要約

  • NRO の公開された継続性アーキテクチャは、完全な AFRINIC 引き継ぎ計画ではありません。相互支援のコミットメント、安定化基金、ICP-2 評価手順、技術的期待、そしてまだ採択されていないガバナンス文書案の集まりです。
  • バックアップ、エスクロー、ピアによる人員提供、緊急資金は必要なセーフガードです。これらは選択肢を維持し、停止リスクを低減します。しかし、それらは自動的にリソースレコードの変更、証明書の失効、契約の引き継ぎ、料金の徴収、または争われた権利の決定を行う権限を付与するものではありません。
  • 2024年の ICP-2 手順により、ICANN と他のレジストリは、RIR が復旧できない場合に緊急サービスプロバイダを特定できるようになりましたが、ICANN の批准記録は、正式な認識取消しと移行手順はまだ対象外であると明確に述べています。
  • 「事業者の同意」は、すべてのリソース保有者が狭義に必要なフェイルオーバーを拒否できることを意味するべきではありません。それは、権限、トリガー、データ使用、一時的な権限、通知、修正、異議申立て、ポータビリティ、および復旧条件が、危機前に有効な手段を通じて承認されているか、危機中に適切な法的手続きによって提供されていることを意味するべきです。
  • 次のガバナンス文書は、迅速な技術的起動を維持しつつ、権限の拡大を防ぐべきです。読み取り専用の継続性と裁量的なレジストリ権限を分離し、トリガーと範囲を公開し、機密データを保護し、事業者レベルの監査証跡を維持し、AFRINIC または法的に認められた後継者への期限付きの復帰経路を要求します。

緊急時対応「計画」は実際には部分的な手段の積み重ねである

公開の議論では、NRO の緊急時対応計画は、5つの地域インターネットレジストリが AFRINIC が機能しなくなった場合の対応を定めた完全な文書を採択したかのように言及されることがよくあります。公開記録はもっと断片的です。NRO の覚書には集団的責任の割り当てがあります。共同 RIR 安定化基金は財政的および現物支援のためのものです。ICANN の2024年手続きは、継続的な ICP-2 準拠を評価するためのものです。記録、バックアップ、機密性に関する期待があります。また、2025年のガバナンス文書案は緊急事業者とより明確な移行ルールを提案していますが、2026年現在も開発中です。

各要素は問題の一部を解決します。基金は復旧の費用を賄うことができます。ピアレジストリは経験豊富なスタッフと技術的能力を提供できます。バックアップは記録を保存できます。評価は RIR が準拠できないことを確定できます。一時的な事業者は重要な機能を利用可能に保つことができます。しかし、これらの要素のどれも単独では、起動によって生じるすべての権限の問題に答えられません。

誰が AFRINIC が継続できないと判断するのか?その判断は技術的、企業的、司法的、または認識に基づくものか?代替事業者はどのサービスを実行できるのか?新しい割り当てを行ったり、組織の連絡先を変更したり、リソース公開鍵基盤の証明書を失効させたり、逆 DNS 委任を変更したり、顧客に請求したり、関係を終了したりできるのか?どのデータをコピーでき、その目的は何か?事業者はどのようにエラーに異議を唱えるのか?サービスはいつ、どのように復帰するのか?

この積み重ねを計画と呼ぶことで、それらのギャップが隠れる可能性があります。より良いアプローチは、各機能、その手段、およびその意思決定者を特定することです。継続性エンジニアリングは必要です。権限エンジニアリングも同様に必要です。なぜなら、技術的に能力のある代替事業者でも、争われた決定を行う権限を欠く可能性があるからです。

バックアップは賢明である。番号管理は障害後に即興で行うことができないからだ

AFRINIC の記録は、組織とインターネット番号リソース、連絡先、経路認可資料、サービス履歴を結び付けています。突然のアクセス喪失、スタッフ不足、またはインフラ障害は、正当な更新を妨げ、リソース保有者のために誰が行動できるかについての信頼を弱める可能性があります。したがって、地域レジストリシステムが複製データ、テストされた復旧手順、緊急資金、ピア支援を維持することは完全に合理的です。

2005年の AFRINIC に対する IANA 認識レポートは、すでに技術的堅牢性と災害復旧を認識の考慮事項として扱っていました。それはバックアップの取り決めと、既存の地域レジストリからの既存のサービス関係の計画された移行を記録していました。継続性は最近の訴訟に対応して考案されたのではなく、制度の設計の一部でした。

その歴史からの教訓は、移転が禁止されているということではありません。移行はファイルのコピー以上のものであるということです。当初の移行には、認識された組織、地域への働きかけ、影響を受ける当事者とのコミュニケーション、既存のサービスプロバイダから AFRINIC への合意された変更が含まれていました。それは技術的な準備と制度的な承認を組み合わせたものでした。

今日、プレッシャーの下で起動できないバックアップは限られた価値しかありません。しかし、起動はプレッシャーが到着する前に設計されるべきです。承認は、有効なサービス契約、会員契約、認識されたガバナンス基準、または裁判所監督の取り決めに書き込むことができます。避けるべきは、準備が全くないか、権限が支配を掌握した後にのみ定義される準備された代替事業者という、2つの悪い極端の間での選択です。

支援と継承は異なる法的イベントである

相互扶助は、影響を受けるレジストリのアイデンティティと権限を維持することができます。ピアはエンジニアを貸し出し、給与を資金調達し、セカンダリシステムをホストし、または管財人に助言することができます。その間、AFRINIC はサービスプロバイダおよび意思決定者であり続けます。ピアは AFRINIC の合法的な指示または別の定義された権限の下で AFRINIC を支援します。

継承は異なります。後継者または一時的な緊急プロバイダは、ユーザーを認証し、権利を解釈し、権威ある記録を変更し、資格情報を発行または失効させ、契約を締結し、支払いを収集し、紛争を解決する機関になる可能性があります。たとえ移行が一時的であっても、代替事業者は AFRINIC 自身の権限を行使するのを助けるのではなく、事業者に対して権力を行使します。

