概況

  • 5つの地域インターネットレジストリ(RIR)間の相互支援は、定義された運用上の緊急事態において、権威ある記録、アカウントアクセス、逆引き DNS、移転状態、公開ディレクトリサービス、および経路セキュリティ機能を維持する場合に正当化される。
  • 同じ支援が相互免責を生み出す場合がある。それは、現職理事会が発動の契機を握り、同業者による承認が独立した事実調査の代わりとなり、支援が係争中の指導部に資金を提供し、あるいは緊急措置が公開範囲、終了期限、検証経路、返還テストなしに継続される場合である。
  • 正当な協定は、迅速なサービス救済の決定をガバナンス、過失、承認、または指導部に関する判断から分離し、独立したレビュアーを任命し、リソース保有者を政治的圧力から保護し、非機密の理由とコストを開示し、緊急事態が引き続き運用上必要であるという証拠に基づいてのみ更新を要求するであろう。

深夜の電話と翌朝の疑問

ある地域インターネットレジストリが金曜の夜に重要なシステムへのアクセスを失ったとする。原因はサイバー攻撃、裁判所命令、突然のスタッフ退職、政治的暴力、財政破綻、あるいは通常の権限を不確かにする内部紛争かもしれない。ネットワークオペレーターは依然としてアカウントアクセスを必要としている。登録データは正確に保たれなければならない。逆引き DNS 委譲の処理が必要かもしれない。進行中の移転は単に消えてなくなるわけにはいかない。RPKI 公開と証明書管理は経路に影響を及ぼす可能性がある。完全な制度的解決を待つことは無謀であろう。

他の RIR は支援すべきである。エンジニアを派遣し、インフラを提供し、データを保護し、資金を前渡し、セキュリティ専門知識を提供し、影響を受けた組織が回復するまで限定的なサービスを維持することができる。共通の経験が迅速な行動を可能にする。相互支援は分散型ガバナンスの恥ずべき例外ではない。それは、地域構成要素が互いに依存するシステムにとって責任ある管理の一部である。

より難しい問いは翌朝に浮上する。誰がその事象を、争いのあるガバナンス紛争ではなく運用上の緊急事態と判断したのか?支援機関はどのサービスに手を触れてよいのか?誰の指示を受け入れることができるのか?支援は中立的な運用を維持するのか、それとも一方の支配を強化するのか?誰が証拠を検証できるのか?措置はいつ終了するのか?影響を受けたレジストリの理事会は自らへの支援を更新できるのか?理事会の行動が支援が必要になった理由の一つである場合、どうなるのか?

これらは緊急の技術支援を遅らせる理由ではない。それらは決定を分割する理由である。サービス救済は迅速で、保守的で、可逆的であるべきだ。制度的判断はより遅く、独立し、理由に基づくべきだ。それらを組み合わせると、システムを復旧させるのに最適な人々が、必然的にまたは習慣的に、現職機関を承認する人々になるリスクが生じる。

共同 RIR 安定化基金(Joint RIR Stability Fund)はこの問題を具体化する。NRO は RIR の幹部およびスタッフ間の長年にわたる相互支援について説明し、レジストリの完全性や運用に対する深刻な脅威に対して理事会が裏付ける支援を正式化する。財政難、重要スタッフの喪失、自然災害、紛争、政情不安、犯罪行為、深刻なインフラ問題などを可能性のあるシナリオとして挙げている。支援は金銭的または現物で行うことができ、目的は運用の継続である。

これは妥当な出発点である。完全な説明責任アーキテクチャではない。公開されている条件では、影響を受けた RIR の理事会が正式な要請者となり、NRO 執行評議会の全会一致の承認が必要である。予算化された行動計画と監査済み財務報告が求められる。これらの管理策は共通の基金を保護する。それ自体では、理事会の説明の独立した検証を行わず、運用支援を制度的支援から区別せず、リソース保有者に越権を異議申し立てする経路を提供しない。

したがって、翌朝の疑問は避けられない:同業者はサービスを救済したのか、それとも互いを結果から保護したのか?信頼できるシステムは証拠をもって答え、連帯をもって答えるべきではない。

相互支援の目的

相互支援には限定的な公益目的がある。それは第三者がレジストリの混乱のコストを負うのを防ぐ。小規模なアクセスプロバイダーが理事会の会合不可のために登録支援を失ってはならない。大学が裁判所による口座凍結のために不可解な逆引き DNS 障害に直面してはならない。クラウド事業者がスタッフの資格情報消失のために矛盾する移転記録に遭遇してはならない。病院ネットワークが制度上の争いの道具にされてはならない。

保護対象は機能の継続性である。IANA 番号資源の概要は、IANA が RIR にプールを割り振り、RIR がポリシーに基づいてネットワークにサービスを提供する階層構造を説明している。RFC 7020は分散型レジストリ構造と、正確で一意な登録の重要性を記録している。階層が分散しているため、地域層での障害は常に IANA が通常の RIR タスクを実行することで修復できるとは限らない。同業者の専門知識には実用的な価値がある。

正当な相互支援は、権威ある登録データ、安全なバックアップ、公開 RDAP または Whois の可用性、メンバー認証、チケット履歴、逆引き DNS 管理、割り振り記録、移転状態、注意深く定義された RPKI 運用を保持することができる。また、必要不可欠なスタッフ、フォレンジック作業、一時的なホスティング、または物理的セキュリティに資金を提供することもできる。正確なリストは実証された必要性に依存すべきである。

