要約
- レジストリのリビングウィルとは、重要な機能を維持しながら、それを提供する機関を変更または解散させるための事前検証済みの計画です。これは災害復旧マニュアルやバックアップスケジュール、現在の経営陣が将来の危機を解決できるという約束ではありません。取締役、スタッフ、銀行、供給業者、施設が利用できず、法的権限が争われている場合でも機能しなければなりません。
- 計画は、システムを特定する前に重要な機能を特定すべきです。インターネット番号レジストリの場合、これには権威あるホルダーとリソース記録、その記録への管理された変更、RDAP およびレガシーWHOIS の継続(必要な場合)、逆 DNS 調整、RPKI 証明書と公開の継続、ホルダー認証、裁判所の制限、証拠保存、通信が含まれます。実際の経路運用はネットワークに委ねられます。
- すべての重要な記録には、資格のある後継者が使用できる、完全で最新の、独立して検証されたエクスポートが必要です。エクスポートは、リソース範囲、ホルダーID、権限履歴、制限、保留中の指示、連絡先、公共サービスフィールド、暗号参照、変更の順序付き記録を保存しなければなりません。調整および復元できないファイルは継続性の証拠にはなりません。
- RPKI 移行には独自の計画が必要です。秘密鍵を後継者に軽率にコピーすべきではありません。リビングウィルは、どの鍵を残せるか、どの権限を再発行する必要があるか、公開をどう継続するか、マニフェストと失効をどう扱うか、依拠当事者が何を観察するか、レジストリが正当な経路を意図せず無効にするのをどう回避するかを明示しなければなりません。
- 資金は、通常の会社が破産している場合でも継続機能に利用可能でなければなりません。隔離された準備金、信用状、保険、相互ファシリティが、代替運用、専門スタッフ、安全な施設、法的申請、通信、移行をカバーすべきです。苦境にある取締役会のみが管理する資金、または通常の債権者請求にさらされている資金は、事前に配置されたものではありません。
- トリガーはサーバー障害だけをカバーするものではありません。合法的なガバナンスの喪失、重要な供給業者への支払い不能、裁判所の制限、鍵の侵害、データ整合性の失敗、破産、長期にわたる定足数不足、拘束力のあるレビューへの従事拒否は、それぞれ段階的な介入を正当化できます。トリガー、意思決定者、証拠の基準、期間、異議申し立ては事前に明示されなければなりません。
- レゾリューションは、不適格な機関を維持することなくサービスを維持すべきです。一時的な運用者が、ホルダーの移行、後継者の選定、または裁判所が紛争権利を判断する間、重要な機能を維持できます。計画は、継続性を恒久的な外部管理、秘密の再割り当て、法的請求の消滅の口実として使用することからメンバーとリソースホルダーを保護しなければなりません。
リビングウィルは通常の回復力計画とは異なる
従来の回復力は、同じ機関が機器障害、サイバー攻撃、施設の喪失、人的ミスからどのようにサービスを回復するかを問うものです。組織が引き続き権限を持ち、スタッフを呼び出し、資金を使い、供給業者を指揮し、資格情報を使用できることを前提としています。これらの前提は、機関のレゾリューションでは成立しません。
リビングウィルは、組織自体が行動できない可能性から始まります。取締役会に定足数が不足する場合があります。競合するグループが役職を主張する場合があります。裁判所が口座を凍結する場合があります。破産管財人が契約を管理するが技術的知識を欠く場合があります。クラウドプロバイダーが誰も合法的にアクセスできないアカウントからの支払いを要求する場合があります。上級スタッフが係争中の経営陣からの指示を拒否する場合があります。記録は無傷でも、それらを使用する権限が分裂している場合があります。
したがって、レゾリューションは重要な機能を企業の殻から分離します。どのサービスを継続すべきか、どの資産と人がそれらを支えるか、どの法的権利が移転を許可するか、どの負債が追従するか、どの機関が一時的に制御を引き受けることができるかを問います。また、継続性がホルダーの収用に転換されることなく、元の組織をどのように再編、交換、または解散できるかも問います。
この区別はガバナンスにとって重要です。バックアップはビットがコピーされたことを証明します。フェイルオーバーは別のマシンが応答できることを証明します。リビングウィルは、正当な後継者が現在の真実を特定し、制限された機能を運用し、必要な費用を支払い、裁判所に従い、ホルダーと通信し、公のルールに基づいて権限を返還または移転できることを証明します。これははるかに高い基準です。
レゾリューションは機能を保護し、機関の威信は保護しない
金融安定理事会のキー・アトリビュートは、重要な経済機能を維持し、納税者による支払い能力支援を回避しながら、金融機関の秩序あるレゾリューションを求めています。インターネットレジストリは銀行ではありませんが、機能的な論理は強力です。公共の利益はサービスの継続にあり、すべての株主、役員、契約、組織形態を維持することではありません。
番号ガバナンスにとって、重要な機能は、インターネット番号リソースの権限とそれに直接依存するサービスに関する、首尾一貫した信頼できる説明です。レジストリ機関はそのための手段です。機関が能力を失ったり違法になったりした場合、継続性のためにインターネットコミュニティがそうでないふりをする必要はありません。
この機能的なアプローチは2つの誤りを避けます。1つ目は機関の免責:いかなる介入もインターネットの安定性を脅かすため、現在の主体が制御を維持しなければならないと主張すること。2つ目は不注意な置き換え:機能が重要だからといって、外部の主体がすべての資産を掌握し、無制限に権利を書き換えてもよいと想定することです。
レゾリューション権限は狭く、一時的であるべきです。重要なサービスを維持し、証拠を記録し、該当する裁判所の決定を尊重し、合法的な結果のための時間を作ります。継続性に必要な範囲を超えて政治問題を決定しません。別途承認されない限り、希少なリソースを割り当てたり、ホルダーを変更したり、ポリシーを変更したり、失敗した組織の残余資産を分配したりすべきではありません。
リビングウィルはこの目的を明確に述べなければなりません。それがなければ、継続計画は失敗した統治者の盾か、恒久的な管財人の憲章になり得ます。
最初のタスクは重要な機能を定義すること
機関はしばしば、サーバーやオフィスなどの目に見える資産から継続計画を始めます。レゾリューションは、安全に停止できない公共機能から始めるべきです。システム、スタッフ、契約はその後、それらの機能にマッピングされます。
インターネット番号レジストリの場合、重要なセットには、リソース範囲と認識されたホルダーに関する1つの最新記録の維持、許可された変更の受け入れまたは凍結、割り当てと移転履歴の保存、正確な RDAP および必要な場合は WHOIS サービスの維持、逆 DNS 委任の調整、RPKI 証明書と公開の継続の維持、ホルダー代表者の認証、裁判所の制限の適用、証拠の保持、ステータスと救済策の通信が含まれます。
