こんばんは!!
GMOコネクトの名もなきエンジニアです。
よろしくお願いします!
日刊IETFは、I-D AnnounceやIETF Announceに投稿されたメールをサマリーし続けるという修行的な活動です!!
今回は、2026-06-10(UTC基準)に公開されたInternet-DraftとRFCをまとめました。
- Internet-Draft: 本Part19件(本日のInternet-Draft合計39件)
- RFC: 本Part0件(本日のRFC合計0件)
参照先:
その日のサマリー & Hot Topics
- 後半は19件で、SOOSの統治プロトコル群の続きが並びます。権限を人間主体と対象へ結ぶMandate JWT、挙動に応じて権限が伸縮するProgressive Trust、判断を人へ引き渡すHEM、行動理由を宣言するIDP、統治対象そのものを定めるSovereign Object、決定の合法性を問うCAPが顔をそろえます。委任と認可も厚く、OAuthに同意の証跡を残す提案、リクエスト単位の権限を課すDelegation認証、人手承認を証すEMILIAレシート、分散身元のAIPが登場します。ほかにGOSTのJWT登録、拡張VPNのIPv6ヘッダー、SRv6の層間プログラミングなど幅広い回です。
- 焦点は、自律エージェントの権限に人間の跡をどう残すかです。Mandate JWTは、権限を名指しの人間主体と特定のSovereign Objectへ結び、七つの観点で狭めて、末端のサブエージェントが根の権限を超えないようにします。Progressive Trustは、成功と失敗の記録に応じて権限を伸縮させ、発行時に固定されない信頼を与えます。委任の実務では、Delegation認証がリクエストごとに範囲の定まった権限の提示を求め、EMILIAレシートはオフラインでも一度限りの人手承認を確かめられます。同意や監査を検証可能な形で残す提案が、責任の追跡を静かに底上げします。
投稿されたInternet-Draft
The Mandate JWT (MJWT) for Agentic AI Systems
既存の認可資格情報は、AIエージェントに何が許されるかは示しますが、誰が権限を与えたか、どの対象にか、どんな任務の下でか、どこまで委譲できるかは示しません。本書はMandate JWTを定義し、WIMSEのワークロード資格情報として、権限を特定のSovereign Objectと名指しの人間主体に結び付けます。暗号的に強制される委譲の上限と七次元のNarrowing Propertyにより、連鎖の根にいる人間主体の権限を末端のサブエージェントが超えないようにします。後続版では同意範囲を狭める次元とconsent_scopeクレームが加わり、プライバシー法令への対応も見据えます。
Draft Link
Progressive Trust (PT) for Agentic AI Governance Systems
新入社員は最初こそ限られた権限しか持たず、判断力を示すごとに権限を広げ、成果が落ちたり時間が経ったりすれば信頼も薄れていきます。AIエージェントにはこれに相当する仕組みがなく、権限は発行時の資格情報に一度だけ宣言されて、その後の挙動記録に応じて変化しません。200回の成功セッションを重ねたエージェントも、配備されたばかりのものと同じ資格情報のままです。この文書はProgressive Trustを定義し、エージェントの実効的な権限が発行時点に固定されず、積み重ねた挙動の記録に応じて時間とともに変化する仕組みをAIガバナンスの枠組みとして提示します。
Draft Link
The Human Escalation Mechanism (HEM) for Agentic AI Systems
自律的に行動する権限を持つAIエージェントには、自らを止める仕組みが備わっていません。任務が権限を超える判断を要求する、方針が人間の判断を義務づける、あるいは能力の境界に達したとき、プロトコルが無ければ権限を超えて進む、通知なく黙って止まる、既に終了した任務の下で動き続けるという三つの失敗形態のいずれかが起こり、責任を負う人間は事態を遅れて知ります。本書はHuman Escalation Mechanismを定義し、エージェントセッションが判断を人間へ引き渡す際にGoverning Execution Controllerが何をすべきかを定める規範的なプロトコルです。
Draft Link
The Intent Declaration Primitive (IDP) for Agentic AI Systems
