せよという圧力を通じて支払うかもしれない。

成熟したアプローチは、登録の古い美徳 ― 一意性、連絡可能性、運用上の説明責任、効率的利用のための透明性 ― を保ちつつ、クラウド、MSP、再販の経済に対してより明確な役割の語彙を追加することである。記録はすべてを語る必要はない。それは、一つの見えるホルダー名で十分だと偽るのを止めるべきである。

不正利用対応は、不透明性が公になる場面である

不正利用対応は、ダウンストリーム可視性を求める最もよく知られた論拠だが、その主題全体をそれに呑み込ませてはならない。要点は、あらゆるアドレスポリシーが不正利用を中心に書かれるべきだということではない。要点は、不正利用こそが、私的な委任が公にコストを生む瞬間だということである。侵害されたサーバー、フィッシングサイト、ブルートフォース攻撃の発生源、マルウェアの指令ノード、スパムの大量送信、スクレイピング操作は、ホルダーの数階層下に存在しうる。もし通報が行動できる当事者に届かなければ、周辺のレンジが苦しむ。

害は、然るべきホストだけに留まらない。メール受信者は近隣のアドレスを信頼しなくなるかもしれない。銀行はプロバイダのレンジをブロックするかもしれない。脅威情報フィードはネットブロックをマークするかもしれない。アップストリームは説明を求めるかもしれない。カスタマーはプロバイダが「汚れている」かどうかを尋ねるかもしれない。セキュリティベンダーは、疎な公開データをリスクシグナルとして扱うかもしれない。運用を委任したホルダーは、明確な不正利用経路を確立していなければ、自らが最も近いオペレータでない場合でも、怒りの最初の目に見える標的となる。公の可視性を受けないダウンストリームオペレータは、真剣な不正利用デスクに投資するインセンティブが小さくなるかもしれない。

可視性は懲罰を狭める。もし公開または半公開の記録が、特定のダウンストリームプロバイダがそのレンジの不正利用を受け付けることを示せれば、通報はそこに経路付けされうる。もし記録がプロバイダの背後にプライバシー保護されたカスタマーを示せば、申立人はカスタマーを公に名指しすることなくエスカレーションできる。もしホルダーが機密の在庫を保持していれば、責任あるカスタマーを迅速に特定できる。もし役割連絡先が検証されていれば、行方不明になる通報は減る。もし証拠ラベルが鮮度を示せば、セキュリティチームは現在の委任を古いものと区別できる。

プライバシーへの異論はもっともである。サーバーが侵害された小規模事業者が、自動的にグローバルな公開データベースで名指しされるべきではない。病院のベンダー、法律事務所、学区、公共の契約業者、セキュリティに敏感な企業は、ホスティングプロバイダとの関係を秘密にしておく正当な理由があるかもしれない。通常のカスタマーであっても、小さなアドレススライスに対して法人名を公開することは、嫌がらせ、競合情報収集、セキュリティリスクを生みうる。不正利用対応に求められるのは、到達可能性であって、普遍的な名前表示ではない。

解決策はエスカレーションのはしごである。公開層では、機能する不正利用連絡先と、ホルダー、ダウンストリームプロバイダ、または管理オペレータのいずれが苦情を扱うかを知るのに十分な役割情報があるべきだ。認証された運用層では、アップストリームやクラウドプロバイダのような取引相手が、より具体的な提供者記録証拠を受け取ることができる。ホルダー層では、カスタマー割り当てとエスカレーションパスが非公開で維持されるべきだ。法的手続き層では、ホルダーまたはプロバイダが、有効な要請があった場合にカスタマーを特定できるべきだ。緊急層では、仲介者間の推測に依存しない、切迫した危害のための定義された経路があるべきだ。

このはしごは、通報の質も律する。可視性レジームは、あらゆる告訴をデフォルトに変えるべきではない。それは、通報の量と行動可能性を区別すべきである。単一の自動化された通報が、カスタマーを晒したり、ルートの撤回を正当化したりすべきではない。反復的で、証拠に基づき、深刻な、または無視された不正利用はエスカレーションを正当化しうる。誤検知は拒否できるべきだ。目的は、より懲罰的なレジストリを作ることではない。それは、広範な巻き添え被害を避けるのに十分な速さで、正しい運用層が正しい証拠を受け取るようにすることだ。

ARIN 地域では、このことは重要である。なぜなら、影響を受けるカスタマーは多くの場合、洗練されており、機微であるからだ。ホスティングおよび SaaS 企業は、銀行、医療提供者、大学、公共機関、中小企業にサービスを提供している。管理ネットワークは規制産業を支えている。クラウド BYOIP カスタマーは、既に内部のインシデントプロセスを持っているかもしれない。粗いホルダーだけの通報経路は、この市場にはうまく適合しない。不正利用可視性は、責任を経路付けするのに十分なほど構造化され、かつ、あらゆるカスタマーを公共のインターネットに晒さない程度に抑制されていなければならない。

ルーティング証拠は権限を証明するが、実際の利用を証明するわけではない

ルーティングは、ダウンストリームの利用が見えるようになる第二の場所である。プレフィックスはある組織に登録され、別の AS によって起点とされることがある。それは普通のことかもしれない:カスタマーがトランジットプロバイダを使う、管理ホストがルートを起点とする、クラウドプラットフォームがカスタマープレフィックスを広告する、災害復旧プロバイダがフェイルオーバー中にレンジをアナウンスする、あるいはレッシーがホルダーの許可の下で自身の ASN を使う。ルートは、トラフィックがどこへ向かっているかを世界に知らせる。それ自体は、エンドカスタマーが誰かや、商業連鎖が十分に文書化されているかを世界に知らせるわけではない。