相互支援は、誰が選挙に勝ったか、理事が義務に違反したか、どのメンバー派閥が地域を代表するか、裁判所の請求にメリットがあるか、レジストリが最終的に承認を維持すべきか、隣接する RIR が領域を継承すべきか、を決定するためのものではない。それらはガバナンス、法的、地位の問題である。技術的事実はそれらに情報を提供するかもしれないが、運用支援はそれらに答えを与えない。

この区別は受益者テストとして表現できる。サービス救済は、紛争に対する見解に関係なくリソース保有者に利益をもたらす。制度的保護は、まず現職の意思決定者に利益をもたらし、利用者に対してその利益を継続性の代償として受け入れるよう求める。もし支援措置が中立の一時的管理の下では不要であるにもかかわらず、既存の権限を維持するために選択されるのであれば、精査は厳しくなるべきだ。

第二のテストは中立性に関するものである。エンジニアがデータベースをバックアップから復元し、認証された保有者が日常的な変更を行えるようにすることを想定しよう。それは全員に同じルールが適用され、争いのある高リスクの変更がレビューのために保存されるなら中立的である。支援チームが一つの争議中の指導部グループだけが発行した資格情報を認識し、もう一方のグループのアクセスを取り消し、紛争が解決したとする声明を発表すると想定しよう。その技術的行為は制度的な同調となっている。

第三のテストは可逆性である。データを安全なエスクローにコピーし、公開サービスを復元し、ログを維持することは選択肢を保持する。企業支配権の変更、資産の移転、リソースの再割り振り、または権限の恒久的な移動は、それらを閉ざすかもしれない。緊急支援は、後の合法的な意思決定者がレビューまたは逆転できる行為を優先すべきだ。

迅速性の必要性はこれらのテストを排除しない。事前合意を不可欠にする。RIR は次の危機が起こる前に、どの機能が推定的に安全か、どれが二次的な承認を必要とするか、どれが相互支援として全く実行できないか、を知っておくべきである。準備された境界があれば、エンジニアは停止中に憲法上の権限を考案する必要がないため、より迅速に行動できる。

既存の約束は独立性よりも資金面で強い

安定化基金は、非公式の連帯を公約に変えるため価値がある。各 RIR は支援を約束し、要請は文書化されなければならず、レジストリまたはポリシー策定機能の外にある活動は一般的に適格ではなく、承認された支出は具体的な計画に従わなければならない。RIR 財務責任者による共同会計は一定の統制を生み出す。これらの特徴により、支援は即席の私的取決めよりも信頼性が高まる。

しかし、このモデルは内部者の周りに組織されている。影響を受けた理事会が支援を要請する。5人の RIR 幹部が全会一致で決定する。RIR 財務責任者が配分を管理する。これらの主体は完全に責任ある行動をとりながらも、問題となっている制度的利害から独立していないかもしれない。相互支援は同業者に同業者を支援するよう求める。独立したレビューは、その相互関係の外側にいる誰かに、支援がその述べられた目的のために使われているかどうかを検証するよう求める。

相互主義はインセンティブを変える。各 RIR はいつか助けが必要になるかもしれないと知っている。その知識は寛大さを促し、それは望ましい。また、厳しい質問を思いとどまらせることもありうる。他のレジストリの説明に異議を唱えるかどうかを決める幹部は、自らの危機の際に同じ異議申し立てがどのように感じられるかを想像するかもしれない。理事会は、自身もそれらの条件を適用されたくないため、ガバナンス開示を支援の条件とすることを躊躇するかもしれない。相互保証は静かに相互自制になりうる。

全会一致は問題を解決しない。それは5人の幹部全員が同意したことを証明するが、独立したレビュアーが発動のトリガーを検証したことを証明しない。場合によっては全会一致が支援を遅らせすぎることもある。他の場合には、RIR ファミリーが影響を受けた機関を承認したという外観を増幅させるかもしれない。全会一致の緊急助成は、技術的に慎重でありながら証拠的に弱いということが同時に起こりうる。

公開条件はまた、影響を受けた RIR の理事会による正式な要請を認めている。それは自然災害や外部からの攻撃には理にかなっている。理事会の正当性、紛争、財務管理、または行動拒否が危機の一部を形成している場合には、満足のいくものではない。理事会は、利用者をその理事会の機能不全から保護するために必要な支援への排他的なゲートウェイになることはできない。また、ライバル派閥が単に告発することによって支援を得るべきでもない。代替トリガーには独立した検証が必要である。

財務監査は必要だが不完全である。監査は、資金がホスティング、給与、インシデント対応を購入したことを示せるかもしれない。それらの購入が争議中の支配を強固にしたか、サービスの範囲が過剰だったか、データアクセスが合法的だったか、より侵襲性の低い支援が利用可能だったか、更新を正当化するほど緊急事態が長く続いたかは示せないかもしれない。予算遵守は目的の正当性と同じではない。

基金自体の文言が解決策の方向を示している。それは支援をレジストリの安定のための追加保険措置と説明し、ガバナンス、リスク管理、コミュニティサポート、準備金、保険の公的保証を強調している。保険は定義された損失に対応するもので、通常、企業の憲法上の紛争を決定しない。基金をサービス保険として扱うことは、独立したアジャスターのような機能が適切である理由を明確にする。

