要約

  • レジストリサンドボックスは、シミュレーションだけでは安全に答えられない明確な提案のみを受け入れるべきです。受け入れは承認、認定、または恒久的な地位の予測ではありません。申請者は、主張する保有者の利益、調査対象のルールまたは技術的仮定、影響を受けるリソースセット、最大露出、収集する証拠、および停止の正確な条件を特定しなければなりません。
  • 一意性は実験の外に残さなければなりません。参加するすべてのプレフィックスと自律システム番号は、1つの現在の保有者記録、1つの現在の登録サービスプロバイダーポインター、および1つの順序付けられた履歴を持つ必要があります。サンドボックスは誰がサービスを提供するか、または保有者が権利をどのように行使するかをテストできますが、同じリソースに対して競合する権威あるアカウントを許可してはなりません。
  • 範囲は4つの次元で制限されなければなりません:保有者の数、リソースの量と種類、公開される機能、期間。IPv4、IPv6、自律システム番号は異なる結果を生み出すため、1つの総合的な上限では不十分です。希少な譲渡可能な IPv4 スペースには特に保守的な制限と強化された競合チェックが必要です。
  • リバーシビリティはエンジニアリングされた能力であり、緊急時対応文書の一文ではありません。最初のライブ参加者が入る前に、試験は輸出、独立した検証、資格のあるプロバイダーへの復元、履歴の保存、RDAP および RPKI サービスの継続、および失敗する参加者の協力を必要としない通信を実証しなければなりません。
  • ルートセキュリティは登録サービスの選択から分離されなければなりません。プロバイダーの変更は、ルート発行認証(ROA)を黙示的に作成、取り消し、または再解釈してはなりません。RPKI キーの管理、証明書発行、公開、依存パーティの観測には、独自の制限、2人制御、リハーサル、および緊急復旧が必要です。
  • 公的な評価指標には、正確性、適時性、退出、苦情、セキュリティ、ポータビリティ、コスト、不平等な影響を含めるべきです。評価者は成功だけでなく失敗も公表し、除外された観測を説明し、参加者に修正と補償への直接的なルートを提供する必要があります。商業的な新規性だけでは成功ではありません。
  • サンドボックスは既得権の特権を減らすべきであり、新しい裁量的なゲートを作るべきではありません。参入基準、料金、技術インターフェース、証拠要件、卒業基準は、既存のサービスと新しいプロバイダーに平等に適用されなければなりません。成功した試験は、より広範な承認の決定を支援しますが、地域的なフランチャイズや共有調整の恒久的な管理を付与するものではありません。

サンドボックスは限定的な許可であり、儀式的な承認ではない

「サンドボックス」という用語は危険なほど拡大解釈されるようになりました。規制当局が監督するライブ試験、隔離された技術環境、マーケティングプログラム、または当局との非公式な対話を指すことがあります。レジストリガバナンスでは、最も狭い意味が必要です:通常の完全に資格のあるプロバイダーには適用されない制限の下で、実際の同意する保有者と特定の活動を実施するための期間限定の許可です。

FCA(英国金融行為規制機構)の現在のサンドボックスの説明は、取引の両側を示しているため有用です。企業は、通常小規模で、限られた期間、限られた数の消費者を対象に、管理された環境でライブ提案をテストできます。参加は適切な承認の必要性を排除するものではなく、FCA の適格性基準は、真のイノベーション、利益、準備、保護策、救済について尋ねます。教訓は、金融規制をインターネット調整にコピーできるということではありません。許可の範囲と限界が可視化されるときに、許可は信頼できるものになるということです。

NRS は、サンドボックスへの受け入れが何を意味しないかを明示すべきです。それは、参加者が地域規模で安全であることの証明ではありません。その法的理論が正しいという判断ではありません。協会の名称を商業的な保証として使用する許可ではありません。卒業の約束ではありません。保有者の身元、セキュリティ、または一意性を保護する義務の免除ではありません。

その明確さは双方を保護します。参加者は、成熟した権限を持っているふりをすることなく、証拠を提出する公正な機会を得ます。保有者は、機関の承認がリスクを排除するといわれずに参加できます。一般の人々は、制御された調査と静かな権力移転を区別できます。

ライブ試験の根拠はシミュレーションの限界から始まる

すべての提案にサンドボックスが必要なわけではありません。新しいユーザーインターフェース、レポート形式、監視ツールは、多くの場合、合成記録と公開データで判断できます。ライブへの露出が正当化されるのは、争われている事実が実際の機関の行動に依存する場合のみです:保有者が中断なくプロバイダーを切り替えられるか、なじみのない認証方法が組織の複雑さに耐えられるか、受信者が負荷下で正確な RDAP サービスを維持できるか、独立したレビュー担当者が約束された期間内に実際の異議を解決できるか。

この必要性要件は、サンドボックスが通常の製品開発のための名声チャネルになるのを防ぎます。また、独自の知識を生み出さないリスクから保有者を保護します。申請者は、提案を反証可能な用語で説明すべきです。「レジストリガバナンスを近代化する」はテスト可能ではありません。「受信プロバイダーは、制限されたリソースセットについて、競合する現在の状態がなく、すべての異議が公表された根拠に基づいて解決される場合、2営業日以内に保有者を維持したサービス移転を完了できる」はテスト可能です。

サンドボックス当局は、さらに質問すべきです:証拠はどの決定に情報を提供するのか? 承認ルール、相互運用性要件、救済手段、サービス基準、または公共の選択肢が変更できない場合、試験は劇場になる可能性があります。証拠が重要なのは、定義された決定を変えることができるからです。

したがって、ライブ試験は最初のステップではなく、最後の証拠ステップです。参加者は、適合性チェック、敵対的セキュリティレビュー、復旧リハーサル、スタッフ審査、非ライブパフォーマンス演習をすでに通過している必要があります。サンドボックスは、限られた条件下で残存する人的および機関的不確実性をさらすために存在します。基本サービスを開始できるかどうかを発見するために使用されるべきではありません。

保護されたコアは単一の権威あるリソース状態

IANA は、番号リソースの役割を、グローバルポリシーの下で未割り当てリソースのプールを地域インターネットレジストリに供給する、IP アドレスと自律システム番号のグローバル調整として説明しています。この階層的な履歴は、将来の NRS モデルが登録サービスの選択を導入しても依存関係を生み出します。サンドボックスは、権威ある状態を遊び場として扱ってはなりません。