ルート起点証拠は依然として不可欠である。トランジットプロバイダ、ピア、ルートサーバー、クラウドプラットフォーム、セキュリティチームは、起点 AS が認可されているかどうかを知る必要がある。認可状(LOA)、アカウント権限、RPKI ROA、IRR ルートオブジェクト、カスタマーレコードはすべて、私的な委任を公開のルーティング主張へと翻訳する助けとなる。ARIN 地域では、大規模なクラウド、キャリア、エンタープライズがますます正式なルート検証慣行を持つようになっており、弱い証拠は、本来は正当な利用を遅延させたり妨げたりしうる。

間違いは、ルーティング証拠を完全な責任記録として扱うことである。ROA は、ASN がプレフィックスを起点として認可されていると言える。それは、ダウンストリームカスタマーが銀行なのか、大学の研究室なのか、再販業者なのか、公共契約業者なのか、スパム操作なのかを言わない。IRR オブジェクトはフィルターがルートを受け入れる助けになるかもしれないが、それは陳腐化していたり、コピーされていたり、サードパーティによって維持されていたり、実際のカスタマーと十分に結びついていなかったりするかもしれない。LOA はアップストリームを満足させるかもしれないが、貸し手や公共の買い手にとっては不十分かもしれない。BGP の起点は、トラフィックがどこで出ていくかを示すかもしれないが、誰がカスタマー関係を持っているかは示さない。ルーティング証拠は一種の権限を証明する。それは利用、責任、継続性を尽くすものではない。

この区別は、支援的な人工物をその適切な場所に留める。ルートオブジェクトのガバナンス、IRR の脆弱性、ROA の失効は隣接する主題である。それらの主たる問いは、ルーティング記録が正しいか、保守可能か、権威的か、安全に変更可能かである。サブアロケーション可視性は異なる問いを立てる:ルーティングされた利用の背後にあるダウンストリーム責任連鎖が、市場の信頼のために十分に判読可能かどうか。ルーティング人工物は証拠スタックの一片であり、本稿の対象ではない。

何が見えるべきか?最低限、取引相手はルートを認知されたホルダーまたは認可されたプロバイダに結びつけることができるべきだ。もし起点 AS がホルダーの AS でなければ、説明可能な関係があるべきだ:カスタマー起点、管理サービス起点、クラウドプラットフォーム起点、リースされた運用、ダウンストリーム ISP、災害復旧、関連会社の利用、または一時的な移行。公開記録はカスタマー名を晒す必要はないかもしれないが、ルートを説明不能な不一致のように見せてはならない。関係がセンシティブな場合は、プライバシー保護ステータスと認証された証拠経路が公開の名前表示を代替できる。

ルートフィルターの不確実性は経済的コストである。委任された利用を検証できないアップストリームは、サービスを遅延させるかもしれない。権限を検証できないクラウドは、BYOIP を拒否するかもしれない。ルートサーバーは追加の手作業チェックを要求するかもしれない。カスタマーの立ち上げは機会を逃すかもしれない。購入者は、既存の起点と記録が整合できない場合、ブロックを割り引くかもしれない。公共機関は、誰が公開エンドポイントを管理しているかを証明できなければ、アーキテクチャを拒否するかもしれない。これらのコストは、基礎となる利用が正当であっても蓄積する。

ARIN がすべてのルートの運用者になるべきではない。しかし、その台帳は、ルート権限の証明をより安価にできる。ホルダー記録、役割連絡先、RPKI サポート、ルーティングレジストリデータ、ステータスラベル、明確なアカウント権限経路は、公開登録とルーティング実践の間のギャップを縮小できる。責任連鎖がより見え、より境界付けられているほど、市場が自らを守るために私的な疑念を必要とすることが少なくなる。

逆引き DNS とジオロケーションは、カスタマーが実際に目にする弱い手がかりを明らかにする

逆引き DNS は完全なアイデンティティシステムではない。それは命名委任と運用上の手がかりである。PTR レコードは、汎用的、陳腐化した、プライバシーに中立的な、誤解を招く、または意図的に味気ないものになりうる。それはプロバイダに名前を付けても、カスタマーに名前を付けないかもしれない。それは古い地理情報を運ぶかもしれない。それは企業開示のためではなく、メール到達性のために存在するかもしれない。それは管理 DNS プロバイダによって制御されているかもしれない。カスタマーがサービスを運用している間、ホルダーの下に留まるかもしれない。逆引き DNS をダウンストリームのアイデンティティの証明として扱うことは間違いであろう。

しかし、逆引き DNS は強い帰結を持つ。メールシステムはそれを見る。セキュリティログはそれを表示する。カスタマーは診断の中でそれを見る。公共部門の監査人は、名前がプロバイダの話と一致するかに気づくかもしれない。インシデント対応者は、自分たちの方向付けにそれを使う。陳腐化した PTR パターンは、新しいサービスを古いサービスのように見せることがある。以前のプロバイダに属しているように見えるレンジは、移行中に疑問を引き起こすかもしれない。ホルダー、ダウンストリームオペレータ、カスタマーが権限を文書化していないために逆引き DNS が変更できないならば、事務的な残滓がカスタマー向けの問題になる。

