要約
- AS0 ROA は、公開経路起点の署名付き不使用宣言である。AS 0 は予約されており、利用可能な BGP 起点として現れてはならないため、当該 ROA のみでカバーされる実環境での経路広告は、起点検証によって Invalid と分類される。
- RFC 6491 は、IANA が未割り当てリソースおよびグローバルに経路制御されることが意図されていない予約済みまたは特殊目的リソースに対して AS0 ROA を発行するための標準基盤を提供する。また、経路制御されることが見込まれる予約済みまたは特殊目的空間に対しては、そのような ROA を禁止している。
- RIR の権限はより狭く、地域ごとに管理されている。それは、未委任空間の現在の管理、コミュニティポリシー、および正確なリソース記録に依拠する。APNIC と LACNIC は、それぞれの管理下にあるアドレス空間に対する AS0 カバレッジのポリシーを実装した。これは、他の RIR のプールや、あらゆる形態の紛争リソースに対する権限を生み出すものではない。
- AS0 は、割り振りが存在する前の不正使用に対するデフォルトを示し、同時に存続する肯定的な ROA が認可された経路を Valid にできるため、保全管理として有用である。これは、観測されたすべての経路が悪意のあるものであることを証明するものではなく、オペレーターのローカルポリシー選択を排除するものでもない。
- ガバナンス上の最大のリスクは、移行時の分類誤りである。利用可能、予約済み、隔離、返却、再利用、特殊目的、割り当て済み、およびレガシー保有空間は、異なる事実上および法律上の経緯を有する。日次のレジストリスナップショットから導出されるラベルだけでは、異議のある権原を単独で解決することはできない。
- 撤回は委任に先立つか、安全に連携して行われなければならない。AS0 からのプレフィックスの削除は、更新された公開情報がバリデータ、キャッシュ、ルーターに到達するまで完了しない。Invalid 経路を破棄するオペレーターには、修正が到着した際の安全な再評価方法も必要である。
- 分離された信頼入力とモニタリング優先の利用は、リスクを封じ込めることができる。APNIC は、誤りが経路制御の中断を引き起こす可能性があると警告し、自動フィルタリングよりも勧告またはアラート目的での AS0 マテリアルの利用を推奨している。そのような分離は、信頼入力、範囲、デフォルトが可視である場合にのみ、オペレーターの選択を保護する。
- 正当な AS0 運用には、公開された範囲ルール、署名されバージョン管理された分類証拠、公開前の競合チェック、迅速な認証付き異議申し立て、測定可能な撤回目標、履歴の保存、および独立した BGP 観測が必要である。番号資源社会は、アドレス空間を割り振る権限や経路ポリシーを強制する権限を主張することなく、これらの管理策を監査することができる。
ゼロは到達先ではなく、不使用宣言である
AS0 が機能するのは、二つの標準化された考えが出会うからである。一つ目は ROA である。これは、あるアドレスプレフィックスに対して、指定された最大プレフィックス長の範囲内で、どの自律システムが経路を起点として広告することを認可するかを示す署名付きオブジェクトである。二つ目は AS 0 そのものの予約である。2015 年に公開された RFC 7607 は、BGP スピーカーが関連する経路属性に AS 0 を含む経路を起点としたり伝搬させたりしてはならず、AS 0 を主張するセッションを確立してはならないと規定している。
したがって、AS0 ROA は、特別なヌルネットワークがプレフィックスを起点とすることを認可するものではない。それは公開 BGP 経路に正当に現れることのできない起点を選択する。RFC 6483 は、この結果を不使用宣言と説明している。プレフィックス保持者は、そのプレフィックスと、より詳細なプレフィックスが経路制御の文脈で使用されるべきでないことを表明する。通常の公開起点 AS は、その AS0 認可と一致することはない。
検証ロジックには重要な条件がある。起点検証は、その経路をカバーするすべての候補 ROA を検査する。観測された起点とプレフィックス長を認可する有効な ROA が存在する場合、AS0 ROA 単独で見れば Invalid にするような場合でも、その経路は Valid となる。そのため、RFC 6483 は、AS0 は、同時に存続する肯定的な認可よりも相対的な優先度が低いと述べている。AS0 はデフォルトの拒否を確立するものであり、一致する肯定的な ROA に対する絶対的な拒否権ではない。
その特性は、AS0 を有用かつ微妙なものにしている。レジストリは、すべての可能性のある不正な起点を列挙することなく、未委任のプールを経路制御に向かないものとしてマークすることができる。後にそのプールの一部を委任するとき、正しく発行された肯定的な ROA は、AS0 カバレッジが変更されている間も広告を保護することができる。しかし、重複を日常的な対処法として頼ることは、不十分な変更管理を隠すことになる。新しい保持者が広告する必要がある前に、AS0 オブジェクトを削除または再発行することをデフォルトとすべきである。
技術的な効果は、一部のポリシー文言が示唆するよりも狭い。AS0 ROA は、関連する信頼入力を受け入れ、現在のオブジェクトを受信した依拠当事者において Invalid 分類を引き起こす。それ自体が BGP から経路を削除するわけではない。RFC 8481 は、ポリシーアクションをオペレーターに委ねている。あるネットワークは Invalid 経路を拒否し、あるネットワークは優先度を下げるか監視し、また別のネットワークはその AS0 信頼入力を全く使用しない。
このメカニズムは、暗号的なリソース権限とオペレーターの採用に裏打ちされた署名付きの推奨である。単なる情報提供と表現すれば、その効果を過小評価することになる。グローバルな経路制御禁止と呼べば、誇張になる。ガバナンスは、その正確な中間点から始まる。独立したネットワークが強制に変えるかもしれない、権威あるデフォルトの不使用宣言である。
権限の問題には三つの異なる答えがある
誰が AS0 を認可できるかは、どのアドレス空間が記述されているかに依存する。IANA、RIR、および通常のリソース保持者は、同じ関係から権限を導出するわけではない。
