要約
- IPv4 の希少性により RIPE NCC アカウントの管理は経済的に価値が高く、連絡先の変更、アドレス範囲の移転、リバース DNS の変更、ROA の作成や失効、ルーティング権限の変更が可能な偽の申請者は、実際の運用能力を奪うことができる。
- 核心的なリスクは抽象的な書類作業ではなく、権限をめぐる敵対的行為である。侵害されたアカウント、古い役割の認証情報、偽造された取締役の書簡、旧社名、虚偽の合併書類、倒産の話、緊急の運用上の言い訳は、すべて不正な変更を日常的に見せかけようとする。
- RIPE NCC の公式な事実は有用な証拠である。RIPE NCC は 2019 年 11 月に利用可能な IPv4 プールを使い果たし、移転を促進し、事業構造の変更を評価し、データベースの権限サーフェスを維持し、任意の移転ロックを提供し、RPKI サービスを運用している。これらの事実が制度的な境界を決定するわけではない。
- 移転ロック、保留期間、通知、複数当事者による確認は盗難を防ぐことができるが、それらが曖昧で遅く、取消不能で、範囲が不十分であるか、洗練された保有者のみ利用可能な場合、流動性に対する税としても作用する。
- 経路認証、ROA の発行や失効、リバース DNS の変更は、レジストリアカウントがネットワーク、プラットフォーム、顧客、カウンターパーティが責任ある利用とみなすものに影響を与えられるため、高価値な制御面である。
- 緊急凍結は通常の紛争より狭い時間枠を必要とする。制御が奪われる可能性がある場合、迅速な封じ込めが正当化されるが、サービスの継続性を保ち、長期的な商業的行き詰まりにならないようにしなければならない。
- 強固な制御には監査証跡、二重管理、職務分離、署名者権限レビュー、スタッフアクセス制限、改ざん検出可能な変更履歴、明確な通知、是正経路、可逆性が必要である。
- 費用負担は不平等である。大手通信事業者、クラウド企業、アドレス市場専門家は検証作業を吸収できるが、小規模アクセスネットワーク、大学、公共サービス提供者、古くからの保有者は証拠のギャップにより閉じ込められる可能性がある。
- モラルハザードは双方向だ。管理が弱すぎれば泥棒やアカウント乗っ取り犯に報いる。管理が強すぎればレジストリスタッフに希少な資本、商業的タイミング、係争中の価値に対する私的な裁量を与える。
- RIPE NCC の正しい役割は、承認されていないレジストリ変更を防ぎ、行為を帰属可能、レビュー可能、可逆的にしつつ、私的な所有権争いの裁定、市場参加者の処罰、価格設定、資源の押収、裁判所のように振る舞うことを拒否することである。
偽装移転が日常的に見える夜
緊急の口調と管理上の文法を帯びたメッセージが届く。ある会社が、資金調達期限前に貴重な IPv4 アドレス範囲を移転しなければならないと述べる。以前の連絡先には連絡がつかない。以前のやり取りに使用されたドメインは所有者が変わっている。取締役の書簡が添付されており、署名者の役職はもっともらしく見える。合併ファイルには、現在の運営会社が歴史的記録にある名称と異なる理由が説明されている。技術コンサルタントが、連絡先の変更、リバース DNS の更新、ROA のレビュー、移転申請の提出ができるようにアカウントアクセスを要求する。別の、より古いメールボックスからのメッセージは、RIPE NCC に何も触れないように求める。
まだ誰も窃盗を証明しておらず、誰も無実を証明していない。要求された変更は、それぞれ単独で見れば普通に見える。保有者が連絡先を変更する。企業が法的名称を更新する。合併により承継者が生まれる。クラウド移行に経路認証が必要だ。購入者に移転が必要だ。セキュリティチームが古いメンテナーを整理する必要がある。これらの出来事はすべて RIPE NCC 地域で正当に行われている。不正は、その正常性の中に隠れることで機能する。
レジストリは、事実がどれだけの速度を要するかを判断しなければならない。あまりに早く処理すれば、偽の申請者が希少なアドレス範囲の実用的な鍵を手にするかもしれない。攻撃者はすぐにハイジャック経路をアナウンスする必要はないかもしれない。まず信頼できる連絡先を置き換え、データベース権限を取得し、リバース DNS を変更し、ROA を発行または失効させ、移転経路のロックを解除し、またはブローカー、購入者、アップストリームが証拠として扱うような記録を作成すれば十分かもしれない。後のレビューで弱点が見つかる頃には、金銭が動き、顧客が移行し、第三者がその見かけの状態に依存しているかもしれない。
RIPE NCC が長期間停止しすぎると、害は逆方向に走る。正当な保有者が移転のクロージングを逃すかもしれない。公共サービスネットワークがセキュリティ管理を更新できないかもしれない。購入者がエスクロー信頼を失うかもしれない。小規模 ISP が、大企業グループなら保管しているであろう一通の書類を提出できないために、古い連絡先を修復できないかもしれない。裁判所、債権者、または対立する取締役がレジストリのためらいをてことして使うかもしれない。不正防止レビューは財産的な価値を保護できる。しかし、それは資本に対する私的な門番にもなり得る。
これがハイジャックと不正利用対策の経済学である。重要なのは、RIPE NCC が寛容であるべきだということではない。希少性 IPv4 は、弱い管理にはあまりにも価値が高すぎる。また、レジストリがあらゆる移転、リース、販売価格、倒産紛争、企業間闘争の裁判所になるべきだというわけでもない。より困難な制度的課題は、より狭いものだ。すなわち、レジストリ層への承認されていない変更を防ぎ、すべての重要な行為を帰属可能かつ可能な限り可逆的にし、検証が裁量的な市場ルールになるのを防ぐことである。
希少性がアカウント支配を盗む価値あるものにした
RIPE NCC はそのIPv4 枯渇ページで、2019 年 11 月に残りの IPv4 プールを使い果たし、欧州、中東、中央アジアの一部のネットワークは、もはや旧来の割り振りパターンで RIPE NCC から未使用の IPv4 アドレスを受け取ることができないと述べている。この事実は単なる事実上の証拠に過ぎないが、ペイオフを変える。代替容量が豊富な世界では、古い連絡先や脆弱な復旧プロセスはサービス品質の問題である。希少な IPv4 の世界では、同じ弱点は価値移転の問題である。
