概要

  • 公共セクターのアドレス依存とは、省庁、地方自治体、裁判所、病院、学校、緊急サービス、政府契約業者が、継続性のために必要でありながら直接管理していないレジストリ証拠に静かに依存していることを指す。
  • RIPE NCC は、ヨーロッパ、中東、中央アジアの一部にわたるインターネット番号資源の地域登録層を運営し、データベース、逆引き DNS、ルーティングセキュリティ、移転継続性機能などを提供しており、経済的に重要である。
  • この依存は、省庁のネットワークチームを通じてではなく、調達を通じて入り込む。通信事業者、クラウドプラットフォーム、ホスティング事業者、マネージドセキュリティベンダー、SaaS サプライヤー、地方政府ネットワークがアドレスの選択を行い、それが後に撤退コストや公共サービスのレジリエンスを形成する。
  • レジストリ記録は、政府機関がアドレス管理を証明したり、クラウドのオンボーディングを検証したり、経路起点ステートメントを維持したり、逆引き DNS を保持したり、インシデントの質問に答えたり、評判を維持したり、サイバーやサプライヤーの障害から回復したりする際に、公的な証拠となる。
  • 合法的な国家権力とレジストリの認識は異なる権力である。裁判所や規制当局は多くのことを命じられるが、安全な行政には、国家による押収、政治的なゲートキーピング、アドホックな資本規制ではなく、継続性を保つレジストリの更新が必要である。
  • IPv4 の枯渇はこの問題をより高価にする。プロバイダー所有のアドレス計画は政府機関を契約に縛り付け、ポータブルな保有には規律ある管理、監査証跡、テストされた緊急権限が必要だからである。
  • RIPE NCC の正当な役割は、薄いが信頼できる台帳であることだ。正確な記録、予測可能な証拠、持続的な連絡経路、継続性を保つ変更、透明な公益報告、そして主権レジストリや執行機関にならないことへの自制である。
  • 公共機関にとっての実際的なテストは、サービス障害が依存を露呈させる前に、アドレスガバナンスが調達ファイル、災害訓練、クラウド移行計画、インシデント対応、サプライヤー退出条項、監査証拠に現れているかどうかである。

税ポータルの問題はポータルの下から始まる

公共セクターのアドレス依存を考える最も明らかな方法は、レジストリ会合から始めることではない。納税期限の 2 週間前の政府継続性ルームから始めよう。歳入省庁は申告ポータルをクラウドプラットフォームに移行し、レガシーな支払いゲートウェイを厳格な許可リストの背後に置き、公開ウェブサイトの前に DDoS サービスを配置し、ログを監視するマネージドセキュリティベンダーを維持している。この機関には、市民 ID 統合、請負業者が運営するコールセンターシステム、送信者の評判に依存する E メールサービス、プライマリ環境がダウンした場合の迅速なフェイルオーバーを約束するディザスタリカバリ計画がある。

会議室の職員は、稼働時間、認証、データベースバックアップ、法的提出期限、メディア対応、緊急調達について話すことができる。しかし、サービスはさらに目に見えないものにも依存している。それは、誰がパブリック IP レンジを使用できるか、誰がそのルーティングを許可できるか、誰が逆引き DNS を変更できるか、インシデント発生時にどの連絡先レコードが信頼されるか、クラウドプロバイダーが持ち込みアドレスレンジをどのように検証するか、サプライヤーの撤退が公共サービスに利用可能なネットワーク ID を残すかどうか、といったことを証明する能力である。

これらの要素が古くなっていれば、税ポータルは依然としてモダンに見えるかもしれない。セキュリティレビューを通過し、信頼できるクラウド内に存在するかもしれない。ダッシュボード、フェイルオーバースクリプト、暗号化を持っているかもしれない。しかし、サプライヤーが故障したとき、サイバーインシデントがルーティング変更を要求したとき、あるいは新しいクラウドリージョンが同じパブリックレンジを広告しなければならないとき、レジストリレコードは背景から前面に出る。それは管理上の証拠となる。それはクラウドプラットフォーム、ネットワークオペレーター、インシデントレスポンダー、監査人、時には裁判所に対して、誰がアドレス空間の責任者として認識されているかを示す。

これは税の問題だけではない。裁判所の電子提出サービスは、サプライヤー変更時に弁護士や訴訟当事者のアクセスを維持する必要があるかもしれない。病院ネットワークは、検査室、救急部門、保険インターフェース、地域医療交換のための信頼できる接続が必要かもしれない。学校システムは、アドレスの評判やベンダーのルーティングに結びついたフィルタリング、生徒記録、テストプラットフォーム、保護者向けコミュニケーションに依存するかもしれない。市は、洪水時に水道、交通、警察、図書館、許可、給付金システムへの到達性を維持する必要があるかもしれない。緊急サービスネットワークは、派遣、警告、調整の信頼を保ちながらトラフィックを再ルーティングする必要があるかもしれない。

いずれの場合も、公共機関はそのサービスに対して合法的な権限を行使する。契約に署名し、入札を発行し、規制を通過させ、サプライヤーに指示し、大臣に応答し、裁判所に出廷することができる。しかし、その公的なアドレス ID が依存する地域登録機関を直接管理しているわけではない。RIPE NCC 地域において、その機関は RIPE NCC である。これはヨーロッパ、中東、中央アジアの一部を担当する独立した非営利の会員制協会であり、地域インターネットレジストリである。その公共サービス地域の資料には、75 か国以上にわたる 2 万以上のローカルインターネットレジストリ組織のコミュニティが記載されている。その機能には、インターネット番号資源の登録、RIPE データベース、RPKI を通じたリソース認証、逆引き DNS サービス、移転や合併の認識が含まれる。

これらの事実は RIPE NCC を公共セクターの計画者にするわけではない。それらは RIPE NCC を、公共サービスがますます依存する台帳にしている。その違いが経済学の中心である。台帳は病院、裁判所、税システムを指揮しない。公共機関が使用するネットワークを所有しない。しかし、その台帳がアドレス ID が認識される場所であるならば、台帳の継続性は行政の一部となる。公共セクターはもはや IP アドレスガバナンスを小さなネットワーク付属物として扱うことはできない。それは国家サービス、調達、公共の信頼のためのコントロールサーフェスである。

なぜ公共セクターは単なる別の顧客ではないのか

政府はしばしば大企業と同じ企業からテクノロジーを購入する。同じハイパースケールクラウド、同じ DDoS プロバイダー、同じ通信事業者、同じ ID ツール、同じマネージドセキュリティサービスを使用する。その類似性は誤解を招く可能性がある。省庁、地方自治体、裁判所システムは単にレターヘッドに国旗をつけた企業ではない。

第一の違いはサービス義務である。企業は製品ラインを閉鎖し、顧客に補償し、停止リスクを受け入れ、市場から撤退することができる。公共機関は通常できない。税金は徴収されなければならない。給付金は支払われなければならない。裁判所は提出を受け付け、判決を公表しなければならない。病院は通信しなければならない。学校は生徒システムを稼働させ続けなければならない。緊急サービスは派遣しなければならない。地方自治体は水道、許可、交通、公安、公共記録をサポートしなければならない。これらの機能は、サプライヤー契約やレジストリレコードが不便になったからといって任意に停止できるものではない。

