概要
- RPKI はもはやルーティングに対する単なるセキュリティの追加機能ではない。依存ネットワークが運用判断で経路起点検証を利用するようになると、RIPE NCC の認証台帳は地域の継続性インフラの一部となる。
- RIPE NCC のリスクは特有である:強力なポリシーリスト文化を持つメンバーベースのレジストリが、オランダ法の基盤、欧州・中東・中央アジアに及ぶ不均一なサービス地域、そして希少アドレスの移転市場を背景に、トラストアンカー、ホスト型および委任型認証サービス、そしてその状態が経路受容に影響を与えうる公開リポジトリを運営している。
- 中心的なガバナンスの問いは、RIPE NCC が RPKI を運営すべきか否かではない。アカウントの状態、移転の認識、公開の継続性、証明書の有効期限、失効権限、制裁の影響、管理エラーが運用上の到達可能性に影響を与える場合、誰がコストを負うのかである。
- 正当な RPKI レジームは、レジストリの事実と制度的な梃子を分離すべきである。紛争中は最後に検証された安全な状態を保存し、ホスト型と委任型の露出を明示し、リポジトリの監査証跡を維持し、深刻な証明書措置を証明された権原、セキュリティまたは法的欠陥に結びつける。
- 監視ポイントは実践的である:移転時の証明書と ROA の遷移、リポジトリの耐障害性、異議申立可能な失効、小規模メンバーの非対称性、制裁と支払い摩擦の明確な取扱い、そしてレジストリの管理がルーティングのキルスイッチになることを防ぐセーフガード。
RPKI はレジストリ台帳の意味を変える
RPKI は、ルーティング問題への技術的な答えとして始まった。Border Gateway Protocol(BGP)はネットワークが到達可能性を通知することを可能にするが、それ自体では、通知する自律システムがリソース保持者からの権限を持っていることを証明しない。経路漏洩、誤った起点通知、意図的なハイジャックは、他のオペレーターが気づき、フィルタリングや修復をするまでインターネットを伝播する可能性がある。Resource Public Key Infrastructure(RPKI)は、番号リソースに暗号化層を追加する。保持者は Route Origin Authorisation(ROA)を公開し、特定の AS 番号が指定されたプレフィックス(多くの場合、最大プレフィックス長を指定)を起点としても良いことを述べることができる。バリデーターは公開された資料を取得し、証明書チェーンを検証し、オペレーターがルーティングポリシーで利用できる経路起点検証の結果を生成する。
この説明は技術的には正確だが、制度的には不完全である。RPKI はまた、機械可読形式で表現されたレジストリの認識である。暗号は、署名された表明が関連するトラスト構造に連鎖することをバリデーターに伝える。それは、企業の承継者が正当かどうか、移転ファイルが完全かどうか、制裁対象の相手がサービスを受けて良いか、旧口座保持者が依然としてリソースを管理しているか、支払いの失敗が拒否か銀行の摩擦かを、あるいは紛争の審査中に証明書を継続すべきかどうかを、それ自体では決定しない。これらの問いは制度的な問いのままである。RPKI は、レジストリをルーティングセキュリティの信頼から排除するのではない。それは、レジストリの認識をより運用上可視化するのである。
RIPE NCC にとって、この変化は特に重要である。RIPE NCC は単に過去の記録を保持する協会ではない。欧州、中東、中央アジアの一部にわたる広範で多様なサービス地域を担当する地域インターネットレジストリである。番号リソースの登録、メンバーアカウント、移転手続き、公開レジストリデータ、技術サービスを維持している。その RPKI 資料では、LIR が登録されたインターネット番号リソースのデジタル証明書を要求でき、ROA がシステムを通じて公開され、依存当事者が BGP 起点検証のためにそのデータを利用することが説明されている。そのトラストアンカー構造は、制度的決定を記録している:2017 年 9 月 28 日以降、バリデーターが使用する RIPE NCC トラストアンカーロケーターは、個別の IANA 割り振りに合わせた以前の構造が、Number Resource Organisation の合意に基づいて置き換えられた後、RIPE NCC が現在の RPKI 認証機関である全てのリソースを含むトラストアンカーを指す。
ここでのポイントは、これを制度的欠陥として描くことではない。共通のトラストアンカーは有用である。公開リポジトリは有用である。ホスト型 RPKI は有用である。委任型 RPKI は有用である。問題は、有用なインフラが価格付きの依存を生み出すことにある。経路起点検証が、トランジットプロバイダー、クラウドバックボーン、エクスチェンジルートサーバー、エンタープライズフィルター、ホスティングプラットフォーム、セキュリティ意識の高い顧客によって利用されるようになると、IPv4 ブロックや AS 番号の運用品質の一部に、証明書の維持と正しい ROA の公開能力が含まれるようになる。きれいなレジストリチェーンを持ちながら認証管理が不安定なプレフィックスは、RPKI 状態が確実に保持、移動、監査、修正できるプレフィックスと同等ではなくなる。
したがって、経済学は RPKI の存在に関するものではない。ルーティングに影響を及ぼすようになった台帳を巡るリスク配分に関するものである。かつてレジストリエントリは、デューディリジェンス、不正使用対応、逆引き DNS、移転を支えていた。RPKI はより鋭いシグナルを追加する:認識されたリソース状態に結びついた暗号化表明。このシグナルはハイジャックリスクを低減し信頼を高めるが、レジストリの曖昧さを経路到達可能性に伝達することもありうる。期限切れの証明書、利用不能なリポジトリ、更新できない ROA、新旧当事者間の不一致を残す移転、迅速な再審査を欠く失効は、イベントの起点となったレジストリチケットをはるかに超えたネットワークにコストを課す可能性がある。
これが、セキュリティのスローガンよりも制度経済学のレンズが有用な理由である。RPKI は、民間運営のネットワークと商業的に価値ある番号リソースの周りにラップされた公共信託サービスである。それは共通のシグナルを生成するが、そのシグナルの帰結は分散している。RIPE NCC は認証層とリポジトリを運営するかもしれない。メンバーはアカウントを保持するかもしれない。レッシー(借主)は経路を起点するかもしれない。トランジットプロバイダーはそれを検証するかもしれない。クラウド顧客はそれに依存するかもしれない。買い手はそれを価格付けるかもしれない。貸し手はそれを担保の質の一部として扱うかもしれない。顧客は、経路が疑わしくなった場合に被害を被るかもしれない。コストを感じる当事者は、必ずしも証明書状態を決定する当事者ではない。
正しい問いは、RPKI がルーティングをより安全にするかどうかではない。それはする。正しい問いは、RIPE NCC の RPKI ガバナンスが、セキュリティメカニズムが制度的梃子の広範な道具になりえないほどに十分狭いかどうかである。証明書が検証されたリソース状態と定義されたサービス条件を反映していれば、台帳は市場の信頼を強化する。証明書の継続性が、不透明なアカウント管理、遅い移転認識、曖昧なサービス状態、または非技術的紛争によって乱されうるならば、台帳は門のように見え始める。インターネットが台帳をますます書類作業ではなくインフラとして扱うため、その違いは重要である。
RIPE NCC のリスクは一般的な RPKI リスクではない