アドレス範囲は、ホスティング収益、ブロードバンド顧客、企業 VPN、公共部門ポータル、クラウドインポート、マネージドセキュリティ、決済システム、メールインフラ、データセンターへのオンボーディング、買収経済を支えることができる。レジストリ記録は商業的資産全体そのものではなく、RIPE NCC は保有者が生み出した事業価値を所有しているわけではない。しかし、認知された支配は、他者がその範囲を使用可能とみなす事実の一つである。その認知を動かすことができる偽の申請者は、管理上の弱点を運用上の力に変換できる。
攻撃者の第一の標的は連絡先の支配かもしれない。古い役割アカウント、元スタッフのアドレス、脆弱に保護された認証情報がまだ資源の近くにある場合、悪意ある行為者は復旧を要求し、目に見える連絡先を置き換え、新しい管理上の基盤を作ることができる。その新しい基盤は、その後、移転、経路認証要求、リバース DNS 委任、保有者が記録を整理したという購入者への主張を支持するために使われるかもしれない。盗難は外の世界が経路の変更を見る前にすでに進行している。
第二の標的はタイミングである。希少なアドレス範囲はしばしば特定の時期に動かされる。取引のクロージング、移行のカットオーバー、公共調達期限、資金調達条件、顧客のオンボーディング日、破産スケジュールなどである。不正な要求は緊急性を利用する。なぜなら緊急性は検証の心理学を変えるからである。偽造ファイルはスタッフに遅延を主なリスクとして扱うよう求める。正当なファイルもまた緊急であるかもしれない。したがって、優れた管理は単に緊急性を不信にすることはできない。緊急性が権限の通常の証明を避けるために使われているかどうかを問わなければならない。
第三の標的は曖昧さである。古い企業名、変更された管轄区域、買収、清算、スピンオフされたネットワーク部門、休眠記録は解釈の余地を生み出す。偽の申請者は完全な証拠を必要としない。それは通知とレビューを上回るのに十分な説得力のある証拠を必要とする。逆に、乱雑な歴史を持つ正当な申請者も完全な証拠を持っていないかもしれない。成熟した管理システムは、完全さをアクセスの代償にしないで、不正と歴史的な不完全さを区別しなければならない。
希少性はまた、レジストリが過剰に修正しようとする誘惑を増大させる。すべてのミスが高くつくように見えるならば、スタッフやガバナンス機関は遅延を好むかもしれない。遅延は安全に感じられる。なぜならば、誤った変更を承認する目に見える誤りを避けられるからである。しかし、無期限の遅延もまた決定である。それは記録を待つ保有者、購入者、顧客、貸し手、オペレーターにコストを転嫁する。IPv4 の枯渇後、行動しないことも行動することと同様に経済的に重要であり得る。
不正は経路イベントである前に権限連鎖の問題である
多くのハイジャックは経路事件として記憶されている。なぜなら目に見える被害は BGP で現れるからである。レジストリ経済学では、より早期の重要な問題は権限である。誰が記録を変更することを許されているのか?誰が保有者を拘束できるのか?誰が連絡先を追加または削除できるのか?誰が移転承認を要求できるのか?誰が経路認証を作成または失効させることができるのか?誰がリバース DNS を制御できるのか?これらの質問に不適切に答えられた場合、後の技術的経路は悪用しやすくなる。
RIPE データベースの認可に関するドキュメントは、認可、認証、認証情報を有用に分離している。この区別は不正レビューにおいて重要である。ある人物は認証に成功しても、要求された行為に対する権限を欠いているかもしれない。認証情報はデータベース更新を許可するかもしれないが、それが継承されたり、共有されたり、侵害されたり、古い役割に付随したりしている場合、現在の法的権限についてはほとんど示さない。会社の書類は法的存在を証明するかもしれないが、その会社が特定のアドレス範囲を制御していることを証明するわけではない。弁護士の手紙は代理権を証明するかもしれないが、代理権の範囲を証明しない。
最もクリーンな管理シーケンスは実用的である。最初に要求者を特定する。次に主張される役割を特定する。次に要求された特定の行為を特定する。次にその行為がどのような権限を必要とするかを問う。次に要求者、役割、保有者、資源の間のつながりを検証する。次に誤った承認の結果と遅延の結果を評価する。これにより、レビューは根底にあるビジネスについてのオープンエンドな判断ではなく、レジストリ行為に結びつけられたままになる。
資源の特異性が不可欠である。取締役の書簡はコンサルタントに経路記録の維持を許可するかもしれないが、アドレス保有の移転を許可するわけではない。合併契約は事業ラインを移転するかもしれないが、その事業がこれまで使用したすべてのアドレス範囲を移転するわけではない。破産管財人は会社に対する権限を持っているかもしれないが、レジストリはまだその資源がその財産、子会社、顧客、元保有者、またはスポンサー付きエンドユーザーに属するかどうかを知る必要がある。アカウント保有者は技術的アクセスを持っているかもしれないが、売却またはロック解除の権限は持っていない。
これらの区別が崩れると不正対策は失敗する。アカウントアクセスが法的権力となる。広範な手紙が移転権限となる。名前の変更が承継となる。古いメールが同意となる。技術的な経路の必要性が保有の証拠となる。裁判所への提出がその範囲を超えた指示となる。それぞれの近道は偽装支配のコストを下げる。
同じ区別が正当なユーザーを保護する。漠然とした理由で拒否された保有者は効率的にファイルを是正できない。特定の署名者、特定の連鎖、特定の移転範囲、または特定の技術的委任を証明しなければならないと言われた保有者は作業を行うことができる。管理が強ければ強いほど、問いはより正確でなければならない。境界のある検証は弱さではなく、どの事実が欠けているかについての正確さである。
RIPE NCC の対象面は移転フォームよりも広い
明らかな不正の標的は移転要求である。RIPE NCC の移転ページでは、RIPE NCC がインターネット番号資源の移転を認可し促進すること、移転がある当事者から別の当事者への保有権を変更することを述べている。これにより、移転レビューは高価値なチェックポイントとなる。しかし、偽装移転だけが実用的な支配を乗っ取る唯一の方法ではない。
連絡先は、誰が通知、苦情、検証メッセージ、復旧チャネルを受け取るかを決定するために重要である。偽の申請者が最初に連絡先を変更すれば、後の指示はよりクリーンに見えるかもしれない。連絡先の維持に失敗した保有者はまた、自身の防御を弱める。なぜなら通知はもはやネットワークのために行動する人々に届かないかもしれないからである。したがって、不正対策は、通常の連絡先衛生を容易にしながら、長期間休眠した後の完全な連絡先交換をより高いリスクとして扱うべきである。