第二の違いは法的説明責任である。公共機関は、市民、監査人、議員、裁判所が理解できる言葉で失敗を説明しなければならない。クラウド移行が古いレジストリデータと衝突して給付金ポータルが到達不能になった場合、技術的な説明だけでは不十分である。依存関係が調達ファイルに記録されていなかった理由、古いベンダーが依然として経路に影響を与えられた理由、逆引き DNS が現在の公共サービスと一致しなかった理由、インシデント発生時に権限を持つ誰も行動できなかった理由を誰かが問いただすだろう。公共行政はネットワーク衛生を監査上の質問に変える。

第三の違いは調達時間である。民間企業は予算と経営陣の承認があれば、緊急の専門知識を購入し、サプライヤーを変更し、アドレス空間を取得し、トラフィックを迅速にシフトできるかもしれない。省庁は入札、修正、閣議や自治体の承認、予算移転、法的レビュー、後で精査される緊急調達メモが必要かもしれない。裁判所、大学、保健当局、市政府はそれぞれ独自の承認チェーンを持つかもしれない。日単位でかかるレジストリ更新は、柔軟な契約を持つ企業にとっては問題ではないかもしれない。法定の期限に直面する公共機関にとっては政治的な出来事になり得る。

第四の違いは証拠である。公共機関は、決定が再検討可能でなければならないため、記録を保存する。レジストリデータ、逆引き DNS 委任、経路起点ステートメント、サプライヤーレター、クラウド検証記録、インシデントタイムラインはすべて、公共サービスの継続性に関する証拠の一部となる可能性がある。それらはサイバー調査、調達紛争、議会質問、裁判所提出、公開記録請求、保険レビューに必要になるかもしれない。レジストリレコードはすべての運用事実の決定的な証拠ではない。しかし公共セクターでは、それがしばしば外部関係者が最初に参照する記録になる。

第五の違いは信頼である。市民はポータルが故障した場合に競合する税務当局を選ぶことはできない。患者はアウトブレイク中に別の公衆衛生報告システムを選択することはできない。訴訟当事者は法律で期限が定められた裁判所提出システムを迂回することはできない。市民にはしばしば代替手段がないため、国家は継続性を維持し、依存関係を説明するより強い義務を負う。公共アドレス ID はその義務の一部となる。

これが、公共セクター版のアドレス依存が独自の分析に値する理由である。問題は RIPE NCC がレジストリを維持することで悪い振る舞いをしていることではない。問題は、政府が重要な公共機能が、ベンダー、調達、枯渇を通じて、レジストリの継続性に依存を蓄積させることを許し、その依存を中核的なレジリエンスの問題として扱っていないことである。レジストリは狭いままでありながら、依然としてシステム上重要になり得る。国家は主権を保ちながらも、サービスが移動し、ルーティングされ、回復し、信頼されるための公的証拠を非国家台帳に依存し得る。

依存への道はベンダーを通って入る

逆引き DNS を考えて目覚める大臣はほとんどいない。経路起点認証を議論する地方議会はほとんどない。患者ポータルの背後にあるパブリックレンジがプロバイダー所有か、政府機関保有か、クラウドに持ち込まれたか、キャリアによって委任されたか、マネージドサービスに組み込まれているかを問う病院理事会はほとんどない。依存はベンダーを通じて入り込む。なぜなら現代の公共インフラが組み立てられる場所がそこだからである。

通信事業者はアクセス回線、トランジット、マネージド WAN、固定およびモバイル接続、緊急サービス回線、そして時にはアドレスレンジを提供する。ホスティングプロバイダーはレガシーな公開ウェブサイト、裁判所システム、支払いゲートウェイ、地方政府ポータルを運営する。クラウドプラットフォームは ID サービス、ケースマネジメント、分析、公開 API、ディザスタリカバリ環境をホストする。マネージドセキュリティ企業は DDoS ルーティング、スクラビング、ファイアウォールルール、インシデント対応、ロギングを管理する。SaaS 企業は、アドレスの評判や地理位置が公共機関の直接管理外にある可能性がある公開エンドポイントを露出する。システムインテグレーターは、納品とコストに報いる調達スケジュールの下でこれらの部品を組み立てるが、出口の明確さが常に報われるわけではない。

その結果は委任された管理である。ある市はウェブサイトホスティングサービスを購入したと信じているかもしれないが、サプライヤーは将来の移動可能性を形作るアドレス空間、ルーティング、逆引き DNS についての選択を行っている。病院はセキュリティ監視をアウトソースしたと信じているかもしれないが、マネージドセキュリティプロバイダーは攻撃中にトラフィックフローを変更する実際的な能力を保持している。裁判所は提出を近代化したと信じているかもしれないが、その公開エンドポイントは将来のサプライヤー変更を遅くリスクのあるものにするベンダーアドレス計画の背後に座っている。省庁は自身のレンジをクラウドプラットフォームに持ち込むことができるが、それはレジストリレコード、RDAP データ、経路起点ステートメント、検証ステップが揃っている場合に限られる。

公式のクラウドドキュメントは証拠の役割を見えるようにしている。Amazon EC2 の BYOIP 資料は、顧客がパブリックにルーティング可能な IPv4 または IPv6 レンジの一部または全部を AWS に持ち込み、レンジの管理を継続し、AWS にそれを広告させることができると述べている。また、AWS はレンジの管理を検証し、RIPE NCC などのレジストリの RDAP レコードを通じて行い、経路起点認証(ROA)とレジストリレコードの更新を管理環境の一部として挙げている。Microsoft Azure はカスタム IP プレフィックスを、外部顧客が所有し、サブスクリプションにプロビジョニングされ、Microsoft が広告を許可されたパブリックレンジと説明している。Azure は、顧客が評判と外部で管理された許可リストを維持するために IP レンジを保持できること、一部の検証が Azure の外部で行われることを注記している。

これらの詳細はクラウドのトリビアではない。それらはレジストリレコードがいかにコントロールプレーンの証人となるかを示している。公共機関はクラウド契約に署名できるが、クラウドプラットフォームは依然として、そのレンジが適切な機関によって保持され、新しい環境で広告される可能性があるという証拠を必要とする。国家は合法的な権限を持つかもしれないが、クラウドプロバイダーはプレフィックスを広告するかどうかを決定する際に、大臣のプレスリリースや調達裁定に安全に依存することはできない。それはレジストリ証拠、ルーティング認証、検証記録に依存する。

ベンダー依存は交渉力も変化させる。公共機関がプロバイダー所有のアドレスを使用する場合、サプライヤーは最初は安くて便利かもしれない。後になって、同じ選択が出口を高価にする可能性がある。許可リストを変更しなければならない。E メールの評判を再構築しなければならない。地理位置が移動するかもしれない。ログのベースラインとセキュリティ分析がシフトするかもしれない。外部パートナーは更新を必要とするかもしれない。市民は混乱を目にするかもしれない。機関が自身のアドレスレンジを使用すれば、ポータビリティは得られるが、レジストリレコード、RPKI、逆引き DNS、クラウド検証、緊急権限を管理しなければならない。いずれにせよ、アドレスガバナンスは経済的な選択であり、エンジニアだけの詳細ではない。

調達文書はしばしばこれを見逃す。なぜなら稼働時間、セキュリティ認証、サポート時間帯を求め、アドレス管理を暗黙のままにするからである。より鋭い質問はこうだ:もしこのサプライヤーが故障したり、制裁を受けたり、テレコムパートナーを失ったり、サイバーインシデントに遭ったり、クラウドリージョンを変更したり、協力を拒否したり、契約から撤退したりした場合、公共サービスは古いサプライヤーに頼むことなくネットワーク ID を保持できるか?答えは部分的に RIPE NCC レコードに依存するが、ほとんどは公共機関がそれらのレコードをサプライヤーの事務処理ではなく、永続的な公共証拠として扱ってきたかどうかに依存する。

レジストリ証拠は管理上の背骨である

RIPE データベースはしばしば技術的な用語で説明されるが、公共機関にとっては管理上の背骨として理解するのが最善である。それには RIPE NCC サービス地域のネットワークの登録情報と関連する連絡先の詳細が含まれている。RIPE NCC の公開説明はまたいくつかの用途を挙げている:インターネット番号資源の正確な登録情報、ネットワークオペレーターによるルーティングポリシーの公開、ネットワークオペレーター間の調整、逆引き DNS と ENUM 委任のプロビジョニング。平易な公共セクターの言葉では、それは多くの依存関係者が最初に問う場所である:このアドレスレンジの責任者は誰か、そして責任はどのように調整できるのか?