すべての通常の活動が重要であるとは限りません。会議、アドボカシー、トレーニング、助成金、ポリシー開発、認定プログラム、オプションの分析は価値があるかもしれませんが、急性のレゾリューション中は一時停止できます。新規割り当てと裁量的移転も、権限が安定するまで一時停止できます。最小限のサービスを定義することで、資金需要が減り、一時的な運用者の権限が制限されます。
重要度には依存関係があります。RDAP は、ホルダー記録、編集ルール、紹介情報、ネットワーク接続、ドメイン名に依存する場合があります。RPKI は、認証局鍵、ハードウェアデバイス、公開リポジトリ、rsync または RRDP サービス、マニフェスト、スタッフセレモニー、外部トラスト選択に依存する場合があります。ホルダー変更は、身元証明と裁判所記録に依存する場合があります。
リビングウィルは、各依存関係を所有者、契約、場所、代替、最大許容中断時間にマッピングする必要があります。「重要なサービス」が名前のない従業員の記憶や、破産時に終了するベンダー契約に依存している場合、マップは計画ではなくレゾリューションの障害を明らかにします。
権威ある記録は運用者から分離可能でなければならない
機関がリソース記録を分離不可能な独自の財産として扱うとき、継続性は失敗します。記録は、運用者が変わった後でも理解可能でなければならない関係を文書化します。その保管は保護できますが、その継続性は1つの企業の存続に依存することはできません。
リビングウィルは、すべてのリソースに対する標準的なエクスポートを定義する必要があります。それには、正確なアドレスまたは自律システム番号の範囲、認識されたホルダー、関連する組織 ID、現在のサービスプロバイダー、ステータス、割り当てまたは譲渡の根拠、移転履歴、制限、裁判所命令、公開連絡先、機密権限連絡先、保留中の指示、紛争ステータス、リンクされた逆 DNS 状態、RPKI 参照、署名付き変更領収書を含める必要があります。
履歴が重要なのは、現在のスナップショットだけでは、なぜある主体が権限を持つのかを説明できないからです。今日のホルダー名だけを見る後継者は、有効な合併と許可のない置き換えを区別できないかもしれません。順序付けられたイベント、証拠参照、以前のバージョンは、後継者に履歴を書き換える許可を与えることなく再構築を可能にします。
エクスポートは、オープンで文書化された構造と安定した識別子を使用する必要があります。失敗した運用者のソフトウェアだけが解釈できる独自のエンコーディングは、分離性を損ないます。機械可読な記録には人間が読める要約を添え、裁判所、ホルダー、管理者が決定的な事実を理解できるようにする必要があります。
分離は機密資料の公開を意味しません。計画は、保護された保管、アクセスロール、開示ルールを定義する必要があります。目的は、無差別な露出ではなく、法的権限の下での使用可能な移転です。
検証によりエクスポートは単なるバックアップ以上のものになる
夜間のコピーはストレージ的には完全でも、使用できない場合があります。最近の指示を省略したり、壊れた参照を含んだり、利用できない暗号鍵に依存したり、公に提供されている状態と一致しない場合があります。レゾリューションには、単なる預託ではなく、独立した検証と復元が必要です。
各エクスポートには、タイムスタンプ、カバレッジステートメント、整合性ダイジェスト、署名者、以前のバージョンへの参照を含める必要があります。独立した管理者は、すべての期待されるリソース記録が存在すること、競合する現在の状態でリソースが2回出現しないこと、保留中のイベントが調整されること、公開 RDAP 出力が同じ権威ある事実にトレース可能であることを確認する必要があります。
復元テストは、資格のある代替者によって管理される環境で定期的に実施する必要があります。代替者は、ホルダーと公開のクエリに応答し、ステータスを維持し、制限を強制し、同じ署名付き状態サマリーを生成できることを実証する必要があります。差異は説明され、計画が認定される前に修正されなければなりません。
鮮度基準は機能によって異なります。日次の完全エクスポートは、受け入れられた変更が預託の間にストリーミングまたはジャーナリングされる場合にのみ適切かもしれません。失敗の数分前に完了したリソース移転は、最新の完全コピーが一晩前に行われたからといって消えてはなりません。逆に、不完全な保留指示が復元後に2回実行されてはなりません。
監査人は、総合的な保証と重要な例外を公表する必要があります。ホルダーの秘密や悪用可能なセキュリティ詳細を明らかにしてはなりません。決定的な公的事実は、後継者が約束された時間内に現在の完全で首尾一貫した説明を復元できるかどうかです。
データ管理には独立したリリースメカニズムが必要
エスクローは、リリース条件、受取人、復号パスが紛争中に機能する場合にのみ有用です。現在の取締役会からの指示のみに従うベンダーが保持するコピーは、取締役会の権限が問題であるときにアクセスできないままになる可能性があります。
リビングウィルは、三者間または法定の取り決めの下で独立した管理者を任命する必要があります。リリースは、指名されたレゾリューション権限、管轄裁判所、または別の明確に定義された機関が、所定のトリガーの後に許可できます。管理者は、受取人の身元を確認し、監査証跡を保存し、アクティブ化された機能に必要な資料のみをリリースする必要があります。
暗号鍵は1つの当事者によって制御されるべきではありません。分割された権限は、例えば管理者と独立した役員が共同で行動することを要求できます。緊急アクセスはリハーサルされるべきです。エレガントな鍵共有設計が実行されたことがない場合、人物が退任したり、トークンが期限切れになったり、指示が競合したりして失敗する可能性があります。
リリース手段は、破産、買収、通常のサービス契約の終了後も存続する必要があります。継続的な保管のための料金は、事前に配置された資金が必要です。該当するプライバシーと秘密保持義務は、一時的な運用者への資料に追従する必要があります。
計画はまた、返却と破棄に対処する必要があります。一時的な権限が終了した場合、運用者は現在の記録を移転し、必要な証拠を保存し、独立した検証の下で不要なコピーを安全に削除する必要があります。レゾリューションは、機密のホルダー情報の恒久的な制御不能な複製を作成すべきではありません。
RPKI の継続性は秘密鍵のコピーでは解決できない
RFC 6480は、リソース証明書がアドレスと自律システム番号の保有を証明し、経路起点認証が経路起点に対するホルダーの権限を表現する階層を説明しています。このアーキテクチャは、レジストリの障害がディレクトリエントリ以上の影響を与える可能性があることを意味します。証明書または公開権限の誤った取り扱いは、依拠当事者が有効と見なすものを変更する可能性があります。