この区別はテストとして表現できます。AFRINIC が決定に対して責任を負い、ピアが能力を提供する場合、その取り決めは支援です。ピアが自らの名前でまたは新しい権限の下で決定する場合、その取り決めは代替です。技術的なインターフェースはユーザーには同一に見えるかもしれませんが、法的関係は異なります。

これは重要です。なぜなら、多くの継続性文書は支援に最も強いからです。それらは資金、人員配置、調整を指定します。継承については薄いです。契約移転、データ管理者の地位、準拠法、異議申立て、責任、復帰についてです。緊急時対応アーキテクチャは、支援がどこで終わり、代替権限がどこで始まるかを明確に述べるべきです。

安定化基金は復旧ツールであり、移転憲章ではない

NRO の共同 RIR 安定化基金は、真剣で有用なコミットメントです。参加レジストリは、RIR の安定性回復を支援するために財政的および現物支援を約束します。支援には運用スタッフが含まれ、ルールは具体的な計画、予算編成、報告、および NRO 執行評議会による承認を期待しています。

基金の通常のトリガーは示唆的です。影響を受けるレジストリの運営委員会からの正式な要請が期待され、その理由と求められる支援が説明されます。影響を受けるレジストリの運営機関が復旧の方向性を決定することが期待されています。その構造は自律性を尊重します。ピアは影響を受ける RIR が要請するために支援します。

AFRINIC の危機はエッジケースを露呈しました。支援を正当化する理事会が存在しないか、定足数を欠いているか、それ自体が争われている場合はどうなるのでしょうか?管財人は支援を要請する地元の権限を持つかもしれませんが、公開基金のルールは、その権限がすべてのレジストリ機能にどのようにマッピングされるかを完全には説明していません。他のレジストリは全会一致で資金を承認するかもしれませんが、全会一致の支援意欲は、契約と記録が関与する組織からの承認と同じではありません。

したがって、基金は権限よりも能力を解決します。それは基金の存在への批判ではありません。それは基金を補完する理由です。現代の緊急時対応手段は、理事会が利用できない場合の代替要請者を特定し、その権限がどのように検証されるかを指定し、支援支出と代替サービスプロバイダの起動を区別するべきです。

2022年の公開声明は引き継ぎを発表せずに支援を約束した

2022年7月、地域レジストリはAFRINIC コミュニティへのメッセージを公開しました。懸念を表明し、支援を申し出、地域レジストリの活動とポリシーは地域コミュニティの手にあることを強調しました。そのメッセージは、事実上、AFRINIC がアフリカの RIR であり続けると述べていました。

その声明は制度的立場であり、拘束力のある判断ではありません。それでも、後の緊急時対応措置を解釈するための有用なベンチマークを提供します。支援は、地域制度を維持するものとして公にフレーム化され、置き換えるものではありませんでした。その後の緊急移行は、姿勢を変えたイベント、変更を許可する手段、および地域制度がサービスを再開する条件を特定するべきです。

同じ月に、NRO はモーリシャス政府に AFRINIC の状況と継続性の重要性について書簡を送りました。その advocacy はピアの懸念を示しましたが、政府への書簡はそれ自体で AFRINIC の義務を別のレジストリに割り当てるものではありませんでした。地元法の下で行動できる権限からの支援を求めました。

したがって、公開のベースラインには健全な抑制が含まれていました。ピアは準備、支援、 advocacy を行うことができ、AFRINIC とそのコミュニティが明確な制度的立場を保持することを認識していました。信頼できる緊急時対応設計は、迅速な行動が必要な場合でもその抑制を維持するべきです。

NRO 覚書は調整を許可するが、黙示の代理権を拒否する

NRO 覚書は、地域レジストリ間の憲法上の協定です。これにより、協定の下で委任された事項に関する集団的な運用および外部活動が可能になります。重要なコミットメントは、参加レジストリ間の書面または全会一致の合意に依存します。技術的タスクは割り当てることができ、執行評議会は特に委任された主題についてレジストリを代表することができます。

制限は付与と同様に重要です。覚書は、この取り決めが署名者間のパートナーシップ、代理店、協会、またはフランチャイズを創設しないと述べています。また、署名者の事前の書面による同意なしに利害、権利、義務の移転または譲渡を制限します。

これらの条項は、あるレジストリが自動的に別のレジストリのために話したり、後を継いだりするという軽率な推論を防ぎます。NRO は共通の活動を調整できます。執行評議会は合意されたルールの下で集団的リソースをコミットできます。しかし、覚書は AFRINIC の顧客関係に対する普遍的な委任状ではありません。

AFRINIC の2005年の NRO 取り決めへの参加は、集団構造への参加を確認しています。個々のリソース保有者が NRO または他の4つのレジストリに契約上の権利を譲渡したとは特定していません。また、管財人中にピアがすべての AFRINIC 機能を行使できると指定していません。

したがって、フェイルオーバーの権限は、より具体的なものから来なければなりません。関連する取り決めにおける事前の同意、AFRINIC からの承認された要請、合法的な管財人または裁判所命令、有効な認識移行ルール、またはそれらの組み合わせです。集団的な技術的準備は、その欠けている手段ではありません。

ASO 関係は事業者の同意のギャップを埋めない

2019年の ASO 覚書は、NRO を地域レジストリが ICANN 内でアドレス支援組織の役割を実行するための手段としています。これにより、グローバルポリシーの責任、認識勧告、任命、調整が確立されます。

この関係は、AFRINIC の継続的な認識が疑問視される場合に重要です。また、残りのレジストリが ICANN に助言したり評価を要請したりする場合にも重要です。しかし、それはアフリカのネットワーク事業者との直接のサービス契約として書かれていません。移管されたアカウントにどの法律が適用されるか、誤った失効について誰が責任を負うか、またはフェイルオーバー後に争われた割り当て要求にどのように異議を申し立てるかを事業者に伝えません。