ジオロケーションも同じ性格を持つ。レジストリデータは完全なジオロケーションサービスではなく、ARIN は地図ベンダーとして扱われるべきではない。しかし、アドレスレコード、逆引き DNS 名、ルーティング起点、プロバイダの評判、カスタマーの報告は、ユーザーがアメリカ合衆国、カナダ、カリブ海市場、あるいはどこか他の場所にいるように見えるかを決める私的なデータベースに供給される。ジオロケーションの誤りは、コンテンツの権利、不正スコアリング、銀行アクセス、政府サービス適格性、広告ルール、税務ロジック、カスタマー分析を破綻させうる。誤りの影響を受けるカスタマーは、レジストリ記録に見えていないかもしれない。それを修正できる当事者は、プロバイダ、ホルダー、クラウドプラットフォーム、またはダウンストリームオペレータかもしれない。

サブアロケーション可視性が助けになるのは、これらの弱い手がかりに対して誰が行動すべきかを特定するからだ。もし管理ホストがカスタマーレンジの逆引き DNS を制御しているなら、その役割は明確であるべきだ。もしカスタマーが委任されたゾーン内で名前を制御しているなら、ホルダーはそれを知っており、不正利用/命名経路はそれを反映すべきだ。もしジオロケーション修正がホルダーの確認を必要とするなら、プロバイダはそれを取得できるべきだ。もしレンジがプライバシー保護されているが、特定の国での公共部門サービスに使われているなら、公共の買い手は、すべてのテナントを公開開示することなく、アドレスの来歴について非公開の証拠を必要とするかもしれない。

繰り返すが、これはアドレスのレピュテーション汚染と同じではない。主要な対象としてのレピュテーションは、引き継がれたスパム履歴、ブラックリスト、汚れた隣人、そして修復証拠に関わる。ここでの逆引き DNS とジオロケーションの問題は、可視性問題における支援メカニズムである。それらは、なぜ運用層のアイデンティティが重要なのかを示す。カスタマーが誰が命名と修正を制御しているかを証明できないとき、小さな不整合が高くつくようになる。

北米とカリブ海の状況は、これを実用的なものにしている。カナダの医療プラットフォームは、アドレスが不正行為・コンプライアンスツールに対して一貫してカナダのものと見える必要があるかもしれない。カリブ海の政府ポータルは、公開エンドポイントが無関係なオフショアホスティングプールのように見えない必要があるかもしれない。アメリカの SaaS ベンダーは、管理プロバイダのレンジが自社のサービス専用であることを銀行パートナーが理解する必要があるかもしれない。大学の研究プラットフォームは、科学パートナーがキャンパスインフラを商用 VPN と区別する必要があるかもしれない。これらのケースのいずれも、グローバルなカスタマーリストを必要としない。すべてが、信頼できる責任経路を必要とする。

逆引き DNS とジオロケーションは、したがって、些末な詳細ではない。それらは、一般のユーザーがアドレスの不透明性の経済的結果を目にする場所である。優れた可視性モデルは、完璧な名前や完璧な地図を約束しないだろう。それは、誰がそれらを修正でき、修正を裏付ける証拠が何かを明確にするだろう。

クラウド、BYOIP、MSP が可視性を調達の問題にした

ARIN 地域は、クラウドプラットフォーム、SaaS 企業、データセンター、マネージドサービスプロバイダ、エンタープライズネットワーク、大学、公共部門契約者、セキュリティベンダーで密集している。彼らの多くは、パブリック IPv4 アドレスが単なるネットワークの配管ではないサービスを売買している。それらは調達、監査、カスタマー保証、エグジット計画の一部である。だからこそ、サブアロケーション可視性はバックオフィスの登録からビジネスレビューへと移動したのだ。

クラウド BYOIP は最も明確な例である。ARIN 地域のプレフィックスをクラウドに持ち込む会社は、プラットフォームのインフラを使いながら公開アイデンティティを維持したい。クラウドプロバイダは証拠を求めるだろう:公開ホルダー記録、レンジを使用する権限、ルート起点許可、プレフィックス範囲、十分にクリーンな履歴、時に逆引き DNS や検証ステップ、そして責任を負えるアカウント。もしホルダーが親会社、レガシー企業、リースされたプロバイダ、または関連会社であれば、クラウドは関係を理解しなければならない。もしカスタマーがその連鎖を示せなければ、クラウド所有のアドレスにデフォルトするかもしれない。その選択は、最初は便利でも、後になってカスタマーがプラットフォームアドレスを許可リストに入れたときに高くつく。

管理サービスプロバイダも同様の問題を生む。MSP は、クライアントのためにファイアウォール、VPN コンセントレータ、SASE ノード、リモートアクセスシステム、メールゲートウェイ、ウェブアプリケーションファイアウォールを運用するかもしれない。公開アドレスは、MSP、クライアント、キャリア、データセンター、クラウドプロバイダ、または専門のホルダーによって保持されうる。クライアントはサービスだけを見るかもしれない。しかし、規制当局、銀行、保険会社、またはカスタマーが誰が公開エンドポイントを制御しているかを尋ねるとき、答えは「プロバイダが対処します」より明確でなければならない。MSP は提供者記録証拠を必要とし、カスタマーは継続性のストーリーを必要とする。