最も単純に聞こえる答え—後継者にすべての秘密鍵を与える—はしばしば間違っています。鍵の移転はセキュリティ設計に違反し、組織の境界を超えて信頼を露出させ、失敗した機関が保持するコピーについて不確実性を残す可能性があります。一部の鍵は制御されたハードウェアに残り、継続的な管理下に置くべきであり、他の鍵は秩序ある証明書移行を通じてロールまたは交換されるべきです。
リビングウィルは、すべての認証局鍵、ハードウェアデバイス、運用者ロール、証明書、マニフェスト、失効リスト、リポジトリ、公開関係を一覧する必要があります。どの機能が変更なく継続できるか、どの機能が新しい資格情報を必要とするか、どの機能が外部の発行者またはトラストアンカーに依存するかを特定する必要があります。
各移行について、計画は時間の経過に伴う意図された依拠当事者のビューを述べる必要があります。新旧の素材は、制御された重複を必要とする場合があります。失効は、有効な代替オブジェクトの利用可能性の前に行われてはなりません。マニフェストと公開のタイミングを監視する必要があります。代替運用者は、ホルダーの意図した ROA が引き続き表示され有効であることを証明できなければなりません。
最も重要なことは、レジストリのレゾリューションがルーティング認証を黙って変更してはならないということです。既存のホルダーの意図は、セキュリティ上の必要性または法的指示が変更を要求しない限り、維持されるべきです。機関の置き換えは、ネットワークのルーティング選択を書き換える許可ではありません。
公開サービスは認証局とは区別される
RFC 8181は、RPKI オブジェクトの公開プロトコルを定義し、認証エンジンを公開リポジトリから分離することの有用性に言及しています。この分離はリビングウィルを形作るべきです。レジストリは、機関または認証局の役割で失敗する可能性がありますが、リポジトリは継続するか、リポジトリは失敗するが権限は無傷のままです。
計画は、公開リポジトリ、RRDP および rsync エンドポイント、ドメイン名、証明書、ホスティング、ネットワークパス、監視、アクセス資格情報をマッピングする必要があります。代替の公開運用者と、該当するエンドポイントを引き継ぐか、制御された後継者を確立する法的権利を特定する必要があります。
継続性には、エンドポイントの可用性だけでなく、オブジェクトの鮮度と一貫性が含まれます。古いマニフェストや部分的なオブジェクトを提供するリポジトリは、オンラインに見えながら依拠当事者の拒否を引き起こす可能性があります。代替者は、最後に受け入れられた公開イベントに対してインベントリを検証し、移行中に署名付きオブジェクトの可用性を継続する必要があります。
DNS 制御は隠れた依存関係になる可能性があります。リポジトリのホスト名が、利用できないスタッフまたは苦境にある関連会社によって制御されているアカウントを通じて登録されている場合、技術的な権限は座礁する可能性があります。ドメイン登録、DNS ホスティング、証明書更新の権利は、独立した復旧連絡先を持つ継続準備の整った取り決めで保持されるべきです。
リビングウィルは、認証局の封じ込めと公開のフェイルオーバーに対して別々のトリガーを確立する必要があります。リポジトリの障害がホルダー証明書の交換を正当化する必要はありません。鍵の侵害は、リポジトリが健全であっても証明書の措置を必要とする場合があります。モジュール式の権限により、1つの層でのインシデントがすべてのセキュリティ機能に広がるのを防ぎます。
RDAP と WHOIS の継続性は公共の説明責任を維持する
RDAP は運用上のサービスであると同時に、公共の説明責任サービスです。ネットワーク、セキュリティチーム、権利者、研究者、公的機関は、登録情報を使用して責任組織を特定し、リソースステータスを理解し、適切な連絡先を見つけます。機関の失敗時には、信頼できる公開情報がより重要になるちょうどその時に不確実性が増加します。
リビングウィルは、RDAP サービスがどのように代替エンドポイントまたは運用者に移動するか、ブートストラップの方向がどのように変わるか、キャッシュがどのように処理されるか、応答の一貫性がどのように測定されるかを定義する必要があります。後継者は、可能な限り安定した識別子とリンクを維持する必要があります。失敗した機関の内部構造をユーザーに理解させるべきではありません。
レガシーWHOIS サービスは、一部の文脈でまだ契約上またはユーザーの期待を伴う場合があります。必要な場合、継続性を含めるべきですが、計画は2つの公開サービスを別々の真実として扱うことを避けるべきです。両方とも、それぞれの表示制限に従い、同じ現在のホルダーとリソースの事実から導き出されるべきです。
プライバシールールはレゾリューション後も存続しなければなりません。緊急運用者は、通常の編集ツールが利用できないからといって機密連絡先を開示すべきではありません。また、すべての情報を一般的な障害メッセージの背後に隠すべきではありません。最小限の公開サービス、許可されたアクセス経路、修正メカニズムを事前に定義する必要があります。
修正は移行中に特に重要です。ホルダーおよび影響を受ける第三者は、不正確なステータスや連絡先を報告するための可視的な方法を必要とします。一時的な運用者は、以前の状態と理由を保存しながら、実証可能なエラーを修正するための制限された権限を持つべきです。
逆 DNS は許可されていない再設計なしでの継続性を必要とする
逆 DNS 委任は、特別な逆ツリーの下でアドレス空間を名前に接続します。その管理は、レジストリ記録と委任されたネームサーバー情報に依存する可能性があります。失敗は、古い委任を残したり、許可された変更をブロックしたり、親に指示を与えることができる人について不確実性を生み出したりする可能性があります。
リビングウィルは、親ゾーン関係、署名設定、委任連絡先、自動化資格情報、未処理のリクエストを一覧する必要があります。代替運用者は、既存の委任を維持し、狭く定義されたホルダー承認の変更を実行する権限を必要とします。
継続性は安定性を優先すべきです。一時的な運用者は、命名設定を再設計したり、プロバイダーを統合したり、別のアーキテクチャを好むという理由だけで委任を変更したりすべきではありません。既存の有効な状態は、ホルダーが変更を要求するか、セキュリティインシデントが保存を安全でなくしない限り、維持されるべきです。
DNSSEC の依存関係は別途注意が必要です。鍵、署名サービス、親との相互作用、緊急ロールオーバーの取り決めをマッピングする必要があります。レジストリの組織的失敗は、検証の結果を観察することなく、即席の鍵変更につながってはなりません。
逆 DNS はまた、記録だけでは不十分である理由を示しています。エクスポートは現在の委任をリストできますが、後継者が親、ドメイン名、署名デバイス、ネットワークサービスへの認証されたアクセスを欠いている場合、復元は失敗する可能性があります。レゾリューション計画は、各重要な機能について権限、データ、運用アクセスを結びつける必要があります。
新規割り当てと裁量的移転は一時停止が必要な場合がある