したがって、ASO 取り決めは、誰がグローバルな認識決定に参加するかに答えるのに役立ちます。下流のサービス関係を誰が引き継ぐことができるかには完全には答えません。これは繰り返し発生する設計問題です。システムレベルの機関は、認識されたノードが失敗していると決定できますが、そのノードの顧客を移動させる法的メカニズムは十分に指定されていません。

解決策は、システムレベルの権限を否定することではありません。それは、事業者レベルの権利に接続することです。認識または緊急決定は、事業者が検査できる事前に合意されたサービス継続性プロトコルを起動するべきです。そのプロトコルは、代替事業者を指名し、その権限を定義し、異議申立てと復帰の権利を保持するべきです。その橋渡しがなければ、有効なグローバル決定でも不確かなローカル関係を生み出す可能性があります。

IANA の役割は、技術的階層が契約上の継承ではないことを示している

IANA 番号サービスページは、割り当て階層を説明しています。IANA は未割り当てのインターネット番号リソースのプールを地域レジストリに割り当てます。レジストリはその後、地域ポリシーの下でリソースを配布および管理します。IANA は通常、アフリカの事業者のアカウントを管理しません。

この階層は継続性にとって重要です。AFRINIC が番号リソースを受信または管理できない場合、ICANN の IANA 機能とピアレジストリは、グローバルレジストリがどのように一貫性を保つかを知らなければなりません。IANA はトップレベルの一意性を維持し、認識されたまたは緊急のプロバイダと調整できます。

しかし、階層は契約上の当事者関係と等しくありません。事業者の日常的な権利、料金、連絡先、リソース履歴は、AFRINIC のポリシー、会員構造、サービス条件を通じて発生します。IANA がトップレベルのプールを調整する能力は、それらの関係を自動的に別のレジストリに移転しません。

IANA 情報小冊子も、IANA をポリシーを実施するものであり、作成するものではないと説明しています。地域ポリシーと地域サービスは別個の層のままです。トップレベルのレジストリを正しく保つ緊急時対応は、争われた地域決定を誰が行うことができるかという問題を未解決のままにする可能性があります。

したがって、アーキテクチャは最小限のグローバル機能と完全な地域機能を分離するべきです。一意性と読み取りアクセスを維持することは即時行動を必要とするかもしれません。権利、契約、またはポリシーベースの結果を変更することは、より強力な権限とより多くの手続きを必要とします。

有用なサービスマップは5つの異なる層から始まる

「レジストリサービス」は緊急時対応設計には広すぎる用語です。少なくとも5つの層を区別するべきです。

第一は保存です。公開および保護された記録の完全で不変かつテストされたコピーを維持することです。これは障害前に発生し、厳格な保管、暗号化、監査制御を含むべきです。

第二は可用性です。公開ディレクトリ情報、ルーティングセキュリティリポジトリ、および必須のルックアップ機能を到達可能に保つことです。一部の可用性対策は自動化され、読み取り専用にできます。

第三は認証されたメンテナンスです。既知のリソース保有者が連絡先、ルートオブジェクト、証明書、または逆 DNS 情報を更新できるようにすることです。これには信頼性の高い本人確認と権限の記録が必要です。

第四は裁量的な管理です。新しい割り当ての承認、ポリシーの解釈、競合する請求の解決、リソースの回収、または不遵守の制裁です。これらの行為は実質的な権利に影響を与え、しばしば判断を必要とします。

第五は商業的および企業的関係です。請求書発行、預金または料金の処理、契約条件の変更、会員の承認、投票の処理、法的サービスの受け入れです。

緊急時対応はこれらの層を段階的に起動できます。保存は継続的であるべきです。読み取り専用の可用性は低い起動しきい値を持つことができます。認証されたメンテナンスは、AFRINIC による検証済みの不能とより強力な権限を必要とするかもしれません。裁量的および商業的行為は、最も明確な権限、明示的な手続き、およびレビューを必要とするべきです。5つすべてを1つの技術的スイッチとして扱うと、バックアップの保管が検証されていないガバナンス権限になることが容易になります。

公開記録、機密記録、決定権限は交換可能ではない

一部の番号リソース情報は公開されることを意図されています。他の資料には、個人の連絡先、アカウント認証情報、契約、請求書、身分証明書、セキュリティデータ、内部決定履歴が含まれます。公開記録を合法的に保持するミラーは、機密記録を新しい目的で使用する許可を必ずしも持っているわけではありません。

2024年の ICP-2 評価手順には、注目すべき機密性ルールが含まれています。登録情報は登録目的で使用され、要求に応じて別の RIR または IANA に送信される可能性があります。他の送信は一般的にリソース保有者の書面による同意を必要とします。このテキストは、レジストリシステムに制御されたピア保管の重要な根拠を与えます。また、データを目的に結び付けます。

そのルールは、批評家が認めるよりも強力にバックアップと継続性をサポートします。保護された登録データが、述べられたレジストリ目的のために承認されたピアに安全にミラーリングされるたびに、個別の許可は必ずしも必要ではありません。しかし、そのルールはすべての起動の質問に答えるわけではありません。データを所有することは、契約プロバイダになることと同じではありません。既存の登録を維持するためにそれを使用することは、紛争を裁定するため、新しいサービスを市場に出すため、料金を変更するため、または異なる法的体制の下で公開するためにそれを使用することと同じではありません。

したがって、緊急時対応手段は役割を定義するべきです。保管者、処理者、一時的サービス事業者、意思決定者、後継者。また、許可される目的と削除または返却の義務を定義するべきです。保管への同意は、将来の裁量の行使すべてへの同意に拡張されるべきではありません。

2024年の手順は評価を許可し、緊急サービスを指し示す

2024年の手順は、ICANN と他のレジストリに、古い ICP-2 テキストよりも明確な役割を与えます。残りの RIR は全会一致でレビューを要請できます。ICANN は、一意の識別子の安全で安定した調整が危険にさらされていると合理的に信じる場合、限定的なレビューを開始できます。手順は、情報収集、調査結果案、事実修正、および重大な場合には迅速な処理を提供します。