自動化されたワークフローでAIエージェントは行動を起こしますが、なぜその行動を取るのかを表明する規範的な仕組みはありません。アクセストークンは何が許されるかを宣言しますが、行動の瞬間にエージェントが自分は何をしていると考え、どんな推論に基づき、どの程度の確信を持つかを宣言する標準は存在しません。本書はIntent Declaration Primitiveを定義し、実行ループの各段階でGoverning Enforcement Componentへ提出する構造化された宣言とします。行動の前に改ざん検知可能なイベントログへ記録され、事後の推論レビューや認可評価、拒否応答の充実に役立ちます。
Draft Link
The Sovereign Object (SOV) for Agentic AI Systems
AIエージェントが人の代わりに動くとき、その対象は文書や予約、契約、金融指示です。既存のIETF仕様には、その対象が何であるか、どんな状態を取り得るか、誰が統治するか、関係が終わったときにどう不可逆に消去するかを定めたものがありません。意図の宣言や人間への引き上げ、監査記録、憲法的禁止といった統治プロトコルは、いずれも統治対象の資源の規範的な定義を要します。本書はSovereign Objectを定義し、因果的に順序づけられ、ポリシーに統治され、型付けされた生きた文書として、Governing Enforcement Componentの権限の下で定められた有限の状態空間を遷移する仕組みを示します。
Draft Link
The Constitutional AI Protocol (CAP) for Agentic AI Systems
エージェントの認可システムは何が許されるかを決め、人間主体のエスカレーション判断は何を認可するかを決めますが、どちらも単独では足りません。Cedarポリシーが市場操作を許すことも、人間主体が詐欺を認可することもあり得るからです。認可システムは誰が決めたかに答え、CAPはその決定が合法だったかに答えます。CAPはConstitutional Layerを定義し、Cedarが評価する前に、あらゆるAI行動要求と人間の認可判断を三層の禁止モデルに照らします。Tier0は普遍に近い条約合意に由来し無条件、Tier1は法域固有で運用者が宣言、Tier2は運用者のポリシーです。
Draft Link
Authorization Evidence and Audit Trail for OAuth 2.0 Access Tokens
OAuth2.0のアクセストークンに認可の証跡と監査履歴を含めるための認可詳細タイプを、Rich Authorization Requestsの枠組みを用いて定義しています。認可サーバーが利用者の同意を処理する際、暗号的な同意確認の証拠を認可詳細へ盛り込むことで、自律的なエージェントが利用者に代わって行動する場面での説明責任、コンプライアンス、紛争解決を支えます。誰がいつどのように同意したかを検証可能な形で残すことに主眼が置かれており、事後の監査や第三者による確認の際に、同意の存在そのものを改めて証明できる点が特徴です。
Draft Link
BGP Encodings and Procedures for Multicast in MPLS/BGP IP VPNs
RFC6513で規定されたMPLS/BGP IP VPNにおけるマルチキャストのために必要な情報要素を交換するBGPの符号化と手順を、RFC6514はこれまで定めてきました。この文書はそのRFC6514を更新し、廃止するものとして提出されています。長らく運用されてきた仕様の更新にあたり、元のRFC6514の著者は文書の末尾に列挙される形で記録が引き継がれています。VPN内でのマルチキャスト配送を支える符号化や手順の細部を整理し直す作業であり、既存の実装との継続性を保ちながら規定を最新化する内容になっています。
Draft Link
Carrying Network Resource (NR) related Information in IPv6 Extension Headers
VPNは共通のネットワーク基盤の上で顧客ごとに論理的に分離された接続性を提供します。5Gなどでは、従来型より高度な拡張VPNと呼ばれる接続サービスが求められ、ネットワークスライスを提供できます。Network Resource Partitionはアンダーレイの接続されたリンク群における資源とポリシーの部分集合であり、一つまたは複数の拡張VPNサービスの基盤となります。特定のNRP内でパケットを転送する際は、NRP Selectorと呼ぶフィールドがそのパケットの属するNRPを識別します。この文書はNRP関連情報をIPv6拡張ヘッダーへ運ぶ方法を定めます。