大学とレガシー企業は別の層を加える。彼らの多くは、インターネット成長の以前の期間からのアドレス空間を保持している。それらのレンジの一部は、中央 IT、研究ネットワーク、病院、附属機関、外部委託サービス、クラウド移行、同窓会システム、実験プラットフォーム、契約業者を支えているかもしれない。公開連絡先とレコードの正確性は、アドレス資産が数十年にわたって進化してきたため、不均衡かもしれない。ホルダーライン下の可視性は、正当な内部委任と放棄された、不明な、または悪用された空間を区別するのに役立つ。また、一つの研究室や契約業者が、そうでなければレンジ全体を汚すような問題を引き起こしたときに、機関を保護する。

公共部門のカスタマーは基準をさらに引き上げる。市、州、連邦の契約業者、港湾局、公立病院、教育ネットワークは、商業連鎖を通じて供給されるアドレスに依存するかもしれない。もし賃借人が認可を取り消したためにサービスが停止したり、逆引き DNS が変更できなかったり、クラウドインポートが拒否されたり、不正利用報告がどこにも行かなかったりした場合、そのコストは単なる私的な契約紛争ではない。それは公共サービスに影響を与えうる。したがって、調達チームはアドレス証拠を必要とする:ホルダー、提供者記録、ルート権限、逆引き DNS 管理、不正利用経路、合法的通知経路、プライバシー処理、更新リスク、エグジット計画。

同じ論理が規制対象カスタマーにも当てはまる。ヘルスケア、金融、防衛契約業者、決済処理業者、クリティカルベンダーはしばしば、安定した公開エンドポイント、指名されたインシデント経路、監査証拠、変更通知を要求する。彼らは、アドレス関係が割り当て、再割り当て、リース、BYOIP、またはプロバイダ割り当てサービスと呼ばれるかどうかは気にしないかもしれない。彼らが気にするのは、プロバイダが販売している管理を証明できるかどうかである。隠れた委任連鎖は、その証明をオーダーメードの法的およびエンジニアリング上の演習に変える。

小規模プロバイダにとって、これは競争上の問題となる。大規模なクラウドやキャリアは、証明コストを吸収し、コンプライアンスチームを配置し、自社ブランドの一部としてアドレスの信頼性を販売できる。小規模なホスティング会社やカリブ海の事業者は、技術的には健全なサービスを持っているかもしれないが、証拠が弱い。もし ARIN 地域の可視性メカニズムが薄すぎれば、カスタマーは、大規模プラットフォームが常に技術的に優れているからではなく、そのアドレスストーリーが承認しやすいからという理由で、大規模プラットフォームを選択する。したがって、貧弱な可視性は、管理の隠れた集中に寄与する。

答えは、すべてのカスタマーを公開記録に強制することではない。提供者記録証拠を日常的にすることである。カスタマーは尋ねることができるべきだ:誰がホルダーか、誰がサービスを運用するか、誰がルートを起点とするか、誰が逆引き DNS を扱うか、誰が不正利用を受け付けるか、誰が合法的通知に対応できるか、誰が機密のカスタマー在庫を維持するか、プロバイダ関係が終了したら何が起こるか?プロバイダがこれらの問いに証拠をもって答えられるなら、サービスで競争する。もし答えられなければ、カスタマーは不確実性を買っている。

継続性とエグジットは、見過ごされたダウンストリームの権利である

アドレスの不透明性はしばしば不正利用やルーティングレビューの際に気づかれるが、その最も深い経済的コストはエグジットの際に現れるかもしれない。カスタマーはアドレスを中心に公共の信頼を築いてきた。パートナーはそれを許可リストに入れた。銀行はそれをテストした。セキュリティツールはそれを学習した。公共機関はそれを調達ファイルに含めた。大学のプロジェクトはそれを共同研究システムに書き込んだ。SaaS プロバイダはそれを中心にカスタマー契約を結んでいる。その後、ホスティング関係が変わり、MSP が交代し、クラウドアカウントが再編成され、リースが更新されず、関連会社が売却され、またはホルダーがブロックを回収することを決定する。

もしカスタマーが責任連鎖の中で一度も可視的でなかったならば、そのエグジット権利は弱いかもしれない。アドレスを保持する権利も、移行期間も、代替アドレスも、ルート起点証拠の更新支援も、逆引き DNS の保存も、カスタマー通知計画も、ジオロケーション修正支援も、自らのカスタマーに示す証拠も持たないかもしれない。プロバイダは、アドレスは単にサービスの一部だったと言うかもしれない。ホルダーは、そのカスタマーを知らなかったと言うかもしれない。再販業者は姿を消すかもしれない。公開記録はホルダー以外の何も示さないかもしれない。カスタマーは、ポータブルなアイデンティティを買っていなかったことに遅すぎて気づく。彼らは見えない依存関係を借りていたのだ。

これは、すべてのカスタマーがポータビリティを受け取るべきだという主張ではない。プロバイダ割り当てのアドレスは有効な製品である。多くのサービスは、アドレスに対する永続的なカスタマー管理を必要としない。短期のアプリケーション、通常のウェブサービス、低依存のワークロードは、合理的にプロバイダアドレスを使用し、必要に応じて再番号付けできる。問題は、管理の誤認や誤解である。もしカスタマーが規制対象、公共向け、銀行向け、または長期のアイデンティティをアドレスを中心に構築しているならば、プロバイダは、依存が形成される前に、管理の性質とエグジットの制限を開示すべきである。