メンテナー管理は重要である。なぜならデータベース権限は多くの後の変更を支えることができるからである。更新権限を得た当事者は、そのストーリーに合わせて記録を整合させることができる。古い事実を最新に見せ、最新の事実を歴史的に見せることができる。ルーティング関連のエントリを追加または削除し、備考を更新し、連絡先参照を変更し、外部者が見るファイルを形成することができる。後のレビュアーはまだシーケンスを検出できるかもしれないが、攻撃者は時間と見かけ上の規則性を得ている。
リバース DNS は、命名が顧客の信頼、ネットワーク運用、メールシステム、悪用処理、デューデリジェンスに影響を与え得るために重要である。リバース DNS の変更は保有権の移転ではないが、支配のシグナルとなり得る。係争中のアドレス範囲では、偽の変更は攻撃者が顧客やカウンターパーティに対し、新たな当事者が運用上のコントローラーであると説得するのを助けるかもしれない。緊急時には、サポートや調査をリダイレクトするかもしれない。
RPKI は、ROA が経路起点検証に影響を与え得るために重要である。RIPE NCC はRPKIを、ネットワークオペレーターがより安全なルーティング決定を行うのを助けるフレームワークと説明しており、その RPKI 資料はユーザーを ROA 管理に向けて指し示している。ここでのポイントはこれを経路セキュリティ記事にすることではない。ポイントは、ROA を作成、変更または失効させることができるレジストリアカウントが、財産に似た管理面に触れるということである。偽の ROA は不正な経路を覆い隠すことができ、悪意ある失効は正当な経路を損なう可能性がある。
M&A および法的名称の更新は、不連続性の表向きの顔であるために重要である。RIPE NCC のM&A ページは、最近の会社登録文書、変更を裏付ける国家機関からの法的文書、そして利用可能な場合のその他の裏付け資料を求めている。これらの要件は証拠問題の賢明な証拠である。リスクは、実際の文書が、正確な資源連鎖を証明しない場合に誤った結論を支持するために使われる可能性があることである。
したがって、管理面は束である。アカウントアクセス、連絡先、メンテナー権限、移転要求、法的名称の更新、事業構造の更新、経路認証、RPKI、リバース DNS、通知である。最終的な移転ボタンのみを守る不正システムは遅すぎる。低リスクの編集すべてを移転のように扱うシステムは重すぎる。設計問題は、変更を結果によって格付けすることである。
古い認証情報がカスタマーサービスを不正回廊に変える
アカウント復旧は、必要かつ危険なため、最も困難なレジストリ機能の一つである。復旧がなければ、正当な保有者はスタッフの離職、失われたドメイン、古いメール、元コンサルタント、忘れられた認証要素、合併によってロックアウトされる。弱い復旧では、偽の申請者が失われたアクセスを新たな権限に変えることができる。ヘルプデスクのプロセスが希少な資本への回廊となる。
このリスクは、RIPE NCC 地域で特に深刻である。なぜならサービス対象地域には、成熟したオペレーター、小規模 ISP、公共部門ネットワーク、大学、企業のレガシー保有者、クラウド企業、紛争影響を受ける事業者、制裁対象または制裁隣接の管轄区域、そして長い国境を越えた歴史を持つ企業が含まれているためである。一部の保有者は専門的なガバナンスで最新のアカウントを維持している。他は財務グレードの証拠として扱われることなく、複数の再編を生き延びた記録を持っている。一律の疑念は不公平だろう。一律の利便性は安全ではない。
賢明な復旧プロセスは段階を持つべきである。第一段階はチャネル保護だ。要求者を特定し、古い連絡チャネルがまだ機能するかどうかを検査し、可能であれば最後の信頼できる連絡先に通知する。第二段階は役割認識だ。要求者が限定的なアカウントアクセス、技術的更新権限、請求通信、緊急連絡先ステータス、または完全な権限を受け取ることができるか判断する。第三段階は変更管理だ。証拠によって正当化される変更のみを許可する。第四段階はフォローアップだ。何がまだ制限されているか、より重要性の高い行為にはどのような証明が必要かを記録する。
この段階化は、復旧をオール・オア・ナッシングにする共通の誤りを防ぐ。小規模プロバイダーは直ちに悪用メールボックスを更新する必要があるかもしれない。それは同じ日に大きなアドレス範囲を移転できることを意味しない。正当な承継者は事業構造ファイルを提出するために一時的なアクセスを必要とするかもしれない。それはその承継がすでに受け入れられたことを意味しない。技術オペレーターはサービスの継続のために経路認証を修復する必要があるかもしれない。それは保有権を移転する権限を持っていることを意味しない。
古い役割アカウントは、緊急性が続く場合に特に疑念の対象となる。まだ古いアドレスを管理している元従業員、放棄された認証情報を持つ契約者、所有者が変わったドメイン下のメールボックス、またはレガシーチームの共有パスワードはすべて、表面的に有効な指示を生成できる。要求された変更の重要性が高いほど、復旧は権限から分離されるべきである。RIPE NCC と通信するためのアクセスを得ることが、自動的に資源の経済的状態を変更する権限になるべきではない。
同時に、レジストリは整理しようとしている保有者を罰するべきではない。すべての連絡先修理が広範な調査を引き起こすならば、合理的な保有者は取引、インシデント、または監査が行動を強いるまでメンテナンスを延期するだろう。それは不正リスクを増加させる。優れた管理設計は、早期の低リスク衛生を安価にし、遅い高リスクの置換を高価にする。同じルールがリスクと取引コストを下げる。
企業証拠は真実でありながら誤解を招くことがある
不正は必ずしも粗雑な偽造に依存するわけではない。時には、最も危険なファイルは、誤った推論の周りに配置された真実の文書を含んでいる。会社登録の抜粋は本物だ。取締役は存在する。合併は起こった。子会社が名前を変えた。裁判所が管財人を任命した。事業ラインが移動した。弁護士が委任状を持っている。しかし、これらの事実のいずれも、単独では特定の IPv4 アドレス範囲に対する権限を証明しない。