Draft Link
IETF Network Slice Controller and its Associated Data Models
IETF Network Slice Controllerをどう構造化するか、IETF Network Sliceサービスの提供のために定義されている様々なデータモデルをどう使い分けるか、そしてそれらがどう関連するかについての取り組み方を説明する文書です。IETF Network Slice Controllerの実装そのものを標準化したり制約したりすることは、この文書の目的ではないと明記されています。複数のデータモデルが並存する中で、コントローラーの役割整理と各モデルの関係を見通しよくすることに重点が置かれており、実装者が自らの構成を選ぶ余地を残した記述になっている点が特徴です。
Draft Link
Safe and Reversible Sharing of Malicious URLs and Indicators
脅威インテリジェンスやセキュリティのコミュニティで使われている、URLやIPアドレス、メールアドレス、ドメイン名といった侵害の痕跡を安全に共有するための、一貫性のある可逆な慣行を明文化しています。表示や伝送の際にIOCが誤って実行されたり有効化されたりする危険を減らす、安全な難読化形式を記述している点が核心です。変換によって指標は構文上URIとして無効になりながらも人間が読んで認識できる形を保ち、元の値は決定的な手順で復元できます。Safe-IOC文字列はあくまで文字表現上の慣行であってURIそのものではなく、汎用のURIパーサーで処理することは想定されていません。
Draft Link
The Delegation HTTP Authentication Scheme for Request-Bound Authority
人や組織に代わって、支出や開示、変更、実行などを伴うHTTPリクエストを送る委任ソフトウェアが増えています。既存のHTTP認証は資格情報の有無を示すにとどまり、RateLimitは割当量を、HTTP Message Signaturesはメッセージの一部を保護できますが、要求者が主体から検証可能で範囲の定まった権限を示してからサーバーが保護処理を行う共通の仕組みはありません。本書はDelegation HTTP認証方式を定義し、既存のステータスコードとProblem Detailsを用いた応答意味論、Delegation-Proofフィールド、委任権限のCOSE/CBOR証明の運び方を規定します。
Draft Link
Using GOST Cryptographic Algorithms for JWT security
GOST R34.10のデジタル署名と公開鍵、GOST R34.11のハッシュ関数、GOST34.12の暗号化アルゴリズムに関する識別子を登録し、JSON Web SignaturesとJSON Web Encryption、JSON Web Keyの各仕様の中で利用できるようにする文書です。ロシア系の標準規格であるGOSTアルゴリズム群を、JWTを支えるJOSEの枠組みに正式に組み込むための登録作業にあたり、既存の署名や暗号化、鍵表現の仕組みと同じ場所でGOSTベースの選択肢を扱えるようにしています。対応する識別子を定めることで、実装間の相互運用性を確保しようとしています。
Draft Link
Authorization Receipts for High-Risk Agent Actions
高リスクな行動が実行される前に、名前を持ち説明責任を負う人間の承認者を、一つの正確な行動へ結び付ける暗号的な仕組みとしてEMILIA Protocolの認可レシートを定義します。承認者は自らの署名鍵で、行動のハッシュや方針参照、一度限りのノンス、有効期間を含む正規化された認可コンテキストへ署名します。生成されるTrust ReceiptはMerkle木に固定され、運用者やログ、APIへ接続せずとも、特定の行動が権限ある人間に一度だけ承認されたことを完全にオフラインで確かめられます。開始者が自分の行動を承認できない職務分離と一度限りの消費を強制し、TLA+やAlloyのモデルで機械検証されています。
Draft Link
Agent Identity Protocol (AIP): Decentralized Identity and Delegation for AI Agents
