こんばんは!
GMOコネクトの名もなきエンジニアです。
よろしくお願いします!
日刊IETFは、I-D AnnounceやIETF Announceに投稿されたメールをサマリーし続けるという修行的な活動です!!
今回は、2026-02-28(UTC基準)に公開されたInternet-DraftとRFCをまとめました。
- Internet-Draft: 59件
- RFC: 0件
こちらはPart 2(21〜40件目)です。[Part 1はこちら]で1〜20件目を取り上げています。
参照先:
その日のサマリー & Hot Topics
-
Part 2ではDetNetのOAM拡張やBGP FlowSpecによるDDoS対策、AIエージェントの操作認可フレームワーク、OAuth 2.0のSHA-512対応など、運用保守からセキュリティまで幅広い提案を取り上げます。BGP関連ではノードターゲット拡張コミュニティや障害伝搬によるコンバージェンス改善といったルーティング高度化の動きも目立ちます。さらにCATSのOTN適用や、DCNとWAN間のフロー制御連携、YANGデータモデルによるインベントリ管理など、ネットワーク自動化・運用効率化の提案が続きます。
-
特に目を引くのがDNSセキュリティ関連の提案群です。PHOENIX DOMAIN T2攻撃への対策、ECSベース攻撃へのクエリ集約強化、RDフラグのリゾルバ動作明確化、レスポンス前処理セキュリティガイドライン、bailiwickチェック強化、DNSBomb攻撃への耐性強化と、6本のDNS関連ドラフトが同日に投稿されました。DNSリゾルバの実装差異を突く攻撃手法が次々と発見されるなか、リゾルバのセキュリティを体系的に底上げしようとする取り組みがまとまって出てきた形です。
投稿されたInternet-Draft
BFD Extension for DetNet Remote Defect Indication (RDI)
DetNet OAMにおけるリモート障害通知を実現するため、BFDを拡張するドラフトです。DetNet固有の障害を明示的に示すエラーメッセージを送信できるようにすることで、障害検出と通知の精度を向上させます。従来のBFDの仕組みを活かしつつ、確定的ネットワーキング特有の要件に対応した拡張となっています。DetNetの運用監視を強化したい場面で参考になる提案です。
Draft Link
Echo Request/Reply for DetNet Capability Discovery
IP、MPLS、その他のDetNetデータプレーン環境で使われるecho request/reply機構を拡張し、DetNetドメイン内で各中継ノードのDetNet機能を発見できるようにする提案です。DetNetリレーノードの発見、サービスサブレイヤ固有の情報収集、PREOF機能の配置場所の特定を可能にします。Pingの発信ノードがパス上のDetNet対応状況を把握できるようになるため、ネットワークの可視性が大きく向上します。
Draft Link
A YANG Data Model for Network Diagnosis using Scheduled Sequences of OAM Tests
OAMテストのスケジュール実行によるネットワーク診断を支援するYANGデータモデルを定義しています。「oam-unitary-test」と「oam-test-sequence」の2つのYANGモジュールで構成され、ネットワーク診断手順のライフサイクルを管理します。個々のネットワークノードではなく、SDNコントローラやネットワークオーケストレータなどの外部管理・オーケストレーションシステムからの利用を想定した設計です。運用の自動化を進めるうえで基盤的な役割を果たす提案です。
Draft Link
Destination-IP-Origin-AS Filter for BGP Flow Specification
BGP FlowSpecを拡張し、宛先IPアドレスの起源AS(Origin AS)に基づくフィルタリングを可能にするドラフトです。DDoS攻撃では標的IPアドレスが動的に変化する場合がありますが、特定の宛先ASに属するIPをまとめてフィルタリングできるため、効果的な防御が実現できます。既存のFlowSpec仕様に宛先IP起源ASフィルタを追加する形で、DDoS緩和の柔軟性を高める実用的な提案です。
Draft Link
Agent Operation Authorization
AIエージェントの操作認可フレームワークを規定するドラフトです。人間からAIエージェントへの操作委任を検証可能にするため、2つのフェーズを導入しています。まずAgent Operation Authorization Requestで操作提案をJWT化し、次にAgent Operation Authorization Tokenで特定操作への認可を確認済みJWTとして表現します。ユーザの意図を暗号的に検証し、未認可の操作やハルシネーションによる行動を防ぎ、各操作のトレーサビリティを確保する仕組みです。
Draft Link
Additional Hash Algorithms for OAuth 2.0 PKCE and Proof-of-Possession
OAuth 2.0のPKCE、mutual-TLS証明書バインドアクセストークン、DPoPに対してSHA-512を追加ハッシュアルゴリズムとして定義するドラフトです。これらの仕組みではSHA-256が必須または唯一の選択肢となっていますが、セキュリティポリシーでSHA-256の使用が禁止されている環境が存在します。そうしたデプロイメント向けにSHA-512を利用可能にすることで、より厳格なセキュリティ要件にも対応できるようになります。
Draft Link
BGP Extended Community for Identifying the Target Nodes
BGPで配布するルーティングやポリシー情報の送信先ノードを指定するための新しいBGP拡張コミュニティ「Node Target」を定義しています。現状、BGPにはネットワーク内の特定ノードやノードグループを宛先として指定する汎用的な仕組みがありません。このドラフトにより、配布情報を必要なノードのみに限定でき、ネットワーク全体への不要な情報配信を抑制できるようになります。効率的なBGP運用を目指す提案です。
Draft Link
Use cases and Requirement for Flow Control Collaboration Across DCNs and WAN