責任は単一の事実ではない。公共レンジは省庁、中央 IT オフィス、自治体、病院当局、大学、裁判所サービス、通信事業者、マネージドホスティングプロバイダー、または古い機関名に結び付けられる可能性がある。連絡先レコードは現職者、退職したスタッフ、請負業者のメールボックス、汎用の役割アカウント、またはもはや権限のある誰にも届かないアドレスを指し示す可能性がある。レコードは技術的には有効でありながら管理的には弱い可能性がある。それは、危機が指名された保持者と実際の公共サービスの意思決定者がもはや一致していないことを明らかにするまで壊れないかもしれない。

公共行政はこの漂流に特に脆弱である。部門は合併する。省庁は名称を変える。自治体の IT 機能は、中央集権化され、アウトソースされ、戻され、再びアウトソースされる。裁判所は司法省とは別の管理事務所を持つかもしれない。公立病院は地域保健当局の内部に位置するかもしれない。学校は教育ネットワーク、自治体サービス、民間プラットフォームを同時に使用するかもしれない。緊急サービスは国家、地域、地方のシステムにまたがるかもしれない。公共企業体は民営化され、政府に再統合され、または法改正後に再編成されるかもしれない。アドレスレコードはこれらすべての制度的移動を生き延びることができる。

この依存は、公共サービスが管理を証明しなければならないときに深刻になる。クラウドプロバイダーは RDAP 証拠を必要とするかもしれない。ネットワークオペレーターはルートフィルターを変更する前に連絡先の確認を必要とするかもしれない。セキュリティ企業はインシデント中にどのレンジがどの公共機関に属するかを確認する必要があるかもしれない。裁判所や監査人はトラフィックが移動したときに誰が権限を持っていたかを問うかもしれない。サプライヤーは省庁が新しいサービスにレンジを持ち込めることの証明を求めるかもしれない。レジストリレコードが古ければ、各ステップに時間がかかる。

取引コスト経済学が適切なレンズである。レジストリレコードは未知の相手(クラウドプラットフォーム、キャリア、セキュリティチーム、調査者、カウンターパーティ)と取引するコストを削減する。彼らは信頼をゼロから構築する必要がない。しかしレコードが曖昧であれば、そのコストはレター、法的意見、緊急電話、手動チェック、移行の遅延、オンボーディングの失敗、より高いサプライヤー手数料という形で戻ってくる。台帳は、信頼されるのに十分正確であるときにのみ摩擦を削減する。

これが、公共機関がレジストリ管理を反復的なガバナンスタスクとして扱うべき理由である。監査は問うべきだ:どの公共サービスがどのレンジに依存しているか;どのレンジが直接保有され、どのレンジがサプライヤーを通じて保有されているか;RIPE データベースに誰がリストされているか;誰がレコードを更新できるか;逆引き DNS がどこに委任されているか;どの経路起点ステートメントが存在するか;どのベンダーがレンジを広告できるか;どのクラウドアカウントやサブスクリプションがそれらに依存しているか;そしてこれらの事実が災害訓練中にどのようにチェックされるか。この訓練は魅力的ではない。しかし、公共機関が自身のネットワーク ID を市場が信頼するのに十分速く証明できないことをインシデント中に発見するよりは安価である。

この背骨における RIPE NCC の役割は狭くあるべきだ。正確な登録、持続的なシステム、明確なプロセスを維持すべきである。どの公共サービスがより重要か、省庁のクラウド戦略が賢明かどうかを決定すべきではない。公共機関がその判断を所有しなければならない。しかし、レジストリはそのレコード品質が、ネットワーク専門家の会合をはるかに超えて、省庁、自治体、裁判所、病院、学校、緊急サービスに影響を与えることを理解すべきである。

逆引き DNS、連絡先の信頼性、公共サービスの評判

逆引き DNS は間違っているときまで小さなことのように見える。それは IP アドレスを逆引き名前空間を通じてドメイン名に向けてマッピングする。RIPE NCC は逆引き委任を登録し、フォワードドメイン登録には関与していないと述べている。その逆引き DNS 資料は、逆引き委任がアプリケーションに IP アドレスからドメイン名へのマッピングを許可し、RIPE データベースが逆引き DNS ゾーンを生成するための管理データベースとして使用されることを説明している。公共機関にとって、それは小さな委任レコードが、外部システムが公共トラフィックをどのように解釈するかに影響を与え得ることを意味する。

E メールは明白なケースである。税の領収書、裁判所の提出通知、学校の警告、健康メッセージ、給付金通知は、SPF、DKIM、DMARC、アドレス評判、メールフィルタリング、逆引きルックアップのエコシステムに依存する可能性がある。逆引き DNS は信頼モデル全体ではないが、公共機能と可視的なネットワーク命名の不一致は、疑念、フィルタリング問題、調査の混乱を生み出す可能性がある。一般的なキャリア名、忘れられた請負業者のドメイン、時代遅れの省庁ラベルはすべてのメッセージを停止させないかもしれない。それでも公式な管理の印象を弱める可能性がある。

ログは第二のケースである。インシデント中、アナリストは IP アドレスをレジストリと DNS 情報で強化する。彼らはレンジがどのネットワークに属しているか、どの名前が関連付けられているか、連絡経路が信頼できそうか、経路アナウンスが期待される権限と一致するか、変更がサービスタイムラインに適合するかを問う。公立病院のトラフィックが古いサプライヤーの命名パターンで現れたり、自治体ポータルの逆引き命名が消滅した当局を指し示したりすれば、対応者は時間を失う。公開調査では、その失われた時間は貧弱な管理の証拠となる。

評判は第三のケースである。公共機関はアドレスレンジ、サプライヤープール、クラウドルートの履歴を継承する。一部のアドレスブロックは、以前の悪用、侵害されたホスト、スパム、大量活動のために評判が悪い。クラウドプラットフォームは持ち込みレンジを受け入れる前に評判をレビューするかもしれない。E メールプロバイダーはトラフィックを絞ったりフィルタリングしたりするかもしれない。地理位置データベースはアドレスを誤った国や地域に配置するかもしれない。セキュリティプラットフォームは過去の振る舞いのためにレンジをフラグ付けするかもしれない。アドレスを使い捨てとして扱う公共機関は、市民やパートナー機関が依然として古い評判を経験していることを発見するかもしれない。