参加する各リソースについて、保護されたコアには、1つの検証済み保有者、1つのリソース範囲、1つの現在のサービスプロバイダー、1つのステータス、許可された変更の1つの順序付けられた記録、および適用可能な制約への1つの参照を含める必要があります。競合するプロバイダーは参加者にサービスを提供するために必要なコピーを保持できますが、その権限が終了した後は、代替の現在の回答を提示してはなりません。受け入れられたすべての変更は、既知の以前のバージョンに対してシリアル化され、同時の指示が2つの有効な結果を生み出さないようにする必要があります。

このルールは、複数のサービスと複数の真実を分離します。参加者は、別の割り当て宇宙を作成することなく、カスタマーサポート、検証、移転準備、証拠保持、RDAP 公開、委任されたセキュリティ管理をテストできます。共有調整機能は、試験手段によって許可された変更のみを受け入れ、古い状態に基づく指示を拒否します。

保護されたコアは、参加者から技術的かつ制度的に独立していなければなりません。実験プロバイダーが権威ある履歴を書き換え、競合する指示を抑制し、または復元を妨げることができる場合、サンドボックスは封じ込めるべき権限そのものを委任しています。共通の権限は、狭いインターフェース、不変の領収書、および独立した観測を公開すべきです。イノベーションはコアの周りのサービスを変更できます。コア自体を変更する提案は、別個の、はるかに厳格な調査を必要とします。

4つの次元が爆発半径を定義する

信頼できる制限は「小規模パイロット」と表現できません。ある次元で小さいことが別の次元で巨大になる可能性があります。NRS は、少なくとも4つの次元を別々に上限を設定すべきです:参加保有者、リソースの量と種類、公開される機能、経過時間。

保有者上限は、単一の参加者がその能力が知られる前に政治的に重要な支持層を蓄積するのを防ぎます。また、関連組織による集中も防ぐべきです。1つの企業グループによって支配される10名の名目上の参加者は、10の独立した観測を提供しません。

リソース上限は、IPv4、IPv6、自律システム番号を区別すべきです。レジストリレコードの数は結果を隠します。1つの IPv4 保有は高い希少価値と広範な移転履歴を持つ可能性があります。1つの IPv6 割り当ては広大な数値範囲をカバーしますが、異なる市場プロファイルを持ちます。1つの自律システム番号はネットワークのルーティングアイデンティティの中心となる可能性があります。したがって、上限はリソース固有の測定値を使用し、最大運用依存性を含めるべきです。

機能上限は、参加者が何をできるかを定義します。プロバイダーポータビリティの試験には、新しい割り当て、保有者変更、RPKI 認証局運用、ポリシー判断を含める必要はありません。機能を制限することは、多くの場合、参加者数を減らすよりも保護的です。

時間上限は、一時的な裁量が事実として固まるのを防ぎます。試験には開始、通常の終了、レビューポイント、絶対的な最終期限があるべきです。延長には新たな理由と参加者の同意が必要です。誰も最終決定を下したくないために継続するサンドボックスは、認識されない恒久的な体制になっています。

リソース選択は困難な事例を隠してはならない

選択は証拠を生み出し、偏った選択は好意的な証拠を生み出します。友好的で技術的に洗練された単純なポートフォリオを持つ保有者だけを選ぶ参加者は、理想的な条件下での能力を実証するかもしれませんが、通常のサービスについてはほとんど明らかにしません。結果の低いリソースのみを受け入れる試験は、安全性を証明するかもしれませんが、意味のある使用への移行可能性を証明しません。

解決策は層別化であり、最も危険なケースに即座にさらすことではありません。NRS は、募集の前にクラスを定義すべきです:単一リソースおよび複数リソースの保有者、小規模および大規模組織、アクティブな RPKI 使用の有無、該当する場合はプロバイダー独立および委任配置、複数の法域で活動する組織、単純または係争中の履歴記録を持つリソース。初期フェーズは係争中のケースを除外できますが、後のフェーズでは基本制御が機能した後、別途上限が設定された小規模サンプルを受け入れます。

IPv4 の希少性には特別な規律が必要です。アドレスは重要な移転価値を持つ可能性があるため、プロバイダー試験は、サービス切り替えのように見えるものを通じて、係争中の支配権変更をロンダリングするために悪用される可能性があります。サンドボックスは、それが別個の試験の明確な主題でない限り、保有者変更を禁止すべきです。すべてのサービス移動の前後で保有者 ID と権限を比較し、最近移転されたスペースには強化された精査を適用すべきです。

選択ルールは、申請受付前に公開されるべきです。そうでなければ、管理者は簡単なケースを通じて有利な参加者を保護したり、例外的なケースで不利な参加者に負担をかけたりできます。公正な比較には、安定したケースミックス、透明な除外、サンプルがどの程度代表的であるかを特定する報告が必要です。

同意は情報に基づき、撤回可能で、組織的に現実的でなければならない

レジストリの参加者は、多くの場合、個人消費者ではなく、企業、公共団体、大学、ネットワーク、協会です。連絡先アドレスからのチェックボックスは、情報に基づく組織の同意を証明しません。サンドボックスは、リソースを登録する人物が試験にそれらをさらす権限を持ち、技術的、法的、経営的連絡先が結果を理解していることを確認しなければなりません。

同意は、テストされる機能、既知のリスク、データ使用、苦情ルート、期待される期間、退出権、復元プロバイダー、可能性のあるサービス制限、補償条件を特定すべきです。受け入れは保証ではないことを明確に述べるべきです。保有者が顧客または公共サービスに依存している場合、参加前に内部依存関係を特定すべきです。

撤回も同様に重要です。参加者は、参加者が失敗したことを証明することなく退出できるべきです。退出は、安全でない途中の中断を避けるためにスケジュールされるかもしれませんが、実験プロバイダーの商業的承認に依存してはなりません。復元ルートは、保有者または独立した権限によって、公開された条件の下でトリガーされるべきです。