全ての地域レジストリは、セキュリティサービスと制度的権力の間の緊張に直面する。RIPE NCC の場合は特有である。成熟したメンバー協会、強力なオープンポリシーの伝統、オランダの法的・運用的基盤、非常に不均一なサービス地域、深い IPv4 移転市場、多数の中小メンバー、そしてメーリングリストとコミュニティのコンセンサスが通常以上の影響力を持つポリシー文化を組み合わせている。これらの特徴は、RIPE NCC をある面では強靭にし、他の面では露出させる。
オープンポリシー文化は強みである。可視的な議論を通じてルールを変更するレジストリは、執行のブラックボックスになる可能性が低い。RIPE のポリシーリストの伝統は、技術オペレーター、ブローカー、学者、大規模ネットワーク、小規模ネットワーク、公共利益オペレーターに、アイデアがポリシーになる前に異議を唱える場を提供する。また、RIPE NCC が裁量的な管理者として全ての選択をするのではなく、コミュニティポリシーを実装すると言える道も与える。通常の番号リソースガバナンスでは、この区別は真の価値を持つ。
RPKI は、影響を受ける人口がリスト上でアクティブな人々よりも広いため、この構図を複雑にする。他地域の依存ネットワークが RIPE NCC の RPKI データを使用する可能性がある。RIPE 地域のプレフィックスでホストされている顧客は、ポリシー提案を決して読まないかもしれない。アドレス大量取得の資金を提供する銀行は、RIPE コミュニティと RIPE NCC サービス組織の違いを知らないかもしれない。小規模 ISP はポリシースレッドを監視するスタッフを欠くかもしれないが、ポータルアクセス、証明書更新、リポジトリ継続性に依存している。制裁スクリーニングイベントは、コミュニティポリシーではなく域外法によって引き起こされるかもしれない。RPKI は、内部ガバナンス選択を、投票権を持たず、文脈をほとんど持たず、ルーティングインシデントの速度で会話に参加する実用的能力を持たないアウトサイダーによって消費されるシグナルに変換する。
メンバーシップ説明責任も同様に実在するが不完全である。RIPE NCC メンバーは会合に出席し、協会事項の一部に投票し、懸念を提起し、ガバナンスに参加できる。これは閉鎖的な管理独占より強い。しかし RPKI リスクはメンバーの不満と同一ではない。被害当事者は、下流顧客、レッシー、トランジットプロバイダー、買い手、クラウドプラットフォーム、または公共部門ユーザーかもしれない。したがってメンバー関係は外部性を過小代表しうる。レジストリは内部手続きを満たしながら、それでもメンバーシップシステム外の当事者に降りかかる継続性コストを生み出しうる。
地域の多様性が問題を深める。RIPE NCC のサービスエリアは、安定した欧州の通信市場、グローバルクラウド・ホスティングハブ、制裁に敏感な回廊、戦争の影響を受けたネットワーク、急成長する中東オペレーター、中央アジアプロバイダー、大学、レガシーホルダー、コンテンツプラットフォーム、金融サービスインフラ、そして薄い管理能力の小規模アクセスプロバイダーを含む。同じ RPKI ルールがこの地域全体で異なる経済効果を持ちうる。大規模キャリアは委任インフラを運用し、法務スタッフを維持し、サポート遅延を吸収し、ルーティングセキュリティ移行条項を交渉できる。小規模メンバーは、完全にホスト型サービス、一人のアカウント管理者、そしてタイミングが顧客ローンチを決定するサポートチケットに頼るかもしれない。
これは RIPE NCC がメンバーごとに異なる事実を維持すべきだという意味ではない。トラストアンカーは暗号の装いをした地域政治になりえない。統一性は価値の一部である。しかし比例的な救済策のない統一性は不平等な負担を生む。支払い問題、書類不備、制裁問題、権限紛争が大規模キャリアと小規模地域プロバイダーに同じサービス結果をもたらす場合、法的カテゴリーは統一されても経済的損害はそうではない。制度設計は、証明書チェーンの完全性を低下させることなくこの非対称性を認識しなければならない。
また、RPKI は RIPE NCC の移転環境と交差する。RIPE 地域は発達した IPv4 市場を持つ。移転、合併、事業構造の変更は例外的ではない。それらは、希少なアドレス容量が評価される場所へ移動する方法の一部である。今や RPKI は決済ファイルに座っている。買い手は、リソースが移転可能かどうかだけを問うのではない。既存の ROA が棚卸しされ、撤回され、再作成され、または変更を通じて保存されうるかを問う。売り手は販売権限だけでなく、アカウント管理と証明書の衛生を必要とする。ブローカーは書類を管理するだけでなく、取引を超えて存続しうる経路起点移転リスクを管理する。
これらの理由から、RPKI ガバナンスに関する RIPE NCC の記事は、ホスト型サービス、委任型サービス、バリデーターの挙動に関する一般的な懸念を単に繰り返すべきではない。特有の問題は、RIPE NCC の制度文化、メンバーシップモデル、公開リポジトリ、トラストアンカー、移転慣行、地域の不均一性が、どのように RPKI をレジストリ層の継続性問題に変換するかである。リスクはレジストリが弱いことではない。強力なレジストリが、ますます重要なセキュリティサービスを運用する中で、事実記録、サービス管理、到達可能性結果の間に十分に明示的な境界を持たないかもしれないことである。
トラストアンカーは単なる鍵ではなく、制度的な約束である
トラストアンカーは、RPKI の制度的性格が見える場所である。技術的には、Trust Anchor Locator はバリデーターに認証階層の最上位を位置特定し認証するための情報を与える。制度的には、トラストアンカーは、RIPE NCC が、その認証対象リソースについて、署名された資料が経路起点表明を評価するために使用されうる、と認められた権威であることを述べる。これは重い約束である。ウェブページやルックアップサービス、メンバー請求書とは同じではない。それはルーティングセキュリティエコシステムにとって公開された信頼の根源である。
トラストアンカー構造に関する RIPE NCC の文書は、この構造が自然法則ではなくガバナンス上の選択であることを示すため、展示物として有用である。同組織はかつて、5 つの別々の IANA 割り振りに合わせたトラストアンカーレイアウトを運用していた。後に、現在の認証機関下の全リソースを含む単一の RIPE NCC トラストアンカーを運用した。この簡素化はエンジニアリングおよび依存当事者の観点から合理的である。断片化を減らし、RIR 間調整を反映する。しかしそれはまた、RIPE NCC トラストアンカーの継続性とガバナンスをより重大にする。単一の地域アンカーは評判上および運用上の期待を集中させる。
アンカーに埋め込まれた約束にはいくつかの部分がある。その下で認証されたリソースは RIPE NCC のレジストリ事実に結びついていること。証明書の発行、更新、失効が瞬間的な選好ではなく定義された実践に従うこと。公開資料が依存当事者によって取得できること。例外的な措置は、制度的便宜ではなく、セキュリティ、法、または権原の事実に基づくこと。レジストリがミスを犯した場合、市場アクターがそのミスをシステミックリスクと価格付ける前に、それを訂正するのに十分な監査可能性と改善速度があること。
公式文書は仕組みを記録できるが、それ自体で約束が経済的に適切かどうかを決着できない。RIPE NCC の認証実践声明は、証明書、マニフェスト、失効リスト、リポジトリの取り扱いを説明している。その RPKI ユーザー資料は、リソース証明書がホルダーの組織記録に結びつけられ、通常 18 ヶ月間有効で、登録変更やその他の定義されたイベントが介入しない限り、12 ヶ月ごとに自動更新されることを説明している。サービス条件は責任を配分し、依存についてユーザーに警告する。これらは重要な事実である。しかし中心的経済的問いには答えない:証明書チェーンが経路受容に影響を与えるとき、レジストリ側の措置のコストは、害を防止し、説明し、修理する最も能力のある当事者に配分されているか?