可視性は正直な契約を支援する。提供者記録ステートメントは、カスタマーがプロバイダ割り当てのポータブルでないアドレス、カスタマー保有アドレス、リースアドレス、クラウドインポートアドレス、関連会社アドレス、またはダウンストリーム委任アドレスのいずれを使っているかを言える。それは、誰がルート起点変更、逆引き DNS、不正利用、ジオロケーション、合法的エスカレーションを制御するかを言える。それは、更新リスクと移行義務を特定できる。それは、アップストリーム関係が終了した場合にカスタマーに何らかの移行権があるかどうかを明確にできる。これのいずれも、ARIN がカスタマー契約を裁定することを要求しない。市場が、アドレスの継続性が製品の機能であることを認識することを要求するのだ。

貸し手と買い手も同じ理由で気にする。ホスティング会社の収益は、容易に再番号付けできないカスタマーに依存しているかもしれない。もしアドレス連鎖が不透明なら、貸し手はプロバイダの紛争時に収益が生き残るかどうかを知ることができない。買い手は、カスタマーが文書化されていない継続性請求権を持っているかどうかを知ることができない。売り手は、アドレスに支えられた収益が追跡可能でないために、取引割引に直面するかもしれない。これは、アドレス資産に対する一般的な流動性割引とは異なる。ここでの割引は、利用に付随する隠れたダウンストリームの義務から生じる。

エグジットはまた、緊急措置の倫理を変える。ホルダーは、重大な不正利用、詐欺、または無許可のルーティングを止める必要があるかもしれない。しかし、もし通常の商業的不履行が、ホルダー関係を見たこともないカスタマーを即座に中断させるならば、隠れた連鎖は私的なキルスイッチになる。成熟した可視性モデルは、カスタマー影響カテゴリを分類するだろう。高い依存度のダウンストリームサービスは、真の緊急事態を除き、定義された通知と移行の期待を持つべきである。プライバシー保護されたカスタマーは、緊急措置がレンジ全体ではなく、標的を絞ったものにできるよう、依然として十分に追跡可能であるべきだ。

枯渇後の経済はこれを不可避にする。IPv4 は希少であるため、カスタマーはより少数の、より代替困難なアドレスに多くの価値を築く。クラウドと管理サービスがインフラを抽象化するため、カスタマーはアドレス連鎖を見ないかもしれない。大規模プロバイダがより多くのアドレス在庫を保持するため、カスタマーは利便性を管理と誤解するかもしれない。可視性は、カスタマーに、実際にどのような種類の継続性を買っているのかを知らせるメカニズムである。

合法的通知は、公開露出ではなく追跡可能性を必要とする

合法的通知は、プライバシーと可視性の間で居心地悪く位置する。捜査官、裁判所、規制当局、申立人は、しばしば IP アドレス、タイムスタンプ、時にポート番号から始める。階層化されたネットワークでは、その情報は最初にホルダーを指し、次にプロバイダ、再販業者、管理サービス会社、NAT 層、仮想サーバー、カスタマーアカウント、またはエンドユーザーを指すかもしれない。もし公開記録がホルダーで止まり、ホルダーが追跡可能なカスタマー連鎖を欠いているならば、法的手続きは遅く、誤った方向に向けられ、効果的でないかもしれない。もしすべてのカスタマーが公開ならば、機密性と安全が損なわれる。

賢明な基準は、定義された条件下での追跡可能性である。アドレス利用を委任するホルダーまたはプロバイダは、有効な要請があった場合に、特定のレンジ、サービス、またはタイムスタンプに責任のあるダウンストリーム当事者を特定するのに十分な記録を維持すべきである。公開記録は、すべてのカスタマーを名指しすることなく、合法的通知経路を示せる。役割連絡先は正式な要請を受信できる。プライバシー保護された割り当ては、ホルダーまたはプロバイダを通じて追跡可能としてマークできる。再販業者連鎖は、どの当事者がカスタマー在庫を維持しているかを述べられる。緊急チャネルは、切迫した危害のために定義できる。監査証跡は、誰が何に、いつ、どの権限でアクセスしたかを記録できる。

追跡可能性は監視と同じではない。レジストリは、単に法的要請がいつか生じるかもしれないからといって、デフォルトですべてのカスタマーリストを収集すべきではない。また、ホルダーは、誰も解明できない匿名のアドレス利用を販売することを許されるべきではない。正しいバランスは、リスクと依存度に依存する。住宅ブロードバンドプール、クラウドテナント、公共部門サービス、メールプラットフォーム、VPN プロダクト、管理ファイアウォール設備、ダウンストリーム ISP は、同一のニーズを提示しない。ダウンストリーム関係が公共サービス、高リスク不正利用、規制対象カスタマー、または独立したルーティングに影響を与えるほど、追跡可能性の義務は強くなるべきである。

このことは、カリブ海や小規模な北大西洋市場においても、米国やカナダと同様に重要である。小規模な公共機関や地域 ISP は、大規模な法務部門を持たないかもしれない。サイバーインシデントが国境を越えた場合、アドレスレコードは外部当局にとって最初の手がかりとなるかもしれない。明確な役割経路は、誤った当事者への不必要なエスカレーションを防ぐことができる。それはまた、問題が実際には隠れたカスタマーや再販業者にあるときに、地域 ISP が非協力的と扱われるのを防ぐこともできる。