継続性は、すべての通常の活動が継続することを要求しません。急性の不確実性の間、一時的な運用者は現在のホルダーと重要なサービスを維持しつつ、永続的な新しい権利を作成したり、希少なリソースを消費したりする決定を避けるべきです。
新規割り当ては、やむを得ない公共の必要性が行動を要求しない限り、通常は定義された期間一時停止できます。希少な IPv4 配布、新規の移転承認、紛争のあるホルダー変更は、一時的な権限を超える判断を含む場合があります。日常的な連絡先修正、セキュリティ修正、サービスプロバイダー変更は、基準が明確で証拠が強力であれば継続できます。
リビングウィルは、取引を継続、強化レビュー付き継続、保留、禁止に分類する必要があります。分類は、可逆性、結果、裁量に基づくべきです。見かけ上の価値が低い大量変更でも、多くのホルダーに影響する場合は危険です。価値の高いイベントは、アクティベーション前に完全に承認されていれば、維持しても安全かもしれません。
保留中の指示は特別な扱いが必要です。それぞれが、受領済み、検証済み、承認済み、スケジュール済み、完了済みのいずれであるかを示す必要があります。その後、後継者は受け入れられた行為を完了するか、新たな確認を求めるか、公開ルールに基づいてキャンセルできます。空白の再起動は、ホルダーを重複実行または戦略的な遅延にさらすことになります。
一時的な一時停止には期限とレビュー経路が必要です。継続性は、移転市場や顧客の退出を無期限に凍結する口実になってはなりません。権限が安定するにつれて、通常のサービスは理由を公開しながら段階的に再開されるべきです。
資金は通常の企業管理外で利用可能でなければならない
重要なサービスは、機関が破産したときに消えてしまうお金に依存することはできません。給与、安全なホスティング、専門ベンダー、法的申請、管理者、代替運用者、通信、独立レビューはすべて、最も費用のかかる期間中に費用がかかります。
リビングウィルは、いくつかのシナリオと期間について最小限の継続予算を計算する必要があります。即時の安定化、一時的な運用、ホルダーの移行、最終的な移転を区別する必要があります。スタッフ、取引量、インフラ、法的費用に関する仮定は、1つの集計数値に隠すのではなく、テストされるべきです。
資金はいくつかの形態を取ることができます:隔離された現金準備金、独立して引き出し可能な信用状、保険契約、相互継続基金、または課金裏付けファシリティ。適切な形態は法と規模に依存します。必須の特性は、トリガー後の可用性、通常の経営陣の妨害からの保護、明確な許可された使用、支出の説明責任です。
ICANN の特定の新しい gTLD 向け継続運用手段は有用な比較を提供します:運用者が問題に遭遇した場合に重要なレジストリ機能の資金を確保するために設計されました。番号レジストリも独自の期間と範囲を必要としますが、原則は直接関連しています。
資金は自動的に株主を救済したり、無関係の債権者を満足させたりすべきではありません。それらは公共機能を維持します。公的または相互の支援は、法律が許可する場合、利用可能な機関資産に対する返済権を持つべきです。透明性は、セキュリティに敏感な詳細を公開することなく、開始リソース、引出、受取人、残りのカバレッジ、予想期間を示すべきです。
スタッフの継続性には指名された役割と代替能力が必要
機関はしばしば、歴史的記録、重要な儀式、通常とは異なるホルダー取り決め、または外部運用者との関係を理解している少数の人々に依存します。役職名のみをリストし、代替パフォーマンスをテストしない計画は、回復力を誇張します。
リビングウィルは、重要な役割、必要な知識、アクセス権限、法的義務、場所の制約、最小限の人員を特定する必要があります。各高影響機能には少なくとも2人の資格のある人物がカバーし、競合と職務分離要件を維持する必要があります。継承には従業員だけでなく、契約者やアドバイザーも含めるべきです。
雇用とコンサルティングの取り決めは、レゾリューションを見越すべきです。スタッフは一時的な運用者にサービスを提供するか、元の組織に留まるか、限られた期間移転する必要があるかもしれません。留任支払いは、透明で重要な仕事に結びついている場合に正当化されますが、危機を作り出した統治者に報酬を与えるべきではありません。
知識は、最新の運用資料、権限マップ、連絡先リスト、リハーサルに外部化されなければなりません。代替チームは、現職者からの非公式なコーチングなしに重要なタスクを実行する必要があります。それが不可能な場合、依存関係は解決可能性の欠陥として報告され、修正されるべきです。
専門的義務は紛争中も継続します。スタッフは、誠実性の問題や矛盾する指示を報告するための保護された経路を必要とします。彼らは、アクティベーション後にどの権限が優先するかを知り、有効な継続命令に従うための法的保護を受けるべきです。危機の瞬間の曖昧さは、麻痺と濫用の両方を招きます。
ベンダーとクラウドサービスは隠れた拒否権保有者になり得る
レジストリはそのポリシー権限を所有しているかもしれませんが、ほぼすべての運用依存関係をレンタルしている場合があります:クラウドコンピューティング、ネットワークトランジット、監視、ID サービス、ハードウェアサポート、オフィスアクセス、支払いサービス、コミュニケーションツール、専門セキュリティ。各契約は、破産時に終了権またはアクセス障壁を作成する可能性があります。
計画は、重要な機能をサポートするすべての供給業者、契約する法人、支払い条件、データの場所、下請け業者、アクセス資格情報、終了条項、譲渡権、代替をリストする必要があります。契約は、制限されたレゾリューション期間中の継続サービスと、可能な場合の一時的な運用者への合法的な譲渡を許可する必要があります。
米連邦準備制度理事会の大規模金融機関向けレゾリューションガイダンスは、重要な共有サービスのマッピングと、レゾリューション中に自動的に終了しないサービス契約の使用を強調しています。規模は異なりますが、教訓は正確です:共有サービスは、その周りの企業関係が変化しても利用可能でなければなりません。
クラウドアカウントは、1人の役員のメールアドレスや個人デバイスに依存すべきではありません。管理ロール、復旧連絡先、請求権限、エクスポート権限は、独立して制御されリハーサルされる必要があります。レジストリは、完全な移転にかかる時間と、代替プラットフォームで実行できる機能を知っておく必要があります。
ベンダー集中は公開保証サマリーに表示されるべきです。1つの法的アカウントで1つのプロバイダーに冗長アプリケーションを使用するレジストリは、機関の冗長性を作成していません。レゾリューション計画は、製品数ではなく障害ドメインを検討します。
法的エンティティマッピングは権限が閉じ込められている場所を明らかにする
組織は、スタッフをあるエンティティに、知的財産を別のエンティティに、契約を第三に、現金を親に配置する場合があります。通常の運用中はグループは統一されているように見えます。破産または訴訟では、法的境界が決定的になります。