トラストアンカーはまた、政治経済的境界でもある。番号リソース認証に関する RIPE NCC の権限は、台帳に近いときに最も強力である。レジストリは、誰がどのリソースを、どの検証条件の下で保持していると認識しているか、そして認可された当事者によってどの起点表明が公開されたかを述べる。これは狭く防御可能な役割である。同じ権限が無関係なメンバーの行動に対する梃子として使用されるか、使用可能に見える場合、防御が難しくなる。ルーティングセキュリティのトラストアンカーは、汎用コンプライアンススイッチになってはならない。
この区別は学術的ではない。あるメンバーが手数料を巡る紛争、企業権限の問題、制裁関連の審査、または M&A 文書の欠陥を抱えていると仮定せよ。事実確認中にいくつかの制限は正当化されるかもしれない。しかし証明書システムは、権原の欠陥、資格情報の侵害、合法的禁止、返却リソース、そして日常的管理欠陥を区別すべきである。全ての問題が同じ認証結果を脅かしうるならば、トラストアンカーはレジストリ管理がルーティングに到達する経路となる。それは実際の誤用が稀である場合でさえ、RIPE 地域リソースのリスクプレミアムを引き上げるであろう。
したがって、良くガバナンスされたトラストアンカーには、暗号の健全性以上のものが必要である。それには制度的謙抑が必要である。RIPE NCC は、真正のレジストリ事実を認証し、リポジトリ可用性を維持し、虚偽または安全でない資料を失効させ、法律を遵守できるべきである。また、証明書の継続性を万能の執行ツールとして使用しないように可視的に制約されるべきである。ネットワークがこのアンカーに依存すればするほど、市場はその区別を要求するだろう。
ホスト型 RPKI は利便性だが、メンバーシップ依存を伴う
RIPE NCC のホスト型 RPKI サービスは、参加の固定費を下げるため魅力的である。多くのメンバーは、独自の認証システムを運用し、鍵を保護し、リポジトリインフラを維持し、マニフェストを監視し、公開障害を管理し、専門的なセキュリティスタックのスタッフを訓練したくない。彼らは RIPE NCC 環境にログインし、保持するプレフィックスに対して ROA を作成し、意図した起点が正しいかを確認し、レジストリに重い機構を任せたい。この利便性は採用を増やし、ルーティング衛生を改善する。
制度上のコストは、RIPE NCC のメンバー向けシステムへの依存である。RIPE NCC のユーザー資料は、ホスト型 RPKI ではプライベートキーが RIPE NCC サーバーに保管され、ユーザーは RIPE NCC システムを通じて証明書と ROA を管理することを説明している。同じ資料は、委任型 RPKI を区別しており、そこでは保有者が RIPE NCC の親関係の下で、自身の認証機関、プライベートキー、公開配置を管理する。これらは単なる技術的代替案ではない。それらは制御、固定費、制度的露出の異なる配分である。
ホスト型サービスは RIPE NCC のメンバーシップランドスケープに適合する。小規模アクセスプロバイダー、大学ネットワーク、地域ホスティング業者、企業保有者は、代替案が過剰設計になるため、合理的にホスト型 RPKI を選択しうる。しかしそのメンバーは、アカウント権限、ポータル可用性、サポート応答性、サービス条件、証明書更新、資格に関する RIPE NCC の解釈に依存する。アカウント管理者が退職した場合、2 つの企業関連会社が権限を争う場合、支払いや文書問題がサービス状態に影響を与える場合、または移転が保留中の場合、保有者の経路起点表明を維持する能力が管理上の問題の一部になりうる。
この依存は、境界が明示的である場合にのみ受け入れられる。メンバーは、どの事実がホスト型 RPKI アクセスに影響しうるか、どの事実がし得ないかを知るべきである。リソース登録、権限喪失の確認、アカウント侵害、合法的拘束、完了した移転、返却リソース、重大な技術的欠陥は、認証を制限または変更する自然な理由である。合法的ビジネスモデルへの広範な不快感、リースへの苛立ち、ポリシー批判、無関係なメンバー政治、または非セキュリティ紛争の解決を強制する一般的欲求は、公表されたルールが事実を信頼サービスに真っ直ぐに結びつけない限り、ライブの認証を乱すことが許されるべきではない。サービスは、その措置の根拠が退屈で狭いとき、最も強力である。
ホスト型 RPKI は、RIPE のポリシーリスト文化内部でアカウンタビリティ問題も提起する。リスト寄稿者はポリシーを議論できるが、緊急のホスト型サービス問題に直面する小規模メンバーは、数ヶ月のコミュニティ議論ではなく、運用上の明確さを必要とする。メーリングリストはルールの正当性構築には優れている。週末の顧客移行、争点のある ROA 引き渡し、経路起点検証に影響を与えるアカウント復旧の解決には弱い。したがってガバナンスモデルは、公開ポリシーと迅速で審査可能なサービス措置の両方を含まねばならない。一方は他方を代替できない。
問題は、ホスト型 RPKI が避けられるべきだということではない。回避は小規模メンバーをより安全でなくし、地域のルーティング衛生を悪化させる。問題は、ホスト型採用が静かな中央集権化を生み出しうることである。もしリソースの少ないほとんどのメンバーがホスト型パスを選ぶならば、RIPE NCC のサービス姿勢が地域のかなりの部分における実践的な RPKI 姿勢となる。これは、組織に中立的な記録保持者が持っていたであろうよりも大きな運用的フットプリントを与える。また、より明確なサービス指標、停止履歴、サポートタイミング、エラーカテゴリ、改善実践を公表する義務を創出する。
委任型 RPKI は利用可能で信頼できるべきであるが、それは RIPE NCC の権限からの完全な逃避ではない。委任オペレーターは依然として、RIPE NCC の親証明書、リソース認識、トラストアンカー関係に依存する。委任は運用的負担を下流に移すが、制度的根幹を除去しない。したがって、ガバナンス基準は対称的であるべきである:ホスト型メンバーは不必要な依存に閉じ込められるべきでなく、委任型メンバーはアカウンタビリティ境界の外にあるかのように扱われるべきでない。両方のモデルに予測可能な親レジストリが必要である。
経済的帰結は単純である。RPKI 継続性が理解しやすい RIPE 地域のリソースは、その継続性がポータル権限、スタッフ判断、またはサポート待ち行列の非公式な知識に依存するリソースよりも価値が高い。買い手、貸し手、顧客は、リスクがホスト型サービス依存と呼ばれようとアカウント管理と呼ばれようと気にしない。彼らは経路起点継続性リスクを見て、それに応じて価格付けるだろう。
移転は RPKI を決済条件にする
IPv4 移転市場は、RIPE NCC の RPKI ガバナンスが直ちに商業的になる場所である。移転契約は価格、エスクロー、保証、クロージング手続きを決着できる。しかし、レジストリ記録、アカウント権限、証明書状態、ROA 状態が受領者の意図した使用と整合するまで、運用的決済は不完全である。登録リソースを受け取ったが、移行日までに正しい ROA を公開できない買い手は、事業計画が前提としたものを受け取っていない。古い ROA を忘れた売り手は矛盾したシグナルを残しうる。RPKI を無視するブローカーは、書類上はクローズしながら、買い手にルーティングセキュリティの欠陥を残しうる。