RFC 6491 は、割り振り構造の頂点に留まるリソースに関する IANA の RPKI オブジェクトを取り扱う。IANA は未割り当てリソースに対して AS0 ROA を発行すべきであると述べている。予約済みおよび特殊目的リソースについては、意図された公開経路制御の有無が判断基準となる。IANA は、グローバルに経路制御されることが意図されていないリソースに対して AS0 を発行すべきであり、経路制御されることが見込まれる予約済みまたは特殊目的リソースについてはいかなる ROA も発行してはならない。ここで「すべき(should)」が慎重に使用されていることは、レジストリの措置や技術的な移行において、状態変更の前に削除または非発行が必要になる場合があることを認識していることを示す。
RIR の権限は、リソースがその管理下に置かれた後に始まる。RIR は、自身のプールの未委任部分を認証することができる。なぜなら、RIR が現在の管理者であり、地域ポリシーがその行為を認可しているからである。APNIC のポリシーは、まだアカウント保持者に委任されていない APNIC アドレス空間に対して AS0 ROA を作成できるのは APNIC のみであり、APNIC はその空間を委任する際にプレフィックスを削除すると規定している。LACNIC の採択されたポリシーも同様に、AS0 を LACNIC の管理下にある未割り当て、未割り振り、回収済み、または返却されたリソースに限定し、リソースが割り当てまたは割り振りられる際には、影響を受ける ROA を無効化または再発行することを要求している。
既存の保持者も、自身が管理し、経路制御したくない空間に対して AS0 を使用することができる。その権限は、その証明書とリソース関係に従い、一般的な保全委任によるものではない。この利用は、休眠中の予約や、特定の認可されたより詳細なプレフィックスのみが経路制御すべき集約をサポートする可能性がある。これは、保持者が存在しないと RIR が宣言することと混同されるべきではない。
これらの区別は権限の肥大化を防ぐ。ある RIR は、他地域のプールでの広告を観測したからといって、そのプールに対する権限を推論することはできない。測定プロジェクトは、登録データが不完全に見えるからといって AS0 に署名することはできない。標準化団体は、予約された空間がどのように使用されるべきかを定義できるが、関連する認証局を自動的に運用するわけではない。レガシーブロックをめぐる裁判上の紛争は、便宜的なリストでそのブロックを「利用可能」と呼ぶことでは解決できない。
適切な権限声明は、プレフィックス、現在の管理連鎖、分類、ポリシー上の根拠、および有効期間を特定する。これらの要素のいずれかが争われている場合、AS0 公開は暫定的な保護として依然として正当化されるかもしれないが、紛争および異議申し立ての経路は可視化されるべきである。署名を行う暗号的能力は、管理の必要な証拠ではあるが、それ自体が、すべての基礎となる分類が手続き的に正当であることの証明にはならない。
希少性と悪用が起こりやすい環境において、保全は真の責務である
AS0 に対する肯定的な論拠は、拒否に関する懸念の中で見失われるべきではない。未委任のアドレス空間は、日和見的な利用のために解放されているわけではない。RIR は、将来の割り振り、特別なニーズ、返却、隔離、またはポリシーで定義された目的のためにそれを保持している。そのような空間からの広告は、誤り、プライベートな設定の公開経路への漏洩、古いフィルタ、または意図的な悪用から生じる可能性がある。機械可読な不使用宣言は、オペレーターが、単に署名のないが正当に経路制御されているプレフィックスから、その空間を区別するのに役立つ。
AS0 以前は、オペレーターは一般的に、割り振り記録から構築された「ボゴン」プレフィックスのリストに依存していた。それらのリストは定期的な更新と慎重な解釈を必要とする。RPKI は、警告を、肯定的な経路起点認可に使用されるものと同じ証明書階層に結びつけることができる。それにより、バリデータは結果を他のペイロードとともに提供でき、ルーターは別個の未検証リストではなく、一つの起点検証ポリシーを適用できる。
APNIC のポリシー根拠は明確である。APNIC の管理下で未割り当てまたは未割り振りとマークされたアドレス空間は、公開された広告が行われるべきではなく、AS0 はそれをカバーする広告の伝搬を制限することを意図している。LACNIC の根拠も同様に、保管責任をポリシーに基づく分配と結びつけ、別個のフィルターを維持するオペレーターの負担を軽減しようとしている。これらは正当な公共の利益目標である。
セキュリティ上の利点は予防的である。悪意のあるアクターは、単に起点 AS を選択しても、対応するルーティング可能な AS がゼロに一致しないため、経路を Valid にすることはできない。オペレーターが Invalid 経路を拒否すれば、AS0 は、未使用空間からの誤った起点がインポート境界付近で阻止される可能性を高める。また、まだ拒否していないオペレーターに対して認証付きのアラートも生成する。
しかし、保全は通常の財産権の意味での所有権ではなく、経路の可視性は盗難の決定的な証拠ではない。一部の記録は歴史的なものであり、一部のリソースは移行中であり、一部のアドレス利用はプライベートまたは特殊目的である。公開経路は、不正な起点ではなく、レジストリ自身の分類における誤りを明らかにする可能性がある。AS0 の価値は、強力だが反証可能なデフォルトを確立することにあり、反論不可能な非難を確立することではない。
したがって、限定的なテーゼは保全擁護に傾く。RIR と IANA は、その権限の範囲内で、真に未委任で経路制御されていないリソースを保護できるべきである。それらは、その誤りが接続性に影響を与え得る管理策に期待される規律、すなわち狭い範囲、信頼できる記録、可能であれば変更前の警告、迅速な撤回、観測可能な伝搬、そして意味のある異議申し立て手続きをもって、それを行うべきである。
「未割り当て」と「予約済み」は同義ではない
AS0 ポリシーはしばしば、利用可能、予約済み、未割り当て、未割り振り、返却済み、回収済み、隔離済みといったラベルのリストから始まる。これらのラベルは、特定の状況下では非経路制御を支持することができるが、相互に置き換え可能なものではない。
未割り当て空間は、関連する管理連鎖の中でまだ委任されていない。デフォルトのケースは明白である。現在、それを公開で起点とする権限を持つネットワークは存在しない。未割り振り空間は、より大きな割り振りの中に位置しているかもしれないが、エンドユーザーや下位保持者には割り振られていない。RIR が直接それに対して署名できるかどうかは、証明書とポリシー構造に依存する。上位の保持者が関連する権限を保持している可能性がある。