連絡先の信頼性は第四のケースである。悪用とセキュリティの連絡先は装飾的ではない。悪意のあるトラフィック、侵害されたシステム、設定ミスに関する報告を受け取れない公共機関は、より長いインシデントとより厳しい評判の損害を被る可能性がある。逆に、実際の、監視された、権限のあるチームに連絡先データが指し示す機関は、キャリア、国家サイバーセンター、ベンダー、ピアとより迅速に調整できる。レコードの信頼性は応答市場に影響を与える:人々は行動できると信じる連絡先に電話する。

公共セクターの結果は民間セクターの結果とは異なる。民間小売業者の E メールがスパムに入れば、売上とブランド信頼を失う。給付金機関の E メールがスパムに入れば、市民は期限や支払いを逃すかもしれない。市が悪用報告を受け取れなければ、侵害されたシステムは重要なサービスが露出したまま活動し続けるかもしれない。病院の公共レンジが誤認されれば、インシデント対応は遅くなり、患者ケアシステムは圧力下に置かれ続けるかもしれない。したがって、アドレスの評判と逆引き DNS は、単なるドメイン管理ではなく、継続性計画に属する。

法的・管理的な側面もある。公共機関は、法執行機関、規制当局、国家サイバー機関、裁判所と協力する際に、信頼できる記録に依存する。レジストリレコードは過大に読まれるべきではない。それは物理的な場所、法的な有罪、あらゆるルーティングの事実を証明するものではない。しかし責任の連鎖を確立するのに役立つ。公共機関自身がその連鎖をきれいに保てなければ、他者にその要求を信頼するよう求める際に立場が弱まる。

経済的な教訓は単純だ。逆引き DNS と連絡先レコードは、日常的に維持されるときは安く、プレッシャーの下で修復されるときは高い。それらの価値はデータベースを更新するラインアイテムのコストではない。公共サービスが見知らぬ人々によって迅速に信じられなければならないときに避けられる混乱である。

経路起点の信頼は今や公共の継続性の問題である

公共の到達可能性はルーティングに依存し、ルーティングは市民には部分的にしか見えない信頼に依存する。ボーダーゲートウェイプロトコルは依然として、ネットワークが互いに IP プレフィックスに到達する方法を伝える基本的なアナウンスを運ぶ。RPKI は、インターネット番号資源の保持者が、どの自律システムがプレフィックスを起点とすることを許可されているかについての声明を作成できるようにすることで、証拠層を改善する。ネットワークオペレーターはその後、アナウンスの扱い方を決定する際に経路起点検証を使用することができる。

省庁、自治体、病院にとって、これは深いネットワーク実践のように聞こえるかもしれない。それはまた公共の継続性でもある。サプライヤー変更後に経路起点ステートメントが間違っていたり、欠落していたり、古くなっていたりして、公共サービスがインターネットの一部から到達不能になった場合、市民はサービス障害を経験する。悪意のある、または誤った経路がトラフィックを転用した場合、公共機関はセキュリティ、プライバシー、信頼の結果に直面する可能性がある。緊急フェイルオーバーが新しい起点 AS を必要とするが、サポートするレコードが準備できていない場合、継続性計画は宣伝されているよりも遅くなる可能性がある。

RPKI は魔法ではない。それは経路起点を検証し、パスのあらゆる側面を検証するわけではない。オペレーターは検証の適用方法が異なる。有効なアナウンスは依然として悪いアーキテクチャの一部であり得、無効なアナウンスは悪意ではなく設定ミスから生じる可能性がある。しかし制度的方向性は明確だ:本格的なネットワークはますますルーティング証拠を使用している。それを無視する公共機関は単に技術的な強化を逃しているのではない。公共サービスの依存を管理せずに放置しているのだ。

問題はアウトソーシングで強まる。公共機関は自身の自律システムを運用していないかもしれない。通信事業者、クラウドプロバイダー、DDoS スクラビング企業、マネージドネットワーク請負業者に依存して経路を起点とするかもしれない。その取り決めは、権限が明確であれば完全に合理的であり得る。契約が、誰が経路起点ステートメントを作成または削除するか、誰が変更を承認するか、緊急フェイルオーバーがどのように処理されるか、より詳細なアナウンスがどのように制約されるか、古いサプライヤーレコードが確実に廃止されるかを述べていない場合、それはリスクになる。

クラウドと DDoS サービスはこれを特に具体的にする。公共機関はクラウドリージョン、セキュリティプロバイダーのスクラビングネットワーク、バックアップキャリアからトラフィックを広告する必要があるかもしれない。計画が弱ければ、経路は管理レコードよりも速く移動する可能性がある。訓練では技術的な遅延に見えるかもしれない。実際のインシデントでは公共の停止になり得る。したがって経路起点の信頼は、独立したエンジニアリングアーカイブではなく、災害復旧と同じフォルダに入る。

台帳対ゲートキーパーの区別はここで重要である。RIPE NCC は信頼できるリソース認証サービスと正確な登録リンクを提供すべきだ。あらゆる公共サービス経路の交通警察になるべきではない。公共機関とそのオペレーターは、どのようにルーティングし、どのようにフェイルオーバーし、どのリスクを受け入れるかを決定しなければならない。しかしレジストリ層は、公共機関がルーティング権限を明確に表現し、予測可能に更新できるほど信頼できなければならない。

調達上の結果もある。サプライヤーの入札は、帯域幅と稼働時間だけでなく、アドレス権限の取り扱いについても評価されるべきだ。サプライヤーは機関保有の空間で作業できるか?RPKI とクリーンな経路変更をサポートするか?緊急広告を誰が管理するか?機関は退出時に古いルーティングエントリの廃止を要求できるか?サプライヤーはすべての変更を監査人が読める形式で文書化するか?契約は経路の曖昧さなしにサービスを移動する機関の能力を保持するか?これらの質問が裁定前に行われなければ、それらはサプライヤーのデフォルトの実践によって答えられるだろう。それはサプライヤーにとって効率的で、国家にとって高価かもしれない。

公共の継続性は単にサーバーを稼働させ続ける能力ではない。それは、サービスがストレス下で移動する間、ネットワーク ID を信じられる状態に保つ能力である。

合法的権限はレジストリの継続性と同じではない

国家は裁判所、規制当局、警察権力、調達権限、予算権力、立法能力を持っている。それらは実際の力である。それらは自動的にレジストリの継続性を解決しない。裁判所命令は地元のサプライヤーに行動を強制できる。規制当局は通信事業者にサービス維持を要求できる。省庁は契約を取り消したり授与したりできる。しかし地域レジストリは国家の財産事務所ではなく、ルーティング市場はあらゆる国内命令を運用上の事実として受け入れるわけではない。

この違いは健全である。もしすべての国家がレジストリの認識を一方的に国家政策に変換できれば、公共アドレス空間は押収、政治的圧力、資本規制、管轄権紛争に対して脆弱になるだろう。財政ストレスに直面する政府は、希少な IPv4 レンジを収益化可能な資産として扱いたくなるかもしれない。規制当局は産業政策のために移転を凍結しようとするかもしれない。裁判所は契約紛争中にレジストリの認識をリダイレクトするよう求められるかもしれない。制裁当局はサービスの中断を交渉の道具にしたいかもしれない。各ケースには合法的な国内のストーリーがあるかもしれない。地域台帳は依然として、政治的権力がレジストリの混乱になることを防ぐ継続性ルールを必要とする。

したがって公共セクターの依存は緊張の中にある。政府は公共サービスの継続性のために RIPE NCC レコードを必要とするが、RIPE NCC はそのサービス地域のすべての政府の付属物になることはできない。そのサービス地域は 75 か国以上をカバーし、欧州連合加盟国、非 EU 諸国、湾岸諸国、紛争の影響を受ける管轄区、小規模経済、大規模テレコム市場、公立大学、国営オペレーター、公共機能を提供する民間ネットワークを含む。単一の国家法理論が共有登録層を安全に支配することはできない。