RIPE NCC の RPKI ユーザー資料は、移転問題を具体的にする。それらは、リソース証明書が登録リソースの組織記録にリンクされていること、移転や合併による関連登録の変更が証明書を変えうること、またエントリ間で移動されたリソースに接続された ROA は削除され、再作成が必要になる可能性があることを説明している。この事実の展示は、RPKI が外部の技術的雑用ではなく、移転シーケンスの一部であることを示すため重要である。市場は ROA 移行をクロージングの成果物として扱うべきである。
明白な移転リスクは権限とタイミングである。ソースは検証された管理を持たねばならない。受領者は適格で準備ができていなければならない。RIPE NCC は移転を認識しなければならない。既存の ROA は棚卸しされねばならない。当事者は、重複期間があるかどうか、移行中に古い起点が有効であり続けるかどうか、トラフィックが動く前に新しい起点が認可されるべきかどうか、古い認可のクリーンアップに誰が責任を持つかを決定しなければならない。いずれかの当事者がアカウントアクセスを欠くか、RIPE NCC のレビューに予想以上の時間がかかる場合、決済の経路起点部分が法的部分より遅れる。
より明白でないリスクは可逆性である。移転には、争点のある企業沿革、合併、破産、レガシー文書、制裁スクリーニング、グループ内再編が関わりうる。これらの場合、最も安全な証明書姿勢は、最後に検証されたライブ状態を保存しつつ、リスクある新規主張を禁止することかもしれない。これは広範なサービス中断とは異なる。古い状態が虚偽と知られておらず、顧客がライブである場合、レジストリは単に文書パケットが不完全であるために到達可能性リスクを生み出すことを避けるべきである。逆に、権原欠陥が証明されているか資格情報が侵害されている場合、古い認証を保存することはルーティングシステムを誤解させる可能性がある。正当なレジームはこれらのケースを区別しなければならない。
エスクロー実践は適応すべきである。本格的な RIPE 地域の移転ファイルは、RPKI 棚卸しを含むべきである:各プレフィックス、現在の全 ROA、認可された AS 番号、最大プレフィックス長、意図された移転後起点、委任型かホスト型かの状態、証明書有効期限日、リポジトリエンドポイント、アカウント保持者、緊急連絡先、削除または再作成の予定タイミング。このファイルは、RIPE NCC レビューが遅延した場合、またはソース管理者が行動できない場合に何が起こるかを明記すべきである。支払い解除はレジストリ認識だけでなく、重要な場合には経路起点準備状況に結びつけるべきである。これは RIPE NCC を私的契約の当事者にはしない。それは、その認証サービスが今や資産の使用可能条件の一部であることを認識するものである。
小規模メンバーはこの設定で不利である。大規模キャリアやブローカーはチェックリストを維持し、法律顧問を雇い、検証を監視し、移行ツールを構築できる。ブロックを売買する小規模プロバイダーは、移行計画がすでに遅れているときに初めて RPKI 移行を発見するかもしれない。レッサー(貸主)は十分な運用的能力なしに ROA サポートを約束するかもしれない。レッシーは、RIPE NCC アカウントが自身の管理下にない保有者に依存するかもしれない。これらは特殊な失敗ではない。これらは、公共信託サービスが私的決済の一部となったときに生み出される通常の取引コスト問題である。
RIPE NCC は、管理を弱めることなく移転プレミアムを削減できる。より明確な RPKI 向けの移転段階ガイダンスを公開し、RPKI に影響する移転ステップの集計タイミングデータ、ホスト型および委任型遷移の標準チェックリスト、リソースが登録エントリ間を移動する際の証明書と ROA の平易な結果を公表できる。またメンバーに、ROA 移行を第一級の移転タスクとして扱うよう奨励できる。目標はいかなる代償を払っても速度ではない。それは審査下での予測可能性である。
公開の継続性は、私的コストを伴う公共財である
RPKI は証明書と ROA だけでなく、公開に依存する。バリデーターは最新の資料をフェッチする必要がある。リポジトリは到達可能である必要がある。マニフェストと失効リストは意味を成す必要がある。依存当事者は、フェッチするものが新鮮で完全で本物であるという十分な確信を必要とする。公開は技術的に聞こえるが、経済的にはそれはレジストリインフラが外部依存と出会う点である。
RIPE NCC のリポジトリ条件は、リポジトリの公共的性格を述べ、リスクをユーザーに配分する。その認証実践声明は、署名付き資料、失効リスト、リポジトリ公開の取り扱いを説明している。そのステータスおよびサービス資料は、オペレーターがインフラが機能しているかを確認できるようにする。これらの展示は、公開が単なる静的記録表示ではなく、運用的サービスであることを示している。リポジトリインシデントは全面的な停止ではないかもしれないが、バリデーターや、自身の検証姿勢を監視しているオペレーターにとって不確実性を生み出しうる。
経済的困難は、公開継続性が公共財特性を持つことである。各保有者は自分の ROA が公開されることから利益を得る。依存ネットワークはリポジトリ全体が信頼できることから利益を得る。RIPE NCC が運用的負担を負うが、失敗のコストの多くは外部にある。移行が遅延した保有者、ネットワークがより厳しくフィルタリングされた顧客、古いデータを信頼するか決定しなければならないトランジットプロバイダー、クロージングファイルが不確実になった買い手は、全て RIPE NCC のサービス請求書に現れないコストに直面しうる。
この非対称性はレジストリへの無限責任を正当化しない。レジストリは経路起点検証の上に構築された全てのビジネスに保険をかけられない。依存ネットワークは自身のポリシーを選択する。保有者は自身の ROA を監視しなければならない。しかし有限責任は透明性の必要性を高める。ユーザーが自己責任で依存するように言われるならば、リポジトリ可用性、インシデント分類、復旧時間、エラー訂正、緊急通信、ホスト型と委任型の公開失敗の違いについて、より良い情報を必要とする。
さもなければ市場は自身の保険を作り出すだろう。大規模ネットワークはリポジトリを直接監視し、フォールバック判断ルールを維持し、アドレス供給者からの契約上の保証を要求し、カウンターパーティからの RPKI 健全性証拠を要求するだろう。クラウドプロバイダーはプライベート検証チェックを構築するだろう。ブローカーはリスクを移転サービスに価格付けるだろう。小規模メンバーは仲介者に過払いするか、監視に過小投資するだろう。これのどれも非合理ではない。それは公的信託インフラを巡る不確実性の私的コストである。
公開継続性は紛争中も重要である。メンバーの権限が審査下にある場合、特定のセキュリティ、権原、または法的な事実が撤回を要求しない限り、最も安全な姿勢は、ライブサービスを支える既に公開された資料を保存しながら、リスクある変更を凍結することかもしれない。リポジトリ問題がホスト型資料に影響を与える場合、RIPE NCC は迅速な公開コミュニケーションを必要とする、なぜなら依存当事者はその問題がローカルか、全体的か、リソースの一部集合に限定されているかを推測できないからである。委任型公開が失敗した場合、メンバー責任と親レジストリ責任の境界は、顧客やカウンターパーティが誰に圧力をかけるべきか分かるほど明確であるべきである。