予約済み空間は、何らかの理由で留保されている。予約の中には、プライベート利用やドキュメント利用のように、グローバルな経路制御を意図していないものもある。その他は、将来の経路制御可能なサービスや一時的な割り振り手続きのために意図されている可能性がある。RFC 6491 は、グローバルに経路制御されることが見込まれる予約済みおよび特殊目的リソースを明示的に認識し、それらのケースに対して IANA が ROA を発行することを禁止している。したがって、「予約済み」は、機械的に「決して経路制御しない」の同義語にはなり得ない。
隔離は時間と経緯を加味する。返却または回収されたブロックは、再発行前に、古い経路情報、評判、地理位置情報、または悪用記録が落ち着くまで留保されることがある。レジストリは、隔離期間中に公開起点を抑制する正当な理由を持っているかもしれない。また、以前の保持者が依然として権利を主張しているかどうか、移管が不完全であるかどうか、残留経路が偶発的な誤用ではなく未解決の紛争を表しているかどうかも知っておく必要がある。
利用可能は通常、ポリシーに基づく割り振りの対象であることを意味する。このラベルは、リクエスト、予約、委任が処理されるにつれて日々変化する可能性がある。利用可能リストから導出された AS0 オブジェクトは、プレフィックスがまだ偶然にカバーされたままで、有効な肯定的認可なしに委任されることがないように、トランザクション管理と結びつけられなければならない。
レガシー保有リソースは最も難しいカテゴリーである。登録履歴は、現代的な契約や証明書サービスよりも前から存在するかもしれない。あるリソースは、未割り当てでなくとも文書化が不十分に見えることがある。分類には、欠落している現代的なフィールドだけではなく、登録履歴、移管記録、契約、通信文書、観測可能な経路情報を用いるべきである。AS0 が、都合の悪い主張を消滅させるためのショートカットになっては決してならない。
正当な公開サービスは、含まれる各ステータスと除外対象を定義する。権威あるデータセット、更新時刻、整合ルールを明示する。現在の証明書、割り振り、肯定的な ROA、保留中の委任、既知の紛争と重複をチェックする。あるプレフィックスがなぜそのセットに含まれるのかを説明できない場合、そのセットは経路制御に影響を与える準備が整っていない。
日次統計は所有権の証書ではなく、証拠にすぎない
RIR 統計交換フォーマットは、割り振りと割り振り割り当ての有用な公開スナップショットを提供する。参加レジストリは、共通の命名およびレコード構造で、定期的なスケジュールでファイルを公開する。拡張形式では、運用システムで使用されるステータスを含めることができる。APNIC の AS0 実装は、公開された統計で利用可能または予約済みとマークされたリソースから、未委任セットを導出している。
入力が公開され、機械可読で、再現可能であるため、これは強力な出発点となる。観測者は、分類されたリソースセットと AS0 ペイロードを比較し、説明のつかない差異を特定することができる。バージョン管理とチェックサムは完全性を向上させる。自動化は、手動で維持されるリストが静かに劣化する可能性を低減する。
このフォーマットは、その限界も明記している。現在の割り振りと割り振り割り当てを要約するものであり、トランザクションや履歴の詳細を提供するものではない。レコード数はアドレス空間の量と等しくない。移管は、レジストリファイル間で一時的な重複を生じさせ得る。一部の非レジストリの歴史的割り振りは、RIR が作成した記録の範囲外にある。スナップショットは、どのようにして、いつ、どのような争いのある権限の下でそのステータスが生じたかを証明することなく、ステータスを報告することができる。
だからこそ、日次統計を拒否の唯一の根拠とすべきではない。AS0 サービスは、それらを稼働中の登録システム、証明書インベントリ、肯定的な ROA、保留中の割り振りトランザクション、移管ロック、紛争フラグと突き合わせるべきである。情報源が競合する場合には、最も都合の良いラベルを選択するのではなく、公開を拒否すべきである。人間によるレビューの経路は、特に回収済み、返却済み、レガシー空間にとって重要である。
一般の人々は、プライベートなアカウントデータにアクセスすることなく、その判断を再構築できるべきである。含まれる各プレフィックスについて、署名付きマニフェストまたは透明性記録は、ソースステータス、観測時刻、認可ポリシー、AS0 オブジェクトを特定することができる。各削除について、新しいステータスと撤回時刻を特定できる。機密性の高い顧客識別情報は、通常の登録ルールが開示を許可するまで保護されたままでいることができる。
外部の観測者は、それにより意味のある質問ができる。すなわち、AS0 セットは、その時点でレジストリが宣言した未委任セットに対応していたか?である。運用上の一貫性を検証するために、すべての紛争においてレジストリの法的結論を受け入れる必要はない。あるプレフィックスが依然として AS0 に含まれながら割り振り済みとして現れる場合、その不一致は、経路インシデントが保持者の誤りとして片付けられる前に可視化される。
機械可読な証拠は、権限レビューを可能にするが、データ公開を裁定に変えるものではない。レジストリは、その記録の背後にある分類手続き、および文書証拠が結果を変える場合の誤りの是正に、引き続き責任を負う。
AS0 からの移行は体制的な瞬間である
最も容易な AS0 のケースは、何年も使用されないままのブロックである。難しいケースは、それが使用可能になる瞬間である。新しい割り振りは、保全のデフォルトを、経路制御を認可する保持者の権利に変える。レジストリのプロセスがその移行を調整しない場合、セキュリティ管理策が、まさにその割り振りが可能にしようとした利用そのものを拒否することになりかねない。
APNIC の現在のリソースポリシーは、アカウント保持者に空間を委任する際に、そのプレフィックスを AS0 ROA から削除すると規定している。LACNIC のポリシーは、割り当てまたは割り振りされようとしているリソースを含む ROA を無効化し、そのリソースを含まない代替 ROA を発行することを要求している。順序が重要である。拒否は、新しい権限と安全に連携した取引の中で、事前にかつその取引の中で撤回されるべきである。
しかし、公開は瞬時ではない。内部の割り振りシステムでプレフィックスを削除しても、すべての検証済みペイロードが直ちに削除されるわけではない。リポジトリは整合性のある新しい状態を公開しなければならない。依拠当事者は独自のスケジュールでフェッチする。キャッシュ・ルーター間のセッションは、リフレッシュとリトライの動作を使用する。ルーターは撤回を受信し、経路を再評価しなければならない。収束中は、異なるネットワークが異なる有効なビューを保持する可能性がある。