正しいモデルは主権的捕捉のない合法的尊重である。レジストリは、関連する法的枠組み内での制裁や裁判所命令を含む、自身に適用される有効な法的制約を尊重すべきである。公共機関が承継、権限、合併、解散、緊急管理を主張する場合、信頼できる証拠を要求すべきである。省庁が再編されたり公共機関が名称を変更したりした場合、正確なレコードを保持すべきである。争われた権限に対する手続きを持ち、それは公正で、文書化され、継続性を意識したものであるべきだ。しかし、政治的主張がインターネット番号資源の中立的認識を覆す裁量的な国家ゲートになるべきではない。

公共機関も自制が必要である。レコード衛生の代わりとして法的権限に頼るべきではない。危機の後でのみ裁判所命令を用意できる省庁はすでに時間を失っている。アドレス管理を回復するために請負業者を脅さなければならない自治体は弱い契約を設計している。ルーティング証拠を更新するために緊急の法的エスカレーションに依存する病院は、アドレス継続性を患者サービスインフラとして扱うことに失敗している。法的権限は一部の紛争を解決できる。計画されていない依存を安全にすることはできない。

資本規制リスクはより難しい点である。IPv4 の枯渇はアドレスレンジに経済的価値を与える。公共機関は直接希少なレンジを保持したり、大学や国営オペレーターを通じて継承したり、それらを保持するサプライヤーに依存したりするかもしれない。財政ストレスの下で、政府はアドレスレンジを凍結、売却、リース、リダイレクトされる資産と見なしたくなるかもしれない。この一部は正当な公共財政かもしれない。一部はサービスの継続性を危険にさらしたり、レジストリレコードを政治的手段に変換したりするかもしれない。危険は、レジストリ層が運用上の保持と責任の認識ではなく、国家所有権の証明として扱われるときに大きくなる。

制度的正当性は線に依存する。RIPE NCC は、公共サービスがそれに依存するため、政府に対して信頼できなければならない。地域全体の公共サービスが中立的な台帳に依存するため、政府に対しても信頼できなければならない。公共セクターの依存はレジストリの政治化を正当化しない。それは正反対を要求する:合法的権限、運用継続性、安全なレジストリ変更に必要な狭い証拠の間のより明確な分離を。

IPv4 枯渇は公共調達経済学を変える

RIPE NCC の公開 IPv4 枯渇資料は、残りの IPv4 プールが 2019 年 11 月に枯渇し、ヨーロッパ、中東、中央アジアの一部のネットワークが、以前に他のネットワークによって使用されていない新しい IPv4 アドレスを RIPE NCC から受け取ることができなくなったと述べている。それは回復されたアドレスの待機リストを通じた後の割り当てを説明し、移転市場とアドレス共有技術を枯渇対応として挙げている。公共機関にとって、制度上の意味は単に IPv4 が不足しているということではない。不足がアドレス計画を調達経済学に変えるということである。

アドレスが豊富だったとき、公共機関はしばしばアドレス空間を技術的な割り当てとして扱うことができた。ネットワークが成長すれば、より多くの空間が要求または委任されるかもしれない。ベンダーがアドレスを供給すれば、それらを変更する将来のコストは低いように見えた。不足はその気楽なモデルを時代遅れにする。パブリック IPv4 レンジは、評判、許可リストアクセス、地理位置の仮定、ファイアウォール依存関係、パートナー統合、E メール信頼、クラウド検証履歴を運ぶことができる。技術的に新しいレンジが利用可能であっても、それを置き換えることはコストがかかる可能性がある。

プロバイダー所有の空間は古典的な出口の罠である。自治体は、迅速で安価であるために公共サービスのためにキャリアのアドレスを受け入れるかもしれない。数年後、それらのアドレスは警察システム、支払いゲートウェイ、学校フィルター、地元ビジネス統合、緊急警報、市民向けサービスに現れる。市はサプライヤーを移動したいが、すべてのパートナーが許可リストとログを更新しなければならない。古いサプライヤーが協力するかもしれないが、市は依然として遅延に直面する。サプライヤーが失敗するか拒否すれば、依存はより可視的になる。調達時の見かけの節約は出口税になる。

機関保有の空間は逆の負担を持つ。それはポータビリティと公共 ID を保持できるが、管理が必要である。機関は正確なレジストリレコード、認可された連絡先、経路起点ステートメント、逆引き DNS 委任、クラウド検証証拠、評判管理、継続性文書を維持しなければならない。どのサービスが安定したパブリックレンジに値し、どれがサプライヤー空間を使用できるかを決定しなければならない。専門知識のための予算を組まなければならない。調達スタッフが、安価なプロバイダーアドレスを使用する入札が後で市民にコストを課す可能性がある理由を理解するようにしなければならない。

これは取引コスト問題であり、純粋さのコンテストではない。プロバイダー所有の空間は、低リスクサービス、内部ツール、一時的なキャンペーン、またはアドレス ID が永続的でない機能にとって合理的であり得る。機関保有またはポータブルな空間は、税ポータル、ID システム、公共安全プラットフォーム、裁判所アクセス、医療交換、主要な自治体サービス、緊急通信にとって合理的であり得る。失敗はどちらかを選ぶことではない。失敗は退出コストを計算せずに選ぶことだ。

不足はまたサプライヤーのインセンティブを変える。アドレス容量を持つベンダーはそれをサービスにバンドルし、入札を魅力的に見せることができる。クラウドプロバイダーは自身のレンジを使用して迅速な展開を提供できる。マネージドセキュリティ企業は最小限の機関管理でそのプラットフォームを通じてトラフィックをルーティングできる。これらは有用なサービスである。しかし公共機関が移動するために必要な証拠と権限を保持しなければ、ロックインを生み出す可能性がある。アドレス層はサプライヤーの交渉力の一部となる。

したがって公共調達ルールは明示的な質問をすべきである。公共レンジを誰が保持しているか?それらは公共機関、公共 IT 当局、通信事業者、クラウドプロバイダー、または別のサプライヤーに RIPE NCC 登録されているか?機関は自身のレンジを持ち込めるか?プロバイダー空間が使用される場合、退出のコストとスケジュールはどうか?どの外部許可リストが変更されるか?誰が逆引き DNS を管理するか?誰が RPKI ステートメントを作成するか?誰が連絡先を更新するか?サプライヤーが買収されたり、支払不能になったり、制裁されたり、サイバー侵害されたり、紛争中だった場合に何が起こるか?アドレスレコードは引き渡し義務に含まれるか?