その機能は救済の最初の数時間を妨げるべきではない。それは発動時に開始し、直ちに証拠を受け取り、数日以内に予備的な範囲チェックを発行すべきだ。その存在は支援する RIR だけでなく、一般市民も保護する。彼らは技術的連帯が、争議中の理事会を支持することや、ガバナンスの失敗を隠蔽することを要求しなかったことを示せる。

危険な一言:「私たちは運用を支援しているだけです」

運用の言葉は中立的に聞こえるが、運用は権限を体現する。誰かが、どのアカウント保有者が真正か、どの従業員が特権アクセスを受け取るか、どの移転が日常的か、どの証明書アクションが有効か、どの請求書が支払われるべきか、どの公開声明が現在の支配を説明するかを決定する。安定した組織ではこれらの決定は平凡だ。危機においては、それらは誰が統治するかを決定しうる。

アイデンティティを考えよう。影響を受けたレジストリの企業役員が争われている場合、支援する RIR はそれでも誰の資格情報が機密性の高い変更を承認できるかを決定しなければならない。現職の資格情報ディレクトリを受け入れることは一方に有利になるかもしれない。メンバー記録からアイデンティティを再構築することは新たな権限を作り出すかもしれない。すべての特権アクションを凍結することは中立性を保護するが、利用者に害を及ぼすかもしれない。純粋に技術的な答えはなく、より良い手順とより悪い手順がある。

データの保管を考えよう。継続性のために登録データをコピーすることは不可欠かもしれない。データには非公開の連絡先詳細、アカウント履歴、サポート文書、セキュリティ資料、紛争記録が含まれる可能性がある。同業者のアクセスは信頼の輪を広げ、管轄区域を越える可能性がある。RIR ガバナンスマトリックスは、5つの組織が異なる法的枠組みの下で運営され、異なるガバナンスと紛争の取り決めを文書化していることを示している。相互支援には明示された法的根拠、アクセス制限、保存ルール、削除または返却手順が必要である。

資金を考えよう。不可欠なエンジニアに支払うことはサービスを維持できる。理事の訴訟費用や広報アドバイザーに支払うことは機関を保護するかもしれない。安全な運用センターの家賃を支払うことは必要かもしれない。囲い込みなしに一般企業資金を前渡しすることは、他の資金を争議中の目的に使えるようにする可能性がある。狭い予算でもより広い影響を持ちうる。

RPKI を考えよう。RFC 6480は、証明書と署名付きオブジェクトが経路起点検証をサポートするインフラストラクチャを説明している。認証または公開に影響する支援は、矛盾する権限と予期しない依拠当事者への影響を避けなければならない。同業者はこの作業を通常のウェブサイト復元のように扱うことはできない。同時に、RPKI の機密性が、現在資格情報を保持しているグループを何であれ支持する理由になってはならない。保守的な継続性は、限定されたアクション、明示的なログ、独立した権限決定を必要とするかもしれない。

コミュニケーションを考えよう。「サービスは引き続き利用可能です」という同業者の声明は運用保証である。「正当な指導部が支援を要請し受けました」という声明はガバナンスの主張をする。ロゴの配置や署名者名だけでも承認のシグナルを送りうる。支援計画は状況報告と制度的な支持表明を区別すべきである。

したがって、「私たちは運用を支援しているだけです」という言葉は検証されるべき主張であり、安全なカテゴリーではない。レビュアーは各支援措置を特定のサービスに辿り、どのような制度的効果を生むかを問うべきである。一部の効果は不可避かつ比例的であろう。他は、中立の保管、二重承認、トランザクションクラス、墨消し、一時的凍結、独立した管理者を通じて削減できる。

これが、透明性がラベルに頼るのではなく機能を記述しなければならない理由である。一般市民はエクスプロイトの詳細や特権的な法的助言を必要としない。支援が、例えば、公開登録の可用性、既存の保有者認証、未決移転要求の保持をカバーし、争議中の支配変更は除外され、アクセスがログに記録され、取決めが明示された日に期限切れになることを知る必要がある。具体的な範囲が中立性を評価可能にする。

救済と判断には別々の時計が必要

停止の時計は分単位、時間単位で計測される。ガバナンスレビューの時計は日単位、週単位で計測される。承認または承認取消の時計はより長くかかるかもしれない。3つすべてを1つのスケジュールに押し込めようとすると、危険な遅延か、未検証の権力のいずれかを生む。

最初の時計は最小限の救済エンベロープを認可すべきだ。事前承認されたインシデントチームがシステムを維持し、資格情報を保護し、バックアップを有効化し、公開ディレクトリアクセスを維持し、不可逆的な変更を防ぐことができる。その権限は、事実と法的支配が評価されるのに十分な期間だけ継続すべきだ。すべてのアクションは最初からログに記録されなければならない。

第二の時計は即座に開始されるべきだが、救済が終了する前に完了する必要はない。独立したレビュアーがトリガーを検証し、紛争を調査し、影響を受けたサービスを特定し、影響を受けたレジストリとリソース保有者の代表者の意見を聴取し、適切な範囲を推奨すべきだ。レビュアーは非機密の短い判断を公表すべきだ。当初の支援が正当化された範囲を超えていた場合、利用者を見捨てることなく範囲を狭めるべきだ。