同意は、一意性、公共のセキュリティ、または第三者の権利を放棄できません。保有者は限定的なサービスリスクを受け入れるかもしれません。ルーティングオペレーターまたは依存パーティに影響を与える競合する登録請求を許可することはできません。また、小規模な参加者に、過失、機密性、または外部裁判所へのアクセスをイノベーションの代償として放棄するよう求めるべきではありません。

最後に、同意記録はプロバイダーの障害後も存続しなければなりません。証明が参加者のシステム内にのみ存在する場合、プロバイダーは紛争後に誰の承認が可視であるかを決定できます。独立した管理者は、署名された登録、範囲、修正、退出指示を保持すべきです。

権限変更の前にはシャドウ運用を行うべき

最も安全な最初のライブフェーズは、制御なしの観測です。参加者は、参加者が承認した現在の記録のコピーを受け取り、提案された決定を計算し、実際のタイミングでシミュレートされたリクエストに応答し、非権威あるエンドポイントで RDAP 応答を生成できます。既存のプロバイダーまたは共通コーディネーターは、公式の回答を提供し続けます。差異はインターネットにさらされるのではなく測定されます。

シャドウ運用は、実際のポートフォリオの複雑さ、連絡先のギャップ、歴史的な異常、タイミングのピークに遭遇するため、ラボの演習よりも多くを明らかにします。しかし、誤った決定が権利や公共サービスを変更することはありません。参加者は、権威ある結果からのすべての逸脱を説明する必要があります。一部の差異は参加者のエラーを示すかもしれません。他のものは既存のプロバイダーの不整合または不明確な共通ルールを明らかにするかもしれません。

シャドウモードからの卒業は、単に経過日数ではなく、最小観測期間と定義されたイベントタイプにわたるパフォーマンスに依存すべきです。サービス移転、異議、連絡先変更が発生しない場合、静かな月はほとんど証明しません。当局は、実際のトラフィックと一緒に署名され、明確にマークされた演習を注入して、まれなイベントを実際の指示と混同せずに評価できます。

シャドウの成功は、即座の完全な権限を正当化しません。次のフェーズでは、共通層で事前承認を保持しながら、低結果のライブ変更の狭いクラスを許可できます。その後、参加者は指定された行為に対して制限付きの裁量を受け取ることができます。各ステップは一度に1つの権限を追加すべきです。複数の権限が一緒に追加されると、証拠はどの変更が失敗を引き起こしたかを示せません。

受け入れは準備、利益、必要性をテストすべき

FCA の公表された適格性基準は有用な規律を提供します:範囲、真のイノベーション、消費者利益、準備、支援の必要性。NRS は、ネットワークオペレーターを小売金融消費者として扱うことなく、これらのアイデアを翻訳できます。

範囲は、提案が番号登録サービスに関連し、協会が合法的に制限できる権限内にあるかどうかを尋ねます。真のイノベーションは、コスト、アクセス、説明責任、ポータビリティ、セキュリティ、証拠を変更するのか、単に新しいブランドを適用するだけなのかを尋ねます。保有者の利益は、誰が利益を得て、どの測定可能な負担が発生するかを尋ねます。準備は、機能するサービス、資格のあるスタッフ、独立したセキュリティ調査結果、十分な資金、復元能力、参加パートナーを必要とします。必要性は、なぜ非ライブ証拠が質問に答えられないのかを尋ねます。

追加のレジストリ基準は調整互換性です。参加者は、1つの現在のリソース状態、標準交換フォーマット、識別子の整合性、グローバルに理解可能なパブリックサービスを維持しなければなりません。互換性のない権威ある島を作成する商業的に魅力的なサービスは、ライブ番号リソースの準備ができていません。

もう1つの基準は救済能力です。申請者は、記録を修正し、復元に資金を提供し、該当する場合は直接損失を補償し、独立した命令に従うことができなければなりません。救済のないイノベーションは、実験コストを保有者に転嫁します。

これらの基準は、公表された証拠に対してスコア付けされるべきです。受け入れと拒否の理由は、機密詳細を削除して公開されるべきです。異議申し立ては、基準の一貫性のない適用を修正できるが、保護されたコアを放棄できない独立したレビュー担当者に届くべきです。

一部の活動は初期のサンドボックスの外に留めるべき

すべての活動がサンドボックス内で発生するからといって、サンドボックスが安全であるとは限りません。特定の権限は、初期試験には広すぎる、または不可逆的な結果を生み出します。NRS は禁止リストを公開し、活動が後で適格になる可能性があるルートを説明すべきです。

初期のプロバイダーポータビリティ試験中に、参加者は以前に未割り当ての番号リソースを割り当てるべきではありません。割り当てはグローバルな希少性勘定を変更し、永続的な依存を生み出す可能性があります。また、参加者は係争中の保有者移転を決定したり、新しい市場タイトルを認識したり、既存の裁判所の差し止めを変更したり、一般的な RPKI 使用のための競合するトラストアンカーを作成したりすべきではありません。

試験は、遡及的な履歴編集を許可すべきではありません。修正は理由と権限を付して追加できますが、以前の記録は理解可能なままにすべきです。保有者、レビュー担当者、または裁判所が必要とする証拠の削除を許可すべきではありません。同意しない保有者のバルク移行や会員条件による自動登録を許可すべきではありません。

政策決定権限も外に留めなければなりません。参加者は公開されたルールを適用し、曖昧さを報告できます。顧客契約を使用して、ルーティングオペレーターや他のプロバイダーを拘束するポリシーを作成することはできません。サンドボックス当局自身も、機密の覚書を通じて共通の義務を書き換えるべきではありません。

これらの除外は、活動が決して変更できないという主張ではありません。実験は、エラーを封じ込めることができるときに最も正当であるという認識です。割り当て、認識、またはグローバルトラストに影響を与える提案は、より広範な承認、より深いリハーサル、およびその範囲に比例した移行設計を必要とします。

リバーシビリティは最初の参加者が入る前に実証されなければならない

機関は、契約が記録を返すと言うからといって、変更をリバーシブルと呼ぶことがよくあります。それはリバーシビリティではありません。安全なサンドボックスには、ライブ権限が開始される前に、参加者の実際のサービスに対して実証された機能する復元能力が必要です。