機密性はプロセスを通じて保存できる。カスタマー在庫はホルダーまたはプロバイダに留まることができる。ARIN は、証拠を公開することなく、定義されたケースにおける追跡可能性の証拠を要求できる。取引相手は、合意の下で宣誓供述書や限定的開示を受け取ることができる。裁判所は、法律が許す場合に、より深い記録を強制することができる。緊急開示はログに記録され、レビューされうる。公開記録は、「公開されていない」ことと「知られていない」ことを区別できる。

この区別が経済的な鍵である。もしカスタマーが公開されていないが追跡可能ならば、取引相手はプライバシーを値付けできる。もしカスタマーが公開されておらず、かつ追跡可能でもなければ、取引相手は危険を値付けする。前者は設計上の選択である。後者は外部性である。希少な IPv4 を持つ市場は、これらを混同する余裕はない。

不透明性は隠れた集中を助成する

サブアロケーションの不透明性は、すべての市場参加者に等しく影響するわけではない。大規模プラットフォーム、キャリア、アドレス豊富な企業は、私的な信頼ネットワークを構築することで、弱い公開可視性を埋め合わせられる。彼らは、主要なクラウド、トランジットプロバイダ、銀行、ブローカー、セキュリティベンダー、公共機関の正しい連絡先を知っている。彼らは、法的書簡、アカウントチーム、補償、専用の不正利用デスク、エンジニアリングサポートを提供できる。彼らの公開記録は依然として重要かもしれないが、彼らには代替手段がある。

小規模プロバイダは代替手段が少ない。地域 ISP、MSP、地方の ISP、大学のユニット、カリブ海の事業者、スタートアップの SaaS 企業は、部外者に信じられるために、公開および半公開の証拠に依存するかもしれない。もしダウンストリームの責任が示しにくければ、カスタマーはより高いリスクを想定するかもしれない。もしルート権限が手作業の説明を必要とするなら、アップストリームは躊躇するかもしれない。もし不正利用経路がホルダーだけならば、レピュテーションシステムは過度に広く罰するかもしれない。もしエグジット計画が証明できなければ、規制対象カスタマーは大規模プラットフォームを選ぶかもしれない。不透明性の固定費は逆進的である。

これは管理の隠れた集中を生み出す。カスタマーは、常に大規模プロバイダが最高のアプリケーションサービスを持っているから選ぶのではない。彼らはしばしば、そのプロバイダが最もクリーンなアドレス証拠、最も受け入れられた不正利用経路、最も単純な BYOIP またはプロバイダアドレスのストーリー、私的ベンダーとの間で最も強い評判、デューデリジェンスを吸収する能力を持っているから選ぶのだ。アドレス層は競争への静かな障壁となる。

不透明性はまた、私的なゲートキーパーを強化する。もし ARIN の公開記録と役割記録が不十分ならば、クラウドプロバイダはどの証拠が受け入れ可能かを決定する。トランジットプロバイダは、どの委任されたルートが安全に見えるかを決定する。レピュテーションベンダーは、どのプロバイダが信頼できるかを決定する。ブローカーは、どのホルダーストーリーが販売可能かを決定する。銀行は、どのアドレスに支えられた収益がカウントされるかを決定する。公共の買い手は、どのアドレス連鎖が複雑すぎるかを決定する。これらの私的アクターのいずれも非合法ではないが、その権力は、公開台帳が基本的な不確実性を低減できないときに増大する。

逆選択が続く。役割の複雑さを開示する責任ある小規模プロバイダは、販売後まで連鎖を隠している不透明なプロバイダよりもリスクが高く見えるかもしれない。弱いカスタマー審査を持つ再販業者は、ホルダーが可視のままであり非難を吸収するという事実を悪用するかもしれない。使い捨てのアイデンティティを求めるカスタマーは、多くの質問をしないプロバイダを好むかもしれない。貧弱な在庫を持つホルダーは、危機がギャップを明らかにするまで収益を上げ続けるかもしれない。市場は、それを見ることができなければ、責任ある委任に報いることができない。

段階的可視性はインセンティブを変える。最新の役割連絡先、追跡可能なカスタマー在庫、ルート起点証拠、逆引き DNS 権限、不正利用エスカレーション、カスタマー影響カテゴリ、エグジット文書を維持するプロバイダは、承認を得やすくなるべきである。それは、クラウド、アップストリーム、貸し手、公共の買い手との間で、より少ない遅延に直面すべきである。ダウンストリーム責任の記述を拒否するホルダーは、自動的にレジストリによって罰せられるべきではないが、市場はその不確実性を認識し、それを値付けできるべきである。不透明性は、文書化されたプライバシーと同じ信頼を受け取るべきではない。

これが制度経済学的なポイントである。ARIN は、インセンティブを変えるためにあらゆる私的関係を規制する必要はない。市場が責任を霧から区別できるようにする境界付けられた公開台帳は、隠れた集中を低減できる。それは小規模なオペレータをより信頼できるものにできる。それは私的なゲートキーパーを不要にできる。それは正直なプライバシーを戦略的な不可視性よりも安価にできる。