リビングウィルは、各重要な機能を、その人材、契約、データ権利、機器、資金、保険、知的財産を所有または管理する法的エンティティにマッピングする必要があります。企業間サービスには、アクティベーション後も存続し、継続または交換できる書面による条件が必要です。
このマッピングは、レジストリ機能が分離可能でないことを明らかにする場合があります。必須のソフトウェアが、アクセスを終了できる親にのみライセンスされている場合があります。スタッフは継続を支援する義務のない関連会社で働く場合があります。商標は無関係かもしれませんが、ドメイン名と署名権限は別のエンティティに閉じ込められています。
救済策は必ずしも企業の簡素化ではありません。十分な分離可能性が重要です:明確な権利、譲渡オプション、有料の継続ライセンス、独立したアクセス、資金提供されたサービス期間。一時的な運用者は、無関係の事業を取得することなく必要なものを入手できるべきです。
所有権の変更も重要です。レジストリ会社の売却は、継続手段を損なったり、重要な資産を静かに手の届かないところに移動させたりすべきではありません。グループ構造、主要ベンダー、知的財産への重要な変更は、更新とおそらく新たな解決可能性評価をトリガーする必要があります。
トリガーはガバナンスと法的失敗をカバーしなければならない
サーバー障害は1つのトリガーにすぎず、しばしば観察するのが最も簡単です。レジストリは、合法的な取締役会が変更を許可できない、資金にアクセスできない、記録が操作されている、または裁判所の紛争がすべての指示を争い可能にしている間でも、データを提供し続ける可能性があります。
リビングウィルは、運用、財務、ガバナンス、法務、整合性の条件にわたって段階的なトリガーを定義する必要があります。例としては、長期にわたる重要なサービスの障害、重要な供給業者への支払い不能、破産申請、裁判所による管理者の任命、所定の期間を超える取締役会の定足数不足、経営権限への競合する主張、検証された鍵の侵害、重大な記録の不一致、エスクロー預託の失敗、拘束力のある修正命令への従事拒否などがあります。
各トリガーには、証拠の基準、意思決定者、許可された行動、期間、レビューが必要です。低レベルの警告は、強化された報告と資金引出テストを要求できます。より高いレベルは、新しい裁量的変更を凍結できます。最高レベルは、定義された重要な機能を一時的な運用者に移転できます。
トリガーは客観的な尺度と制限された判断を組み合わせるべきです。純粋に自動的なルールはゲーム化されたり、無害な異常でアクティブ化されたりする可能性があります。純粋な裁量は政治的な介入を招きます。文書化された基準と独立した確認は、より良いバランスを提供します。
トリガー機関は、機密のセキュリティ詳細を削除した上で、迅速に理由を公表しなければなりません。影響を受けるホルダーとレジストリは迅速な異議申し立て経路を持つべきですが、緊急の保護措置は事実がレビューされている間も有効に保たれる場合があります。
レゾリューション権限は独立して制約されなければならない
誰かがトリガーが満たされたと判断し、管理者に指示し、継続資金を引き出し、一時的な運用者を任命しなければなりません。その権限を失敗している取締役会に与えることは計画を無効にします。競合他社や政治団体に無制限に与えることは、別の正当性問題を生み出します。
NRS は、技術的、法的、財務的、ホルダー代表の能力を持つ独立したレゾリューション権限またはパネルを設立すべきです。メンバーは固定任期、紛争ルール、解任保護、現在のプロバイダー役割なしを持つべきです。緊急決定はより小さな定足数で行われ、その後迅速に完全レビューが行われます。
その権限は列挙されるべきです。記録を保存し、指定された変更を凍結し、代替サービスをアクティブ化し、エスクローリリースを指示し、隔離された資金を引き出し、公開情報を維持し、RPKI 継続性を保護し、裁判所命令を求めることができます。永続的にリソースを再割り当てしたり、ポリシーを書き換えたり、所有権主張を消滅させたり、 territorial monopoly を付与したりしてはなりません。
権限は、継続性、正確性、比例性、権利保存、透明性に対する義務を負うべきです。署名付きの理由とすべての行為の完全な記録を保持する必要があります。独立した監査と裁判所のレビューは引き続き利用可能であるべきです。
一時的な権限は期限切れにならなければなりません。各アクティベーションには最大期間、レビューポイント、復元、移転、または別の合法的処分への経路が必要です。無期限に自分自身を更新できる緊急機関は、失敗計画を憲法上の置き換えに変換しています。
代替運用者は危機の前に資格を得なければならない
失敗後に緊急運用者を選択することは時間を浪費し、えこひいきを招きます。リビングウィルは、技術的能力、財務的回復力、セキュリティ、独立性、制限された権限の下で行動する意欲を実証した事前資格のある運用者のプールを特定する必要があります。
ICANN の緊急バックエンドレジストリ運用者モデルは参考になります。対象となる gTLD について、指定されたプロバイダーは、DNS 解決、共有登録、登録データサービス、エスクロー預託、DNSSEC 署名ゾーンを含む5つの重要なレジストリ機能を維持するためにアクティブ化できます。範囲は限定されており、すべてのビジネスサービスの完全な引き継ぎではなく一時的です。
番号レジストリの代替者には異なる能力が必要です。アドレスと自律システム番号記録、RDAP、逆 DNS、RPKI、ホルダー認証、移転証拠、地域の法的条件を理解する必要があります。資格には、現在のエクスポートからの成功した復元と、重要なサービスの時間指定リハーサルを含める必要があります。
単一の代替者が普遍的な依存関係になるべきではありません。プールは競合回避と容量分散を可能にします。レゾリューション権限は、紛争当事者からの独立性や参加者を保持する商業的インセンティブの欠如など、公開された基準に従って選択する必要があります。
一時的な運用者の報酬、責任、データ義務、終了義務は事前に合意されるべきです。アクティベーション中に、閉じ込められたホルダーに無関係なサービスをマーケティングすべきではありません。終了時には、ホルダーの選択をサポートし、現在の状態を移転し、一時的な特権を放棄する必要があります。
裁判所は継続性の一部であり、外部の不便ではない
インターネット機関は時々、裁判所を技術的安定性に対する予測不可能な脅威として扱います。リビングウィルは代わりに、合法的な司法関与に備えるべきです。破産、雇用、契約、財産、ガバナンスの紛争は、技術コミュニティが計画するかどうかにかかわらず、該当する法律の下で決定されます。
レジストリは現在の法的マップを維持する必要があります:設立、統治文書、資産の場所、主要契約、担保付き請求、関連する規制義務、認識された紛争フォーラム、緊急救済の経路。弁護士と技術証人は事前に特定されるべきですが、1つの法律事務所に証拠の独占的支配を与えてはなりません。
継続手段は、裁判官が重要な機能、公共の結果、制限された権限、利用可能な保護手段を理解できるように書かれるべきです。人間が読める状態サマリーと独立して検証された復元結果は、「インターネットを壊す」という主張よりも説得力があります。