実証は、参加するすべてのリソース記録、保有者権限記録、連絡先役割、サービスステータス、制限、保留中の指示、履歴領収書、苦情、RDAP 要素、関連する RPKI 参照をエクスポートすべきです。独立した検証者は、エクスポートを共通の権限と比較し、資格のある復元プロバイダーが手動再構築なしでそれを取り込めることを確認すべきです。

復元は順序を保存すべきです。カットオフ前に指示が受け入れられたが完了しなかった場合、後継者はそれを完了するか、キャンセルするか、新たな権限を求めるかを知らなければなりません。重複実行は、失われた実行と同じくらい危険です。したがって、すべてのイベントには一意の識別子、以前のバージョン、ステータス、署名付き領収書が必要です。

次に、試験は3つの条件をリハーサルすべきです:協力的な退出、突然の参加者利用不能、および疑わしい侵害。協力的な退出は通常のポータビリティをテストします。利用不能はエスクローと代替アクセスをテストします。侵害は、当局が新しい変更を凍結し、証拠を保存し、資格情報を交換し、侵害された可能性のあるプロバイダーを信頼せずに既知の良好な状態を復元できるかどうかをテストします。

ロールバックは、試験中に実行されたすべての行為を消去することを意味しません。プロバイダーが存在しなくなっても、有効な保有者承認の変更は存続する必要があるかもしれません。リバーシビリティは、真実の履歴を保存しながら、サービスと権限を安全な配置に復元します。実験が決して発生しなかったように過去を書き換えるものではありません。

1つの現在のプロバイダーポインターがサービス競争を理解可能にする

NRS のポータビリティは、単純な公開事実に依存します:どの資格のあるプロバイダーが現在リソースの登録サービスを担当しているか? 共通の権限は、1つの現在のポインターと変更の署名付き履歴を維持すべきです。プロバイダーは、現在の状態を定義する別個の権利を主張することなく、保有者を競争できます。

サンドボックス移転中、ポインターは明示的な段階を通過すべきです:要求され、独立して検証され、スケジュールされ、アクティブ化されるか拒否される。一般の消費者は機密詳細を見る必要はありませんが、参加プロバイダーと保有者は一貫した領収書を受け取るべきです。古いプロバイダーの現在の状態を変更する権限は、狭く定義された緊急チャレンジを除き、アクティブ化時に終了します。

ポインターは所有権ではありません。現在、制限付き変更を提出することが許可されているサービス機関を識別します。保有者は保有者のままです。ルーティングはオペレーターの決定のままです。裁判所は依然として権利を決定できます。共通の権限は、2つの同時サービス要求を防ぐ責任を負います。

この区別は、障害後に重要です。参加者が消滅した場合、共通コーディネーターは、保有者が変更されたふりをすることなく、事前に配置された復元プロバイダーにサービス責任をリダイレクトできます。ポインターがタイトルと融合されていた場合、回復にはすべての参加者に対する新しい所有権の決定が必要になります。

公開文書は、プロバイダーに従うものとリソースに従うものも特定すべきです。サービス料金、サポート契約、オプショナルツールはプロバイダーに従う可能性があります。保有者 ID、リソース履歴、裁判所の制約、共通の義務はリソースに従います。サンドボックスは、ポータブルな公開事実を独自のロックインに変換しようとする参加者の試みを検出すべきです。

RDAP はサービスであると同時に説明責任の表面である

Registration Data Access Protocol(RDAP)サービスは、公開および認可された登録情報を標準化された方法で発見可能にします。サンドボックスでは、RDAP は単なる技術的エンドポイントではありません。外部ユーザーがプロバイダーの選択が一貫した回答を維持するかどうかを観察できる場所です。

参加者は、最初に非権威あるシャドウ応答を提供し、現在の公開結果と比較すべきです。差異は分類されるべきです:古い更新、フィールド解釈、編集ルール、紹介失敗、可用性障害、または基礎となる記録の競合。許容可能なパフォーマンスの後でのみ、制限されたリソースセットに対してライブ委任変更が発生すべきです。

IANA の RDAP 資料は、クエリを担当サービスに導くブートストラップ情報の重要性を示しています。NRS は、実験プロバイダーに対して同等の紹介の明確さを必要とします。ユーザーはリソースがサンドボックスにあることを知る必要はありません。共通のブートストラップ回答はクエリを正しく導き、試験の終了時に、古いキャッシュが長い曖昧さを生み出すことなく、その指示を削除または置き換える必要があります。

プライバシーと説明責任は一緒にテストされなければなりません。参加者は、公開性を証明するために個人の連絡先を公開したり、広範なプライバシー主張の背後に組織の権限を隠したりすべきではありません。各フィールドには、目的、対象者、修正ルートが必要です。レート制限は、独立した観測を不可能にすることなくサービスを保護すべきです。

公的な評価指標には、可用性、応答の妥当性、更新遅延、紹介の正確性、苦情修正時間、権威ある保有者状態との整合性を含めるべきです。ネットワーク、研究者、または影響を受ける組織が信頼できる回答を得られない場合、美しいインターフェースは無関係です。

RPKI には別個の権限境界が必要

Resource Public Key Infrastructure(RPKI)は、番号リソース割り当て階層に従います。RFC 6480は、リソース証明書が保有を証明し、Route Origin Authorization(ROA)が特定のプレフィックスのルートを発信する権限のある自律システムを表現することを説明しています。これにより、RPKI はプロバイダーの選択に非常に関連し、付随的な機能として扱うには結果が大きすぎます。

登録サービスの移転は、ROA を自動的に作成、取り消し、または変更すべきではありません。プロバイダーポインター、リソース証明書の状態、キー管理、ルート認証は別個です。保有者は、既存の RPKI 構成を保持しながら登録サービスを移行するか、後で別個の指示の下でセキュリティサービスを移行するかを選択できます。

参加者が限られたコホートに対して RPKI を管理することを許可される場合、サンドボックスには追加の上限と制御が必要です。キー生成と管理は定義されなければなりません。便利だからといって秘密鍵をコピーしてはいけません。証明書とマニフェストのタイミングは監視されなければなりません。公開は、公開エンジンとリポジトリを分離し、公開および撤回メッセージを定義する RFC 8181などの標準に従うべきです。

試験は、成功したコマンド受け入れだけでなく、依存パーティへの影響も観測すべきです。技術的に有効な変更でも、ルートが無効になったり、検証されたビューから消えたりする期間を引き起こす可能性があります。測定は、複数の独立したバリデータとネットワーク視点から行われるべきです。