2019年の RIPE NCC による AS0 提案の影響分析は、問題を示したが、それを解決はしなかった。運用上のトリガーにより事前の失効が困難になる可能性があり、グローバルな処理に時間がかかる可能性があると指摘した。提案分析における正確な推定値を、普遍的な現在のパフォーマンスとして扱うべきではないが、制度的な教訓は残る。割り振りと経路制御の準備には、明示的な引き継ぎ期間が必要である。
実用的な安全策は三つある。第一に、安全に行えるほど割り振りの決定が確定している場合には、事前に削除を準備する。第二に、新しい保持者が広告前に一致する肯定的な ROA を作成することを許可する。なぜなら、起点検証は AS0 と並存していても一致する肯定的な認可を Valid と扱うからである。第三に、意図したペイロード状態が伝搬したことを独立したバリデータから検証してから、保持者に広告を勧める。
これらの管理策には、サービス約束が必要である。割り振り通知は、AS0 が以前にそのリソースをカバーしていたかどうか、削除がいつ公開されたか、保持者がどこでそれを確認できるか、いつ肯定的な ROA が使用可能になったかを示すべきである。緊急の経路制御が予想される場合、レジストリのエンジニアは、ポータルのステータスに頼るのではなく、外部検証を確認すべきである。
この移行が体制的であるのは、誰の権利がいつ優先されるかを明らかにするからである。保持者が権限を持たない間は保全は正当である。いったん権限が付与されれば、その機関は、迅速かつ可視的に拒否を放棄しなければならない。AS0 を自動的に追加できるが、測定された目標に基づいて削除できないレジストリは、一方向の権力を構築したことになる。
誤った AS0 分類は特有の障害パターンをもたらす
/16 が、正当な保持者がその中から /24 を経路制御しているにもかかわらず、未委任と分類され AS0 ROA でカバーされていると仮定しよう。AS0 以前は、その経路は NotFound として受け入れられていたかもしれない。バリデータがそのオブジェクトを取り込んだ後は、AS0 プレフィックスがそのより詳細なプレフィックスをカバーし、一致する肯定的な ROA がないため、その /24 は Invalid となる。Invalid 経路を拒否するネットワークは、異なるタイミングで到達性を撤回する可能性がある。
可視化されるパターンは、ハイジャックへの応答に似ていることがある。一部のネットワークはその経路の伝送を停止するが、他のネットワークは継続する。保持者はまずトランジットを非難し、トランジットプロバイダは自らのバリデータを指し示し、バリデータは署名付き AS0 ペイロードを正しく表示するかもしれない。基盤となるレジストリの分類が誤っている間、各アクターは自身の境界内では技術的に正しい可能性がある。
是正は権限レイヤーから始めなければならない。ローカルなオペレーターの例外は一つの経路を復元できるが、他のネットワークが見ている AS0 オブジェクトを削除することはできない。レジストリは、申立人を認証し、リソース証拠をレビューし、オブジェクトを撤回または縮小し、理由を付した訂正を公開しなければならない。その後、バリデータは変更されたリポジトリ状態を処理する必要があり、ルーターは再評価する必要がある。
証拠が薄い場合、障害は撤回後も持続する可能性がある。あるバリデータは新しい状態をフェッチしないかもしれない。キャッシュは古くなっているかもしれない。ルーターはその経路を破棄しており、安全な復旧メカニズムを必要とするかもしれない。一部のオペレーターは、同じ誤ったステータスから導出されたボゴンリストを別途保持しているかもしれない。RPKI の是正だけでは、すべての拒否を取り除けないかもしれない。
このパターンは、調整されたインシデント記録の必要性を主張するものである。それは、誤った分類、最初の AS0 公開、影響を受けたプレフィックス、観測された BGP 起点、訂正の承認、リポジトリからの撤回、独立したバリデータの収束、キャッシュとルーターの復旧、および残留する非 RPKI フィルターを特定すべきである。その記録は、確認された影響と推測された影響を区別すべきである。
補償と過失は証拠に基づくべきである。明確な記録を誤分類したレジストリは、誠実な権原紛争に直面しているレジストリよりも重い責任を負う。文書化された厳格なポリシーを適用したオペレーターは、その分類を作り出したわけではないが、顧客のエスカレーション経路を欠いていることや是正を処理しなかったことに対して責任を負う可能性がある。連絡先や認可記録を維持せずに経路制御を行った保持者は、すべての請求権を失うわけではないが、遅延に寄与した可能性がある。
目標は、AS0 にリスクがないようにすることではない。管理策が可逆的な障害モードを持ち、いかなる機関もチェーンの次のリンクを永遠に指し示し続けることができないようにすることである。
オペレーターが気づいて初めて、信頼入力の分離は影響範囲を制限できる
APNIC 自身の AS0 ROA に関する公開ノートは、異例なほど率直である。それらは、誤りがルーターの設定によっては意図しない経路中断を引き起こす可能性があると警告し、自動フィルタリングではなく勧告またはアラート目的の利用を推奨し、不注意な利用を防ぐことを意図した異なる Trust Anchor Locator について説明している。このマテリアルは、APNIC が権威を持つアドレス空間のみをカバーする。
この設計は、通常の肯定的な RPKI マテリアルを信頼する決定と、レジストリが生成した広範な不使用宣言を消費する決定を分離する。オペレーターは、モニタリングにおいて AS0 セットを検証し、BGP や登録証拠と比較し、強制するかどうか、どこで強制するかを選択できる。誤りが、APNIC の標準トラストアンカーを使用するすべてのネットワークに自動的に影響を与える必要はない。
分離は魔法ではない。ソフトウェアが追加の信頼入力を無言のデフォルトとしてパッケージ化すれば、選択肢は消える。管理されたバリデータがフィードを一般的にラベル付けすると、ルーターオペレーターは AS0 が別個のソースから来たことを知らないかもしれない。オペレーターが来歴なしに複数のキャッシュからのペイロードをマージすると、どの信頼入力が経路を Invalid にしたのかを特定できない可能性がある。
したがって、この管理策にはインターフェースの可視性が必要である。バリデータは、AS0 信頼入力を別々に表示し、普遍的なカバレッジを暗示することなくペイロードの数と範囲をリストし、診断情報に来歴をタグ付けすべきである。オペレーターは、明示的な承認、意図されたモード、カバーされるルーター、ポリシーを記録すべきである。信頼入力の変更には、経路ポリシーの変更に相当するレビューが必要とされるべきである。