計画は、停止と矛盾する命令を予期すべきです。支払いに影響する裁判所の制限は、隔離された資金へのアクセスを必要とする場合があります。所有権紛争は、公開 RDAP と RPKI サービスが継続する間、ホルダー変更を凍結することを正当化する場合があります。破産管財人は、リソース権を決定せずに契約を譲渡する権限を必要とする場合があります。
外部レビューは正当性を保護します。レゾリューション権限は緊急に行動できますが、管轄裁判所は合法性、証拠、比例性を審査できるべきです。継続性は、機関の例外主義に依存するのではなく、司法審査に耐えられるときに強固になります。
国境を越えた継続性には事前に合意された協力が必要
インターネット番号レジストリは国境を越えて組織にサービスを提供し、グローバルな技術サービスに依存し、複数の管轄区域に資産を保持する場合があります。設立地で有効な継続命令は、外国のクラウドアカウント、管理者、銀行、従業員、ドメインレジストラを制御しない場合があります。
リビングウィルは、重要な機能に重要なすべての管轄区域を特定し、どのような認識が必要かを説明する必要があります。協力協定は、連絡先、証拠共有ルール、機密性、緊急通知、サービスの維持に関する期待を確立できます。これらは強行法規を覆すことはできませんが、驚きを減らすことができます。
金融安定理事会の枠組みは、調整されていない国家行動がグローバル機関を断片化する可能性があるため、国境を越えた協力を含んでいます。番号ガバナンスは関連するリスクに直面しています。2つの当局がそれぞれ同じレジストリ機能を指揮する権利を主張し、管理者と供給業者に矛盾する指示を引き起こす可能性があります。
計画は、地域の裁判所の権利を維持しながら、主要なレゾリューションの場を特定する必要があります。紛争中にどのようにエスカレーションされるか、どの行動が安全であるかを述べる必要があります。権限が明確になるまで、最後に検証された公開記録を提供することは、新しい変更を受け入れるよりも安全かもしれません。
データ保護と秘密法も管轄区域に従います。代替運用者への移転には、法的根拠、アクセス制限、記録が必要です。国境を越えた継続性は、各機能に必要なものだけを移動し、デフォルトですべての内部記録を移動すべきではありません。
通信は通常のチャネルが侵害されたときに機能しなければならない
機関の失敗中の沈黙は、噂、ソーシャルエンジニアリング、矛盾する主張を促進します。ホルダーは、記録が引き続き権威があるか、どの機能が継続するか、変更が一時停止されているか、誰が指示を与えられるか、エラーに異議を唱える場所を知る必要があります。
リビングウィルは、独立した通信チャネルを維持する必要があります:継続ウェブサイトまたはステータスドメイン、署名付き通知、検証済み連絡先リスト、関連するネットワーク調整団体との関係。それらのチャネルの制御は、失敗した機関のスタッフやアカウントのみに依存してはなりません。
メッセージは役割固有であるべきです。ホルダーは現在のサービスステータス、許可されたアクション、資格情報ガイダンス、救済策を必要とします。ルーティング運用者は、登録レゾリューションが BGP ポリシーを変更することを伝えられることなく、RPKI と公開エンドポイントに関する正確な情報を必要とします。供給業者は有効な支払いと指示権限を必要とします。裁判所と公的機関は、重要な機能と保護手段の簡潔な証拠を必要とします。
事前に作成されたメッセージは時間を節約できますが、実際のトリガー、範囲、証拠、発効時間、次回レビューのためのフィールドを含まなければなりません。事実のない一般的な安心感は沈黙よりも悪い場合があります。
通信は双方向です。ホルダーは事前に重要な連絡先を確認し、許可されていない変更を報告するための帯域外経路を持つべきです。一時的な運用者は、通常の権限が再開されるまで定期的なステータスケイデンスを公開する必要があります。すべての更新は、検証された事実、現在の不確実性、次の決定を区別する必要があります。
メンバーとホルダーの権利は緊急権限後も存続しなければならない
レゾリューションは、メンバーとホルダーがすべての発言権を失うと、サービスを維持しながら正当性を損なう可能性があります。緊急権限は、緊急の継続性に必要な範囲にのみ参加を制限し、可能な限り早期に通常のガバナンスを回復する必要があります。
メンバーは、アクティベーションの公的理由、総合的な財務使用、サービスステータス、スケジュールを受け取るべきです。代表委員会は、個々の技術的行為を指示することなく観察できます。紛争のある役職者は、自身の行為の緊急封じ込めを覆すためにメンバー投票を利用すべきではありません。
リソースホルダーはより強力な個別の権利を必要とします:現在のリソースステータスの維持、記録へのアクセス、修正、重要な変更の通知、安全な場合の自主的なプロバイダー移行、不利なホルダー決定前の審問。レゾリューションは、登録サービスを一時的な運用者による所有権に変換すべきではありません。
計画は少数派を保護する必要があります。過半数の投票は、紛争中のホルダーのリソースの没収や証拠の隠蔽を許可できません。逆に、小グループが定足数を妨げることで継続性を阻止できるべきではありません。事前に合意された緊急ガバナンスがそのギャップを埋めます。
アクティベーションの終了時に、メンバーとホルダーは、行動、未解決の紛争、使用された資金、移転された記録、放棄された権限の最終報告を受け取る必要があります。事後の説明責任は、迅速に行動することの正当性の一部です。
レゾリューションは複数の終了状態を提供すべき
失敗計画は、1つの結果を想定すると脆弱になります。レジストリは一時的な安定化後に回復するか、機能を後継者に移転するか、資格のあるプロバイダー間でサービスを分割するか、長期的な再編に入るか、ホルダー移行後に解散する可能性があります。
リビングウィルはいくつかの戦略を準備する必要があります。復元は、ガバナンス、財務、またはセキュリティの欠陥が是正された後、元の機関に権限を戻します。移転は、全体の重要な機能を承認された後継者に移動します。橋渡し運用は、合法的な選択が行われる間、一時的な機関を維持します。ホルダー移行は、共通の権限が一意性を維持しながら、各リソースホルダーが資格のある NRS プロバイダーを選択できるようにします。秩序ある解散は、すべての重要な関係が移動した後、失敗したプロバイダーを終了します。
選択は事実に依存します。短い供給業者の障害は復元を正当化するかもしれません。持続的なガバナンスの非正当性は復元を安全でなくするかもしれません。回復可能な財務を持つ首尾一貫した地域機関は再編に値するかもしれませんが、ポータブルなサービス市場はホルダー移行を支持するかもしれません。
いかなる終了状態も、それが一時的な運用者、現職の同業者、または債権者に利益をもたらすという理由だけで選択されるべきではありません。レゾリューション権限は、継続性、法的実現可能性、コスト、ホルダーの選択、集中、時間を比較する必要があります。理由は公開され、レビュー可能でなければなりません。