準拠が回復できない場合、手順は ICANN が残りの RIR と透明性をもって協力し、緊急サービスプロバイダを特定すると述べています。また、十分なバックアップまたはエスクローを奨励しています。これは認識システムレベルでの実際の緊急時対応権限です。エンジニア間の非公式な約束だけではありません。

その限界は依然として重要です。プロバイダの特定は、それ自体ではそのプロバイダが実行できるすべての機能を指定しません。テキストは、完全な事業者通知制度、契約移転メカニズム、責任配分、または異議申立て経路を定めていません。一時的なサービスがいつ恒久的な継承になるかを完全に定義していません。

手順はまた、遅延が安全でない場合の緊急行動を許可しますが、レビューが識別子リスクに接続されたままであることを要求します。その接続は起動の範囲を決定するべきです。リスクが記録の喪失であれば、記録を保存します。リスクが認証された更新の利用不可であれば、そのサービスを起動します。裁量的および商業的権限の完全な移転は、追加の正当化を必要とします。

ICANN の批准記録は移行が未完了であることを明確に示した

ICANN 理事会の2024年12月の批准通知は、実施手順が新しい実質的な義務を追加しないと述べました。また、正式な認識取消しと移行手順は採択されたテキストの範囲外であり、さらなるポリシー開発が必要であると述べました。

その認識は権限ギャップの最も明確な証拠です。システムは RIR をレビューする方法と、復旧が失敗した場合に緊急サービスを特定する方向性を持っていましたが、認識取消しと移行のための完全に採択されたコードはまだ持っていませんでした。

ギャップは緊急支援が非合法であることを意味しません。既存の契約、裁判所命令、管財人指示、またはその他の合法的な取り決めが特定の行為を許可する場合があります。必要性はまた、一部の法体系では狭義に保護的な措置を正当化する場合があります。しかし、公開の ICP-2 手順は、その批准記録が後のポリシーに委ねられたと述べている質問を解決するものとして説明されるべきではありません。

これが事業者の同意が重要である理由です。グローバルな手段が契約とサービスの移行の前で停止するとき、影響を受ける関係は消えません。欠けている権限は、別の有効な源で見つけられるか、次のガバナンス文書に組み込まれなければなりません。

ICANN の AFRINIC への書簡はバックアップに正しく焦点を当てたが、起動権限にはまだ至っていない

ICANN の2025年3月7日の書簡は、AFRINIC 管財人に適切な記録、保護された顧客情報、ICP-2 整合性、定期的なバックアップについて質問しました。7月3日の書簡は、記録管理、バックアップ、エスクローに戻り、コンプライアンスレビューの可能性を保持しました。

これらの質問は適切でした。緊急プロバイダが運用を開始する前に、システムは完全で最新で信頼できる記録が存在することを知らなければなりません。エスクローは想定されるのではなくテストされるべきです。アクセスは一人の争われた役職者や一つの故障サイトに依存すべきではありません。

公開書簡は、同様に詳細な起動協定を提供しませんでした。誰がエスクローを解放できるのか?どのイベントが失敗を構成するのか?代替事業者は変更を行うことができるのか、それともコピーを提供するだけか?認証情報と署名鍵はどうなるのか?どのプライバシー条件が適用されるのか?管財人、会員、事業者はどのように通知されるのか?誤った記録を誰が修正するのか?

これらの省略は、非公開の取り決めを反映している可能性があり、公には見えません。したがって、それらは準備が存在しなかった証拠ではなく、未回答の質問として扱われるべきです。しかし、公開の正当性は、起動が第三者の権利に影響を与える場合、民間の技術的信頼以上のものを必要とします。トリガー、範囲、救済のアーキテクチャは、機密の実装詳細が保護されたままでも公開可能であるべきです。

2025年のガバナンス文書案はトリガーアーキテクチャを改善する

NRO のRIR ガバナンス文書案バージョン2は、2025年8月に公開され、いくつかのギャップを埋めようとしています。それには、緊急事業者と関連記録、手順、システムを共有するための継続性準備が含まれており、エスクローとデータ保護条件の対象となります。他のレジストリと ICANN が、RIR がサービスを提供できない場合に全会一致で一時的な緊急事業者を承認できると提案しています。

草案はまた、合理的に可能な場合、影響を受ける RIR と地域コミュニティとの協議、根拠と範囲の公開、コミュニティの関与、影響を受ける RIR がサービスを再開する権利、および90日の緊急期間を提案しています。また、事後報告書、評価、フィードバックを求めています。これらは未定義のフェイルオーバーに比べて大幅な改善です。

しかし、2026年7月13日現在、公開された NRO プロセススケジュールは、2026年第3四半期にさらなる更新を記述し、第4四半期に採択を計画しています。したがって、草案は提案として分析されるべきであり、すでに拘束力があるとして引用されるべきではありません。

提案としても、それは継続性にルールが必要であるという制度的認識を示しています。それは以前の公開フレームワークに欠けていた起動、開示、時間制限の概念を提供します。残りのタスクは、それらの概念を事業者の権利とサービス代替の法的メカニズムにより直接的に接続することです。

草案の90日間制限は価値があるが十分ではない

短い緊急期間は、一時的な措置が慣性で恒久的になるリスクを減らします。90日間は、影響を受けるレジストリを回復するか、権限を透明に更新するか、正式な移行を開始するための圧力を生み出します。事後報告書は、緊急事業者が範囲内にとどまったかどうかを明らかにできます。

時間だけでは権限を定義しません。一時的なプロバイダは初日に取り返しのつかない間違いを犯す可能性があります。証明書を失効させ、移転を拒否し、プライベートデータを開示し、権威ある記録を変更する可能性があります。したがって、ガバナンステキストは時間制限と機能制限を組み合わせるべきです。