第三の時計は制度的地位に関する。コンプライアンス回復、理事会の正当性、承認、承認取消、継承、恒久的移転には独自の手続きが必要である。緊急支援は証拠を提供するかもしれないが、結果を予断してはならない。支援を必要とするレジストリは、回復後に運営資格を保持できる。支援を通じてサービスを維持するレジストリでも、ガバナンス義務を果たせないことがありうる。サービスの成功と制度的コンプライアンスは異なる所見である。

この時間的分離は、新しい公開資料に不完全ながら反映されている。2024年12月に批准された ICANN のICP-2 コンプライアンスのための実施および評価手続きは、調査、コンプライアンス回復の試み、そして運用が回復できず緊急プロバイダが必要な場合の他の RIR との調整を記述している。この手続きは修復と継続性の両方を認識している。すべての運用上の問題を即時の除去に変えるわけではない。

2025年8月のRIR ガバナンス文書第2次草案は、緊急継続性、継続的義務、可能な引き継ぎを記述することで、さらに踏み込んでいる。これは草案であり、確立された権威ではない。その重要性は、支援、リハビリテーション、地位を区別可能な段階として扱っている点にある。2026年第1四半期ステータスレポートも、緊急トリガー、期間、更新、リソース保有者保護に関する継続的な議論を記録している。

最終的な設計は時計を明示的にすべきである。緊急発動はその時間と範囲を明示すべきだ。独立したレビューは短期的な期限を持つべきだ。延長には新たな証拠が必要だ。制度的手続きは独自の告知とレビューのルールに従うべきだ。一般市民は、一時的な技術支援が静かに恒久的支配の承認になったと推測する必要が決してあってはならない。

独立性は宣言されるのではなく、設計されなければならない

独立したレビュアーは、現在の RIR 職員が除外されているというだけでは独立ではない。独立性には財務的、任命的、情報的、関係的な次元がある。完全に NRO 執行評議会の裁量で支払われるパネルは、それに反対することを躊躇するかもしれない。危機の後に支援機関によって選ばれたレビュアーは、期待される結果のために選ばれたように見えるかもしれない。尊敬されるコミュニティのベテランでも、理事会、ベンダー、派閥と深い繋がりを持つかもしれない。

レビュー機能は即席ではなく常設であるべきだ。メンバーは複数のチャネルを通じてずらした任期で任命されることができる:一部は RIR コミュニティによって、一部は ICANN の確立されたメカニズムによって、一部は独立した技術、法律、監査、公益の専門知識のためのオープンな選考によって。どの任命グループも過半数を支配すべきではない。現職の RIR 理事、幹部、上級スタッフ、重要なベンダー、活発な訴訟当事者は不適格とすべきだ。

利益相反開示は具体性を必要とする。過去の雇用、コンサルティング、資金提供、緊密な専門的関係、公的アドボカシー、現在の地域的役割が開示されるべきだ。忌避ルールは、レビュアーが元雇用者や、レビュアーが重大な立場を取った紛争を評価するのを防ぐべきだ。忌避が緊急の作業を停止させないよう、代替メンバーは事前に特定されているべきだ。

資金は事前に評価され、支援決定とは別に保持されるべきだ。レビュアーは、自らが調査する幹部の許可を求めることなく、自己の予算にアクセスできるべきだ。報酬は総額で公開されるべきだ。スタッフサポートと安全な証拠施設は発動前に利用可能であるべきだ。

情報アクセスも同様に重要である。レビュアーはインシデントレポート、支援要請、予算、アクセスログ、関連する理事会記録、継続性計画、データ共有の法的権限、除外された代替案の説明を必要とする。特権とセキュリティは秘密手続きを通じて保護されうるが、決定的な事実すべてを差し控える包括的理由になってはならない。公的判断は脆弱性や個人データを暴露せずに証拠を要約できる。

証拠提出の資格は影響を受けた理事会を超えて拡大されるべきだ。上級運用スタッフ、メンバー選出代表者、検証されたリソース保有者、監査人、支援する RIR、ICANN、関連する合法的当局が重要な事実を保有しているかもしれない。レビュアーは大量の意見キャンペーンや裏付けのない主張を警戒すべきだが、理事会が証拠の扉を支配すべきではない。

独立性はまた救済的限界を必要とする。レビュアーはレジストリを運営したり、番号を割り振ったり、恒久的理事会を選ぶべきではない。相互支援のトリガーを検証し、範囲を承認または縮小し、安全策を推奨し、期限条件を監視し、別個の懸念事項を適切なプロセスに委ねるべきだ。集中した任務は迅速なレビューを可能にし、別の説明責任のない中心を作り出すことを避ける。

最後に、レビュアーに対するレビューがなければならない。範囲決定によって重大な影響を受ける当事者は、事実誤認、利益相反、公表された手続きからの逸脱について再考を求めることができるべきだ。そのレビューは迅速に行われ、不可欠なサービス措置を自動的に停止すべきではない。独立性は、すべての層で権力が境界付けられているときに信頼できる。