モニタリング優先の利用には実質的な価値がある。オペレーターは、AS0 でカバーされたプレフィックスが BGP に現れたときにアラートを出し、見かけ上の起点や上流に連絡し、拒否する前に独立した登録記録を比較することができる。これは、展開初期や分類履歴が複雑な場合に特に賢明である。また、即時の切断リスクなしに、誤検出や伝搬に関する証拠を生成する。
弱点は、モニタリングだけでは経路を保全できないことである。断固たる悪用者は広告を続ける可能性がある。成熟したオペレーターは、データ品質と是正能力を示した後、合理的に拒否に移行するかもしれない。ガバナンスの要件は、恒久的な注意ではなく、意図的なエスカレーションである。すなわち、測定し、通知し、例外をテストし、日付を公開し、その後、文書化されたポリシーの下で強制する。
可視化されている場合、異なる地域的な選択は正当である。レビューされた証拠によれば、APNIC と LACNIC は AS0 の取り決めを実装しており、公式の 2025 年 NRO ガイダンスは、リスクのため自動フィルタリングではなくアラートやモニタリングを推奨し、別個の AS0 トラストアンカーについて説明している。これは、すべての RIR が同一の方法で AS0 を公開または管理しているという主張に一般化されるべきではない。
最終的な実施判断はローカルポリシーに委ねられる
AS0 ROA は RFC 8481 を迂回しない。バリデータは起点検証の状態を設定し、オペレーターの設定がポリシーを決定する。AS0 に署名する機関と接続性のリスクを負う機関が異なるため、この点は重要である。
あるネットワークは、受け入れられた AS0 ペイロードのためだけに Invalid となったすべての経路を拒否するかもしれない。これは、保全に直接的な効果を与え、ポリシーを単純化する。しかし、分類、撤回、例外手続きが強固であるという信頼も必要とする。そのネットワークは、同じ route-map 条件が最終的に三者すべてを拒否する場合でも、Invalid 状態が標準的な保持者発行の ROA、レジストリの AS0 フィード、またはローカルなアサーションのいずれから来たのかを知っておくべきである。
別のネットワークは、AS0 について個別にアラートを上げるかもしれない。強制する前に顧客に連絡し、ピアセッションおよびトランジットセッションでは拒否するが、一時的な認証付き顧客例外を許可するか、独立した確認後にのみ強制を適用するかもしれない。関係性や証拠が異なるため、このような区別は正当であり得る。しかし、それらが、顧客があらゆる未委任空間を広告できる恒久的な抜け穴になってはならない。
優先度低下は不完全な妥協策である。Invalid なより詳細な経路は、同じプレフィックスへの経路間における BGP プリファレンスの前にロンゲストプレフィックスを用いて転送が行われるため、より大まかな Valid な経路よりもトラフィックを引き寄せる可能性がある。迅速な再評価のためだけに Invalid 経路を保持することと、転送にそれを許可することは異なる。ポリシーの記述は、それらの状態を区別しなければならない。
オペレーターは、検証データが消えたときの応答も必要とする。キャッシュの有効期限切れは、AS0 シグナルを削除したり、その扱いを変更したりする可能性がある。オープンに失敗すれば、望ましくない経路を許可するかもしれない。すべての不明なデータに対してクローズに失敗すれば、より広範な到達性の害を引き起こす可能性がある。冗長なキャッシュと明示的な有効期限ポリシーは、選択肢を減らすが排除はしない。
どのレジストリも、すべてのネットワークについてこれらのローカルリスクを評価することはできない。緊急サービスを伝送する公共セクターのプロバイダは、新しく割り振られたプレフィックスを認証した後に段階的な例外を選択するかもしれない。広範な観測と成熟したエスカレーションを持つバックボーンは、即座に拒否するかもしれない。小規模な企業は、完全にその上流に依存するかもしれない。制度的正当性は、同一の設定によってではなく、明確な役割によってもたらされる。
オペレーターの決定は、それでも説明可能であるべきである。経路が拒否された場合、ネットワークは AS0 ペイロード、信頼入力、バリデータ時刻、一致したポリシーを特定できるべきである。例外が付与された場合、範囲、証拠、承認者、有効期限を特定すべきである。記録のないローカル自律性は、影響を受ける当事者にとっては、恣意的な扱いと区別がつかない。
外部測定は安全性の主張の一部である
AS0 の発行者は、自身のオブジェクトを検証できても、最も重要な不一致を見逃す可能性がある。すなわち、未使用と称するプレフィックスが BGP で可視的に起点として観測されることである。その経路は認可されていないかもしれないが、広範な強制の前に分類がレビューに値する証拠である可能性もある。したがって、外部測定は、公開前、運用中、撤回後に実行されるべきである。
最初の比較は、提案された AS0 カバレッジと現在の BGP 観測との間である。RIPE RIS と RouteViews は、複数の場所で参加ネットワークから経路を収集し、経路表と更新をアーカイブする。発行者は、選択されたコレクターのいずれかに現れる提案された各プレフィックスまたはより詳細なプレフィックスにフラグを立てることができる。結果はレビューキューであり、自動的な除外ではない。コレクターの可視性は部分的であり、観測されないことが経路が存在しないことの証明にはならない。
第二の比較は、権威あるリソースステータスと検証済みペイロードセットとの間である。独立したバリデータは、公開されたオブジェクトから、同じ意図された AS0 エントリを導出すべきである。差異は、リポジトリの遅延、証明書のエラー、またはソフトウェアの解釈を明らかにする可能性がある。レポートは、バリデータを票として数えるのではなく、信頼入力と観測時刻を特定すべきである。
第三の比較は効果に関する。制御された観測は、AS0 カバー下の広告が選択された観測点から可視のままかどうか、オペレーターの採用後に可視性が変化するかどうか、修正されたプレフィックスが戻るかどうかを示すことができる。正確なグローバル拒否率を確立することはできない。BGP コレクターは参加意志のあるピアをサンプリングし、経路変更はポリシーを隠蔽し得る。アクティブテストには倫理的および経路制御上の保護措置が必要であり、それでも選択された経路のみを測定する。
第四の比較は誤検出に関する。認証されたすべての異議申し立ては、レジストリデータエラー、保留中の委任、古い経路、保持者の誤り、紛争中の主張、ローカルなプライベート利用、説明のつかない広告に分類されるべきである。初回応答までの時間、権限による是正、バリデータの収束、観測された復旧は、明確な分母を持つ分布で報告されるべきである。影響を受けた当事者が連絡先を見つけられなかった場合、異議申し立てゼロの期間は完全な正確性の証明にはならない。