緊急復旧は、即興ではなく、事前に作成された権限でリハーサルされるべきです。計画は、レジストリサービスの復元、RPKI 公開の復元、およびトラスト関係の変更を区別すべきです。3つすべてを1つのスイッチとして扱うと、不必要な爆発半径が生まれます。

ルーティングの自律性はプロバイダー試験の外に留まる

登録証拠とルーティング動作は関連していますが同一ではありません。プレフィックスは正確に登録されていてもアナウンスされないことがあります。ルートは有効な ROA なしでアナウンスされることがあります。有効な ROA はどのネットワークにもルートを受け入れることを強制しません。サンドボックスは、権限と報告の両方でこれらの区別を維持しなければなりません。

実験プロバイダーは、通常の商業契約の下でネットワークオペレーターとして別途関与しない限り、参加者に代わってルートを発信する権限を持つべきではありません。その場合でも、ルーティング関係はレジストリ権限の一部ではありません。登録サービス契約は、BGP アナウンスを変更する許可を暗示してはなりません。

したがって、成功指標は、通常の到達可能性がレジストリの正確性を証明すると主張することを避けるべきです。到達可能性は、ルーティングが古いまたは矛盾した情報に寛容であるために継続する可能性があります。逆に、到達可能性の問題は、参加者のネットワーク変更に起因する可能性があり、参加者の登録サービスによるものではありません。評価者は、因果関係の不確実性を保持しながらイベントを相関させるべきです。

RPKI が含まれる場合、関連する結果は、保有者の意図した認証が依存パーティに正確かつ継続的に利用可能であるかどうかです。ルート観測は結果を特定できますが、証明書、マニフェスト、リポジトリ、署名オブジェクトの検査に取って代わるものではありません。

この分離は、政治的な越権を制限します。登録プロバイダーを評価する任務を負ったサンドボックス当局は、ルーティングに対する一般的な権限を取得すべきではありません。インターネットの分散運用決定は、一時的な機関の許可の外に残ります。

移転試験には狭い異議と厳格な期限が必要

プロバイダーポータビリティは、最も価値のある初期の NRS 実験になる可能性があります。それは、一意性が顧客選択と共存できるかどうかを直接テストします。また、既存プロバイダーが遅延し、受信プロバイダーが弱い権限証拠を受け入れる明白なインセンティブを生み出します。

移転手段は、保有者、リソース、現在のプロバイダー、受信プロバイダー、意図されたアクティブ化、および不変の事実を特定すべきです。それは、その正確な行為と現在の記録バージョンに結びついた資格情報を通じて承認されるべきです。受信プロバイダーがリクエストを主導し、既存プロバイダーは通知と制限された異議の機会を受け取ります。

異議の理由は網羅的でなければなりません:実証された権限の欠陥、該当する裁判所の制約、競合する保有者変更指示、リクエストに影響を与える現在のセキュリティインシデント、またはその他の具体的に定義された条件。サービス期間に関係のない商業債務、既存プロバイダーへの批判、公開標準で必要とされない欠落文書、または参加者に対する一般的な不快感は、退出を妨げるべきではありません。

各段階には期限が必要です。確認、証拠応答、異議、独立レビュー、アクティブ化、最終領収書には別々の期限が必要です。沈黙は無期限の拒否権を生み出すべきではありません。既存プロバイダーの期限切れは、高リスク指標がない場合に承認につながる可能性があります。参加者の期限切れは、新たな申請を妨げることなくリクエストをキャンセルできます。

サンドボックスは、集計タイミングと各延長カテゴリを公開すべきです。平均完了時間だけでは、少数の保有者が何週間も閉じ込められているのを隠すことができます。分布、最大遅延、未解決ケースの方が、洗練された平均より重要です。

独立した観測が自己認証された成功を防ぐ

参加者は自身の試験を評価すべきではなく、NRS を推進する機関が NRS ブランドのサービスを唯一判断すべきではありません。観測者は、技術的能力、関連証拠へのアクセス、プロバイダーからの独立性、および都合の悪い調査結果を公表する権限を必要とします。

独立性は構造的です。評価者は、資金調達、以前の作業、金銭的利益、既存プロバイダー、参加者、共通コーディネーターとの関係を開示すべきです。その任命は、予備的な結果が不利だからといって撤回可能であってはなりません。参加者は、結論を抑制することなく事実誤認に異議を唱えることができるべきです。

観測は継続的に発生すべきです。プロバイダーが選択した記録から再構築された最終報告は、短い停止、放棄されたリクエスト、非公式の介入を見逃します。評価者は、署名付きイベント領収書、可用性測定、苦情記録、セキュリティアラート、バージョン変更を発生時に受け取るべきです。機密資料は保護できますが、集計調査結果と決定的な事実は公開されたままにすべきです。

複数の観測者が必要な場合があります。技術監視者は状態の整合性と RDAP 動作を評価できます。セキュリティ評価者は鍵管理とインシデント対応をレビューできます。ガバナンスレビュー担当者は理由、救済、不平等な扱いを検討できます。保有者パネルは、形式的な権利が実際に使用可能であったかどうかを報告できます。

測定パフォーマンスのみを理由に、いかなる観測者も運用権限を持つべきではありません。測定を制御から分離することで、調査結果の信頼性が高まり、別の隠れたコーディネーターの作成を避けられます。

公的な評価指標は活動ではなく利益を示すべき

サンドボックスの広報は、しばしば申請数、会議数、受け入れられた企業数を数えます。これらの数字は管理ボリュームを表しますが、保有者がより良いサービスを受けているかどうかは示しません。NRS は、受け入れ前に結果指標を定義し、失敗した観測を保存すべきです。

正確性指標には、競合する現在状態、不正な変更、古い公開回答、不完全な履歴、復元の不一致が含まれます。適時性指標には、リクエスト確認、通常の変更完了、異議解決、RDAP 更新、インシデント通知が含まれます。退出指標には、成功した自主的退出、参加者障害後の復元時間、移転された証拠の完全性が含まれます。