ネットワークを暴露しない公開記録

レジストリの緊急事態は、悪用可能なセキュリティ事実、個人データ、活発な調査、特権的助言を伴うことがある。インシデント中の過激な開示は害を悪化させる可能性がある。しかし、秘密主義はすべての説明責任の問いに対する既定の答えにはできない。解決策は構造化された透明性である。

発動通知は、影響を受けたレジストリ、一般的なトリガーカテゴリ、リスクのあるサービス、支援当事者、法的または契約的根拠、開始時間、初期期限、レビュアー、影響を受けたリソース保有者のための連絡先を特定すべきだ。許可されていないことを明示すべきだ。攻撃指標、管理者の身元、セキュリティアーキテクチャ、機密のメンバー記録を明らかにする必要はない。

範囲スケジュールは機能を運用上の用語でリストすべきだ。登録データの保存、RDAP 可用性の維持、日常的な認証済み更新、逆引き DNS サポート、指定された RPKI 公開継続性、未処理要求の保存を認可するかもしれない。争議中の支配、大量移転、取消、理事会資格情報、資産処分、恒久的移行を含む変更は留保するかもしれない。実際のカテゴリは事象によるが、公表することで噂を減らす。

財務通知は、コミットされた金額または範囲、支援が現金か現物か、費用カテゴリ、囲い込み統制、次回の報告日を明示すべきだ。不必要に給与やベンダーセキュリティの詳細を暴露すべきではない。支援が安定化基金に基づく誓約済み準備金から来る場合、一般市民は認可とその後の監査済み使用を追跡できるべきだ。

レビュー通知は、検討された証拠、重大な利益相反、運用上の必要性に関する所見、検討された最も侵襲性の低い措置、未解決の不確実性を要約すべきだ。事実が争われている場合、通知はそう述べるべきだ。レビュアーは、制度的過失に関する主張から、検証されたサービス影響を区別すべきだ。

更新は決して自動であってはならない。更新通知は、何が改善したか、何が依然として損なわれているか、なぜ通常の支配を再開できないか、どの措置が縮小されているか、累積コスト、次回の返還テストを示すべきだ。当初の説明を繰り返すだけでは不十分だ。時間は、一時的措置が実践を通じて権限を再形成しうるため、正当化の負担を増大させるべきである。

終了時には、レポートが期間、維持されたサービス、重大なインシデント、支出、データ処理、回復された権限、未解決の紛争、将来の準備のための教訓を記述すべきだ。セキュリティ上機密の詳細は保護されるか後日公開できる。終了記録の存在は不可欠である:それは相互支援が、文書化されていない新常態に溶け込むことなく終了したことを確認する。

この層状のアプローチは、幅広い保証を公表するよりも情報量が多く、生のインシデント資料を公開するよりも安全である。オペレーターにサービスリスクを理解するために必要なものを与え、メンバーに制度上の影響を評価するために必要なものを与え、将来のレビュアーに監査証跡を提供する。

時間制限は憲法的統制である

すべての緊急措置は期限切れになるべきだ。これは事務的な整理ではない。期限切れは、救済のために作られた例外的権限が、新たな決定なしに通常のガバナンスになるのを防ぐ。

初期期間は早期レビューを強制するのに十分短く、当面のサービスを安定させるのに十分長くすべきだ。正確な期間はインシデントクラスによって異なるかもしれない。理事会の権限が無傷の自然災害は、単純な運用延長を正当化しうる。企業支配を巡る紛争は、すべての支援行為が紛争に影響しうるため、より頻繁なレビューを必要とする。長期化する地域紛争は、繰り返しの支援だけでなく、より強力な中立保管措置も必要とするかもしれない。

更新は4つの所見を必要とすべきだ。運用リスクが依然として重大であること。支援されているサービスが依然として必要であること。侵襲性の低いまたは通常の取り決めがまだ十分でないこと。継続が別個のガバナンスまたは地位の問題を不適切に決定しないこと。各所見は現在の証拠に基づくべきだ。

支援は時間とともに縮小すべきだ。特権的アイデンティティサポートがレジストリに戻る一方で、緊急ホスティングは継続するかもしれない。通常の課金が再開される一方で、公開ディレクトリサービスは支援されたままかもしれない。フォレンジックチームはメンバーサポート機能が回復した後に作業を終了するかもしれない。支援を不可分のパッケージとして扱うことは不必要な持続を助長する。

累積的閾値も設けるべきだ。支援が定義された期間または価値を超えたら、各短期更新が正当化できても、より深い制度的レビューが必須となる。長期の依存は、組織が運用能力、財務安定性、または合法的支配を欠いていることを示すかもしれない。結論は除去ではなくリハビリテーションかもしれないが、問題は一連の一時的インシデントとして枠付けられたままでいることはできない。

返還は客観的テストを必要とする。システムが利用可能であること。認可されたスタッフが配置されていること。資格情報が調整されていること。データ完全性が検証されていること。サービスバックログが管理可能であること。返還される機能にとって、運用する法的権限が十分に明確であること。セキュリティリスクが許容範囲内であること。リソース保有者が通知を受けること。ログと記録が管理された保管の下で移転されること。

返還は政治的調和を必要としない。組織はしばしば紛争が続く中でサービスを再開する。テストは、通常の認可された運用が安全に機能できるかどうかであり、すべてのメンバーが理事会を受け入れるかどうかではない。逆に、技術的条件が偽りのままであるならば、正常性回復の公的主張が支援を終了させるべきではない。独立した検証が双方を保護する。