監査証跡は中心的である。状態が経路取扱に影響を与えうるリポジトリは、審査可能な記録を残すべきである:何が、いつ、誰の権限で、どのリソースに対して、どの理由カテゴリで、どの改善パスで変更されたか。全ての詳細が公開できるわけではない。いくつかはセキュリティインシデントやメンバーの秘密保持を伴う。しかし集計報告は、公開障害が稀かどうか、どれほど迅速に修正されるか、移転関連の ROA 削除やアカウント復旧のような特定のカテゴリが再発するかどうかを明らかにできる。そのような報告なしでは、信頼層はそれに依存する市場にとって部分的に見えないままである。
したがって、公開は、ストレス下で証明書台帳が使用可能であり続けるかを決定するため、ガバナンス問題である。美しく起草された証明書ポリシーは、リポジトリが信頼できず、インシデントコミュニケーションが曖昧で、最後に検証された安全な状態が再構築できないならば十分ではない。RIPE NCC の RPKI リポジトリは、稼働時間だけでなく、何かがうまくいかないときにどれほど信頼を保つかによって判断されるべきである。
有効期限と失効は、サービス条件が財産的な依存と出会う場である
証明書は期限切れになり、失効しうる。これは公開鍵システムでは正常である。RIPE NCC の RPKI 資料では、証明書には定義された有効期間と更新パターンがあり、失効は、リソース変更、無効化された署名付き資料、鍵侵害、サービス終了、または認証実践声明とサービス条件に記述されたその他の状況のような定義された条件下で起こりうる。これらの仕組みは必要である。虚偽または安全でない表明を失効できない信託サービスは信頼できないであろう。
ガバナンスリスクは結果の重大性にある。期限切れまたは失効した証明書は、経路起点検証が運用的に重要になるとい、単なるアカウントイベントではない。それはプレフィックスに付けられた ROA の信頼性に影響し、したがって依存ネットワークがアナウンスを解釈する方法に影響しうる。効果は分散し部分的に自動化されている。つまり、有効期限と失効には、通常の管理変更よりも高い水準の通知、理由コーディング、異議申立可能性が必要である。
中心的原則は、欠陥への比例性であるべきである。リソースが移転、返却されたか、虚偽登録と判明した場合、認証は修正された事実に従うべきである。鍵が侵害された場合、緊急措置が正当化されうる。裁判所または法的当局がサービスを制限する場合、RIPE NCC は従わねばならないかもしれない。メンバーがあるリソースに対してもはや認識された請求を持たない場合、その起点表明を認証し続けることはシステムを誤解させる。これらは信託機能に近い、権原、セキュリティ、または法律上の欠陥である。
その他の欠陥はより曖昧である。手数料紛争、文書対応の遅延、争点のあるアカウント役割、銀行障害、制裁スクリーニングレビュー、または内部の企業不一致は、新たな変更に対する制限を必要とするかもしれない。しかし、それらは、基礎となるリソース請求が反証されておらず、顧客が継続性に依存する場合、自動的にライブの経路起点資料を乱すことを正当化しない。権限が確認される間、新規 ROA に対する狭い保留は比例的かもしれない。問題が経路起点表明に付随的であるならば、既存認証の広範な中断は不比例的かもしれない。
異議申立可能性は、タイミングが重要であるため重要である。数週間後に機能する審査パスは、法的には意味があっても運用的には無益かもしれない。証明書措置が顧客の到達可能性や取引クロージングに影響を与える場合、影響を受ける当事者は、理由カテゴリが元のサービス決定に投資していない誰かによって確認されるための迅速なルートを必要とする。これは RIPE NCC がそのセキュリティ判断を放棄する要求ではない。深刻な措置が害の速度で争えるべきだという要求である。
公式のサービス条件は、ユーザーに重大な責任を割り当て、RIPE NCC の露出を意図的不正行為や重大な過失のような狭い状況を除いて制限する。その配分はインフラサービスでは典型的かもしれないが、それは狭い救済策の必要性を強化する。レジストリの責任が制限される一方でメンバーと顧客の露出が大きくなりうる場合、レジストリは証明書継続性に関する広範で不透明な裁量を持つべきではない。権力と責任は金銭的に等しくある必要はないが、権力は理由、監査、審査によって制約されなければならない。
有効期限は失効よりも静かなリスクだが、同様に損害を与えうる。アカウントの混乱、システムエラー、不明瞭なホルダー状態によって失敗する証明書更新は、劇的な制度的決定なしに運用的不確実性を生み出しうる。メンバーは、問題になるずっと前に有効期限を可視化するツールを必要とする。カウンターパーティは、証明書有効期限と更新状態を含むデューディリジェンス質問を必要とする。RIPE NCC は、ライブリソースに対してサイレント有効期限が起こりにくくする監視とコミュニケーションを必要とする。本格的な RPKI レジームは、有効期限を家事ではなく継続性管理として扱う。
メンバークラブはルーティングの外部性を完全には代表しない
RIPE NCC のメンバーシップモデルは、それに正当性の一形態を与える。メンバーは手数料を支払い、サービスを使用し、会合に参加し、特定の制度的選択に影響を与えうる。RIPE コミュニティはより広いポリシーフォーラムを提供する。この構造は多くの重要なインフラよりも開放的である。しかし RPKI は、メンバーシップが完全には内部化しないルーティング外部性を生み出す。
保有者によって維持される ROA の下で下流顧客によって起点されるプレフィックスを考えよ。その顧客は RIPE NCC メンバーではないかもしれない。そのユーザーは別の地域にいるかもしれない。そのトランジットプロバイダーは自身のポリシーに従って経路起点を検証しうる。クラウドプラットフォームはオンボーディングのために経路起点検証を要求しうる。貸し手は保有者のアドレスポートフォリオを価格付けるかもしれない。RIPE NCC の措置が証明書状態に影響を与える場合、経済的効果はこれら全ての当事者を伝播しうる。メンバーは形式的なカウンターパートであるが、影響を受けるネットワークはより大きい。
これは標準的な制度経済学の問題である。統治機関は、間接的ユーザーに効果を生み出しながら、その直接ユーザーに説明責任を負いうる。RPKI は、間接ユーザーが単に記録を読むだけでなく、それを中心に決定を自動化しうるため、ギャップを拡大する。公開レジストリ記録はニュアンスを持って解釈されうる。ルーティングポリシーで使用される検証結果はより寛容でない。だからといって、間接ユーザーが RIPE NCC を制御する権利があるわけではない。しかし、RIPE NCC は彼らが依存を管理するのに十分な情報を公開すべきであることを意味する。
ポリシーリスト文化だけではこれを解決できない。リストは参加に開かれているが、参加のコストは不均等である。大規模オペレーターや専門家は提案を追跡し、会合に出席し、コメントを提出する余裕がある。小規模メンバー、顧客、貸し手、非技術的カウンターパーティはしばしばできない。証明書条件やリポジトリ実践に関する決定は、形式的な意味で可視的かもしれないが、結果を価格付けるほとんどの当事者には依然として見えないかもしれない。形式的な開放性は実効的な説明責任と同じではない。
答えは RIPE のコミュニティモデルを置き換えることではない。それを RPKI に関するサービスレベル透明性で補完することである。公開指標は、集計証明書数、ホスト型対委任型の使用状況、移転関連の証明書変更、失効カテゴリ、更新失敗、リポジトリインシデント、サポート応答分布、緊急措置、撤回を示すべきである。データは匿名化され、セキュリティ害を避けるように設計されるべきだが、市場がリスクが理論的か再発的かを見分けられる程度に具体的であるべきである。