自律的なAIエージェントのための分散型の身元確認と委任、認可の枠組みを定義する文書です。W3Cの分散型識別子と能力ベースの認可、暗号的な委任連鎖、決定論的な検証を組み合わせることで、中央集権的な身元プロバイダーに頼らずとも安全で監査可能なマルチエージェントのワークフローを実現しようとしています。単一の管理者を介さずに複数のエージェントが互いの身元と権限を確認し合える構成を志向しており、委任の連鎖をたどることで誰の権限に基づいて行動しているかを後から追跡できます。中央の身元プロバイダーに依存しないため、単一障害点を避けやすい点も見どころです。
Draft Link
SRv6 for Inter-Layer Network Programming
SRv6ネットワークプログラミングの枠組みは、IPv6パケットのヘッダーに命令列を符号化することで、ネットワーク運用者やアプリケーションがパケット処理の手順を指定できるようにします。この考え方を受けて、この文書はパケットネットワーク層とその下位層を効率よく統合するための層間ネットワークプログラミングに向けたSRv6の仕組みを定めています。層間の経路プログラミングのために、アンダーレイのネットワーク接続へパケットを誘導する新しいSRv6ビヘイビアが定義されました。典型的な利用場面におけるこの新しいビヘイビアの適用のされ方も併せて示されています。
Draft Link
Portable Web Content Format (PortableWeb): Container and Manifest Specification
HTMLやCSS、JavaScript、関連するメディアといった対話的なウェブコンテンツを、単一の自己完結型で持ち運び可能な束へ詰め込むためのファイル形式としてPortableWebを定義しています。pweb拡張子を持つ束は、ウェブサーバーもウェブオリジンも必要とせず、ブラウザに閉じ込められることもなく、あらゆる環境で完全にオフラインのまま保存し共有し表示できます。この仕様が定めるのはバージョン0.1のコンテナ形式とマニフェストのスキーマにとどまり、実行時のサンドボックスや保存モデル、署名、束同士の通信を扱う関連仕様は今後の別文書に委ねられています。
Draft Link
Deploying IPv6 in Data Centers
アドレス設計を簡素にし端から端までの到達性を取り戻し、運用者や政府の定める期限に応えるため、データセンター運用者はIPv6のみでの運用へ向かいつつあります。公開されているIPv6の手引きの多くはネットワークエンジニア向けであるのに対し、この文書はデータセンターでサービスを配備し運用しデバッグするサイト信頼性エンジニアやソフトウェアエンジニアに向けて書かれています。IPv6の基礎の後、移行戦略と可観測性の移行プログラムと、ハードウェアや伝送、アプリ、診断の技術スタックの二部構成です。よくある落とし穴を記し、v6opsワーキンググループの憲章に沿った実践的な配備の型を示します。
Draft Link
SakiAgentSSH Secure Protocol Specification
信頼されたエージェント同士で認証済みの遠隔コマンド実行やプロセス入出力の連続転送、ファイル転送を行うアプリ層のオーバーレイとして、SASSプロトコルv1.4を記述します。自己完結性とIETF仕様との互換性のため、制御と伝送を切り離すControl-Transport Decoupling構成を採ります。SASS CoreはCBORとJSONを基礎の直列化とする抽象メッセージモデルSAMMを定義します。安全性は四つの節目で固められ、能動的な脅威対策、前方秘匿の監査ハッシュ連鎖、制御と伝送の分離、tls-exporter結合を伴うTotal Response Mappingへ進みます。
Draft Link
発行されたRFC
本日発行されたRFCはありません。
編集後記
- 新入社員が信頼を少しずつ積み重ねて任される仕事を広げていくのと同じ理屈を、AIエージェントの権限にも持ち込もうというProgressive Trustの発想を読んでいると、一度出した資格に胡座をかかせず、日々の振る舞いで権限を伸び縮みさせるという当たり前のようで難しい仕掛けに、なるほどと膝を打ってしまいました。危ない操作の一つひとつに、名前を持った人間の署名をオフラインでも確かめられる形で貼り付けておくEMILIAレシートのような提案を見ると、便利さを追う裏で誰が承認したのかを決して曖昧にしまいとする真面目さがにじんでいて、初夏の夜に静かに頼もしさを感じました。
最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。