オプション性は、準備されている場合にのみ価値があります。契約、資金、エクスポート、資格のある受取人なしで5つの戦略を命名することは、紙上の選択を生み出します。各信頼できる終了状態には、実行可能な経路と定期的なリハーサルが必要です。
リハーサルはリビングウィルが生きている証拠である
金融機関は、説明だけでは能力を証明できないため、レゾリューション計画を提出します。インターネットレジストリは同じ懐疑論を採用すべきです。リビングウィルは、人、システム、供給業者、鍵、法律、組織構造が変化するにつれて陳腐化します。
少なくとも年に1回、レジストリと代替者は、完全な重要な記録を復元し、隔離された現実的な設定で RDAP を運用し、逆 DNS 権限を検証し、制御された RPKI 移行演習を実行し、継続手段から名目上の金額を引き出し、通信をアクティブ化し、レゾリューション権限を招集する必要があります。
リハーサルには、利用できない役員、失敗したベンダー、古いエスクロー預託、紛争中の保留移転、矛盾する公開出力、裁判所の制限などの不利な条件を含める必要があります。参加者はすべての注入を事前に知るべきではありません。目的はデモンストレーションではなく、依存関係を明らかにすることです。
独立した観察者は各機能の時間を計り、手動介入を記録し、不足している権限を特定し、最終的な調整を検証する必要があります。発見事項には所有者と期限が必要です。未解決の重大な欠陥は、新しい高影響活動を制限したり、追加の資金を要求したりする必要があります。
一部の結果は公開されるべきです:行使された機能、復元時間、主要な弱点カテゴリ、期限切れの是正、現在の保証。セキュリティに敏感な詳細は制限されたままにできます。継続性を信頼するようインターネットに求めるレジストリは、演習が行われたという主張以上のものを提供する必要があります。
公開版と機密版は異なるニーズに応える
リビングウィルには完全には公開できない資料が含まれています:プライベート連絡先、セキュリティアーキテクチャ、鍵の取り決め、ベンダー価格、法的戦略、保護されたホルダー証拠。しかし、すべてを秘密にすることは、メンバーとホルダーが継続権限が現実的で制限されているかどうかを判断することを防ぎます。
公開版は、重要な機能、ガバナンストリガー、レゾリューション権限、代替者資格ルール、資金構造、ホルダー権利、高レベルの復元結果、最大中断目標、終了状態オプション、レビュー結果を特定する必要があります。一時的な運用者が何をしてもよく、何をしてはいけないかを説明する必要があります。
機密付属書は、資産在庫、資格情報、詳細な依存関係マップ、法的意見、セキュリティ調査結果、個別記録を保持できます。アクセスは役割ベースで、ログ記録され、定期的にレビューされる必要があります。付属書が存在するという事実は、それが完全であるという証明と誤解されるべきではありません。
監査人は、保護された内容を明らかにすることなく、使用可能性を証明する必要があります。重要な例外が存在する場合、公開声明はその結果と是正日を説明する必要があります。「機密」は、資格のある代替者がサービスを復元できないことを隠すべきではありません。
バージョン履歴が重要です。メンバーと当局は、計画が最後に更新された時期、発生した重要な変更、リハーサルがそれらをカバーしたかどうかを知る必要があります。数年前に退職した人々によって署名されたリビングウィルは、アーカイブであり、継続能力ではありません。
解決可能性評価は現在の行動を変えるべき
リビングウィルの価値は、失敗前に明らかにすることに部分的にあります。重要な機能が、ソフトウェアが独自仕様、鍵が集中、資金が閉じ込められている、または法律が不明確であるために移転できない場合、機関は健康なうちにその障害を減らすべきです。
レゾリューション権限は定期的な解決可能性評価を実施し、重大度による発見事項を割り当てる必要があります。軽微な文書化ギャップには期限を設定できます。重要な機能の代替者の欠如は拡大を制限する可能性があります。権威ある記録をエクスポートできない、または RPKI の有効性を維持できないことは、即時の是正と強化された監視をトリガーする必要があります。
評価には、現在の決定によって作成された集中と複雑さを含める必要があります。新しいサービスの取得、1つのクラウドプロバイダーへの移行、法的エンティティの変更、鍵管理の集中化は、通常の効率が向上しても解決を困難にする可能性があります。主要な変更には継続影響声明を含める必要があります。
権限は、改善を要求するための比例した権限を持つべきです:更新されたエクスポート、改訂された契約、追加資金、重複した専門知識、より狭い特権、焦点を絞ったリハーサル。すべてのセーフガードが自発的な協力に依存していたことを発見するために失敗を待つべきではありません。
現在の規律は、失敗を計画することの憲法上の利点です。統治者は、記録が分離可能でなければならず、理由が精査に耐えなければならず、別の資格のある機関が機能を継続できなければならないことを知ると、異なる選択をします。
一般的な失敗モードは誤った安心感を生み出す
いくつかの成果物はリビングウィルのように見えても、ほとんど保護を提供しません。一般的な事業継続文書は、現在の経営陣が引き続き責任を負うことを前提としています。クラウドバックアップは法的アクセスと権限を無視します。ベンダーリストは下請け業者と終了権を省略します。指名された代替者は現在の記録を復元したことがありません。現金準備は通常の資産とともに凍結された口座に残ります。
もう1つの誤った安心感は、英雄的な従業員です。継続性が1人のエンジニア、弁護士、または役員が紛争中に正しく行動することに依存している場合、計画は機関の権限を個人化しています。その人物は利用できないか、紛争中か、法的に行動できない可能性があります。
静的なエクスポートは別の弱点を作り出します。完全な月次コピーは、決定的な最近の変更を見逃す可能性があります。順序付けられたジャーナルと調整がなければ、鮮度は回復できません。同様に、技術的に成功した RPKI 演習は、独立した依拠当事者が観察したものを無視する可能性があります。
過度に広範な緊急権限も欠陥です。外部機関が「必要なすべての行動を取る」ことを許可する計画は柔軟に見えるかもしれませんが、法的な不確実性と政治的抵抗を生み出します。列挙された分離可能な権限は、異議申し立てに耐える可能性が高くなります。
最後に、計画は楽観主義によって失敗する可能性があります。すべてのシナリオが協力的な取締役、支払い能力のあるベンダー、争いのない裁判所権限、正確な記録を想定する場合、文書は機関の失敗の解決ではなく、不便からの回復をリハーサルします。
72時間のイラストが依存関係を可視化する
裁判所がレジストリの取締役会の任命を無効と判断し、同時に別の債権者が通常の口座に対する制限を取得したと想像してください。公開サービスはオンラインのままですが、係争のない役員は支払いや高影響の変更を承認できません。リビングウィルのガバナンスと資金のトリガーがアクティブ化されます。