独立した審査も有用である。全ての RPKI 問題が公に議論できるわけではない。なぜなら、いくつかはアカウント侵害、不正疑惑、法的命令、またはメンバー秘密保持を伴うからである。しかし深刻な証明書措置は、技術的および法的能力を持つ独立した機能による事後審査の対象となりうる。審査はメンバーの詳細を公開する必要はない。理由カテゴリ、措置が支持されたかどうか、手続きが踏まれたか、セーフガードが改善されたかを公開できる。そのようなメカニズムは、RIPE NCC を弱めるどころか強化するであろう。なぜなら、それは信頼を制度的評判から証拠へと変換するからである。
より広い点は、RPKI は単なるメンバーサービスではないということである。それはグローバルルーティングシステムによって消費されるシグナルである。メンバー協会はそのようなシグナルを運営できるが、その成果がメンバーシップの外で使用されるときは、そのアカウンタビリティ境界が拡大することを認識しなければならない。証明書チェーンは地域的かもしれない。依存チェーンはそうではない。
小規模メンバーの非対称性は継続性の問題である
小規模メンバーは、大規模ネットワークと異なる RPKI リスクプロファイルに直面する。大規模オペレーターは、ルーティングセキュリティスタッフ、法律顧問、契約マネージャー、複数のアカウント管理者、リポジトリ監視、変更管理システム、移転の経験を持つかもしれない。小規模メンバーは、RIPE NCC アカウントを理解する一人の人、ROA を設定する一人の外部コンサルタント、そして運用依存を理解せずに経路起点検証を前提とし始めた顧客契約しか持たないかもしれない。同じ証明書ルールがしたがって異なるレベルの継続性リスクを創り出すことができる。
非対称性はまずアカウント管理に現れる。小規模メンバーが、従業員の退職、創設者の死亡、コンサルタントの消失、または企業記録の陳腐化のために RIPE NCC アカウントへのアクセスを失う場合、RPKI 変更は停滞しうる。ネットワークは依然としてルーティングするかもしれない。顧客は依然として支払うかもしれない。しかしメンバーは新しい上流、顧客移行、または移転のために迅速に ROA を修正できない。大規模オペレーターにとって、アカウント復旧はプロセスである。小規模メンバーにとって、それはビジネス危機でありうる。
それは再びホスト型サービス依存に現れる。ホスト型 RPKI は小規模メンバーにとって理にかなっているが、継続性を RIPE NCC のシステムとサポートに結びつける。小規模メンバーは委任インフラを運用したり、並行専門知識を維持したりする可能性が低い。また、リポジトリ健全性やバリデーター出力を監視する能力も低いかもしれない。何かが壊れたとき、メンバーは技術的問題だけでなく能力ギャップを発見する。救済策はメンバーが持たない知識を要求するかもしれない。
移転とリースは非対称性を先鋭化させる。小規模プロバイダーは ROA サポートを約束する保有者からアドレス空間をリースするかもしれない。プロバイダーの顧客は経路に依存するが、プロバイダーはレジストリ関係を管理しない。保有者が遅い、審査下にある、または管理的に弱い場合、プロバイダーの顧客継続性は露出される。小規模買い手はアドレスを購入し、移転認識が難しい部分だと想定し、ROA クリーンアップと証明書移行が別のタスクであることを発見するだけかもしれない。小規模売り手は、誰もクロージングチェックリストを作成しなかったため、古い認可を残すかもしれない。
制裁と銀行多様性は別の層を加える。一部の RIPE 地域メンバーは、西ヨーロッパよりも支払いチャネル、会社文書、コンプライアンス審査が困難な管轄区域で運営している。支払い遅延や文書要求は、悪意ではなく外部摩擦を反映するかもしれない。サービス結果が機械的である場合、それらのメンバーはルーティングセキュリティと無関係な理由でより高い継続性リスクに直面する。正当なレジストリは義務を執行しなければならないが、特にライブ認証と顧客継続性が危機にある場合、銀行や管理の制約によって引き起こされる不能と拒否を区別すべきである。
政策救済策は補助金やより低い完全性基準ではない。それはデフォルト保護のより良い設計である。RIPE NCC は、RPKI 有効期限アラートをより明確にし、標準的なアカウント復旧ガイダンスを提供し、小規模メンバー向け移転チェックリストを公開し、ライブ経路起点問題のための緊急検証チャネルをサポートし、異なる審査クラス中にどの既存 ROA が保存されるかを定義できる。また、メンバーが誰が RPKI 変更に対して権限を持っているか、どの証明書状態が存在するか、登録状態が変化した場合に何が起こるかをより容易に確認できるようにできる。
経済用語では、レジストリは信頼を低下させることなく固定コンプライアンスコストを削減すべきである。それこそが良く運営された地域インフラ機関の目的である。小規模メンバーが偶発的な RPKI 露出を避けるためだけに高価な専門家の助けを買わねばならないならば、サービスは規模に対する私的税金を生み出している。RIPE NCC が明確なデフォルトと狭い救済策を提供できれば、小規模メンバーは不均衡な制御を譲渡することなくセキュリティを得る。
制裁、法的リスク、証明書の継続性は慎重に分離されねばならない
RIPE NCC はオランダから運営されており、ルーティングプロトコル設計内部では生じない法的制約を受ける。制裁、裁判所命令、破産、法執行要請、輸出管理、契約上の義務は全てサービス決定に影響を与えうる。制裁とメンバーサービスに関する公式資料は、RIPE NCC が適用可能な法律を無視できないことを説明している。これは分析的な結論ではなく、制度的事実である。経済的問いは、法的露出が証明書継続性からどのように分離されるかである。
制裁は、法的に義務的であると同時に運用的に鈍器になりうるため、最も困難な例である。RIPE NCC がある当事者に特定のサービスを提供することを禁じられている場合、それに従わねばならない。しかしサービス制限の結果は、制裁対象ではないネットワークやユーザーによって負担されるかもしれない。プレフィックスは通常の顧客トラフィック、病院接続、教育ネットワーク、クラウドワークロード、公共サービスを運ぶかもしれない。経路起点資料は制限の前に作成されていたかもしれない。依存ネットワークは法的文脈を理解しないかもしれない。したがってレジストリは、法律が何を要求するか、どのサービスが制限されるか、どの状態が保存されるか、どのようなコミュニケーションが可能かについて正確でなければならない。
同じ規律が支払いや文書問題にも適用されるべきである。移転に対する制裁スクリーニング保留は、手数料延滞問題とは異なる。銀行チャネル障害は支払い拒否とは異なる。不明瞭な企業署名者は証明された虚偽登録とは異なる。セキュリティ侵害は政治的居心地悪さとは異なる。証明書措置はこれらの区別を追跡すべきである。基礎となるリソース請求が認識され続け、ライブ経路が既存の ROA に依存している場合、法律またはセキュリティが別を要求しない限り、最後に検証された安全な状態の保存がデフォルトであるべきである。