これが取締役書簡問題である。企業のレターヘッドに署名された手紙は、馴染み深いため決定的に見えるかもしれない。しかし署名者は会社の規則の下で権限を欠いているかもしれない。会社が保有者ではないかもしれない。保有者は法的に吸収されていない前身かもしれない。アドレス範囲は異なる関連会社に残っているかもしれない。資源はスポンサー付き、レガシー、エンドユーザーに割り当てられているか、手紙が扱っていない契約に結びついているかもしれない。手紙はそのフォーマットが示唆するよりもはるかに少ないことを証明する。
同じことが M&A ファイルにも当てはまる。購入契約は顧客、機器、契約、ブランド、スタッフ、ネットワーク運用を移転するかもしれない。番号資源については沈黙しているかもしれない。それは「IP 資産」に言及するかもしれないが、それは知的財産を意図しており、インターネット番号ではない。それはネットワーク事業を移転するが、共有インフラを除外するかもしれない。それは、以前の再編後にアドレス記録が更新されなかった会社を移転するかもしれない。詐欺師は「承継者」という言葉をあらゆるギャップを渡る橋として使う。レジストリはその橋を検査しなければならない。
破産や倒産の物語は、緊急性と権限の複雑さが混ざり合うため、圧力を加える。清算人、管財人、受託者、裁判所任命の管理者は実際の権力を持っているかもしれない。問題は範囲である。任命は保有者をカバーしているか?特定の資源をカバーしているか?現地法はその資源を移転可能、使用可能、担保付き、顧客依存、または営業中の事業売却に結びついていると扱うか?命令はレジストリに指示しているのか、それとも単に私人間の権利を記述しているのか?RIPE NCC は適切な法的権限を尊重するべきだが、いかなる倒産申立ても普遍的な指示として扱うべきではない。
偽造ファイルはまた、国境を越えた多様性を悪用する。RIPE NCC 地域は、異なる会社登録、言語、公証慣行、制裁への露出、公共部門のフォーム、倒産制度を持つ法制度にまたがっている。ある管轄区域では普通に見える文書が、別の管轄区域では支配の問いに答えないかもしれない。不正レビューは、排外主義とナイーブさの両方を避けなければならない。なじみがないという理由だけで有効な外国のフォームを拒否すべきではなく、公的に見えるという理由だけで見知らぬフォームを受け入れるべきではない。
このレビューの経済的価値は狭い。RIPE NCC は、販売価格が公正だったか、合併が賢明だったか、債権者がより多く回収すべきか、リースが良いビジネスだったか、市場参加者が承認に値するかどうかを決定する必要はない。要求されたレジストリ変更が、その特定の資源と行為について、保有者または合法的な承継者によって承認されているかどうかを決定する必要がある。その境界が、不正防止レビューが私的な裁定になるのを止めるものである。
M&A ストーリーと倒産ストーリーは異なる時計を必要とする
事業構造の変更は盗難報告と同じではなく、盗難報告は商業紛争と同じではない。レジストリがそれらすべてに一つの時計を使うならば、不正の際は動きが遅すぎ、係争中の承継の際は速すぎることになるだろう。時計はリスクに従うべきだ。
通常の M&A 更新には文書化のリズムがある。当事者は取引を知り、会社の書類を集め、資源を特定し、要求を提出し、ポリシーと手続きの下で評価を待つ。RIPE NCC の M&A 資料は、事業構造の変更に関与する両当事者が LIR の変更を要求できること、エンドユーザーの要求はスポンサーLIR を通じて行われること、制裁チェックが評価の一部であることを述べている。これらは通常の検証ステップである。それらは、取引チームがそれらを計画できるほど予測可能であるべきである。
疑わしい M&A 更新は異なる形状を持つ。要求は長い休眠期間の後に現れる。それは新しく導入された代表者によって提出される。連鎖を説明する前に古い連絡先を置き換えようとする。通知に抵抗するために緊急性を使う。広範な会社のストーリーを提供するが、資源固有の弱い証拠を提供する。事業構造ファイルが未解決の間に、ルーティングや RPKI の変更を要求する。その後、移転やブローカーの会話が続く。これらのシグナルは不正を証明しない。それらはより高い証拠の時計を正当化する。
倒産もまた異なるリズムを必要とする。困難な状況にあるネットワークは、顧客を存続させるために迅速な継続性の行動を必要とするかもしれない。裁判所任命の管理者は、連絡先の更新、料金の支払い、リバース DNS の維持、ROA の維持、悪用報告への対応を必要とするかもしれない。これらの行動を遅らせることは無実のユーザーに害を及ぼす。しかし困難な財産もまた、特に貴重な IPv4 が数少ない流動資産の一つである場合、日和見主義的な主張を引き寄せるかもしれない。レジストリは、不可逆的な動きについて慎重でありながら、サービスと検証された責任を維持するべきである。
有用な区別は、継続性行動と価値移動行動の間である。継続性行動は既存のサービスを安全に保つ:連絡先の維持、通知の受領、請求書の支払い、既知の経路認証の維持、悪意ある失効の防止、一時的権限の記録。価値移動行動は保有権を変更し、移転のロックを解除し、以前の権限を置き換え、資源を売却し、または新たな長期的支配状態を作り出す。継続性行動はしばしばより狭い証明の下で可能であるべきだ。価値移動行動はより強い連鎖を必要とする。
この分離は全員を保護する。債権者は、盗まれたアドレス範囲がレビュー中に消えた場合に助けられない。顧客は、正当な継続性行動が完全な商業紛争の終結を待つ場合に助けられない。購入者は、レジストリが明確な範囲なしに倒産売却を是認するように見える場合に助けられない。RIPE NCC は、あらゆる倒産ファイルが私的な裁判になる場合に助けられない。管理は、価値問題が他で証拠付けられている間にネットワークを機能させ続けるのに十分なほど粒度が細かくなければならない。
同じ論理が内部の企業紛争にも適用される。二人の取締役または派閥がそれぞれ権限を主張する場合、レジストリは最後に検証された安全な状態を維持し、大きな変更にはより明確な権限を要求できる。レジストリ行為に必要な範囲を超えて企業ガバナンスを決定すべきではない。不確実性の表記または一時的な制限は正当化されるかもしれない。是正の経路のない恒久的な行き詰まりはそうではない。
移転ロックは保護策であり流動性への課税である