最初の数時間で、レゾリューションパネルは命令を確認し、新規割り当てと紛争中のホルダー移転を凍結し、日常的な公開サービスを維持し、管理者に最新の検証済みエクスポートをロックするよう指示し、継続資金の最初のトランシェを引き出します。継続する機能と一時的に保留される機能を特定する署名付き通知を公開します。
代替運用者は制限されたアクセスを受け取り、リソース数と現在の状態の整合性を検証し、RDAP 出力を確認し、逆 DNS 依存関係をチェックし、RPKI 公開を複数の依拠当事者ビューと比較します。既存の有効な状態は維持されます。経営権限が不明確だからといって秘密鍵がコピーされることはありません。
最初の日以内に、重要な供給業者は有効な支払い保証と指示権限を受け取ります。ホルダーは役割固有の通知と緊急修正経路を受け取ります。保留中の変更はステータスによって分類されます。パネルは必要に応じて、一時的な権限の承認を管轄裁判所に申請します。
3日目までに、権限は調整結果、残りの不確実性、資金カバレッジ、次回レビューを公開します。裁判所がガバナンスを解決している間に限定的な通常の変更を再開できるかどうかを決定します。このイラストは、記録、資金、法律、通信、暗号権限が一緒に準備されなければならない理由を示しています。単独では継続性を生み出しません。
NRS はプロバイダーの失敗をレジストリの失敗より小さくできる
ポータブルな NRS モデルは、地域独占にはない利点を提供します。1つの登録サービスプロバイダーが失敗した場合、希望するホルダーは他の資格のあるプロバイダーに移動でき、共通の権限が1つの現在の状態を維持します。地域全体が機関の再構築を待つ必要はありません。
その利点はレゾリューション計画を排除しません。共通のコーディネーター自体にリビングウィルが必要であり、各プロバイダーには比例した計画が必要です。コーディネーターの計画は、権威ある状態、プロバイダーポインター、共有インターフェース、裁判所の制限、継承を強調します。プロバイダーの計画は、顧客記録、証拠、資格情報、オプションの RDAP または RPKI サービス、資金、ホルダー移行を強調します。
ポータビリティはストレス下で使用可能でなければなりません。受け入れプロバイダーは、失敗した管理からの協力なしに検証済みの継続移転を受け入れられるべきです。異議申し立ての理由は狭く、資格情報は事前に調整され、状態変更はシリアル化されるべきです。ホルダーはサービスを復元するためだけに新しい割り当てを証明する必要はありません。
集中は依然として重要です。すべてのプロバイダーが1つの管理者、1つのクラウドプラットフォーム、または1つの RPKI 公開サービスに依存している場合、名目上の複数性は共通の障害ドメインを隠します。協会は計画全体にわたる共通の依存関係を評価する必要があります。
目標は決して失敗しない機関ではありません。それは、1つの機関の失敗が記録を消去したり、ホルダーを閉じ込めたり、緊急アクターに無制限の権限を与えたりしない構造です。
リビングウィルはストレス下での制限された権力の説明である
レゾリューション計画はしばしば運用上のハウスキーピングとして提示されます。インターネットレジストリにとっては、憲法上の設計です。それは、通常の権限が失敗したときに誰が行動できるか、どの事実が保護されたままか、誰の権利が存続するか、緊急権限がどのくらい続くか、公共機能を断片化することなく機関を交換できるかどうかを決定します。
信頼できる計画は、重要な機能から始まり、すべての依存関係をマッピングします。現在の経営陣の単独の管理外に、完全で検証済みの復元可能な記録を保持します。RDAP、逆 DNS、RPKI を異なる移行リスクを持つ別個のサービスとして扱います。破産がそれらを役立たなくできない場所に資金を置きます。代替者を資格付け、裁判所を準備し、スタッフを保護し、ホルダーに直接情報と救済策を提供します。
計画はまた、自身を制限します。一時的な運用者は、再割り当てではなく保存します。レゾリューション権限は、公開されたトリガーに基づいて行動し、理由を示し、レビューに直面し、権力を放棄します。新規割り当てと紛争中の移転は一時停止できますが、既存のホルダーとルーティングの意図は無傷のままです。公共の継続性は、恒久的な機関の免責または恒久的な緊急管理を正当化しません。
最も強力な証拠はリハーサルです。後継者が記録を復元したことがない、名目上の資金が引き出されたことがない、鍵の移行が依拠当事者によって観察されたことがない、または裁判所の根拠が独立した弁護士によってテストされたことがない場合、リビングウィルは願望に過ぎません。
インターネット番号ガバナンスは、次の危機までこれらの事実を発見するのを待つべきではありません。永続的な権限に値するレジストリは、自らができなくなった後もその機能がどのように継続するかを説明し、実証し、資金を提供できるべきです。それは期待される失敗の承認ではありません。それは、機関が重要なサービスの管理とユーザーの依存の所有権の違いを理解していることの証明です。
証拠と参考文献
- 金融安定理事会 効果的なレゾリューション体制のキー・アトリビュート— 秩序あるレゾリューション、重要な機能の継続性、セーフガード、資金、協力、解決可能性評価と計画を強調する国際基準。
- 金融安定理事会 レゾリューションにおける運用継続性の取り決めに関するガイダンス— 機関がレゾリューションに入るときに重要な共有サービスを維持するための公式ガイダンス。
- 連邦準備制度理事会 完全なレゾリューション計画の情報要件— 重要な運用、法的エンティティ、資金、システム、相互接続、依存関係のマッピングに関する公式要件。
- 連邦準備制度理事会 レゾリューション計画に関するガイダンス— 流動性、ガバナンス、重要な共有サービス、契約継続性、分離可能性に関する公式ガイダンス。
- Ofgem エネルギー供給会社管理に関する覚書— 中断のない重要なサービスと調整された特別管理に焦点を当てた公式公共事業比較。
- Ofgem エネルギー会社が倒産した場合の保護方法の説明— 通常の供給業者失敗時の最終供給業者移転と特別管理の公式説明。
- IANA 番号リソース— IP アドレスと自律システム番号のグローバル調整の公式説明。
- RFC 6480: 安全なインターネットルーティングをサポートするインフラストラクチャ— リソース証明書、経路起点認証、トラストアンカー、リポジトリの IETF アーキテクチャ。
- RFC 8181: RPKI の公開プロトコル— RPKI 公開アクションをリポジトリ運用から分離する標準トラックプロトコル。
- ICANN 緊急バックエンドレジストリ運用者プログラム— 重要なドメインレジストリ機能と事前資格のある一時的プロバイダーを特定する運用比較。
- ICANN 継続運用手段— 重要なレジストリ機能の継続のための事前配置された財源の公式例。