これは特別扱いの嘆願ではない。機能分離の嘆願である。レジストリ台帳は認識されたリソース事実を記録する。RPKI システムはそれらの事実にリンクされた経路起点表明を公開する。コンプライアンス機能は法的義務が果たされることを確保する。危険は、より狭い手段が法律を満たす場合でさえ、コンプライアンス機能が自動的に広範な認証害に変換されることである。多様な管轄区域にサービスする地域レジストリは、通常サービスと完全中断だけでなく、部分的制限のための語彙を必要とする。
投資家やカウンターパーティはこれを価格付けるだろう。審査を引き起こしうる管轄区域や企業チェーンと関連するアドレスブロックは、証明書継続性が予測不可能であれば、より高い決済プレミアムを負う。買い手はより多くのエスクローを要求するかもしれない。貸し手は資産を割り引くかもしれない。クラウド顧客は別の供給者を選ぶかもしれない。高摩擦市場の小規模メンバーは、サービスを採用することがレジストリに追加の運用的管理点を与えることを恐れるならば、RPKI 採用を避けるかもしれない。これらはセキュリティレジームが奨励すべき結果ではない。
明確な法的状態報告がプレミアムを低減しうる。RIPE NCC は秘密のスクリーニングファイルを公開する必要はない。それはカテゴリを公開できる:法律によりサービス停止、移転審査保留中、改善中の支払い問題、権限検証保留中、アカウント侵害の疑い、完了したリソース変更に要求される証明書措置。各カテゴリは、既存 ROA、新規 ROA、委任配置、リポジトリ公開、異議申立てに対する既知の影響を持つべきである。カテゴリが明確であるとき、カウンターパーティは合理的に決定できる。曖昧なときは、最悪を想定する。
より広い継続性原則は、法的コンプライアンスが法律と整合する最も狭い運用的形式で実装されるべきである。法律がある当事者へのサービスなしを要求するならば、レジストリの選択肢は制約される。法律が狭い問題が解決される間、公開データまたは既存技術状態の保存を許すならば、保存が選好されるべきである。証明書台帳は法的義務が要求する以上に破壊的であるべきではない。
異議申立可能性は、運用上の損害の速度で動かなければならない
ガバナンスシステムは、そのルールの質だけで測られるのではない。それはエラーが訂正される速度と独立性によって測られる。RPKI は、証明書やリポジトリの決定が通常の協会手続きよりも速く運営に影響を与えうるため、ハードルを上げる。メンバーは、証明書状態が顧客移行や取引クロージング中に誤っている場合、長い制度サイクルを待てない。
異議申立可能性は理由コードから始まるべきである。証明書の期限切れ、失効、ブロックされた ROA 作成、リポジトリ削除、または移転関連の ROA 削除によって影響を受けたメンバーは、理由カテゴリを知るべきである:完了した移転、返却リソース、アカウント侵害、合法的制限、無効登録、権限紛争、不払い、技術的インシデント、サービス条件違反、またはメンバー要求措置。「アカウント問題」のような曖昧な表明は、結果が経路起点信頼に影響を与えうる場合、十分ではない。
次の要素は迅速な技術レビューである。いくつかのケースは政策議論ではない。それらは事実確認である:メンバーは依然としてリソースを保持しているか?ROA は登録エントリが変更されたために削除されたか?証明書は期限切れか?鍵侵害が発生したか?リポジトリは最新の資料を公開しているか?サポート措置が誤ったプレフィックスに影響を与えたか?技術的に有能なレビューはこれらの事実を迅速に確認または訂正できる。レビューは、措置が深刻な結果を持つ場合、元の運用ステップから分離されるべきである。
より困難なケースは法的または制度的レビューを必要とするが、サービス効果は依然として一時的な処理を必要とする。移転が争われている場合、RIPE NCC は最後に検証された安全な状態を保存しながら、新たな認証変更をブロックする必要があるかもしれない。権限が不明瞭な場合、既存の資料を削除せずにアカウント行動を制限するかもしれない。法律が即時制限を要求する場合、余地は少ないかもしれないが、法的カテゴリを記録し、許される範囲内で通信すべきである。紛争を決定する間に継続性を保存できない審査パスは、しばしば手遅れになるだろう。
異議申立可能性はまた適切な場合にはカウンターパティを含めるべきである。レッシーまたは下流顧客は登録保有者ではないかもしれないが、運用的損害を被る当事者かもしれない。RIPE NCC は下流当事者に保有者を無効にさせることはできず、メンバー秘密を保護しなければならない。それでも、下流依存の存在はメンバーの RPKI 管理と移転またはリースのチェックリストで可視的であるべきである。保有者は、契約によって、依存する起点と連絡先を特定することが奨励され、いくつかの文脈では要求されるべきである。これは、RIPE NCC をあらゆる私的顧客紛争の仲裁者にすることなく、緊急通信をより現実的にする。
異議申立基準は、深刻な措置に対して日常的な管理よりも厳格であるべきである。権限紛争中の新規 ROA のブロックは、ライブプレフィックスの既存認証を失効させることと同じではない。証明された虚偽登録の訂正は、支払い摩擦を巡ってメンバーサービスを停止することと同じではない。鍵侵害後の緊急措置は、遅い文書レビューと同じではない。システムは重大性を分類し、重大性が上がるにつれてより強力な証拠、より迅速なレビュー、より明確なコミュニケーションを要求すべきである。
事後の透明性は異議申立可能性の一部である。RIPE NCC は、RPKI 影響のある紛争について匿名化された事例サマリーを公開できる:どのカテゴリが措置を引き起こしたか、既存資料が保存されたかどうか、レビューにどれだけ時間がかかったか、措置が撤回されたか、どのセーフガードが変更されたか。そのような報告はメンバーを助けるだけでなく、RIPE NCC の RPKI システムが安定した台帳か、文書化不足の管理スイッチかを市場が理解するのに役立つだろう。
継続性を保護するセーフガードが適切な改革言語である
RIPE NCC RPKI ガバナンスにとって最も強力な改革言語は、「より多くの管理」または「より少ない管理」ではない。それは継続性を保護するセーフガードである。レジストリは、虚偽認証を防止し、侵害されたアカウントを保護し、法的命令に従い、証明書を現実のリソース状態と整合させるのに十分な管理を保持しなければならない。リソース保持者は、ネットワークを運営し、リソースを移動し、起点を変更し、顧客をサポートし、エラーに異議を唱えるのに十分な管理を保持しなければならない。依存ネットワークは信頼できるデータを受け取らねばならない。ガバナンス問題は、これらの利害が衝突する間にどのように継続性を保存するかである。
第一のセーフガードは、レジストリ事実と執行梃子の分離である。証明書は、認識されたリソース状態と保持者の認可された経路起点表明を反映すべきである。リソース事実が変化するならば、証明書状態は変化する。保持者の鍵が侵害されているならば、緊急措置が続くかもしれない。法的命令が制限を要求するならば、レジストリは従う。しかし無関係の紛争は、公表されたルールがその紛争が認証表明そのものを損なう理由を説明しない限り、ライブの経路起点資料を乱すべきではない。この分離は RPKI を、コンプライアンス兵器ではなく台帳サービスにする。