初期期間中、緊急プロバイダは記録の保存、既存の公開サービスの維持、低リスクの認証された変更の処理、期限切れの防止を許可されるかもしれません。影響の大きい裁量的行為は、第二の承認、独立したレビュー、または裁判所の検証を必要とする可能性があります。新しい割り当て、非自発的回収、主要な料金変更、および争われた資格情報の失効は、即時の害を防ぐために不可欠でない限り一時停止される可能性があります。

復帰条件も正確さを必要とします。「RIR が再開できる」とは、記録、ログ、鍵、未処理の要求、法的責任がギャップなく返還できることを意味するべきです。緊急プロバイダは、期間中に何が起こったかを説明できる唯一の機関になるべきではありません。

欠如した事業者の同意は1万の個別拒否権の要求ではない

「事業者の同意」というフレーズは非現実的に聞こえるかもしれません。緊急時はすべてのネットワークが新しいフォームに署名するのを待つことはできません。悪意のあるまたは到達不能なリソース保有者が、地域レジストリを保存するために必要な措置を妨害できるべきではありません。

それが要求される同意モデルではありません。成熟したインフラは、事前の憲法上の同意を使用します。事業者は、公開されたサービス条件、会員ルール、認識されたポリシーを通じて、客観的条件が満たされたときに特定の機能がフェイルオーバーできることに同意します。その手段は、代替クラス、許可されるデータ使用、権限、期間、通知、異議申立て権利を特定します。権限のある裁判所または法定管財人は、事前の取り決めが失敗した場合、現地法とレビューの対象となる権限を提供できます。

この意味での同意は、権限アーキテクチャです。それは危機の前に、事業者にそのアカウントと記録に何が起こり得るかを伝えます。代替事業者に何ができないかを伝えます。事業者に、他の全員の継続性を拒否することなくエラーを修正する経路を与えます。

公開記録は、AFRINIC に対するそのような完全な事業者向けの協定をまだ示していません。NRO と ICANN の文書は、集団的および認識レベルの権限を確立しますが、個々のサービス権利への橋渡しは不完全です。それが欠如した同意問題です。

会員承認はリソース保有者の権利の完全な代替ではない

AFRINIC は会員制であり、復元された会員選出理事会は正当性の中心です。しかし、レジストリサービスに運用上依存するすべての当事者が同一の会員権または投票権を持っているわけではありません。企業投票はその憲法内で組織を承認できますが、すべての契約を自動的に書き換えたり、すべてのデータ権利を放棄したりするわけではありません。

区別は逆方向にも機能します。個々のリソース保有者の契約は、企業統治を掌握することを許可するべきではありません。権利は関連する関係に従うべきです。会員は憲法が許可する場所で投票します。リソース保有者はサービスを受け、アカウントとデータ権利を保護します。事業者はレジストリ決定の運用上の結果を負担します。地域コミュニティはポリシーの正当性に貢献します。ICANN と他のレジストリは、その手段内でグローバルな調整を保護します。

したがって、フェイルオーバー協定は、1つの漠然とした「コミュニティ」への訴えではなく、複数の形式の承認を使用するべきです。企業承認、事業者条件、認識手順、裁判所権限は互いに補強できます。それらは交換可能として扱われるべきではありません。

権限ギャップは、ある構成員からの支援が他のすべてに対する行動を承認すると機関が主張するときに危険になります。公開協議は正当性を示すかもしれませんが、契約を移転しません。会員決議は AFRINIC を指示するかもしれませんが、明記されていない条件の下で非会員を拘束しません。グローバル評価は緊急調整を正当化するかもしれませんが、民間の請求紛争を解決しません。

事業者は、ライブネットワークでレジストリのミスを吸収する当事者である

ネットワーク事業者は、顧客契約に署名し、ルーターを設定し、セキュリティシステムを維持し、停止に対して責任を負います。レジストリの決定は、リソース権限を実証し、運用連絡先を更新し、経路認可を作成し、逆 DNS 委任を維持する能力に影響を与える可能性があります。事業者はレジストリガバナンスの単なる観察者ではありません。

これは、事業者がレジストリを所有しているとか、地域ポリシーを無視できるという意味ではありません。それは、継続性設計が実際の損失がどこに着地するかを認識するべきであることを意味します。代替事業者が承認されたアカウント保有者を誤認した場合、結果として生じる遅延や失効はルーティングとカスタマーサービスに影響を与える可能性があります。記録にアクセスできなくなった場合、事業者はレジストリが既に知っているべき権利を証明するコストを負担します。

したがって、事業者向けの権利はオプションの譲歩ではありません。それらはシステム信頼性の一部です。通知、修正、ポータビリティ、異議申立ては、影響を受けるネットワークに最も近い当事者が間違いを特定できるため、技術的エラーを減らします。監査証跡は、何が変更され、誰の権限で変更されたかを確立することを可能にします。

レジストリ間でのみ語られる緊急時対応計画は、技術的に洗練されていても不完全かもしれません。サービスはリソース保有者とネットワークのために存在し、レジストリ自体の制度的な安楽のためではありません。

リソース記録はポータブルであるべきだが、権利が簡単に移譲可能であってはならない

ポータビリティには2つの側面があります。第一は証拠です。事業者は、そのリソース、ステータス、連絡先、提出された要求、関連する決定の検証可能な記録を入手できるべきです。第二は運用です。合法的な代替事業者は、事業者にメールや個人アーカイブから履歴を再構築させることなく、サービスを継続できるべきです。

ポータブルな記録は、失敗している機関への依存を減らします。また、事業者がフェイルオーバー前の状態と後の変更を比較できるため、説明責任も向上します。署名されたスナップショット、変更ログ、明確な来歴は、争われた変更が起動前後に発生したかどうかを確立できます。