目的は調達責任者をルーティング専門家に変えることではない。契約裁定前に経済的選択を見えるようにすることである。IPv4 枯渇はアドレス決定が資本価値を持つことを保証する。公共機関はその価値をサプライヤー契約の内部に見えないまま座らせるべきではない。

ID システムと公共安全ネットワークが賭け金を上げる

一部の公共サービスは不便を許容できる。他はできない。ID システムと公共安全ネットワークは、法的権利、緊急対応、公共の信頼をネットワーク到達可能性に結びつけるため、アドレス依存の高い端に位置する。

デジタル ID システムは、税、給付金、健康、教育、免許、投票サービス、裁判所アクセス、国境を越えた行政へのゲートウェイになりつつある。それらの公開エンドポイントは、市民、銀行、雇用主、地方政府、外国の公共機関によって信頼されなければならない。それらは証明書発行、DNS、アドレス評判、クラウドルーティング、DDoS 保護、ロギング、パートナー許可リストに依存する。移行中にアドレス層が不安定になると、ユーザーは失敗したログイン、疑わしいリダイレクト、ブロックされた E メール、サービス中断を見るかもしれない。詐欺キャンペーンがエンドポイント変更に関する混乱を悪用すれば、損害は技術的だけではない。それはデジタル政府への公共の信頼を損なう。

ID システムはまた監査要求を生み出す。政府はトラフィックがどこにルーティングされたか、どのプロバイダーがどのレンジを広告したか、どのアドレスがどの機能にサービスしたか、経路がいつ変更されたか、そして誰がその変更を許可したかを知らなければならない。レジストリとルーティング証拠はすべてのユーザーレベルの事実を証明するわけではないが、インフラタイムラインをサポートする。ID サービスインシデント後の公開調査は、ベンダー運用に関する曖昧な回答を受け入れないだろう。国家がネットワーク層で管理を証明できるかどうかを問うだろう。

公共安全ネットワークは異なるプレッシャーを生み出す。緊急通話処理、派遣、警告、危機調整、警察システム、救急ネットワーク、消防サービス、市民保護プラットフォームは、接続層に依存しており、その多くは現在 IP ネットワークやクラウドサービスとインターフェースしている。一部のシステムはプライベートまたは専門化されたままである。他は管理、公共通信、マッピング、警告、報告、統合のためにパブリックインターネット経路を使用する。これらのシステムがマネージドプロバイダーに依存すればするほど、地域的な停止、サイバーインシデント、災害復旧時にアドレス権限が重要になる。

緊急条件は曖昧さを罰する。洪水が市のデータセンターに影響を与えた場合、サイバーインシデントが緊急再ルーティングを強制した場合、通信プロバイダーが大規模な停止に苦しんだ場合、クラウドリージョンがサービス中断を起こした場合、またはマネージドセキュリティプロバイダーがトラフィックを迂回させなければならない場合、公共機関は事前承認された権限を必要とする。誰が RPKI を更新できるか、誰が逆引き DNS を変更できるか、誰がクラウド広告を許可できるか、誰が RIPE NCC に連絡できるかを発見するのを待つことは、継続性計画ではない。それは希望である。

病院と学校は ID と緊急の間に位置する。病院は患者ポータル、ラボ報告、救急車調整、遠隔医療、公衆衛生通知、サプライヤーインターフェースのためにパブリックレンジに依存するかもしれない。学校ネットワークは、生徒記録、保護システム、試験、フィルタリング、遠隔学習、緊急保護者警告のために安定したアドレス指定に依存するかもしれない。混乱の公共的害は不均等である:一部のユーザーは後で再試行できる。一部はできない。

経済学は再び制度的である。公共機関はしばしばアドレスガバナンスに過少投資する。なぜなら失敗はまれで、予算ラインが不明瞭だからである。良いレジストリ衛生の利益は、回避された危機、より速い移行、より良い証拠、より低いサプライヤー退出コストに分散される。コストは可視的である:スタッフ時間、コンサルティング、トレーニング、監査、レコード更新、調達条項。その非対称性は、リーダーシップがアドレス継続性を公共サービスインフラとして扱わない限り、過少投資につながる。

RIPE NCC はすべての公共ネットワークの社会的重要性をランク付けできない。すべきでもない。しかし公共依存を念頭に置いてサービスを設計できる:耐久性のある可用性、明確なエスカレーション経路、信頼できる連絡先更新手順、透明なサービスステータス、メンバーポータル周りの強力なセキュリティ、予測可能なリソース認証動作、および公共機関が調達および監査ファイルで使用できる文書。公共安全機関になる必要はなく、公共安全がその台帳に依存する可能性を認識すればよい。

インシデント対応はすべての古いレコードをさらけ出す

アドレスガバナンスはインシデント中にテストされる。なぜならインシデントは時間を圧縮するからだ。何年も無害に座っていた古いレコードが、数分で生きた障壁になり得る。インシデントはサイバー、金融、法律、運用、地政学的であり得る。共通の特徴は、公共機関が古い管理習慣よりも速く動かなければならないことである。

サイバーインシデント中、対応者は DDoS プロバイダーの背後にトラフィックをシフトする、経路を引き下げる、経路起点ステートメントを変更する、逆引き DNS を更新する、侵害されたシステムを分離する、クラウドプロバイダーに管理を証明する、またはキャリアと調整する必要があるかもしれない。レジストリの連絡先が退職したエンジニアやサプライヤーのメールボックスを指している場合、公共機関は時間を失う。誰も RIPE NCC ポータルにアクセスできない場合、弁護士やエンジニアが権限を探す間、緊急サポートが必要になるかもしれない。経路起点レコードが間違っていれば、トラフィックはフィルタリングされるかもしれない。逆引き DNS が古ければ、ログや評判システムが対応者を混乱させるかもしれない。

サプライヤー障害中は、異なるパターンが現れる。ホスティングプロバイダーが支払不能になるかもしれない。マネージドセキュリティベンダーが停止を経験するかもしれない。通信事業者が地域経路を失うかもしれない。クラウドインテグレーターが買収または制裁されるかもしれない。SaaS ベンダーが紛争中に協力を停止するかもしれない。公共機関はその後、アドレス層がサプライヤーなしで移動できるかどうかを問う。サプライヤーがアドレスを保持している場合、答えは遅くなるかもしれない。公共機関がアドレスを保持しているが、サプライヤーがレコードへの実用的アクセスを管理している場合、答えは依然として遅くなるかもしれない。

法的または支払い中断中は、レジストリ継続性が公共財政と絡み合う可能性がある。制裁、銀行制限、調達紛争、未払いの請求書は、異なる管轄区のサプライヤーと公共機関に影響を与える可能性がある。公共機関はその合法的使命が継続性を保証すべきだと信じるかもしれない。レジストリとベンダーは依然として自身の法的制約を遵守する必要があるかもしれない。最も安全な設計は緊急の道徳的主張に頼ることではない。支払いチャネルや法的関係が破綻する前に継続性保持手順を持つことである。

災害復旧中は、地理が重要になる。市は別の地域にフェイルオーバーするかもしれない。国家システムはあるデータセンターから別のデータセンターにトラフィックを移動するかもしれない。病院ネットワークは外部ホスティングプロバイダーを起動するかもしれない。公共放送や緊急警報サービスは複数のアップストリームを使用するかもしれない。アドレス層はこれらの移動に備えなければならない。アプリケーションステップをリストするが経路起点と逆引き DNS の権限を省略する復旧計画は不完全である。

インシデント対応はまた公共コミュニケーションをテストする。市民が新しいエンドポイントを使用するよう言われたら、それを信じなければならない。E メールが新しいレンジから来るなら、メールシステムはそれを受け入れなければならない。アクセス障害のために裁判所が提出期限を延長した場合、その理由が検討される。ランサムウェアインシデント中に病院ポータルがダウンした場合、機関は何が失敗し何が復旧されたかを説明しなければならない。レジストリ証拠は信頼できるタイムラインを構築するのに役立つ。