第二のセーフガードは、最後に検証された安全な状態の保存である。権限紛争、移転レビュー、またはアカウント復旧中、デフォルトは、既存の資料が虚偽、安全でない、または法的に禁止されているという証拠がない限り、リスクある新たな変更を防止しながら、ライブ経路の既存資料を保存することであるべきである。これは、書類をチェックしている間橋を開けておくことに相当する RPKI 版であり、管理者が更なる文書を必要とするために閉鎖するのではない。それは、新たな請求の基準を下げることなく顧客を保護する。
第三のセーフガードは、明示的なホスト型および委任型リスク開示である。ホスト型ユーザーは、RIPE NCC が何を管理するか、ポータルが利用不能になった場合に何が起こるか、証明書がどのように更新されるか、どのサポートチャネルが存在するか、どのサービス状態問題が ROA に影響しうるかを正確に知るべきである。委任型ユーザーは、RIPE NCC の親の役割が何を意味するか、委任型公開が失敗した場合に何が起こるか、ホスト型サービスまたは別の配置への移行がどのように機能するかを知るべきである。ホスト型と委任型の選択は、サービス用語にリスクを隠さず、運用的負担を透明に配分すべきである。
第四のセーフガードは、移転段階の RPKI 規律である。RIPE NCC の移転ガイダンスは、証明書と ROA 移行を前景に置くべきである。当事者は、現在の ROA を棚卸しし、計画された起点を整合させ、登録移動によって引き起こされる証明書変更を理解し、古い資料の削除または再作成を計画するよう伝えられるべきである。集計移転タイミングは、通常の登録認識と RPKI 影響ステップを区別すべきである。これは、不正防止チェックを弱めることなく決済プレミアムを低減するだろう。
第五のセーフガードは、リポジトリアカウンタビリティである。RIPE NCC はリポジトリ継続性をインフラとして扱うべきである。公開報告には、可用性、インシデント、影響を受けたサービスクラス、復旧時間、撤回、通信実践を含めるべきである。セキュリティ上機密の詳細は秘密のままでありうるが、集計証拠は、オペレーターやカウンターパーティが依存を価格付けするのに十分強力であるべきである。経路起点検証を形作るリポジトリは、任意のダウンロードサイトのようにガバナンスされることはできない。
第六のセーフガードは、深刻な措置の迅速なレビューである。失効、証明書撤回、ライブ経路資料の公開ブロック、証明書継続性に結びついたサービス中断は、理由コード、エスカレーションチャネル、運用的速度での独立レビューを引き起こすべきである。後になって措置が過剰と判明した場合、訂正は可視的であり、教訓は匿名化された形式で公開されるべきである。これはレジストリがその権力が証拠によって制限されていることを示す方法である。
最後のセーフガードは、メンバー能力サポートである。小規模メンバーはデフォルトツールを必要とする:有効期限アラート、アカウント役割の明確さ、移転チェックリスト、ホスト型サービスダッシュボード、緊急連絡先、審査中に何が起こるかの平易な説明。大規模ネットワークは自身の管理策を構築できる。小規模メンバーはレジストリが固定リスク管理コストを削減することを必要とする。洗練されたメンバーのみが安全に運用できる信託サービスは、市場力を集中させ、地域インターネットの多様性を弱めるだろう。
これらのセーフガードは反 RPKI ではない。それらはプロ RPKI である。メンバーが、認証がレジストリに自身の運用アイデンティティに対する予測不能なスイッチを与えることなくセキュリティを改善すると信じるならば、採用はより深く、より持続的になるだろう。RPKI の価値は、暗号と制度の両方への信頼に依存する。暗号は署名が有効であることをバリデーターに伝えることができる。ガバナンスは、署名が誤った理由で乱されないことを市場に伝えねばならない。
経営陣が注視すべきこと
RIPE 地域ネットワークの取締役会や経営陣は、RPKI を狭いエンジニアリング設定ではなく、ガバナンス依存として扱うべきである。第一の質問は棚卸しである。どのプレフィックスが ROA を持っているか?どの AS 番号が認可されているか?どの最大プレフィックス長が使用されているか?どのリソースがホスト型 RIPE NCC サービス下にあり、どれが委任型か?いつ証明書が期限切れになるか?誰がアカウント権限を持っているか?誰がアラートを受け取るか?どの顧客またはリースが特定の経路起点表明に依存しているか?どの移転、合併、または融資ファイルが RPKI 継続性を前提としているか?
第二の質問は管理である。組織は、上流が変わった場合、顧客が移行する場合、データセンターが移動する場合、またはプレフィックスが販売される場合に、迅速に ROA を変更できるか?認可された管理者は複数いるか?アカウント役割は最新か?企業文書は RIPE NCC 記録と整合しているか?古い ROA は移転やネットワーク変更後に削除されているか?委任型公開は監視されているか?ホスト型サービス状態は監視されているか?意図されたルーティングを公開された認可と誰かが比較しているか?
第三の質問は依存である。企業は ROA を公開するために別の保有者に依存しているか?顧客は企業が自身のために ROA を公開することに依存しているか?リースは応答時間、陳腐化した認可、証明書継続性について明示的か?購入契約は RPKI 移行成果物を定義しているか?融資デューディリジェンスは、アドレス容量がレジストリエントリだけでなく認証状態でもあることを理解しているか?制裁、支払いチャネル、または企業権限問題が RIPE NCC サービス状態に影響を与える可能性があるか?
第四の質問はレジリエンスである。RIPE NCC リポジトリにインシデントが発生したらどうなるか?アカウントがロックされたらどうなるか?移転が既存 ROA を削除し、新しいものが準備できていない場合にどうなるか?証明書が予期せず期限切れになった場合にどうなるか?委任型リポジトリが失敗した場合にどうなるか?サポートインシデント中に顧客が経路起点検証証明を要求した場合にどうなるか?答えは一人のエンジニアの記憶に依存すべきではない。
RIPE NCC 自身にとって、監視ポイントは同様に具体的である。それは、証明書措置の理由カテゴリをより明確にし、集計 RPKI サービスおよびリポジトリ指標を公開し、移転ガイダンスで RPKI を前景化し、法律とセキュリティが許す場合には最後に検証された安全な状態を保存し、深刻な措置に対する迅速なレビューを作成し、法的制限を広範なサービス摩擦と区別し、小規模メンバーをデフォルト管理策でサポートすべきである。これらは修辞においては控えめな改革であり、経済学においては重要な改革である。
最終的な制度的問いは単純である。明日 RIPE NCC の RPKI 状態が変わった場合、どの経路、顧客、移転契約、クラウドチェック、保証、リース、融資前提、アカウント権限が露出されることになるか?答えられない組織は、信頼台帳をチェックボックスであるかのように扱っている。メンバーが答えるのを助けられないレジストリは、市場に、自らが削減しうる不確実性を価格付けるよう求めている。
RPKI はセキュリティ改善であり続けるべきであり、管理上の脆弱性の新しい形であってはならない。RIPE NCC の役割は、証明書台帳を検証されたレジストリ事実に近く保ち、公開を信頼できるように保ち、救済策を比例的保ち、可能な場合には紛争を可逆的に保つことである。経路起点検証がより正常になるほど、その規律はより重要になる。地域レジストリは、権威ある台帳であると同時に抑制された制度であることができる。RPKI 時代においては、その両方でなければならない。