期限切れはまた、支援する RIR も拘束する。システムを構築し、スタッフを雇用し、地域的知識を得た同業者は、関与の継続を好むかもしれない。その能力は権利を生み出さない。恒久的なサービスや地域における役割は、別個の、競争的で、地域的に正当なプロセスを経るべきだ。

リソース保有者は票になってはならない

制度的危機の間、各陣営がコミュニティを代表すると主張することがある。リソース保有者は利用者としてではなく証拠として扱われうる。継続的なアクセスは現職への支持として描かれるかもしれない。支援要請は挑戦者への支持として描かれるかもしれない。沈黙は同意として数えられるかもしれない。これは許容できない。

相互支援は非帰属ルールを含むべきだ。緊急サービスを利用すること、通常料金を支払うこと、アカウントを認証すること、移転要求を提出すること、一時的オペレーターと通信することは、いかなる理事会、候補者、地位の結果への政治的支持として扱われてはならない。サービスは権利または契約上の期待であり、国民投票ではない。

保有者は安定した通知を必要とする。どのサービスが利用可能か、どれが遅延しているか、認証方法、既存の要求がどのように扱われるか、エラーの報告方法、レビューをどこで求めるかを知るべきだ。サービスが凍結されている場合、その理由と予想されるレビューポイントが示されるべきだ。ルーティングと商取引が答えに依存する場合、一般的な保証では不十分である。

争議中の記録は特別な扱いを必要とする。一時的オペレーターは、明確に認可され検証された修正が利用可能でない限り、現行の権威ある状態を維持すべきだ。紛争を記録し、証拠を保護し、不可逆的な変更を避けるべきだ。その保守主義はどちらの派閥による乗っ取りからも保護する。それは正当な修正の無限の否定になってはならず、中立のレビュー経路が必要である。

料金は可能な限り安定し、囲い込まれるべきだ。緊急オペレーターは戦略的な価格変更を課したり、支払いを忠誠テストとして使ったりすべきではない。必要不可欠な費用回収は透明に承認できる。延滞や争議中の料金は、機会主義的に強制されたり免除されたりすることなく、以前の状態を保持すべきだ。

不服申立権は危機を生き延びなければならない。記録や意思決定者が不在の場合、既存の期限は延長が必要かもしれない。保有者は、レジストリがそれを受け取れなかったという理由で請求を失うべきではない。新しい緊急決定は、特に認証、移転保存、取消、RPKI アクションについて、迅速な異議申立経路を持つべきだ。

プライバシー保護はデータに追随しなければならない。同業者支援は、影響を受けたレジストリの義務や、保有者が情報を提供した際の期待を消し去らない。アクセスは役割ベースで、ログに記録され、支援される機能に限定されるべきだ。救済のためにコピーされたデータは、合法的な保存を条件として、不要になった時点で返却または安全に処分されるべきだ。

これらの保護は、相互支援をその受益者と整合させる。支援が制度的免責でないことの最も明確な証明は、利用者が中立性、証拠、苦情を申し立てる権利を放棄することなく継続性を受け取ることである。

困難なケースが境界を明らかにする

自然災害が運用サイトを破壊するが、合法的なガバナンスは無傷のままである。境界は比較的単純だ。同業者は理事会の権限の下でサービスをホストし、スタッフを貸与し、バックアップを復元できる。独立したレビューは軽微でよいが、それでも範囲、データ保管、終了を検証すべきだ。

サイバー攻撃が特権資格情報を侵害し、どの指示が本物か誰もわからない。支援はより保守的でなければならない。理事会は正当かもしれないが、自らを認証できない。レビュアーは中立的なアイデンティティ回復手続きを支援し、高リスクの変更を防ぎ、生き残った資格情報の所持を権限の証明として扱うことを避けるべきだ。

レジストリが長年の不十分な監督の後、財政難に直面する。エンジニアやインフラに支払うことは利用者を保護しうる。同じ指導部への制限のない現金は説明責任を先送りするかもしれない。支援は囲い込まれ、マイルストーンは公開され、別個のガバナンス評価が開始されるべきだ。同業者グループはサービス救済を理事会の免責を条件とすべきでなく、財務的梃子を使って後継者を選ぶべきでもない。

裁判所命令が口座を制限したり、企業支配に異議を唱えたりする。RIR は関連する法域での有能な法的分析を得て、グローバルなレジストリの一貫性を維持すべきだ。裁判所を、その命令が機関を不便にするというだけの理由で脅威と表現すべきではない。独自性を保護しつつ命令に従うことができる狭い技術的調整が可能なら、検討されるべきだ。命令が矛盾する記録を生み出すなら、特定の矛盾が適切な法的手段を通じて説明されるべきだ。

政治的紛争がスタッフの施設へのアクセスを妨げる。現物支援は、個人の安全とデータ転送の安全策を強化して、より長期化する必要があるかもしれない。政府が関与しているという事実は、レジストリの指導部を自動的に正当化したり無効にしたりしない。中立のサービス継続性と制度的判断は別個のままである。