教訓は、すべての公共機関がすべてのレンジを所有するかすべての経路を運用しなければならないということではない。公共機関は自身の管理がどこで終わるかを知っていなければならないということだ。インシデント訓練で、各レンジについて誰が行動できるか、RIPE NCC レコードがどのように更新されるか、RPKI 変更がどのように承認されるか、逆引き DNS がどこにあるか、どのベンダーがプレフィックスを広告できるか、最大の緊急リードタイムは何か、そして監査人に後で示す証拠は何か、を答えられるべきである。答えが「サプライヤーに聞いてください」であれば、次の質問は、契約がテストされている正確な緊急条件の下でサプライヤーに行動を義務付けているかどうかである。

古いレコードは道徳的失敗ではない。それらは一般的な管理残渣である。しかし公共セクターでは、サービスが法的および社会的義務を負っているため、残渣はリスクになる。インシデント対応は依存を作り出さない。それを明らかにする。

RIPE NCC の公益的役割は自制と信頼性である

RIPE NCC の最も強力な公益的役割は、大きくなることではない。非常に異なる法制度、市場、公共機能にわたって信頼できる、信頼性のある狭い機関であり続けることである。あらゆる重要な台帳の誘惑はスコープクリープである。一度多くのアクターがレコードに依存すると、レジストリをプランナー、規制当局、市場レフェリー、公益審判、または執行機関として想像することは容易である。それは誤りであろう。

レジストリの正当な公益的タスクはより控えめで、より要求が高い。正確な登録データを維持しなければならない。RIPE データベース、逆引き DNS サービス、リソース認証システム、メンバーアクセスチャネルをレジリエントに保たなければならない。変更、移転、合併、連絡先更新のための予測可能な手続きを維持しなければならない。公共機関やベンダーが依存関係を理解するのに十分な情報を公開しなければならない。制裁、法的手続き、紛争を、例外的制約を広範な裁量に変えることなく扱わなければならない。レジストリアクセス自体が公共サービスの脆弱性にならないほど安全でなければならない。

「薄い台帳」というフレーズは弱い運用と混同されるべきではない。薄い台帳は技術的に強く、法的に注意深く、透明であり得る。保持者の身元、変更を要求する権限、連絡先の有効性、サービス適格性、ルーティング認証、逆引き DNS 委任、認識された移転中の継続性、または法的制約といった、狭いレジストリ事実に結びついた証拠を求める。政府のデジタル化戦略が賢明かどうか、サプライヤーが入札に勝つべきだったかどうか、アドレスブロックが国家財産として扱われるべきかどうか、または公共機関のクラウド計画が政治的に好ましいかどうかを問わない。

この自制は公共機関を私的ネットワークと同様に保護する。ある公共政策のために執行機関となるレジストリは、明日別の政策のために執行機関になり得る。国家的主張を地域の継続性より優越するものとして扱うレジストリは、国境を越えたサービスを不安定化させる可能性がある。政治的に敏感なあらゆる公共セクターの更新に裁量的レビューを追加するレジストリは、公共サービスが予測可能性を必要とするときに継続性を遅くする可能性がある。

信頼性は透明性の次元も持つ。公共機関は、RIPE NCC レコードが何を証明し何を証明しないか、逆引き DNS がどのように委任されるか、RPKI が何を検証でき何を検証できないか、連絡先データがどのように維持されるべきか、公共機関がサプライヤー変更にわたって継続性をどのように保持できるか、公共機関が再編されたときにどのような証拠が必要か、を説明する平易な言語の資料を必要とする。これは政府への特別扱いではない。誤りが、公共法の別の提供者を選べない市民に影響を与えるセクターのための取引コストの削減である。

RIPE NCC はまた公益報告を狭く有用に保つべきである。サービス可用性、セキュリティインシデント、移転タイミング、制裁制約、支払いチャネル問題、文書化負担に関する集計情報は、機密の詳細をさらすことなく、メンバーと公共機関がリスクを価格付けするのに役立ち得る。ポイントは公共機関やベンダーを辱めることではない。台帳が不確実性を減らすのか増やすのかを示すことである。

したがって制度的正当性テストは、RIPE NCC が高尚な価値を宣言できるかどうかではない。地域全体の公共および民間アクターが、レジストリが予測可能で、制約があり、技術的に有能で、捕捉に抵抗があると信じ続けるかどうかである。公共セクターのアドレス依存は、失敗が税、裁判所、学校、病院、緊急サービスに波及するため、賭け金を引き上げる。それは正しい制度モデルを変えない。そのモデルをより緊急にする。

公共機関が購入前に要求すべきこと

実際的な答えは調達から始まる。なぜなら多くの依存がそこで作られるからだ。公共機関は入札をルーティングマニュアルに変える必要はない。アドレス管理を公然とさせる少数の質問をする必要がある。

第一に、入札はアドレス保有を特定すべきである。サービスは公共機関のレンジ、サプライヤーレンジ、クラウドプロバイダーレンジ、または混合モデルを使用するか?公共機関のレンジが使用される場合、誰が RIPE NCC レコード、RDAP 可視性、経路起点ステートメント、逆引き DNS、クラウド検証を管理するか?サプライヤーレンジが使用される場合、どの公共機能がそれらに結びつけられ、退出計画は何か?混合モデルが使用される場合、どの機能がポータビリティに値し、どれがサプライヤーID を受け入れられるか?

第二に、契約は権限を定義すべきである。誰がレジストリレコードへの変更を要求できるか?誰が経路起点ステートメントを作成または撤回できるか?誰がクラウドまたはセキュリティプロバイダーにレンジを広告することを許可できるか?誰が逆引き DNS を変更できるか?通常条件および緊急条件でどのような承認が必要か?役割アカウント、複数人による管理、継承計画は文書化されているか?公共機関は、行動できる唯一の人物が不在または争われている請負業者であることをインシデント中に発見するべきではない。

第三に、契約は証拠を定義すべきである。サプライヤーは、レンジ、レジストリレコード、経路起点ステートメント、逆引き DNS 委任、連絡経路、クラウド検証レコード、地理位置メモ、評判問題、パートナー許可リストへの依存をリストするアドレス管理台帳を提供すべきである。台帳は定められた間隔で、そして退出時に更新されるべきである。それはネットワークエンジニアだけでなく、監査人や継続性プランナーによって読めなければならない。

第四に、契約は退出を定義すべきである。サプライヤーがアドレスを保持する場合、移行はどのように行われるか?転送、許可リストサポート、ログ、評判サポートはどのくらい利用可能か?公共機関がアドレスを保持する場合、サプライヤーはどのように古いルーティングエントリを削除し、アクセスを返却し、逆引き DNS を更新し、残存依存がないことを証明するか?サプライヤーが支払不能、制裁、買収、サイバー侵害、または公共機関との訴訟中の場合、何が起こるか?