ロックは目に見え、シンプルで、強力であるため魅力的である。RIPE NCC の任意移転ロック資料は、RIPE NCC に登録された移転可能な IPv4、IPv6、ASN 資源がロック可能であること、自発的なメカニズムからレガシー資源は除外されること、割り振りまたは割り当て全体のみがロック可能であること、ロックはいったん実装されると取消不能であること、合意された時期に自動的に失効すること、アクティブなロックは公開されること、要求は 6、12、または 24 ヶ月単位であることを述べている。これらの詳細はロックの有用性とコストの両方を示している。
有用性は明らかである。敵対的な移転、内部紛争、債権者の圧力、アカウントの侵害、またはソーシャルエンジニアリングを恐れる保有者は、遅延に事前コミットできる。ロックは購入者、ブローカー、日和見主義的な申請者に対し、アドレス範囲が迅速に動かされないことを伝える。それは通知、取締役会のレビュー、企業のクリーンアップ、紛争解決のための時間を買うことができる。価値あるアドレス範囲にとって、その時間は盗難を防ぐかもしれない。
コストも同様に現実的である。ロックは選択肢に対する税である。ロック期間中に正当な販売、借り換え、合併、分割、再構築を妨げる可能性がある。希少な資源を過剰にロックする企業は、盗難から保護する一方で、資本調達や市場状況に対応する能力を減少させるかもしれない。購入者は、タイミングが不確実なためロックされた資源を割引くかもしれない。小規模ネットワークは、資金需要を予測できないためロックを避けるかもしれない。大規模保有者は、法務スタッフ、アドレス在庫、資金調達の代替手段を持っているため、より確信を持ってロックを使用できるかもしれない。
アクティブなロックの公開もまた混合した効果を持つ。それは市場参加者が迅速な移動が不可能であることを知り、誤った期待を減らすのを助ける。またそれは、保有者が支配を心配しているか、再構築中であるか、アドレス範囲を戦略的に価値あるものとして扱っていることを明らかにするかもしれない。その情報は問い合わせや投機を引き付ける可能性がある。公開性はロックを拒否する理由ではないが、それらの経済的影響の一部である。
自発的メカニズムからのレガシー資源の除外もまた示唆に富む。多くの不正管理問題は古い歴史の周りに集まるが、古い歴史は現代の管理ツールにきちんと適合しないかもしれない。レガシー保有者は偽の承継を恐れる最も強い理由を持ちながら、クリーンな自発的ロック経路への最も少ないアクセスを持つかもしれない。それは、すべてのレガシーアドレス範囲が同じ手段を必要とすることを意味しない。それは、不正管理設計が、最も簡単にロックできる資源だけがリスクにさらされていると仮定してはならないことを意味する。
したがって、最適なロックポリシーは最大限のロックではない。それは比例的なロックである。保有者は高リスク資源を保護できるべきだが、ロックは透明で、時間定義され、特定の資源に範囲限定され、ロック中に何が依然として起こり得るかについて明確な手続きが伴うべきである。連絡先の維持、セキュリティ修復、料金支払い、悪用処理、既知の経路認証、緊急時継続性は、移転の動きと混同されるべきではない。盗難を止め、メンテナンスを可能にするロックは管理である。すべての有用な行為を凍結するロックは、別の名前の凍結となる。
経路認証と命名は高価値な制御面である
経路セキュリティインフラストラクチャは、別の場所で独自の扱いを必要とするが、不正管理設計は経路認証を無視できない。偽の申請者は、ルートが認証されていると生態系に納得させることができれば、法的所有権を必要とせずに害を生み出すことができる。ネットワークがますます ROA や他の経路証拠を考慮する世界では、これらのシグナルを作り、変え、または失効させる力は経済的な重みを持つ。
RPKI と ROA は、ネットワークが経路起点決定を下すのを助ける。まさにそのため、それらは偽の支配から保護されなければならない。保有者の RPKI インターフェースまたは権限経路へのアクセスを持つ不正な当事者は、新しい起点を認証しようとしたり、不正な起点を保存しようとしたり、正当なオペレーターを支える認証を失効させようとしたりできる。その結果は、経路受容、経路拒否、トラフィックの移動、顧客の停止、クラウドインポートの失敗、または交渉のレバレッジとなるかもしれない。
同じことが、より弱くはあるが依然として重要な方法で、RIPE データベース内の経路記録にも当てはまる。それらは暗号的な起点検証と同じではなく、経路記録ガバナンスの詳細は別の議論に属する。しかしそれらは、オペレーター、自動化システム、カウンターパーティが検査し得る証拠であり続ける。攻撃者がこれらの記録を自分のストーリーに合わせることができれば、不正はより容易に売れるものになる。正当な保有者がインシデント中にそれらを更新できない場合、サービス復旧は損なわれるかもしれない。
リバース DNS は、同様の経済性を持つ異なる面である。名前は所有権を証明しない。それらは信頼、デバッグ、カスタマーサポート、メールシステム、ポリシーフィルター、デューデリジェンスに影響を与える。偽のリバース DNS の変更は、アドレス範囲が運用的に誤った当事者に属しているように見せかけることができる。名前を変更しないという悪意ある行為は、正当な新オペレーターが旧ネットワークに結びついたままにするかもしれない。係争中の支配レビューでは、命名は事務的な装飾としてではなく、証拠に敏感なものとして扱われるべきである。
管理原則は再び段階的な結果である。長期間検証された保有者による低リスクの修正は不必要な摩擦に直面すべきではない。アカウント復旧後、休眠連絡先の置換後、係争中の承継、緊急の主張、または移転に隣接した緊急性の後の高影響変更は、より強い確認を必要とするべきである。同じ変更でも、タイミングとファイル履歴に応じて異なるリスクを持ち得る。
レジストリはまた、可能な場所では可逆性を保持すべきである。緊急凍結が新たな ROA 変更を止めるならば、既存の ROA が残っているかどうか、既知の正当なルーティングが保護されているかどうか、誰がサービスを維持する調整を要求できるか、凍結がどのようにレビューされるかを説明すべきである。リバース DNS 委任が争われている場合、レジストリは、一方が命名を圧力として使用するのを許すのではなく、最後に検証された状態または中立的な継続状態を維持すべきである。
これは RIPE NCC がルーティング戦略を管理すべきだという議論ではない。オペレーターは自分のネットワークをどのようにルーティングし、セキュリティを確保し、設計するかを決定する。レジストリの仕事は、それが管理する権限面が偽の申請者によって捕捉されないようにすることである。この区別は言葉では小さく、正当性において大きい。