ポータビリティは、基礎となる権利の自由な移譲可能性と混同されるべきではありません。リソース記録はポータブルかもしれませんが、割り当ては地域ポリシーと契約の対象のままです。代替事業者は証拠とそれを管理する限定された権限を受け取ります。リソースの所有権や関係を書き換える無制限の裁量を取得するわけではありません。

緊急時対応協定は、最小限のポータブル記録と真正性メカニズムを指定するべきです。また、一時的プロバイダがすべての変更、決定、未処理事項の完全な差分を返却することを要求するべきです。その要件がなければ、復旧は2つの互換性のない履歴を生み出す可能性があります。

RPKI と逆 DNS は権限の問題を運用上緊急にする

一部のレジストリ機能は受動的なディレクトリではありません。リソース公開鍵基盤により、保有者は暗号的に検証可能なオブジェクトを通じて経路発信元を承認できます。逆 DNS 委任は番号空間をドメイン名インフラにリンクします。アカウントと委任の変更は、ネットワークが経路を検証しアドレスを解決する方法に影響を与える可能性があります。

バックアップはリポジトリと署名材料を保存できますが、その材料の使用は別の権限です。誰が証明書を発行、失効、または交換できるのか?保有者が代替事業者の認証に異議を唱えた場合はどうなるのか?緊急鍵を既存の信頼を無効にせずに起動できるのか?誤った行動はどのように逆転され、伝達されるのか?

答えは技術的な儀式と法的権限の両方を必要とします。鍵の保管は分割でき、起動は複数の承認を必要とし、緊急行動は既存の有効性を維持することに限定できます。しかし、ガバナンス手段はそれらの承認と行動の範囲を特定しなければなりません。

逆 DNS とレジストリ更新についても同じです。既存のデータを利用可能に保つことは、争われた変更を受け入れるよりもリスクが低いです。サービスマップは、行動を可逆性と影響で分類し、破壊的または権利を変更する操作にはより高い権限のしきい値を設定するべきです。

これが同意ギャップが抽象的な会社法として却下できない理由です。それは、運用上の信頼を変えるボタンを誰が押せるかを決定します。

契約移転、データ保護、準拠法は明示的な扱いを必要とする

別のレジストリが一時的プロバイダになる場合、いくつかの法的問題が直ちに生じます。事業者の AFRINIC 契約は譲渡、更改、または単に AFRINIC に代わってサービスされるのか?どのエンティティが請求書を発行し支払いを受け取るのか?どのプライバシー通知が適用されるのか?事業者はどこで請求を提起できるのか?サービスの誤りについて誰が責任を負うのか?代替事業者は AFRINIC ポリシーを適用するのか、それとも自らの地域ルールを適用するのか?

これらの質問は技術的デフォルトで答えられるべきではありません。ピアレジストリはシステムを運用する最良の位置にあるかもしれませんが、その自国法と通常のポリシーは異なる可能性があります。緊急サービスは、契約関係を静かに移転したり、別の地域のポリシーをインポートしたりするべきではありません。

好ましいモデルは、黙示の一般代理店なしの代理店のようなサービスです。一時的プロバイダは、狭義に定義された緊急権限の下で行動し、可能な限り AFRINIC の既存のポリシーと条件を適用し、データと資金を分離し、関係を恒久的に取得しません。現地法が譲渡または更改を要求する場合、手段はそれを述べ、通知と保護を提供するべきです。

裁判所任命の管財人が取り決めを承認する場合、命令はこれらの結果を特定するべきです。事前条件がそれを承認する場合、条件はアクセス可能で具体的であるべきです。協力するという一般的な約束は、影響の大きい機能には十分ではありません。

起動トリガーは客観的、階層的、レビュー可能であるべき

健全な緊急時対応は、RIR が「不安定」であるという未定義の宣言に依存すべきではありません。不安定性は、訴訟、財政的压力、スタッフの喪失、記録の侵害、サービス停止、または合法的なガバナンスの欠如を説明できます。それらの条件は異なる対応を正当化します。

トリガーマトリックスは以下を含むことができます:

条件初期措置拡大前の追加権限
1つのサイトまたはシステムの喪失既存のサービス権限の下での技術的フェイルオーバーAFRINIC が管理を維持している場合は不要
一時的なスタッフ不足ピアスタッフの提供と資金提供による支援承認された AFRINIC 要請または合法的な代替要請者
記録整合性のリスク破壊的な変更の凍結、バックアップの確認、ログの保存ICP-2 通知と適切な現地権限
ルーチン更新の認証不能一時的な認証メンテナンス公開された緊急決定と事業者通知
争われた要求に対する合法的な意思決定者なし現状維持と独立した権限の追求裁判所命令、有効な管財人権限、または採択された緊急ルール
地域サービスを提供する持続的な不能期限付き緊急プロバイダ認識決定に加え、移行と影響を受ける当事者の保護

マトリックスは、最初の問題の兆候で最大の権限を付与することなく迅速な行動を可能にします。また、裁判所、事業者、レジストリに、実際に何が起動されたかについての共有語彙を提供します。

通知は結果を説明するべきであり、単に代替事業者を発表するだけではない

事業者通知は、トリガーイベント、意思決定者、手段、発効時間、起動された機能、期待される期間を特定するべきです。既存の認証情報が有効なままか、要求をどこに送信すべきか、どのポリシーが適用されるか、緊急修正がどのように処理されるかを述べるべきです。

通知はまた、何が移転されていないかを述べるべきです。代替事業者が新しい割り当てを行ったり、料金を変更したり、争われた請求を決定したりできない場合、その境界は重要です。裁判所がより広範な権限を承認した場合、命令またはアクセス可能な要約がリンクされるべきです。

本当の緊急時には通知は段階的に行うことができます。起動に伴う短い初期メッセージの後、迅速に詳細な根拠が続くことがあります。セキュリティに敏感な実装詳細は公開される必要はありません。一般は権限と範囲を理解するのに十分な情報を受け取るべきです。