セキュリティ指標は、資格情報の侵害、特権の悪用、鍵イベント、失敗した整合性チェック、RPKI 有効性への影響、封じ込めまでの時間をカバーすべきです。保有者指標には、苦情率、修正時間、自己負担損失、サポートのアクセシビリティ、小規模組織がより悪い結果を経験するかどうかを含めるべきです。競争指標には、総切り替えコスト、技術統合負担、独自ツールへの依存を含めるべきです。

報告書には分母を含めるべきです。「成功した攻撃なし」は、低リスクイベントが少数しか発生しなかった場合、ほとんど意味がありません。「すべての移転が完了」は、困難な申請が除外されたことを隠す可能性があります。結果は、コホート構成、リソースタイプ、使用された機能、観測期間、欠落証拠を特定すべきです。

成功基準には、ノーゴーしきい値を含めなければなりません。1つの競合する割り当て請求は、何百もの迅速なサポート応答よりも重要かもしれません。当局は、どのイベントが新しい受け入れを自動的に一時停止し、機能を凍結し、または試験を終了するかを述べるべきです。決定を変更できない指標は装飾的です。

停止条件は、遅延が危険を生み出す場合に自動的であるべき

一部の障害は試験継続中に調査できます。その他は即時封じ込めを必要とします。サンドボックス手段は、インシデント後に商業的または政治的圧力が重大度を再定義できないように、事前にそれらを区別すべきです。

自動停止条件には、競合する現在の保有者またはプロバイダー状態、不正なリソースまたは保有者変更、完全な記録を復元する能力の喪失、ライブ RPKI オブジェクトに影響を与える可能性のある鍵の侵害、重要な証拠の隠蔽または破壊、独立した修正命令への繰り返しの不服従、資金調達された継続性のない破産、および記載された重大なしきい値を超えるサービス劣化を含めるべきです。

停止はすべての機能を終了させる必要はありません。権威ある状態が無傷のまま RDAP 公開が失敗した場合、新しい変更は一時停止し、パブリックサービスは代替エンドポイントに移動できます。RPKI 管理が侵害された場合、その機能は、保有者に登録サービスプロバイダーを変更することを強制せずに分離できます。モジュール式封じ込めは、以前に設計された権限境界に報います。

参加者は迅速な理由と事実誤認に異議を唱えるルートを受け取るべきですが、異議申し立ては緊急保護を自動的に停止すべきではありません。独立したレビュー担当者は、証拠が支持する場合、より狭い条件下で継続を承認できます。

再開には約束以上のものが必要です。原因を特定し、影響を受ける状態を調整し、保有者に通知し、復元を再テストし、評価者が制御が変更されたことを確認する必要があります。繰り返しの再開は、慢性的な弱点を正常化する方法になるべきではありません。

救済は参加者を対象から権利保有者に変える

人々は、修正と補償が現実的であるとき、実験的リスクをより合理的に受け入れます。サンドボックスは、参加者が参加者に自分自身について苦情を言うよう説得することを必要としない直接的な苦情ルートを確立すべきです。

最初の救済は迅速な修正です。独立した担当者は、争点となっている変更を凍結し、最後に検証されたサービスポインターを復元し、不正確な公開記録を修正し、証拠の公開を命じることができるべきです。保有者は理由と何が変更されたかの署名付き説明を受け取らなければなりません。

金銭的救済は、サンドボックス義務の違反によって引き起こされた直接的で予見可能な損失をカバーすべきです。事前に資金提供された手段または保険契約は、請求を作成した参加者からの無担保の約束よりも望ましいです。上限は自主的参加には合理的かもしれませんが、詐欺、意図的な隠蔽、または不正なリソース使用をカバーすべきではありません。

第三者も限られた状況で当事者適格を必要とします。誤って保有者として示されたネットワーク、不正確な虐待連絡先の影響を受ける組織、不正な指示によって追い出されたプロバイダーは、修正を求めることができるべきです。公開記録エラーを確立するために機密参加者資料を必要としません。

外部裁判所は引き続き利用可能です。サンドボックスは、参加者に法的権利を放棄することを要求することなく、迅速な専門家救済を定義できます。内部救済が独立した法律を補完し、置き換えない場合、制度的正当性は高まります。

機密性は公共の権限に関する秘密になってはならない

参加者は、セキュリティ詳細、顧客情報、独自の方法を保護する正当な利益を持っています。保有者にはプライバシーと商業的利益があります。しかし、共有番号リソースに対して権限を行使する試験は、完全に機密の交換を通じて判断されるべきではありません。

一般市民は、参加者、許可された機能、コホートサイズ、リソースクラス、期間、条件、評価者、主要指標、権威ある整合性に影響を与えるインシデント、停止決定、卒業または拒否の理由、および利益相反を知るべきです。個人の連絡先詳細、資格情報、攻撃を可能にするセキュリティ調査結果、真に独自の実装詳細は保護されたままにできます。

理由は比較を可能にするために十分に具体的であるべきです。「運用上の考慮事項」は、試験の延長または終了の適切な説明ではありません。当局は、脆弱性をさらすことなく、関連する基準と事実カテゴリを説明できます。

参加者は、誰が自分の情報にアクセスでき、どの目的で使用されるかを知るべきです。セキュリティ評価のために提供された証拠は、既存プロバイダーの商業的インテリジェンスに黙示的になるべきではありません。データ保持は制限されるべきですが、権限、決定、修正を証明するために必要な記録は、該当する法的期間利用可能なままにすべきです。

推定は、権力の行使に関する透明性と、個人または悪用可能な詳細に関する抑制であるべきです。その推定を逆転させると、保有者を害から保護するのではなく、機関を精査から保護するサンドボックスが生まれます。

既存プロバイダーと新規参入者は同じ証拠基準に直面しなければならない

サンドボックスは、新規参入者のみがパフォーマンスを公開する必要があり、既存プロバイダーは比較測定なしで権限を保持する場合、独占を強化する可能性があります。NRS は、試験を使用して、最終的にすべての資格のあるプロバイダーに適用される証拠基準を作成すべきです。

新規参入者は能力が証明されていないため、より厳しい上限に直面するのは正当化されるかもしれません。しかし、正確性、ポータビリティ、セキュリティ、理由付与、救済義務は卒業後に消えるべきではありません。実質的に新しいサービスを提供する既存プロバイダーは、同じサンドボックスに入るべきです。馴染みのある企業名は、テストされていない権限を安全にしません。