緊急凍結は紛争表記よりも鋭い刃を必要とする
すべてのレジストリは、直接の害を止める方法を必要とする。RIPE NCC がアカウントの侵害、偽造された権限、承認されていない連絡先の置換、または悪意ある RPKI の変更の信頼できる証拠を見た場合、リスクを迅速に封じ込めることができるべきである。凍結は、最後に検証された状態を保存し、移転を止め、さらなる連絡先置換を防ぎ、高リスクの権限変更をブロックし、通知のための時間を作り出せる。そのツールなしでは、レジストリは盲目的な処理と、攻撃者が動く間の遅い通常レビューのどちらかを選ばざるを得なくなるだろう。
危険は緊急の言葉が拡大することである。カウンターパーティが、価格が気に入らないから取引を疑わしいと呼ぶ。債権者が、レバレッジが欲しいから販売を不正と呼ぶ。対立する取締役が、企業の争いが未解決だからアカウント更新を許可されていないと呼ぶ。規制当局が、直接の法的指示なしに懸念を提起する。大口顧客が安定性を求める。それぞれが重大かもしれない。すべての懸念が緊急事態というわけではない。
したがって、緊急凍結は通常の紛争表記よりも鋭い刃を持つべきである。引き金は、レジストリ層の管理に対する差し迫った、または最近のリスクであるべきだ。つまり、アカウントの侵害、偽の身元、偽造された署名者権限、疑わしい完全な連絡先置換、争われている復旧、悪意ある ROA 行為、承認されていないリバース DNS 委任、または偽の権限に基づくと思われる移転要求である。対照的に、商業上の不一致は、表記、通知、またはより明確な権限の要求を正当化するかもしれないが、必ずしも完全な凍結を必要としない。
時間が重要である。緊急凍結は初期期間、レビューポイント、それを狭めたり解除したりする経路を持つべきである。最初の数時間または数日は、特に詳細を明らかにすることが攻撃者を助ける場合、速度と限定的な説明が必要かもしれない。後の期間は理由を必要とする。何が凍結されているのか?何が可能なままなのか?どの証拠が懸念を解決するのか?どの当事者が通知されたのか?次のレビュー日はいつか?これらの特徴のない凍結は、慣性による裁量になる。
範囲は時間と同じくらい重要である。疑わしい侵害が移転権限に関するものであれば、通常の悪用連絡先の修復をブロックする必要はないかもしれない。懸念が悪意ある ROA の変更であれば、請求更新を妨げる必要はないかもしれない。懸念が争われている M&A ファイルであれば、既存顧客の継続性を断つ必要はないかもしれない。狭い範囲は注意のコストを下げる。
適正手続は、書類が準備される間、盗人が動くのを許すことではない。それは、緊急行動がレビュー可能な理由と通常への復帰経路に結びつけられなければならないことを意味する。レジストリは必要な場所ではまず行動できる。直接的な危険が去った後に緊急の後ろに隠れるべきではない。
監査証跡は私的信用の代替である
不正管理システムは、その監査証跡と同程度にしか信頼性がない。市場は、スタッフメンバーが個人的に信頼されているからレジストリに依存することはできない。市場は、機関が誰が何を、どのような権限で、どのような証拠で、何の通知後に、どのようなレビューを経て行ったかを示せるから、レジストリに依存する。監査可能性は、私的なスタッフの判断を制度的な信頼性に変換する。
内部ファイルは粒状であるべきだ。それは要求者、使用されたアカウント、認証経路、主張された役割、署名者、保有者、資源、要求された行為、受け入れられた証拠、拒否された証拠、送られた通知、受信された応答、スタッフの承認、エスカレーション、ポリシー根拠、関連する場合は制裁や法的チェック、そして最終決定を区別すべきである。後のレビュアーは、結果だけでなく推論を再構築できるべきである。その証跡なしでは、すべての難しいケースは記憶の戦いになる。
二重管理は同様に重要である。高影響行為は、一つのスタッフアカウント、一つのサポートメッセージ、一つの未チェックのレビュアーに依存すべきではない。メーカー・チェッカー分離、エスカレーション閾値、特権アクセスログ、独立したレビューは、内部リスクとソーシャルエンジニアリングリスクの両方を減らす。それらはまたスタッフを保護する。文書化された管理に従うレビュアーは、緊急の申請者、大口顧客、ブローカー、または怒った保有者からの圧力に晒されにくい。
スタッフアクセスの境界は重要である。なぜならレジストリのスタッフは高価値面に対する実用的な力を持っているからである。認証情報の追加、アクセスのリセット、移転の承認、ロックの変更、メンテナー経路の変更、または RPKI サービスに影響を与える能力は、役割とリスクに応じて許可されなければならない。詐欺師は、助けることができる人を見つけることで機関を悪用し、助けを正当化できるポリシーを見つけるのではない。高リスク変更に二つの役割を要求する管理は官僚制ではない。それは保険である。
通知ログは同じ経済学の一部である。最後に検証された連絡先に通知されたなら、ファイルはどのように、いつ行われたかを示すべきである。通知が失敗した場合、失敗は自動的に同意になるべきではない。緊急行動が事前通知を妨げた場合、ファイルはその理由を示すべきである。申請者が秘密を求めた場合、ファイルはその根拠を示すべきである。通知は儀式ではない。それは、合法的な保有者が置換を防ぐ機会を持つためのメカニズムである。
集約された報告は、私的ファイルを公開することなしにインセンティブを改善できる。RIPE NCC は、移転レビューのタイミング、ロックの使用、復旧ケース、緊急制限、争われた権限ファイル、是正結果などのカテゴリを境界のある形で報告することができる。市場は、管理システムがタイムリーで予測可能かどうかを知るために名前を必要としない。不正防止が隠れた資本管理になっているのか、または利便性が捕捉リスクを生み出しているのかを見るのに十分な統計を必要とする。
小規模ネットワークは最も高い検証税を支払う
不正対策はしばしば、洗練された保有者が作成できる文書の周りに設計される。大規模通信事業者、クラウドプロバイダー、公開会社、専門のアドレス市場関係者は、最新の会社抽出物、取締役会決議、弁護士の手紙、委任権限マトリックス、取引スケジュール、エスクロー指示書、セキュリティチーム、アカウント管理のプレイブックを持っているかもしれない。彼らはきれいなファイルでレビューに対応できる。