理事会が重要なサービスが劣化しているにもかかわらず支援を要請することを拒否する。理事会ゲートウェイルールは機能しない。上級運用スタッフ、監査人、ICANN、または定義されたリソース保有者グループからの検証された要請が、独立した緊急評価をトリガーできるべきだ。理事会の意向に反する発動は、より高い証拠的閾値と狭い初期範囲を必要とする。

ライバルグループがサービスが安定している間に支援を要求する。相互支援は外部介入への経路になるべきではない。レビュアーは発動を拒否し、証拠を保存し、ガバナンスに関する主張を適切なフォーラムに委ねることができる。苦情は停止ではない。

支援する RIR があまりにうまく機能したため、一部のメンバーが恒久的に残ることを望む。緊急時の能力は関連する証拠だが、委任ではない。恒久的承認や地域再編には、代替案の公正な検討、地域の支持、紛争統制を伴う別個のプロセスが必要だ。

これらのケースは、「安定性」という一つの幅広い概念が不十分である理由を示している。安定性はアップタイム、記録の完全性、合法的権限、財務的耐久性、メンバーの正当性、地域の平和を意味しうる。一つを改善する措置が他を損なうことがある。独立したレビューは、どの安定性が保護されているのかを明示する決定を強制する。

同業者は不可欠な証人であり、中立な裁判官ではない

支援する RIR は、運用上の主張がもっともらしいかどうかに関する最良の証拠をしばしば保有する。彼らは、機能しているレジストリが同業者と何を交換しなければならないかを知っている。表面的な停止と不可欠な能力の喪失を区別できる。移転調整、逆引き DNS、公開登録、経路セキュリティサービスが実際にどのように振る舞うかを理解している。真剣なレビューはその専門知識を利用すべきだ。

専門知識と中立性は異なる特性だ。同業者は、その診断に付随する法的解釈に制度的利害を持ちながら、障害のあるサービスを正確に診断できるかもしれない。慣れ親しんだ調整の取決めを維持する救済策を好むかもしれない。ある RIR への批判が他への期待を生むことを恐れるかもしれない。共有ベンダー、共同プログラム、スタッフの関係、以前の公的立場を持つかもしれない。これらのいずれも証拠を失格にはしないが、過失、範囲、制度的結果に関する結論に割り当てられる重みを変える。

したがって、レビュー設計は同業者の提出を専門家証言として扱うべきだ。各支援 RIR は、観察された事実、技術的推論、推奨措置、既知の不確実性、制度的利害を特定すべきだ。5つすべてが一致する場合、その一致は関連する。それは自己証明ではない。レビュアーは、同じ運用結果がより狭い措置や異なる一時的オペレーターを通じて達成できたかどうかを問えるべきだ。

証拠は、セキュリティが許せば再現可能であるべきだ。登録の完全性がリスクにあるという主張は、調整の失敗、利用不能なシステム、欠落したログ、現在のデータを認証できないことによって裏付けられるかもしれない。RPKI の継続性が介入を必要とするという主張は、公開状況、証明書のタイムライン、管理されたテストによって裏付けられるかもしれない。現在のスタッフがサービスを再開できないという主張は、アクセス、人員配置、権限記録によって裏付けられるかもしれない。「同業者が懸念している」は代用にならない。

影響を受けた RIR は回答できるべきだ。同業者がローカルシステムを誤解したか、依存関係を誇張したか、適用法と矛盾する措置を提案したことを示せるかもしれない。運用スタッフが理事会に反対するかもしれない。合法当局が、他の法域からは見えない制約を課すかもしれない。レビュアーは、RIR のコンセンサスを事実上の推定に変換するのではなく、これらの相違を迅速に検証するプロセスを必要とする。

可能性のある一時的プロバイダーも中立的に評価されるべきだ。最寄りの RIR は成熟したシステムと確立された信頼を持ち、最良の即時の選択肢となるかもしれない。商業請負業者は有用なインフラを持つが公益の権限に欠けるかもしれない。地域技術コンソーシアムはローカル知識を持つが不十分なセキュリティ統制かもしれない。独立した保管者は利用者にサービスを提供できずにデータを保存できるかもしれない。選定記録は能力、紛争、速度、コスト、可逆性を説明すべきだ。

同業者の証拠はコンプライアンスに関する場合に特に機密性が高くなる。RIR は、他の RIR が共通基準を満たせないと報告するかもしれない。その報告は基準、観察された逸脱、運用上の影響、試みられた是正を特定すべきだ。失敗したテストから、承認に関する推奨に飛躍してはならない。ただし、統治手続きがその結論を認可し、別個の証拠がそれを裏付ける場合は除く。

同業者を証人として扱うことは、彼らの適切な役割を保護する。彼らは同僚の正当性を決定することを強制されることなく、技術的リスクについて率直に話すことができる。司法的中立性を主張することなく、緊急の支援を提供できる。保存では協力しながら、範囲について意見を異にすることができる。独立したレビュアーは、救済と保護の境界に対する責任を保持しながら、質の高い証拠を得る。

RIR システムが必要とする相互支援協定

改定された協定は、サービス第一の声明から始めるべきだ:相互支援の目的は、定義された混乱の間、リソース保有者とインターネット番号レジストリシステムの完全性を保護することである。支援は、影響を受けた機関のガバナンス、法的立場、承認状況、または指導部の承認を意味しない。