技術的アクセスも中立でなければなりません。共通インターフェース、適合性ツール、文書、料金表は、平等な条件で利用可能であるべきです。既存プロバイダーが合格に必要な統合知識を管理している場合、技術調整を排除に変えることができます。

当局は参加コストを公表し、どの要件が保有者を保護するかを特定すべきです。過度の特注レポート、会議、弁護士費用は、安全性を向上させることなく、小規模で有能なプロバイダーを排除できます。標準証拠と自動化された適合性チェックは、厳格さを維持しながら参入コストを下げることができます。

中立性は、有利な卒業も制約します。プロバイダーは、パイロットを最初に完了したからといって、永久的な地域独占を得るべきではありません。成功した証拠は、共通ルールの下で意思のある保有者にサービスを提供する権限を支持します。他のプロバイダーは同じルートを通じて資格を得るべきです。

会員の意見は影響を受ける保有者の権限に代わることはできない

NRS は会員制かもしれませんが、会員投票は特定の保有者のリソースに対するリスクを自動的に承認しません。会員資格と参加は異なる質問に答えます。会員は一般的なサンドボックス権限、予算、監視設計、公開基準を承認できます。各影響を受ける保有者は、別途登録を承認しなければなりません。

会員組織は定期的な集計結果を受け取り、将来の試験ルールを改正する権限を持つべきです。構成員を優遇するために個別の決定に介入すべきではありません。判断は、選挙圧力やプロバイダーブロックからの独立性を必要とします。

代表性は実際の暴露に対してテストされるべきです。大規模プロバイダー、小規模ネットワーク、公共団体、市民社会ユーザー、技術専門家は異なるリスクを経験する可能性があります。会議に参加できるスタッフがいる組織が支配する協議は、誤った移転が存続に関わる可能性がある保有者を見落とす可能性があります。

競合ルールは不可欠です。参入を求めるプロバイダーは、自身の受け入れまたは卒業に投票すべきではありません。既存プロバイダーは、競合他社の提案が必要かどうかを決定すべきではありません。評価者と異議申立担当者は、金銭的および専門的な関係を開示すべきです。

会員の説明責任は、会員が集計証拠を検査し、不正行為で運営者を解任し、将来に向けて基準を改正できる一方で、個人の権利は多数派の便宜から保護されるときに最も強力です。サンドボックスは、NRS が集合的監視と制限された権限を組み合わせ、参加のレトリックを使用して本人を曖昧にしないことを実証すべきです。

法的権限と責任は実験前に解決されなければならない

技術設計だけでは、誰がライブ試験を承認できるか、どの契約がプロバイダーを拘束するか、裁判所命令がどのように認識されるか、誰が損失を負担するかに答えることはできません。これらの質問は、参加者が入る前に関連する法域で解決されなければなりません。

サンドボックス手段は、許可当局、法的根拠、参加者の義務、参加者の権利、該当する法律、紛争フォーラム、証拠ルール、機密制限、金融セキュリティ、終了権限を指定すべきです。また、参加者が破産した場合や裁判所が管理者を任命した場合に共通コーディネーターがどのように行動するかを説明すべきです。

国境を越えた参加には特に注意が必要です。保有者はある国で設立され、他の複数の国でネットワークを運用し、別の場所のプロバイダーからサービスを受け、歴史的に地域機関を通じて登録されたリソースを保持する可能性があります。サンドボックスは、1つの契約が強行法規または管轄裁判所の権限を排除すると主張すべきではありません。

裁判所命令は検証され、狭く適用されるべきです。1つのリソースの移転を差し止める命令は、コホート全体を凍結すべきではありません。競合する命令は、参加者による私的選択ではなく、記載されたエスカレーションルートを必要とします。緊急継続権限は、管轄機関が別段の指示をしない限り、争点となっている所有権を決定せずにサービスを維持すべきです。

責任は管理に従うべきです。参加者は、付与された権限内での不正行為に対して責任を負います。共通コーディネーターは、拒否する必要があった無効な状態変更を受け入れたことに対して責任を負います。評価者は、その役割内での職業上の不正行為に対して責任を負います。拡散した責任は回復力ではありません。それは、すべての機関が互いに非難できる設計です。

段階的なラダーは1つのグランドローンチよりも強力な証拠を生み出す

試験は明確なフェーズを進むべきです。フェーズ0は、ライブ参加者状態なしでの適合性、セキュリティレビュー、復元リハーサルをカバーします。フェーズ1はシャドウ観測を使用します。フェーズ2は、共通権限の事前承認を伴う低結果のライブ変更を許可します。フェーズ3は、継続的な観測の下で、制限された一連の通常のプロバイダーアクションを許可します。フェーズ4は、正当化される場合、別途上限が設定されたコホートに対して1つの高結果機能を追加します。

各フェーズには、参入証拠、最小イベントカバレッジ、成功指標、停止条件、終了決定があります。時間だけでは次のフェーズのロックは解除されません。また、1つの機能での成功が別の機能を承認するわけではありません。高速な RDAP 更新は安全な RPKI 鍵管理を証明せず、正確な連絡先変更は公正な移転判断を証明しません。

ラダーは後退を可能にすべきです。プロバイダーは、重大な欠陥の後、将来の機会をすべて失うことなくシャドウモードに戻ることができます。これにより、追放を避けるために隠すのではなく、弱さを開示するインセンティブが生まれます。ただし、意図的な隠蔽は、正直に報告されたエラーよりも強い結果を招くべきです。

共通の権限がそれらを封じ込め、比較できる場合、複数の参加者が参加できます。並行コホートは、要件が真に相互運用可能であるか、1つの実装に合わせて調整されているかを明らかにする可能性があります。すべてのコホートにわたる総露出は上限を維持しなければなりません。10の個別に小規模な実験は、1つの大きなシステムリスクを生み出す可能性があります。

最後に、当局は、定義された機能の卒業、新たな質問による延長、以前のフェーズへの復帰、終了、または共通標準の改定の中から選択します。利用可能な決定は、承認と失敗に減らされるべきではありません。