小規模ネットワークはしばしばできない。地域 ISP は 2 人のエンジニアによって設立され、小さな顧客基盤を取得し、地元の取引を通じてアドレスを継承し、完璧な書類の証跡なしに法的形態を変更したかもしれない。大学の学科は、スタッフが変わり記録が紙から古いチケットシステムに移動する間、何十年もアドレス範囲を使用してきたかもしれない。公共サービス提供者は、運用上の使用を証明する調達ファイルを持っているが、すべての歴史的リンクは持っていないかもしれない。家族経営は創業者承継問題を抱えているかもしれない。紛争の影響を受けた企業はアーカイブを失っているかもしれない。小規模なホスティング企業は、辞めた一人の管理者に依存しているかもしれない。
これらのケースは弱い管理の言い訳ではない。それらは比例的証拠の理由である。大企業のファイルのみを受け入れるレジストリは、小規模保有者を遅延、法務費用、またはブローカーや弁護士への依存に追いやるだろう。それは既得権益税を生み出す。最も余裕のない資本を持つ保有者が、継続性を証明するために最も多くを支払う。その結果、強制販売、割引、クリーンアップの延期、またはレジストリの文書言語を話す方法を知っている者への脆弱性が生じるかもしれない。
比例的証拠には、過去の請求書、以前に検証されたレジストリのやり取り、古い通信、税務記録、会社継続性文書、公開提出物、取締役会議事録、政府調達記録、運用経路履歴、ドメイン管理証拠、アップストリーム確認、顧客継続性証拠、適切な場合の宣誓供述書が含まれ得る。すべての証拠が等しい重みに値するわけではない。しかし、一つの完璧な文書が存在しない場合、複数の弱い事実から信頼できる連鎖を構築することができる。
レジストリはまた、証拠の貧困と疑わしい行動を区別すべきである。通知に答え、サービスを維持し、ギャップを説明し、限定的な修復を求める、乱雑なアーカイブを持つ小規模保有者は、緊急の下で大規模な移転を推し進める新たに到着した申請者とは異なる。比例的なシステムは、誤りによる損失が高い場合に質問を提起するが、不完全な歴史が悪意と等しいとは仮定しない。
これには競争上の意義がある。不正対策が予測可能で比例的であれば、小規模ネットワークは、高価なゲートキーピングチャネルに強制されることなく、記録を維持し、取引し、盗難に対して防御できる。管理が不透明であれば、市場は遅延、法的助言、制度的精通を余裕のある者に報いる。そうすれば不正防止は最大手の保有者に対する意図しない補助金になる。
支配が弱すぎれば盗人に報い、強すぎれば裁量に報いる
モラルハザードは両面性がある。弱い管理は盗人に報いる。アカウント復旧が容易で、古い認証情報で十分で、企業の手紙が範囲レビューなしに受け入れられ、ルーティングやリバース DNS の変更がアカウントアクセスに自動的に従うなら、攻撃者はソーシャルエンジニアリングに投資するだろう。彼らは古いドメインを買い、元スタッフを見つけ、取締役会の手紙を偽造し、M&A ファイルを模倣し、緊急の移転ウィンドウを悪用する。希少な IPv4 を迅速に収益化できるため、期待リターンは高い。
弱い管理はまた、誠実な市場参加者を罰する。購入者は不確実なアドレス範囲を割引かなければならない。エスクロー提供者はより多くの条件を要求する。ブローカーはデューデリジェンスにより多くを請求する。クラウドやデータセンターチームは Bring-Your-Own-Address(BYOA)の主張により懐疑的になる。貸し手はアドレス依存の収益を信頼性が低いと扱う。古い記録を持つ保有者は、公的管理システムが信頼されていないため、より多くの私的審査に直面する。弱いレジストリレビューは流動性を生み出さない。それは不正プレミアムを生み出す。
過剰な管理は異なる危険を生み出す。すべての移転、復旧、M&A 更新、ROA 変更、リバース DNS 修復が未定義の懸念によって遅延される可能性があるなら、レジストリのスタッフは希少な資本の私的割り当て者になる。彼らは価格を設定したり所有権紛争を決定したりする意図はないかもしれないが、遅延はその両方を行い得る。凍結されたアドレス範囲は時間通りに販売できない。ブロックされた更新はサービスを損なうことがある。より多くの証拠を求める漠然とした要求はクロージングを殺す可能性がある。不正懸念として枠付けられた拒否は、ビジネスモデルに対する隠れた判断になる可能性がある。
過剰な管理はまた、フォーラムショッピングを生み出す。私的紛争に勝てない当事者は、レジストリに凍結、遅延、疑念を抱かせることで勝とうとするかもしれない。債権者、競合相手、カウンターパーティ、元従業員、不満な購入者、国家関連のアクターはすべて、レジストリの一時停止が訴訟よりも安いことを発見するかもしれない。RIPE NCC が商業的てこ入れを生み出す最も簡単な場所になれば、それは元帳としての役割から引き離されるだろう。
正しい均衡はより狭い強さである。偽の権限を高価にせよ。正当なメンテナンスを容易にせよ。高影響の移動をレビュー可能にせよ。緊急行動を迅速に、しかし時間制限付きにせよ。ロックを利用可能にせよ、しかし慎重に選択するのに十分なコストをかけよ。証拠要求を具体的にせよ。スタッフの決定を監査可能にせよ。レジストリの事実を信頼できるものにせよ、レジストリが私的市場を決定すると偽ることなく。
この均衡は、より少ない管理を求めるイデオロギー的な選好ではない。それは希少な元帳のための設計原則である。レジストリの力は、それが境界付けられているときに最も強い。RIPE NCC が何を検証するかをより正確に言えるほど、それ以外のすべてを検証しなければならないという圧力は少なくなる。
境界は防止、帰属、可逆性である
RIPE NCC にとっての正しい境界は、シンプルに述べることができる。それは、承認されていないレジストリの変更を防ぐべきである。承認された変更を帰属可能にすべきである。レビューのために十分な歴史を保持すべきである。レジストリの面が許す場所では可逆性を支えるべきである。緊急時に継続性を可能にすべきである。私的所有権争いを決定したり、市場参加者を罰したり、価格を設定したり、資源を押収したり、商業裁判所として運営したり、不正対策の言葉を使って資本管理を課したりすべきではない。
防止とは、単なるもっともらしさを権限として扱うことを拒否することを意味する。認証情報、アカウント、手紙、会社抽出物、合併ファイル、倒産申立て、経路要求は、特定の行為に一致させられなければならない。重要性が高いほど、一致は強くなければならない。防止はまた、記録が将来の脆弱性へと腐敗しないよう、低リスクのメンテナンスを保護することを意味する。