次に、2つの発動経路を作るべきだ。通常経路は影響を受けた理事会からの文書化された要請から始まる。保護経路は、理事会が行動できないか、または行動しない場合に、定義された代替主体からの信頼できる証拠から始まる。両方の経路は最小限の緊急エンベロープを許可し、直ちに独立したレビューをトリガーする。

協定は支援機能のカタログを公表すべきだ。グリーンクラスは推定的に可逆的な保存および可用性措置をカバーする。アンバークラスは重大な権利または権限効果を伴うアクションをカバーし、レビュアーの承認を必要とする。レッドクラスは恒久的地位決定、資産移転、政治的支援、不可逆的なリソース変更を相互支援の権限から除外する。

すべての発動は、インシデントリーダー、レビュアー、予算、データ保護スケジュール、アクションログ、公開通知、期限、返還計画を持つべきだ。影響を受けた理事会、支援する RIR、レビュアーは責任が異なるため、異なる部分に署名すべきだ。いかなる署名も、その述べられた目的を超えて、争議中の制度的事実についての合意を暗示することを許されるべきではない。

更新は現在の運用証拠とレビュアーの承認を必要とすべきだ。理事会は自らへの支援を更新すべきではない。支援する RIR は継続を提案できるが、自らの拡大された役割の唯一の裁判官となるべきではない。累積的閾値の後には、外部コンプライアンス評価が必須となるべきだ。

協定は異論を保護すべきだ。範囲に疑問を呈する RIR は、継続性を放棄したと非難されることなく、理由を示した見解を公表できるべきだ。レビュアーは、影響を受けた機関に対して立場を取ることなく、支援を縮小できるべきだ。リソース保有者はサービスを失うことなく苦情を申し立てられるべきだ。技術スタッフは、誤用を報告するための保護されたチャンネルを持つべきだ。

また、演習を要求すべきだ。5つの RIR は、政治的結論をシミュレートすることなく、安全なデータ転送、アイデンティティ回復、公開ディレクトリ継続性、トランザクションログ、通信、返還をテストできる。演習はレビュー機能からのオブザーバーを含み、非機密の教訓を公表すべきだ。一度もテストされない協定は即興の約束である。

最後に、この取決めは、それに吸収されることなく、より広い承認枠組みに適合すべきだ。ICANN コンプライアンス手続き、NRO 調整、地域会社法、メンバー権利、技術標準は異なる役割を持つ。相互支援はこれらのプロセスに事実を提供すべきであり、それらを置き換えるべきではない。明確な境界はすべての機関をより信頼できるものにする。

精査に耐えうる連帯

RIR は互いに支援することを約束するのが正しい。最初のトラブルの兆候で地域を見捨てるレジストリシステムは、それがサービスを提供するために存在するネットワークを失望させるだろう。共有された専門知識、資金、インフラは、地域の危機がグローバルな運用上の問題になるのを防ぐことができる。

連帯は精査を受け入れるときに耐久性を持つ。影響を受けた RIR は、支援が必要で境界が定められていたことを示す記録を歓迎すべきだ。支援する RIR は、派閥を選んだとの主張からの保護を歓迎すべきだ。ICANN は、継続性が地位を事前決定しなかったという証拠を歓迎すべきだ。リソース保有者は、制度上のファミリーではなく、自分たちのサービスが受益者だったことを見るべきだ。

独立したレビューは、幹部が好むことを時折遅らせたり狭めたりする。それが要点である。それは当面の保存措置を妨げるべきではない。より広範な介入が権限を獲得することを要求すべきだ。速度と説明責任は、それらの時計と任務が事前に設計されているときに共存できる。

透明性は時折不確実性を明らかにする。それは作られた全会一致よりも健全である。通知は、企業権限が争われている間にサービスリスクが検証されたと伝えることができる。データが保存された一方で移転クラスが凍結されたままであると伝えることができる。原因がまだ調査中である間に財政支援が必要であると伝えることができる。正確さが信頼を築く。

時間制限は時折困難な更新を強いる。それも健全である。支援が依然として必要なら、現在の証拠がその理由を示すべきだ。もしそれが通常の運用取決めになっているなら、システムはその変更を明示し、適切な制度的手続きを使うべきだ。一時的権限は沈黙を通じて成熟してはならない。

中心的な規律は簡単に述べられる:サービスを救済し、証拠を保存し、利用者を保護し、判断は別個のフォーラムに委ねよ。実践では、インターフェース、人、資金、紛争ルール、ログ、公開通知、リハーサルされた返還を必要とする。依存が大きいため、作業は大きい。

相互支援と相互免責は最初の1時間は同一に見えることがある。どちらもサービスを復旧し、同業者の支援を動員するかもしれない。それらは時間とともに分岐する。相互支援は縮小し、自らを説明し、独立した調査に服し、終了する。相互免責は拡大し、連帯を呼び起こし、同業者のコンセンサスを検証として扱い、期限切れを掴みどころのないものにする。

RIR システムはより少ない協力を必要としているのではない。外部の縁を持つ協力を必要としている:証拠が検証され、紛争が名指しされ、支援が免責から分離されうる場である。その縁は技術的連帯をより弱くするのではなく、より強くする。それは、5つのレジストリが説明責任から互いを保護することを約束することなく、互いの不可欠なサービスを保護できることを証明するだろう。