公開測定は、保全の主張に信頼性を与える。カバーされた空間が実際に経路制御で観測されたかどうか、悪用が減少したかどうか、正当な移行が復旧したかどうかを示す。また、拡大を抑制する。発行者は、生成が技術的に容易であるからといって単により多くのカテゴリーを追加すべきではない。現在のセットが正確で、可逆的で、有用であることを示すべきである。
最も強力な証拠は、イベントレベルで再現可能なものである。「AS0 が数百万のアドレスを保護する」という月次の主張は、運用上の価値についてほとんど語らず、アドレス数が大きなブロックに重く重み付けされるため誤解を招く可能性がある。検出された広告、レビューされた競合、是正、測定された収束の記録は、管理策が実際に何を行ったかを機関に伝える。
迅速な撤回は権利であり、単なる技術的目標ではない
AS0 が間違っている場合、影響を受ける当事者にはサポートチケット以上のものが必要である。レジストリの署名付き声明は、保持者が契約を持たない遠方のオペレーターに影響を与える可能性がある。したがって、信頼できる異議申し立て手続きは、公開する権限の一部である。
エントリーポイントは公開され、継続的に監視され、緊急の申立人を認証できるべきである。リクエスト者は、プレフィックス、主張する権限、起点 AS、経路証拠、連絡先を提供すべきである。レジストリは直ちにケース識別子を返し、そのプレフィックスが現在 AS0 にあるかどうか、どのポリシーの下で、どのステータス記録から来ているかを特定すべきである。
トリアージは、明らかな管理上の誤りと争われている権利を区別すべきである。新たに割り振られたプレフィックスが、変更処理の失敗によりカバーされたままだった場合、撤回はポリシー委員会を待つべきではない。紛争記録のある返却またはレガシーブロックに関する主張の場合、レジストリは法的および文書によるレビューを必要とするかもしれない。その場合でも、期間限定のリスク措置を検討し、暫定的な決定を説明し、不服申し立てを保持すべきである。
撤回目標は、管理されたチェックポイントで定義されるべきである。すなわち、承認、リポジトリ公開、指定された独立したバリデータによる確認である。エンドツーエンドの経路復旧は、測定および報告されるべきであるが、オペレーターが自身のポーリングとポリシーを管理するため、普遍的に保証されるものではない。代表的な外部観測が是正の伝搬を示すか、残存する障害が別の場所にあると特定されるまで、レジストリは支援を継続すべきである。
履歴記録は是正後も存続しなければならない。項目別の変更ログなしに大規模な集約を静かに再生成することは、そのプレフィックスがかつてカバーされていたことを知るのを困難にする。透明性エントリは、旧および新の範囲、理由カテゴリー、承認、タイムスタンプを記録すべきである。非公開の申立人の詳細を保護しつつ、制度的な措置を公開することができる。
レジストリが撤回を拒否した場合、不服申し立てが可能であるべきである。レビュー機関は、登録およびポリシー証拠にアクセスする必要があり、スタッフの分類に疑問を呈するのに十分な独立性を持ち、必要な墨消しを施した上で、理由を付した結果を公開すべきである。裁判上の権利と契約上の救済は、適用可能な場合に存続する。技術的レビューは、すべての法的権原問題を解決するふりをすべきではない。
迅速な撤回は権利である。なぜなら、可逆性が予防的権限を正当化するからである。機関は、損害が発生する前に分類に依拠するようオペレーターに求める。その代わりに、誤って分類された当事者に迅速で証拠に基づいた脱出経路を提供しなければならない。その対称性がなければ、保全は適正手続きのない先制的拒否となる。
予防的権限には通常のリスト以上の強固な変更管理が必要である
静的なボゴンリストは誤り得るが、RPKI AS0 オブジェクトは暗号的な権限を持ち、自動化されたルーターポリシーに入り込むことができる。その変更管理は、そのより高いレバレッジを反映すべきである。
生成は宣言された入力から決定論的であるべきだが、盲目的であってはならない。候補セットは、リソースステータスから計算され、その後、証明書保有状況、肯定的な ROA、保留中の割り振り、移管記録、紛争フラグ、観測された BGP と照合されるべきである。すべての除外と競合はログに記録されるべきである。第二の人物または独立した管理策が、返却、回収、レガシーの範囲などのリスクの高い追加を承認すべきである。
オブジェクトは、共有された運命を減らすようにスコープされるべきである。RFC 9455 は、より一般的に、複数のプレフィックスを含む ROA は一つの署名付きオブジェクトとして有効性を共有すると警告している。AS0 運用では、経路検証のセマンティクスがプレフィックス固有のままである場合でも、過度に広範なパッキングは調査と是正をより困難にする可能性がある。運用規模とリポジトリのパフォーマンスが尊重されるならば、論理的にグループ化されたより小さなオブジェクトは、より明確な変更記録をサポートすることができる。
公開前のシミュレーションは、独立したバリデータにおいて、どの観測された BGP 広告が NotFound または Valid から Invalid に変わるかを計算すべきである。AS0 はそれらをカバーすることを意図しているため、レビューにはより詳細なプレフィックスを含めるべきである。肯定的な認可との競合は、無視されるのではなく、説明されるべきである。出力は承認アーティファクトとなり、公開後の観測のベースラインとなる。
展開は段階的に行われるべきである。モニタリング用の信頼入力に公開し、オペレーターのレビューを招き、観測を比較し、分類を是正し、その後、強制ガイダンスを検討する。レジストリは、明白な悪用に対しては依然として迅速に対応できる。段階的な採用は、すべてのオブジェクトへの署名の遅延ではなく、依拠当事者の信頼に関するものである。
削除にも同等のエンジニアリングが値する。割り振りシステムは、リンクされた AS0 削除イベントを作成せずに委任を完了できないようにすべきである。サービスは、リポジトリの公開と独立したバリデータのビューを検証すべきである。削除の失敗は、受信者が Invalid 経路を発見するのを待つのではなく、責任を負うチームにページ送信すべきである。
最後に、ガバナンス機関は範囲の変更を公的にレビューすべきである。「隔離済み」や「回収済み」の空間を追加することは権利を変え得るものであり、気づかれないソフトウェアリリースであってはならない。ポリシーは、包含、移行、不服申し立てを定義すべきである。技術スタッフは、競合と制限を含む影響分析を公開すべきである。コミュニティの承認は正確性を保証できないが、コードになる前に、主張されている保全委任に異議を唱えることを可能にする。