帰属とは、すべての高価値変更が追跡可能な要求者、レビュアー、証拠セット、承認経路を持つべきであることを意味する。市場は説明不能な決定よりも困難な決定をよりよく許容できる。購入者、貸し手、オペレーター、保有者は、レジストリ行為が私的な説得ではなく管理されたファイルに従ったことを知る必要がある。
可逆性とは、誤りの可能性を中心にプロセスを設計することを意味する。一部のレジストリ変更は迅速に取り消すことができる。一部は無実の信頼を害さずには取り消せない。移転、ROA 変更、リバース DNS の移動、連絡先置換はしたがって、取り消しの難しさによって格付けされるべきである。より不可逆的な行為は、より多くの変更前検証とより明確な変更後証拠に値する。
継続性とは、不正管理が安全に保存できる場所でサービスを壊すべきではないことを意味する。既存の顧客、公共機関、病院、学校、ブロードバンドユーザー、エンタープライズアプリケーション、緊急サービスは、レビュー中のアドレスに依存しているかもしれない。狭い凍結は、価値移動を防ぎながらそれらを保護できる。広範な凍結は、レジストリをそれが避けようとした害の原因にし得る。
私的所有権を裁定しないという拒否は、裁判所や法律を無視することを意味しない。それは、法的資料をそのレジストリの関連性のために読むことを意味する。明確な範囲を持つ裁判所命令は行動を拘束するかもしれない。明確な権限のない私的主張は、表記または証拠レビューを正当化するかもしれない。売り手と買い手の間の紛争は、主に契約、裁判所、エスクロー条件に属する。RIPE NCC は、法律または権限連鎖がそれを要求しない限り、価値についての不一致をレジストリの評決に変換すべきではない。
この境界はまた、レジストリを委任ロンダリングから保護する。不正防止は、誰もが盗難に反対するため人気がある。それは、無関係な目標にとって魅力的なラベルになる。アドレス販売の減速、リースの抑制、嫌われたアクターの処罰、法的要件を超えた制裁不安の表明、地域資本の保護、または強力な既得権者に時間を与えることである。規律は、あらゆるケースにおいて、どのような承認されていないレジストリ変更が防がれているかを問うことである。答えが不明確なら、その管理は車線の外にあるかもしれない。
2026 年から 2029 年までに注目すべきこと
第一の注目点はアカウント復旧である。市場は、復旧が抽象的に速いかどうかではなく、リスクによって段階分けされているかどうかをより気にするべきである。健全なシステムは、低リスクのメンテナンスを迅速に許可し、完全な権限交換にはより強い証明を要求し、可能な限り最後の信頼できる連絡先に通知し、復旧が即時の移転権力になることを防ぐだろう。
第二の注目点は移転ロックの使用である。自発的ロックの増加は、保有者が盗難リスクについてより洗練されつつあることを意味するかもしれない。それはまた、内部紛争、市場のタイミング、またはアカウント侵害を心配していることを意味するかもしれない。鍵となる問いは、誰がロックを使い、どの資源が同様の保護から除外されているか、ロックが取引タイミングにどのように影響するか、そしてロック期間中にメンテナンスが可能なままかどうかである。
第三の注目点は M&A および倒産処理である。事業構造の変更はより資源固有になるべきである。取引ファイルは、アドレス範囲、登録された保有者、承継チェーン、署名者権限、顧客継続性、RPKI 状態、リバース DNS 制御、既存ロック、紛争履歴、意図されたタイミングを特定すべきである。倒産ファイルは継続性と価値移動を分離すべきである。これらの慣行が広がれば、私的ファイルがよりクリーンになるため、レジストリのレビュー負担は低下するだろう。
第四の注目点は RPKI 制御である。ROA カバレッジと経路起点検証がより正常になるにつれて、ROA を発行または失効させる権限はより価値が高くなる。不正の問いは、RPKI 管理が高影響面として保護されているかどうか、ただし経路セキュリティポリシーを市場裁定に変えることなく、である。侵害されたアカウントが、権限がチェックされる前に、もっともらしい経路ストーリーを作り出すことができるべきではない。
第五の注目点は小規模ネットワークの負担である。不正対策レビューがますます弁護士の多いファイルを要求するようになれば、大規模保有者は適応し、小規模保有者は苦労するだろう。証拠標準はより正確になり、単により重くなるべきではない。小規模ネットワークは、どの事実が欠けていて、それをどのように是正するかを理解できるべきである。不透明なレビューは競争に対する隠れた税になるだろう。
第六の注目点は緊急の言語である。一時的な凍結は、一時的で、範囲限定され、レビュー可能なままでいるべきである。緊急ステータスが商業的不快感のための常設カテゴリーになれば、不正管理は資本ゲートになっているだろう。緊急ツールが弱すぎるなら、偽の申請者が速度を悪用するだろう。指標は最大限の行動でも最小限の行動でもない。それは、行動が実証可能なレジストリ管理リスクに結びついているかどうかである。
第七の注目点は集約透明性である。RIPE NCC は、管理が機能していることを市場に示すために私的な不正ファイルを公開する必要はない。境界付きの統計、タイミング分布、ロック数、復旧カテゴリー、紛争結果、ポリシー向けの教訓を公開できる。市場は見えるものに価格を付ける。沈黙は、不正と裁量の両方を検出しにくくする。
最後の注目点は制度的謙虚さである。RIPE NCC は、それが強力な元帳であるときに最も価値が高く、市場ガバナーではない。レジストリは権限を検証し、アカウント面を保護し、歴史を保持し、緊急事態を封じ込め、資源変更をレビュー可能にすることができる。それは、希少な IPv4 をめぐるすべての私的闘争を解決することはできず、また試みるべきでもない。ハイジャックと不正リスクへの成熟した回答は、より弱いレジストリではない。それはより狭く、より監査可能なレジストリである。
この記事を開いた偽装移転のレビューには完璧な結末はない。時には緊急の要求は本物である。時にはそれは盗難である。時には双方が部分的に正しく、企業ファイルが単に壊れている。レジストリの正当性は、その役割が許す以上を知っているふりをしないことに依存する。それは、承認されていない変更を止め、最後に検証された安全な状態を保護し、具体的な証拠を要求し、可能な限りサービスを維持し、私的な価値紛争はそれのために作られた制度に委ねるべきである。希少市場において、その抑制は受動性ではない。それは、元帳が賞品になるのを防ぐ管理である。