ARIN 地域のための段階的可視性の契約

実践的な ARIN 地域の契約は、まずサブアロケーション可視性が何のためかを述べることから始まるだろう。それは一意性、運用上の連絡可能性、不正利用の経路付け、ルート起点のデューデリジェンス、逆引き DNS 責任、合法的エスカレーション、カスタマー継続性、移転および資金調達のデューデリジェンス、公共部門調達、そしてレジストリの説明責任のためである。それは、生のカスタマーリストの公開、あらゆるビジネスモデルの裁き、機微なユーザーの露出、裁判所の代行、レピュテーションの格付け、またはあらゆる私的委任をレジストリ許可手続きに変えるためのものではない。

第一層は、公開ホルダーと役割記録である。それは、認知されたホルダー、リソースレンジ、公開役割連絡先、検証の鮮度、サービス関連のステータスを識別すべきである。ダウンストリーム責任が公的信頼を実質的に変える場合、公開記録は常にカスタマーを名指しすることなく役割を示せるべきである:ホルダー運用、ダウンストリームプロバイダ、カスタマー割り当て済み、管理サービス事業者、クラウドインポート済み、関連会社利用、プライバシー保護カスタマー、再販業者管理、リース運用、公共部門依存、陳腐化、係争中、または修正中。ラベルは行動を導くのに十分正確であり、かつ過剰主張しない程度に控えめであるべきだ。

第二層は、運用上の連絡可能性である。不正利用、ルーティング、逆引き DNS、合法的通知の経路は、行動可能な当事者に届くべきである。ホルダーは、ダウンストリームオペレータが不正利用を扱う間、レジストリ関係に対して依然として責任を負うかもしれない。クラウドプラットフォームは、カスタマーがビジネスサービスを制御する間、ルートを起点とするかもしれない。管理プロバイダは、クライアントがコンテンツを制御する間、セキュリティ苦情を受け取るかもしれない。記録は、あらゆる苦情が誤った窓口に行く可能性を低減すべきである。

第三層は、機密のカスタマー在庫である。アドレス利用を委任するホルダーとプロバイダは、誰が何を、どの権限で、どの期間、どの運用連絡先を通じて使っているかを知るべきである。在庫は公開である必要はない。それは、不正利用、法的手続き、カスタマー継続性、ルート変更、エグジットに答えるのに十分に最新であるべきだ。低リスクで小規模な通常のカスタマー利用では、在庫は軽量でよい。公共部門、規制対象、高不正利用リスク、または独立してルーティングされる利用では、それはより強固であるべきだ。

第四層は、提供者記録証拠である。カスタマー、貸し手、買い手、公共機関、クラウド、アップストリームは、誰がアドレス管理を提供し、その管理が何を含むかについての簡潔な声明を受け取ることができるべきである。それは、ホルダー、運用ネットワーク、認可された起点 AS、逆引き DNS プロセス、不正利用経路、ジオロケーションサポート、更新または期間ステータス、プライバシー処理、エグジット義務をカバーすべきだ。この証拠は、必ずしも公開 RDAP の中ではなく、デューデリジェンスや調達ファイルに属する。

第五層は、ルート起点およびサブ委任証拠である。RPKI、IRR、LOA、およびアカウント権限は、役割のストーリーと整合すべきである。それらはカスタマーID を証明しないが、ルートが謎ではないことを証明する。もしダウンストリームオペレータが起点となるなら、理由は説明可能であるべきだ。もしクラウドがカスタマープレフィックスを広告するなら、ホルダー認可経路は明確であるべきだ。もし再販業者や MSP がルート証拠を裏付けられないなら、カスタマーはアドレスに依存する前に知るべきである。

第六層は、監査証跡である。委任された利用、カスタマー在庫、不正利用エスカレーション、ルート認可、逆引き DNS 管理、ジオロケーション修正、法的要請、エグジットイベントへの変更は、日付付きの証拠を残すべきである。これはホルダー、カスタマー、プロバイダを保護する。また、ARIN や取引相手が、何かがうまくいかなかったときに、広範な調査を開始するのではなく、狭い質問をすることを可能にする。

第七層は、緊急開示である。切迫した危害、裁判所命令、深刻な不正利用、またはサービス継続性リスクを含む定義されたケースでは、責任連鎖は正しい当事者に迅速にアクセス可能であるべきだ。緊急開示はログに記録され、比例的で、レビュー可能であるべきだ。それは日常的な商業的関心のためのショートカットになってはならない。しかし、それは存在しなければならない。なぜなら、緊急経路のないプライバシーレジームは、乱暴なブロッキングを招くからだ。

契約は修正を報いるべきである。もしホルダーが陳腐化したダウンストリームの役割を更新すれば、デフォルトの対応は、疑いではなくレコード修復であるべきだ。もしプロバイダがカスタマーID はプライバシー保護されているが追跡可能であると認めれば、市場はそれを沈黙よりも信頼できると扱うべきだ。もし役割データが陳腐化していれば、詐欺、裁判所の制限、または積極的な危害の場合を除き、可視的な陳腐化ステータスと修復経路が厳しい救済に先行すべきである。正直な修正が隠すよりも安全であるときに、正確性は成長する。

集計された測定は、契約を信頼できるものにするだろう。ARIN は、プライベートなカスタマーを晒すことなく、検証済み役割連絡先の普及率、再割り当てまたは再譲渡の鮮度、ダウンストリーム役割カテゴリ、連絡失敗、修正タイミング、紛争カテゴリ、プライバシー保護された記録、ルート起点整合性問題、逆引き DNS 引き継ぎタイミングを報告できる。ポイントは、公開の監視フィードを作ることではない。それは、責任の地図が改善しているかどうかを示すことである。

レジストリ説明責任のテストはホルダーラインの下にある

枯渇後経済における ARIN の正当性は、しばしば移転、料金、会員資格、ポリシープロセス、レガシーリソースの取り扱い、RPKI、逆引き DNS、Whois、RDAP、制度的抑制を通じて議論される。それらの主題は重要である。しかし、多くの利用者にとって、説明責任はより日常的なレベルで判断されるだろう:特定のアドレスが公開ホルダーの下の誰かによって使われているとき、市場は、すべてのカスタマーを晒したり、ARIN に無制限の裁量を渡したりすることなく、責任のある層を見つけられるか?