AS0 の擁護は、その限界が明示されているときに最も強固になる
AS0 の最も強力な擁護は、完全な記録、普遍的な展開、悪用の自動的な排除を主張するものではない。より控えめで、より永続的なことを述べる。すなわち、現在アドレス空間を管理している機関には、委任前の不正使用を防ぐ義務があり、RPKI は、そのデフォルトを意欲的なオペレーターに表明する認証された方法を提供するということである。
その擁護には条件がある。機関は、正確なプレフィックスに対して現在の管理権限を保持していなければならない。リソースステータスは、公開起点が意図されていないことを意味しなければならない。経路制御されることが見込まれる特殊目的リソースは除外されなければならない。既存の保持者、保留中の委任、肯定的な ROA、可視的な広告がチェックされなければならない。IANA のトップレベルの標準ルールが直接管理しない場合、地域ポリシーがその行為を認可しなければならない。
効果も正直に述べられなければならない。AS0 は起点検証の結果を生み出す。オペレーターが強制を選択する。Invalid と分類された経路は、悪意のある利用、運用上の誤り、または悪い分類を反映している可能性がある。一致する肯定的な ROA は経路を Valid にできる。異なる信頼入力は、ネットワークを異なる見解に導く可能性がある。BGP 観測はサンプリングされたものであり、普遍的ではない。
最も重要なことは、その管理策は可逆的でなければならないということである。発行者には、測定された撤回、異議申し立てサービス、保存された履歴、独立した確認が必要である。新しい保持者は、広告する前に移行の証拠を必要とする。オペレーターには来歴と安全な再評価が必要である。数分で拒否を追加できるが、明らかな誤りを是正するのに数日かかる管理策は、たとえその暗号が完璧であっても、制度的なバランスを欠いている。
これらの制限は保全を弱めない。それはオペレーターの採用をより防御可能にする。ネットワークは、シグナルがどのように生成され、誤りがどのように修復されるかを知っていれば、それを強制する可能性が高くなる。保持者は、割り振りによって確実に削除されるのであれば、予防的カバレッジを受け入れる可能性が高くなる。研究者は、範囲と履歴が公開されている場合に効果を測定できる。
したがって、AS0 体制は、コンパクトな保証ステートメントを公開すべきである。すなわち、権限、含まれるステータス、除外対象、データソース、更新スケジュール、信頼入力、採用ガイダンス、競合チェック、異議申し立て連絡先、撤回目標、外部バリデータ、測定限界である。このステートメントは、広範な否定的主張を、説明責任のあるサービスに変える。
番号資源社会は、割り振り機関にならずとも監査できる
番号資源社会(Number Resource Society)は、まさに AS0 が制度的境界を越えるがゆえに、有益な役割を持つ。レジストリは分類と署名を管理する。オペレーターは経路ポリシーを管理する。保持者は結果を負う。研究者は経路制御システムの一部のみを観測する。単一のアクターが自然に全体の安全性の論拠を組み立てることはない。
当該協会は、AS0 ポリシーの比較レジスタを維持することができる。すなわち、どの機関が、どの信頼入力の下で、どのステータスに対して、どのような移行順序、異議申し立てチャネル、透明性記録で公開するかである。公開された範囲が宣言されたリソースデータと一致するか、独立したバリデータが収束するかをテストできる。追加、撤回、新たに委任されたプレフィックスに関するイベント研究を委託することができる。
また、是正においてより小規模な保持者を代表することもできる。共通の証拠フォームとエスカレーションディレクトリは、Invalid 経路が AS0 関連であることを証明するのに費やす時間を削減するだろう。保護されたアカウント資料の開示を要求することなく、応答と復旧を追跡できる。繰り返される失敗は、一般化された疑念ではなく、具体的な証拠をもって RIR コミュニティプロセスで提起され得る。
境界は不可欠である。当該協会は、管理していないアドレス空間に対して AS0 ROA を発行したり、争いのあるリソースの権原を決定したり、RIR に割り振りを強制したり、ネットワークに経路を伝送するよう命令したりすべきではない。すべての地域ポリシーを一つの普遍的なフィードに統合すべきではない。それらの行為は、独立したレビューがチェックしようとしている集中を再現することになる。
その権威は、評判に基づくもの、手続きに基づくものとなるだろう。公開された方法論、再現可能な比較、バランスのとれたメンバー構成、宣言された利益相反は、その調査結果を有用なものにし得る。RIR は推奨を拒否することができるが、その理由を説明する必要があるだろう。オペレーターはより厳格な、またはより緩いポリシーを選択できるが、各信頼入力の背後にある証拠を比較することができるだろう。
当該協会は、抽象的な制度ではなく、管理策を格付けすべきである。AS0 セットには明確な権限基盤があるか?新たな委任は安全に脱出できるか?観測された競合はレビューされているか?撤回は独立したバリデータで可視化されているか?影響を受けた保持者は理由を入手できるか?ポリシーと技術の変更は公開されているか?これらの質問は、実行可能な改善をもたらす。
そのような役割は、積極的な番号資源社会のアジェンダを支援する。すなわち、没収のない保全、隠れた中央指令のない経路セキュリティ、共通の証拠を伴う地域的自律性である。それは、正当性を、善意の目的に関する主張から、可逆的な権力のテストへと変える。
保全と拒否は手続きによって区別される
AS0 ROA は、保全ツールであると同時に先制的拒否でもある。この二つの説明は相互に排他的ではない。このメカニズムは、正当な保持者が経路制御を行うと見込まれる前に、公開起点を拒否する。その拒否がリソースを保全するのは、権限、分類、移行が健全である場合に限られる。
標準は限定的な基盤を提供する。AS 0 は公開 BGP 起点として使用不可能である。RFC 6483 は不使用宣言を定義し、一致する肯定的な ROA が優先することを認めている。RFC 6491 は、経路制御を意図した空間を保護しつつ、未割り当ておよび経路制御されていない予約済みまたは特殊目的空間に対する IANA の扱いを認可している。RFC 8481 は、最終的な措置をオペレーターのポリシーに委ねている。