事業者は、潜在的に侵害された AFRINIC アカウントから独立した検証済みの連絡経路を持つべきです。システムはまた、連絡先データが古い事業者に到達するためのメカニズムを必要としますが、応答しないことをすべての変更への同意として扱わないようにします。

透明性は事後的な説明責任だけではありません。それは安全な起動の一部です。なぜなら、それは正規のユーザーが本当の緊急プロバイダをフィッシング、なりすまし、または不正な介入から区別するのに役立つからです。

修正と異議申立ては緊急時中に機能しなければならず、その後ではない

緊急プロバイダは、矛盾する記録と争われた請求に直面します。サービスが AFRINIC に戻るまで待つことは許容できない場合があります。したがって、代替事業者は迅速で証拠に基づき限定された修正プロセスを必要とします。

ルーチンの事務的エラーは、検証された証拠と二重承認を通じて修正できます。影響の大きい紛争は、可能な場合は現状を維持し、独立したレビューア、管財人、または裁判所に移行するべきです。事業者は理由付きの決定と監査参照を受け取るべきです。緊急スタッフは文書化されていない個人的知識や私的圧力に依存すべきではありません。

異議申立てはすべての行動を停止させる必要はありません。明らかに悪意のある資格情報の侵害は、即時の保護的停止を必要とするかもしれません。しかし、影響を受ける保有者は、迅速な通知、応答するのに十分な証拠、迅速なレビューを受けるべきです。可逆的な保護と最終的な剥奪の区別は明確に保たれるべきです。

ガバナンス文書案の事後報告は有用ですが、ライブ救済の代わりにはなりません。3か月後の報告書は、今日必要な経路認可オブジェクトを復元しません。権利はサービスとともに移動しなければなりません。

透明性は起動前、起動中、起動後に機能するべきである

危機の前に、レジストリは権限モデル、サービスマップ、トリガークラス、データ役割、説明責任経路を公開するべきです。認証情報や悪用可能な詳細を公開せずに技術的復旧をテストできます。事業者は本物の緊急通知を検証する方法を知っておくべきです。

起動中、意思決定者は理由、範囲、プロバイダ、期間を公開するべきです。集計されたサービスメトリクス、重要な範囲の変更、未解決のリスクが報告されるべきです。機密インシデントは、顧客データを公開せずに説明できます。

起動後、公開報告書はトリガーと証拠を比較し、使用された機能をリストし、影響の大きい決定を説明し、停止やエラーを開示し、資金を説明し、権限が適切であったかを評価するべきです。影響を受ける事業者は自身の変更履歴を受け取るべきです。

透明性はまた、制度を訓練します。プロバイダが範囲のすべての拡大が記録されることを知っていれば、狭い継続的役割をポリシー策定に変える可能性は低くなります。AFRINIC がその復旧準備が公開で評価されることを知っていれば、ポータブル記録とテストされた復旧能力を維持するインセンティブがあります。

目標はそれ自体のための公表ではありません。それは秘密を公開せずに権限を監査可能にすることです。

スプリットブレインガバナンスはスプリットブレインデータと同様に危険である

エンジニアは、2つのノードが両方とも自分が権威あると信じるスプリットブレインシステムに対して設計します。レジストリ危機はガバナンスの同等物を生み出す可能性があります。AFRINIC の管財人または復元された理事会が権限を主張する一方、一時的プロバイダがすでに要求を処理している可能性があります。異なる裁判所や機関が異なる主体を認識するかもしれません。事業者は両方に矛盾する指示を送るかもしれません。

緊急時対応手段は、単一の権威ある状態とそれを変更する方法を定義するべきです。起動時間、サービス範囲、署名権限は、改ざん防止ログに記録されるべきです。移行中に受信された要求は1つのケース識別子を持つべきです。非権威あるシステムは読み取り専用になるか、要求をアクティブプロバイダにルーティングするべきです。

復旧も同じ規律を必要とします。カットオーバー決定、調整されたデータ、鍵の移行、公開された発効時間があるべきです。未解決の紛争は機関間で消えてはなりません。両当事者は移行された状態を証明し、意見が一致しない場合は独立した経路を持つべきです。

権限の明確さは制度のスプリットブレインを防ぎます。2つの体がそれぞれ自分自身を起動したと主張できる場合、技術的な一貫性だけでは信頼を回復しません。

復帰はコアとなる事業者の権利であり、管理的な後付けではない

一時的プロバイダは退出義務を持って入るべきです。事業者は、AFRINIC が再開したとき、または AFRINIC ができない場合に合法的な恒久的移行を通じて、記録、未処理の要求、認証情報、支払いステータスが無傷で戻るという保証を必要とします。

復帰基準は客観的であるべきです。合法的なガバナンス、検証済みの技術的能力、調整された記録、セキュリティテスト、十分なスタッフ、有効な認識ステータス。AFRINIC は準備ができていると発表するだけで敏感な管理を取り戻すべきではありませんが、緊急プロバイダも復帰が不便だからといってサービスを保持すべきではありません。

草案の90日期間は決定点を提供します。期限が切れる前に、承認された機関は、サービスが戻るか、緊急権限が明記された権限の下で更新されるか、正式な後継者プロセスが開始されるかを公開するべきです。繰り返しの延長はより強力なレビューを必要とします。

事業者は単にプロバイダが変わったという理由だけで確定した権利を再証明する必要はないべきです。緊急期間中の決定を含む完全な記録は関係に従うべきです。それがポータビリティと継続性の実践的な内容です。

肯定的な権限モデルが利用可能である

権限ギャップは、すべての緊急行動を遅らせることなく閉じることができます。レジストリ、ICANN、AFRINIC 会員、リソース保有者は、以下の要素を持つ階層的な協定を確立できます。

第一に、定義された記録の継続的なエスクローとピア保管、テストされた復旧と厳格な目的制限。第二に、特定のサービス障害に結び付けられた客観的な起動クラス。第三に、一時的プロバイダのための全会一致のシステムレベル承認と、下流の行為のための有効な現地または契約上の権限の組み合わせ。第四に、保存、ルーチンメンテナンス、裁量的決定、商業的権限を区別する機能スケジュール。