もし答えがノーならば、おなじみのコストが続く。不正利用報告は粗くなる。ルート受け入れは遅くなる。RDAP と Whois は過剰に読まれるか、情報不足になるかのいずれかだ。逆引き DNS とジオロケーションのエラーは長引く。貸し手と買い手はアドレスに支えられた収益を割り引く。カスタマーは依存が形成された後に弱いエグジット権に気づく。公共部門調達は、より単純なアドレスストーリーを持つプロバイダを優遇する。レピュテーションシステムは隣人を罰する。私的プラットフォームとゲートキーパーは、公開台帳が供給しなかった確実性を販売する。ホルダーは可視のままだが、責任はそれが高くつく瞬間までプライベートなままである。

もし答えがイエスならば、利益は実践的である。公開記録は境界付けられたまま、より有用になる。プライバシー保護されたカスタマーは保護されたまま、追跡可能である。ダウンストリームプロバイダは、カスタマーリストを明け渡すことなく、運用上の責任を証明できる。アップストリームは、より少ない探偵作業でルートを受け入れられる。クラウド BYOIP は評価しやすくなる。管理サービスカスタマーは、自分たちが買った管理が何かを理解する。公共機関は、契約を授与する前にアドレス継続性証拠を要求できる。貸し手は、文書化されたアドレス管理によって支えられた収益と、追跡不可能な依存に基づく収益を区別できる。小規模な事業者は、ブランドの規模だけでなく、証明に基づいて競争できる。

ARIN 地域は、危機を教師とすることなく、この基準を設定する制度的な深みを持っている。その市場は既に問題を内包している:レガシーレンジ、クラウドインポート、プロバイダ割り当て代替、リース、MSP 連鎖、公共部門カスタマー、規制対象利用者、大学、アドレス豊富な既存事業者。その公開レジストリサービスは既にアンカーを提供している:登録データ、連絡窓口、逆引き DNS、ルーティングセキュリティサポート、ルーティングレジストリ機能、移転承認。欠けている層は新しいイデオロギーではない。それは、ダウンストリーム利用のための、より明示的な責任マップである。

ARIN は台帳と公開アンカーに留まるべきであり、商業的な判事ではない。その境界は不可欠である。レジストリは、SaaS プロバイダがリースすべきか購入すべきか、再販業者のマージンが公正かどうか、クラウドアーキテクチャが賢明かどうか、カスタマーが公に名前を挙げられるべきかどうか、合法的ビジネスモデルが美的に好ましいかどうかを決定すべきではない。それらはレジストリの問題ではない。しかし、レジストリは、公的信頼がダウンストリーム利用に依存する場合、責任は追跡可能で、連絡可能で、証拠に基づき、修正可能であることを主張すべきである。

市場はホルダーとプロバイダに同じことを求めるべきである。もしホルダーがダウンストリーム利用から利益を得るなら、誰が行動できるかを知るべきだ。もしプロバイダがアドレスに裏付けられた継続性を販売するなら、管理パッケージを証明すべきだ。もし再販業者がカスタマーに到達するなら、記録を維持すべきだ。もしクラウドが BYOIP を受け入れるなら、証拠経路を明確にすべきだ。もし公共の買い手がアドレスに依存するなら、提供者記録証拠を要求すべきだ。もしカスタマーがポータビリティを必要とするなら、アドレスがすべてのファイアウォールと監査ファイルに埋め込まれた後ではなく、立ち上げ前に尋ねるべきだ。

最終テストは控えめかつ厳格である。希少なアドレスブロックは、すべての手が公開されることなく、多くの手を通過するかもしれない。しかし、責任連鎖は消えてはならない。公開可視性はカスタマーリストより薄く、名前より厚くなければならない。機密証拠はプライベートだが本物でなければならない。緊急開示は狭く、しかし使用可能でなければならない。ルート起点記録は、利用を証明するふりをせずに、権限を証明すべきだ。逆引き DNS とジオロケーションは説明責任のあるオペレータを持つべきだ。不正利用連絡先は行動可能な当事者に届くべきだ。エグジット計画は、継続性に依存するカスタマーに見えるべきだ。

枯渇後の IPv4 経済では、不透明性は中立ではない。それは、見つけにくいことで利益を得る当事者への補助金であり、何かがうまくいかなかった後にそのアドレスに依存しなければならないすべての人への税金である。ARIN は、その税を減らすためにすべてのエンドユーザーを知る必要はない。ARIN が必要とし、市場が必要とするのは、段階的可視性の規律である:部外者が行動するのに十分な公開の責任、説明責任のための十分な非公開の証拠、そしてレジストリがあらゆるダウンストリーム関係の判事になるのを防ぐのに十分な抑制。それが、ホルダーラインの下での台帳の任務である。