卒業は承認であり、憲法上の決着ではない

成功したサンドボックスは、プロバイダーが特定の条件下で特定の機能を特定のコホートに対して実行したことを示します。普遍的な安全性を証明するものではなく、無関係な権限の政治的正当性を確立するものでもなく、永久的な地域的権利を生み出すものでもありません。

卒業は、プロバイダーが提供できる機能、該当する場合は容量制限、継続的な監査義務、財務要件、相互運用性義務、更新期間、停止理由を正確に特定すべきです。拡大は証拠が蓄積されるにつれて発生する可能性があります。権限は分離可能であるべきで、1つのオプショナルサービスでの失敗がすべての登録関係を自動的に終了させないようにします。

卒業決定は、不利な調査結果と残留リスクが許容可能な理由を説明すべきです。小さな失敗を抑制することは、後のプロバイダーと保有者から有用な知識を奪います。成熟した機関は、限界を認識しながらサービスを承認できます。

定期的な更新は、初期の成功が永遠の推定にならないようにします。更新はサンドボックスを再現する必要はありませんが、現在の能力、インシデント、ポータビリティ、財務的回復力、苦情、主要な技術変更をレビューすべきです。鍵管理、所有権、または重要なサプライヤーを根本的に変更するプロバイダーは、焦点を絞った新しい試験が必要になる可能性があります。

最も重要なことは、卒業は退出を維持しなければならないことです。成功した参加者が保有者が離れられない別の機関になる場合、イノベーションは門番の身元を変えただけで、権力構造を変えたわけではありません。

3つの例示的な試験は、封じ込めが機能によってどのように異なるかを示す

最初にプロバイダーポータビリティ試験を考えます。20の同意する組織が、制限された一連の単純な IPv6 と自律システム番号の記録を2つの資格のあるプロバイダー間で移動します。保有者 ID は変更されません。新しい割り当てと RPKI 管理は除外されます。測定基準は、完了時間、異議の妥当性、公開回答の一貫性、証拠のポータビリティ、成功した自主的復帰です。重要な停止条件は、競合する現在のプロバイダー状態です。

2番目に、RDAP サービス試験を考えます。参加者は、延長されたシャドウ期間の後、定義されたリソースコホートに対して応答を提供します。共通のブートストラップ方向はそのコホートについてのみ変更され、代替エンドポイントが事前に配置されます。測定基準には、可用性、適合性、更新遅延、プライバシー処理、紹介の正確性、修正が含まれます。権威ある保有者状態は共通コーディネーターに残り、エンドポイント障害の結果を制限します。

3番目に、委任された RPKI 管理試験を考えます。非常に小規模なコホートの洗練された保有者が、指定された証明書と ROA を管理するために参加者を選択します。登録サービス権限は移動しません。鍵配置、オブジェクト変更、公開は別々に観測されます。依存パーティのビューは複数の場所から測定されます。試験は、ライブ権限が開始される前に、既知の資格のあるサービスへの即時復帰をリハーサルします。

これらの例は、最初に組み合わせるべきではありません。それらのリスク、証拠、復元方法は異なります。モジュール性により、NRS は、1つの成功したインターフェースがレジストリ機関全体を検証するふりをすることなく、どのサービス層が競争をサポートできるかを学習できます。

失敗でも公共的価値を生み出せる

早期に終了した試験は必ずしも無駄ではありません。想定されたインターフェースが曖昧である、救済が遅すぎる、鍵配置が集中しすぎている、保有者認証ルールが正当な組織を除外していることを示すかもしれません。これらの調査結果は共通標準を改善し、より大規模な失敗を防ぐことができます。

公共的価値は正直な報告に依存します。最終報告書は、参加者の弱点、共通権限の弱点、不明確なルール、参加者のエラー、外部イベントを区別すべきです。すべての欠陥を新規参入者のせいにすることは既存の保護を強化し、すべての欠陥を共通フレームのせいにすることは不十分な実行を許します。

参加者は個別の終結を受け取るべきです:現在のプロバイダー、現在の保有者、リソースセット、未解決事項、復元された資格情報、苦情ルート、保持期間。一般市民は、プライベートなセキュリティ詳細をさらすことなく、集計結果と教訓を受け取るべきです。

当局は自身の行動もレビューすべきです。質問に一貫して回答しましたか? 非公式の例外が一部の参加者を優遇しましたか? 監視はインシデントを特定しましたか? 停止権限は機能しましたか? 復元は将来の参加者が利用できない個人関係に依存していましたか? 制度的学習には、許可を与える機関を含めなければなりません。

失敗を不名誉に変換せずに受け入れることができるサンドボックスは、タイムリーな開示を受け取る可能性が高くなります。基準は、困難なイベントを抑制することによって製造された完全な記録ではなく、保護と証拠であるべきです。

より深い目的は、真実を複数にすることなく権限を争えるようにすること

レジストリの独占は、しばしば一意性を呼び出して防御されます。その防御には有効な技術的前提と無効な制度的飛躍が含まれています。インターネット番号リソースには、一貫した権威あるアカウントが必要です。しかし、すべての顧客向けサービス、検証機能、公開エンドポイント、セキュリティサービス、救済が1つの永久的な機関に留まらなければならないというわけではありません。

適切に設計されたサンドボックスは、保護されたコアが単一のままである間に、サービス競争がどこで導入できるかをテストします。それは、インターネット全体が一度に新しいプロバイダーを信頼することを要求せずに参入を可能にします。既存のプロバイダーに、歴史的地位ではなく証拠に責任を負わせます。保有者が、アドレスと自律システム番号を競合する請求に変えることなく選択を行使できるようにします。

設計は厳格です。なぜなら、弱いサンドボックスはリスクを社会化し、称賛を私有化するからです。NRS は代わりに、露出を上限設定し、同意を検証し、機能を分離し、継続的に観測し、復元に資金を供給し、測定値を公開し、外部法を保存しなければなりません。ロールバックは実証されなければなりません。RPKI には独自の権限境界が必要です。卒業は制限され、更新可能でなければなりません。

これらの条件が満たされれば、実験は憲法上の規律になります。協会は、一意性を賭けることなく、実際のサービスから学ぶことができます。競合する真実を製造することなく、競合他社を受け入れることができます。制度的慎重さに対する最も強い答えは、永久的な排除ではなく、制御され、可逆的で、公に判断された証拠であることを示すことができます。

証拠と参考文献