第五に、事業者通知、検証済みアクセス、修正、異議申立て、ポータブル記録。第六に、データ、資金、ポリシーの分離により、代替事業者がデフォルトで AFRINIC を吸収しないようにする。第七に、短期間、公開された範囲変更、独立したレビュー。第八に、テストされた復帰または合法的後継者プロセス。第九に、事後報告と事業者固有の変更履歴。第十に、明確な責任と準拠法の規定。

このモデルは技術的バックアップを資産として扱い、脅威として扱いません。エンジニアが積極的に準備することを可能にしつつ、機関に起動の正当化を要求します。また、同意が停止中に個別に収集されるのではなく、公開され執行可能な協定を通じて事前に提供できることを認識します。

重要な質問は、誰が決定できるかであり、誰がサーバーを運用できるかではない

他の地域レジストリは、ほぼ間違いなく関連する技術的専門知識を持っています。彼らは番号リソースシステムを理解し、即席の外部者よりも信頼性高くスタッフ、インフラ、継続性支援を提供できます。したがって、NRO の相互扶助姿勢は地域システムの強みです。

しかし、能力は権限ではありません。機関はサービスを運用できても、争われた権利を決定する権限を持たない場合があります。バックアップを合法的に保持しても、データを異なる目的で使用する権利がない場合があります。同僚によって全会一致で選出されても、影響を受ける事業者の契約を取得していない場合があります。

公開手段は正しい方向に進んでいます。安定化基金は復旧を支援します。2024年の手順は評価と緊急プロバイダの概念を生み出します。2025年の草案はトリガー、時間制限、協議、報告を追加します。残っているのは、サービスに依存する人々と企業への直接の橋渡しです。

NRO は緊急時対応計画を放棄する必要はありません。計画の憲法上の部分を完了する必要があります。

権限ギャップは次の起動前に修正可能である

AFRINIC の危機はすでに難しい仮説を提供しています。地域レジストリは、それを要請できる争われていない理事会を欠きながら支援を必要とするかもしれません。システムは、管財人がピアスタッフを承認できるかどうか、エスクローが解放できるかどうか、一時的プロバイダが争われた変更を行えるかどうかを決定するために停止を待つべきではありません。

最優先事項は、次の ICP-2 ガバナンス文書とともに、事業者向けの権限スケジュールを公開することです。スケジュールは、各権力の源泉を引用し、国内法が認識決定とどのように相互作用するかを説明し、契約の扱いを特定するべきです。AFRINIC 自身の条件は、事前の緊急権限が明示的で釣り合いが取れるように見直されるべきです。

第二の優先事項は、データの復元だけでなく権利の復元を行使する公開テストです。事業者は認証できますか?その権威ある履歴を見ることができますか?争われた変更を一時停止し、異議申し立てできますか?代替事業者はすべての記録と未処理のケースを返却できますか?これらの質問に答えられない技術的に成功した復旧は不完全です。

第三の優先事項は、一時的なステータスを現実にすることです。範囲、時間、復帰は約束されるだけでなく、執行されるべきです。恒久的な継承が必要になった場合、繰り返しの緊急延長ではなく、採択された認識取消しと認識プロセスの下で進められるべきです。

これらの措置は、NRO 支援への信頼を高めるものであり、減らすものではありません。事業者は、権限と限界を知っていれば迅速な起動を受け入れる可能性が高くなります。

同意のない継続性は脆弱であり、継続性のない同意は空虚である

議論は法律対工学としてフレーム化されるべきではありません。純粋に法的なサービスを受ける権利は、すべてのレジストリ記録が失われた場合にはほとんど慰めになりません。完璧なバックアップは、誰がそれを起動し、そのエラーを修正できるかを誰も言えない場合危険です。回復力のあるインフラは両方を必要とします。

NRO の公開措置は、資金、技術支援、ピア調整のかなりの準備を示しています。また、緊急運用が公表、協議、時間制限、レビューを必要とするという進化する認識を示しています。残っている弱点は、事業者に対する敵意ではありません。それは、採択された公開アーキテクチャにおいて、サービス代替のための完全な事業者向け権限が欠如していることです。

そのギャップは、事前条件、認識されたガバナンス協定、権限のある法的権限によって埋められます。協定は個別の拒否権を付与する必要はありません。通知、目的制限、修正、異議申立て、ポータビリティ、復帰を付与し、客観的トリガーの下で狭義に必要な行動を承認するべきです。

技術的バックアップは良いです。相互扶助は良いです。準備された緊急プロバイダは良いです。ガバナンスの失敗は、それらの強みが未回答の質問の代わりになることを許すことです。プロバイダは、保護することを意図された事業者に対してどのような権限で行動するのか?

情報源と分析の限界

この分析は主に、NRO 覚書、AFRINIC の2005年 NRO 参加文書共同 RIR 安定化基金、地域レジストリの2022年7月メッセージ2019年 ASO 覚書2024年 ICP-2 評価手順、ICANN の批准通知RIR ガバナンス文書案バージョン2NRO レビュースケジュール2005年 IANA AFRINIC 認識レポートに依存しています。

引用された資料は、公開された制度的コミットメント、提案されたルール、およびその著者の声明を確立しています。ガバナンス文書案は採択されたものとして扱われませんでした。公開記録は、すべてのエスクロー取り決め、セキュリティ儀式、サービス契約、プライバシー条件、管財人指示、ピアレジストリの準備を明らかにしていません。したがって、民間の手段がいくつかの起動質問に答える可能性があります。この記事は保護された技術的詳細を開示または評価せず、その手段と準拠法を検討せずに特定の緊急行為が違法であると結論付けません。その結論はより狭いものです。採択された公開アーキテクチャは、代替事業者が必要とする可能性のあるサービス権限の全範囲に対する完全な事業者向け権限をまだ示していません。