地域ポリシーは第二の基盤を追加する。APNIC と LACNIC は、AS0 を自身の管理下にあるアドレス空間に結びつけ、リソースが委任される際の削除について説明した。それらの選択は、技術的能力だけではなく、コミュニティポリシーが RIR の範囲を定義すべきであることを示している。APNIC の分離された信頼入力と自動フィルタリングに関する注意喚起もまた、誤りの代償を認識している。
残された作業は制度的なものである。含まれるすべてのプレフィックスは、可視的な権限とステータスの根拠を持つべきである。すべての移行は、削除、肯定的な認可、外部検証を調整すべきである。すべての異議申し立てには、認証された応答と測定可能な是正が行われるべきである。主張されるすべての効果は、その BGP 観測点と限界を特定すべきである。すべてのオペレーターは、Invalid が拒否を意味するかどうかを最終的に選択するのは、レジストリではなく自身であることを知っておくべきである。
これらの管理策があれば、AS0 は正当な保全手段となる。すなわち、誤経路制御を抑止するのに十分強力であり、保持者の権限を尊重するのに十分狭く、事実が変われば可逆的である。それらがなければ、同じ署名付きのゼロは、影響を受ける当事者が効果的な審理を受ける前に課される不透明な拒否になり得る。
したがって、ガバナンスのテストは修辞的ではなく実践的なものである。誰が署名したのか、どの正確なステータスがその署名を正当化したのか、誰が既存の利用をチェックしたのか、拒否はいつ削除されるのか、申立人はどのように異議を唱えられるのか、どのバリデータが変更を確認するのか、その後、サンプリングされた経路が何を示すのか、を問うこと。これらの質問に良い答えがあれば、ゼロは共有資源を保護できる。もしそうでなければ、暗号的な有効性は、誤った、制度的に支持されない声明が正しく署名されたことを証明するにすぎない。
参考文献
- RFC 7607: AS 0 処理の成文化— BGP スピーカーが、指定された経路属性に AS 0 を含む経路を起点としたり伝搬したりしてはならないと規定する。AS0 がなぜ経路制御不能なサブジェクトとして機能し得るかを説明するが、特定のプレフィックスを分類する権限をいかなる機関にも与えるものではない。
- RFC 6483: RPKI と ROA を用いた経路起点の検証— AS0 不使用宣言、より詳細なプレフィックスの扱い、一致する肯定的な ROA が Valid の結果を生み出す能力を定義する。ここで評価された地域ポリシーよりも前のものである。
- RFC 6491: IANA が発行する RPKI オブジェクト— 未割り当ておよび経路制御されない予約済み・特殊目的リソースをカバーする IANA AS0 オブジェクトの標準基盤を提供し、経路制御を意図するリソースに対する明示的な除外を規定する。
- RFC 6811: BGP プレフィックス起点検証— Valid、Invalid、NotFound の経路状態を定義する。状態は、広告が認可と競合する理由を確立するものではない。
- RFC 8481: BGP 起点検証の明確化— 起点検証ポリシーアクションを明示的なオペレーター設定下に維持することを要求する。一意の AS0 ポリシーを推奨するものではない。
- RFC 8416: RPKI を用いた簡素化されたローカルインターネット番号資源管理— 予約済みまたは未割り当て空間を含むケースについて、ローカルフィルタとアサーションについて説明する。ローカルな例外は、他オペレーターのグローバルなビューを変更しない。
- RFC 8210: RPKI to Router プロトコル バージョン 1— ペイロード撤回、キャッシュシリアル、バリデータとルーター間のタイミングを定義する。そのタイマーは、普遍的なエンドツーエンドの修正時間を保証しない。
- RFC 9455: 複数の IP プレフィックスを含む ROA の回避— マルチプレフィックス ROA オブジェクト内での有効性の共有運命を説明する。そのオブジェクト設計の教訓を AS0 に適用することはガバナンス上の推奨であり、当該 RFC における AS0 固有の要求ではない。
- APNIC prop-132: 未割り当ておよび未割り振りの APNIC アドレス空間に対する RPKI ROA— APNIC 管理空間に関する地域提案、根拠、実装状況を記録する。APNIC に他地域に対する権限を付与するものではない。
- APNIC インターネット番号資源ポリシー セクション 5.1.4— どの APNIC ステータスが AS0 カバレッジを受けるか、APNIC がリソースを委任する際にプレフィックスを削除することを規定する。公開ポリシー文書それ自体は、すべての運用上の移行がエラーフリーであることを証明しない。
- APNIC: AS0 ROA に関する重要ノート— 中断リスクを警告し、勧告またはアラート目的の利用を推奨し、分離された信頼入力について説明する。APNIC 自身の運用声明であり、独立した有効性調査ではない。
- LACNIC ポリシー LAC-2019-12— LACNIC 管理リソースに対する実装済み地域権限、範囲、削除要件を記録する。このポリシーは、無関係なレガシーまたは地域横断的な主張を解決するものではない。
- RIPE NCC 2019-08 影響分析— AS0 またはローカルアサーションアプローチの提案について、運用タイミング、範囲、移行リスクを調査した。設計上の懸念の証拠であり、分析された設計が現在の RIPE NCC のプラクティスになったことの証明ではない。
- RIR 統計交換フォーマット— 割り振りと割り振り割り当ての公開スナップショットを定義し、トランザクション履歴の欠如を説明する。ステータスファイルは分類のための証拠であり、争われている権限を裁定する代わりにはならない。
- RIPE RIS ドキュメンテーション— 前後の観測に適した分散 BGP コレクターとアーカイブについて説明する。カバレッジはサンプリングであり、普遍的な拒否を確立することはできない。
- RouteViews API ドキュメンテーション— 参加コレクターからの現在および過去の経路観測を文書化する。あるコレクターで観測されないことは、他に経路が存在しない証明にはならない。
- LACNIC/NRO RPKI ベストプラクティスノート— 2025年の AS0 信頼入力、監視、段階的 ROV 展開に関する運用ガイダンスを説明する。これはガイダンスであり、正確な採用分母に変換されるべきではない。
- NRS 憲章— 分散型参加と、集中した番号資源権限への制限を支持する。本稿で提案された監査および異議申し立て機能は将来のものであり、NRS に割り振りまたは経路制御の権限を付与するものではない。