第五に、契約は訓練を定義すべきである。災害復旧訓練にはアドレス層を含めるべきである:経路移動、RPKI チェック、逆引き DNS 更新権限、クラウド広告検証、連絡先エスカレーション、外部パートナー通知。訓練はテスト環境内でアプリケーションが復旧したときに停止すべきではない。公共到達可能性と公共証拠がテストされなければならない。

第六に、公共機関は重要度をマッピングすべきである。すべてのウェブサイトが同じレベルのアドレス管理を必要とするわけではない。キャンペーンサイトは税システムではない。博物館のページは緊急警報プラットフォームではない。ローカルニュースレターは裁判所提出システムではない。アドレスガバナンスモデルは公共的害と一致させるべきである。希少な IPv4 レンジとスタッフ時間は、継続性、証拠、信頼がコストを正当化するサービスのために予約されるべきである。

第七に、上級職員がリスクを所有すべきである。ネットワークチームはレコードを維持できるが、公共サービスの重要度を単独で決定できない。調達、法務、監査、サイバー、継続性、サービスの所有者が選択を理解しなければならない。アドレス依存は技術的な形に隠れたガバナンス決定である。

今後 3 年間の継続性基準

今後 3 年間はこの依存をより可視的にする可能性が高い。RIPE NCC 地域全体の公共機関は、サービスをクラウドプラットフォームに移行し続け、ID システムを統合し、セキュリティをアウトソースし、裁判所と税のアクセスをデジタル化し、医療システムをリンクし、緊急通信を改善し、地方政府ネットワークを近代化するだろう。IPv6 の展開は続くが、IPv4 依存は許可リスト、評判システム、レガシーアプリケーション、パートナーインターフェース、市民向けサービスに埋め込まれたまま残る。したがってアドレス層は技術的かつ経済的であり続ける。

信頼できる公共セクター基準は棚卸しから始まる。各省庁、自治体、裁判所サービス、病院当局、教育ネットワーク、公共安全機関は、どのパブリックレンジが重要なサービスをサポートしているか、誰がそれらを保持しているか、それらがどこに登録されているか、それらがどのようにルーティングされているか、逆引き DNS がどのように委任されているか、どのクラウドまたはテレコムプロバイダーがそれらを広告できるか、どの外部システムがそれらに依存しているか、そしてインシデント中にどの連絡先が行動できるか、を知るべきである。棚卸しは、一度限りのエンジニアリングスプレッドシートではなく、公共サービス継続性記録として維持されるべきである。

第二のステップは分類である。公共サービスはアドレス継続性の必要性によってグループ化されるべきである。高重要度サービスには、税申告、社会給付、ID、裁判所アクセス、緊急通信、公衆衛生交換、病院ポータル、中核的自治体サービスが含まれる。中重要度サービスには、公共情報ポータル、ライセンス、調達プラットフォーム、教育行政が含まれるかもしれない。低重要度サービスには、一時的なキャンペーンや情報ページが含まれるかもしれない。分類は、機関がポータブルレンジ、サプライヤーレンジ、クラウドプロバイダーレンジのいずれを使用するかを導くべきである。

第三のステップは証拠準備である。高重要度サービスについては、公共機関はレジストリとルーティング証拠を迅速に生成できるべきである:現在の RIPE NCC 登録、認可された連絡先、経路起点ステートメント、逆引き DNS 委任、サプライヤー認可レター、クラウド検証レコード、インシデントエスカレーション経路、退去義務。この証拠は、制度的変更、サプライヤー変更、大規模移行後にレビューされるべきである。

第四のステップはサプライヤーの規律である。契約はアドレス管理台帳、レジストリ更新への協力、タイムリーな経路起点変更、逆引き DNS 管理、退出サポート、緊急エスカレーションを要求すべきである。サプライヤーはアドレス決定を一般的なサービス記述の背後に隠すことを許されるべきではない。彼らが自身のレンジを使用する場合、公共機関は将来のコストを理解すべきである。彼らが公共機関のレンジを使用する場合、管理に影響を与えるすべての行動を文書化すべきである。

第五のステップは地域のリアリズムである。RIPE NCC サービス地域には、裕福な国家、小規模な行政、紛争の影響を受ける環境、銀行制限、言語の多様性、様々な公共セクターの能力が含まれる。大規模な西欧省庁にのみ機能する基準は不十分である。より弱い行政環境にある小規模な自治体、公立病院、機関は、テンプレート、平易な言語のガイダンス、共有サービスサポートを必要とする。目標は完璧ではない。重要なサービスのための最低限の継続性証拠である。

第六のステップはガバナンスの自制である。公共機関はレジストリ依存を台帳に対する国家的管理の主張に変える誘惑に抵抗すべきである。RIPE NCC は公共の依存をより広範な裁量に変える誘惑に抵抗すべきである。双方は予測可能な境界を必要とする。政府は自身のレコードと契約において合法的権限を明確に保つべきである。RIPE NCC はレジストリ権限を登録事実、サービス継続性、透明な手続きに結びつけて保つべきである。

教訓:退屈な継続性を通じた正当性

RIPE NCC は珍しい制度的立場に座っている。それは政府ではないが、政府はそのレコードに依存している。裁判所ではないが、その認識は証拠に影響を与え得る。通信規制当局ではないが、そのデータベースと認証サービスは、公共サービスが信じられ、ルーティングされるかどうかに影響を与え得る。公共調達機関ではないが、調達選択はその台帳への依存を埋め込む。主権レジストリではないが、不足時にはそのレコードは経済的価値を持つ。

その立場はあらゆる側に規律を要求する。公共機関は公共アドレス ID を見えない配管として扱うのをやめなければならない。彼らは何を保持しているか、サプライヤーが彼らのために何を保持しているか、クラウドプラットフォームが何を要求するか、どのようなルーティング証拠が存在するか、逆引き DNS が何を言っているか、緊急時に誰が行動できるかを知る必要がある。彼らはアドレス管理を入札、継続性計画、サイバー訓練、監査証拠に入れなければならない。彼らはプロバイダー所有アドレスの退出コストとポータブルレンジの管理コストを計算しなければならない。彼らは法的権限を準備の代替ではなく、最後の手段として扱わなければならない。

RIPE NCC は正当な台帳の退屈な美徳を保持しなければならない。正確さ、可用性、セキュリティ、予測可能な手続き、明確な証拠基準、継続性を保つ変更、透明な限界は、制度の壮大さよりも重要である。その公益的価値は、省庁、自治体、裁判所、病院、学校、緊急サービス、請負業者が、レジストリが政治的ゲートや市場プランナーになることを恐れずにレコードに依存できるときに上がる。公共セクターの戦略を所有することを断りながら、公共セクターが依存を理解するのを助けるべきである。

したがって制度経済学の枠組みは台帳対ゲートキーパーである。RIPE NCC は、そのレコードが多くのアクターの取引コストを削減する薄く信頼できる台帳として行動するときに最も正当である。依存がそれを公共サービス戦略、資本移動、または政治的認識に対するゲートキーパーに変えるならば、リスクになる。公共機関は、それを主権と混同することなく台帳を知的に使用するときに最も強い。ベンダーは、アドレス管理をロックインに変換するのではなく、公共の退出を保持するときに最も有用である。

税ポータル、病院、裁判所、学校ネットワーク、緊急サービスは公に RIPE NCC に言及することはめったにないだろう。市民はどのレジストリレコードがクラウド移行をサポートしたか、どの経路起点ステートメントがフェイルオーバーを信頼できるものにしたかを気にしない。彼らはサービスが機能すること、危機中に移動できること、レコードが信頼できること、E メールが届くこと、期限が公正であること、そして何かが失敗したときに国家が何が起こったかを説明できることを気にする。

それが、公共セクターのアドレス依存が重要である理由である。それは流行のインターネットガバナンスのスローガンではない。それは合法的行政の下での静かな依存である。それは希少なアドレス資源を継続性証拠に、ベンダー選択を取引コストに、レジストリの正確さを公共の信頼に、そして制度的自制をレジリエンスの一形態に変える。正しい野心は劇的ではない。技術、サプライヤー、災害、政治が周りで変化しても、公共サービスがネットワーク ID を保持することである。RIPE NCC 地域では、その野心は、正確で、狭く、信頼できる台帳と、ついにその台帳を彼らが負うサービスの一部として扱う公共機関から始まる。