DCN(データセンターネットワーク)とWAN間でのフロー制御連携に関するユースケースと要件を記述するドラフトです。ロスレスネットワーク伝送の需要がDCNからWANへ拡大するなか、WANでのPFC関連問題を緩和するためにフロー・テナント単位の精密制御を提案しています。DCN側が既にPFCを採用しているため、WAN側の細粒度フロー制御との連携によるエンドツーエンドのフロー制御実現を目指しています。
Draft Link
Framework and Applicability of Computation-aware Traffic Steering (CATS) in Optical Transport Networks (OTN)
CATS(Computation-aware Traffic Steering)を光トランスポートネットワーク(OTN)で活用するためのフレームワークと適用性を記述しています。CATSは計算能力や負荷、ネットワークの状態に基づいて計算サービスサイトを選択する仕組みで、OTNはトラフィックの分離保証と帯域・QoS保証を提供します。この組み合わせにより、高い性能要件を持つサービス環境で求められる厳密なパフォーマンス目標を達成できる可能性を示しています。
Draft Link
A YANG Network Data Model for Inventory Topology Mapping
ネットワークインベントリデータとトポロジデータを対応付け、基盤アンダーレイネットワークを形成するためのYANGデータモデルを定義しています。L2やL3のトポロジ情報とアンダーレイネットワークのインベントリデータの相関を取ることで、サービスプロビジョニングやネットワーク保守、評価シナリオでの活用を容易にします。ネットワークの論理構成と物理構成を紐付けて管理したい運用者にとって有用な提案です。
Draft Link
WIMSE Applicability for AI Agents
WIMSE(Workload Identity in Multi System Environments)のフレームワークをAIエージェントに適用し、独立したアイデンティティとクレデンシャル管理メカニズムを確立する方法を議論するドラフトです。AIエージェントがマルチシステム環境で動作する際に、ワークロードとしてのアイデンティティをどう管理するかという課題に取り組んでいます。AIエージェントのセキュリティ基盤として注目される提案です。
Draft Link
A YANG Data Model for Network Inventory Location
ネットワークインベントリの位置情報(サイト、部屋、ラック、地理座標など)を管理するYANGデータモデルを定義しています。さまざまな粒度でインベントリ対象ネットワーク要素の位置情報を提供し、ネットワーク計画・展開・保守に役立てることを目的としています。こうした位置情報はネットワーク要素自体からは取得・検証できないため、基盤インベントリを包括的な位置データで拡張する外部モデルとして設計されています。
Draft Link
Applying BGP-LS Traffic Engineering Extensions to BGP-LS-SPF
BGP-LS(BGP Link-State)のトラフィックエンジニアリング拡張をBGP-LS-SPF SAFIに導入する提案です。BGP-LS-SPFはBGP-LSの情報を用いてSPF計算を行う仕組みですが、本ドラフトによりTE関連の属性情報もSPF計算に組み込めるようになります。ネットワーク上のリンク帯域やメトリクス情報をより精密に反映した経路計算が可能になる見込みです。
Draft Link
IGP Extensions for Sub-interface Relationship Information
ISISとOSPFを拡張し、物理インタフェースとそのサブインタフェース間の関係をネットワークデバイスがアドバタイズできるようにするドラフトです。この拡張により、サブインタフェースベースのリンクがSRv6 BEの帯域ポーリングにおける代替パスのロードバランシングに参加できるようになります。物理インタフェースとサブインタフェースの紐付けをIGPレベルで伝達する仕組みとして実用的な内容です。
Draft Link
Security Requirements for AI Agents
AIエージェントのセキュリティ要件を包括的に議論するドラフトです。プロビジョニング、登録、発見、クロスドメイン相互接続、アクセス制御といったセキュリティインタラクションの各段階をカバーしています。AIエージェントが自律的に動作する環境では、各段階でのセキュリティ確保が不可欠です。エージェント間の信頼関係構築やドメイン横断時のセキュリティ担保など、実装者が考慮すべき要件を整理した内容になっています。
Draft Link
BGP Failure Propagation (BGP-FP) for Enhancing Control-Plane Convergence
BGP-FP(BGP Failure Propagation)は、失効した経路の除去を高速化することでドメイン間ルーティングのコンバージェンスを改善するインフラとプロトコルです。AS単位に配置するAgentがAS間の到達性変化を検出し、ローカルルータを設定します。集中型のRepositoryがAS到達性の状態を保存・転送し、BGP Large Communitiesを「経路の鮮度」マーカーとして利用します。RepositoryはTier-1 ASとRIRで構成する新組織が運用し、ビザンチン耐障害コンセンサスで分散配置する構成を提案しています。
Draft Link
Best Practices for Handling Deeply Nested Domain Delegations in Recursive Resolvers
PHOENIX DOMAIN T2と呼ばれるDNS攻撃への対策を提案するドラフトです。この攻撃は、親ゾーンで失効したドメインが、深くネストされたサブドメインチェーンを作成することでリゾルバキャッシュ内の委任情報を維持し、長期間にわたって名前解決可能な状態を保ちます。対策として、過剰なラベル数を持つドメイン名に追加的な精査を適用するというベストプラクティスを示しています。ラベル数の多さがこの攻撃の主要な特徴であるため、シンプルながら効果的な防御策です。
Draft Link
Strengthening DNS Query Aggregation against ECS-based Attacks
EDNS Client Subnet(ECS)オプションの実装上の欠陥を突いてDNSクエリ集約を回避する攻撃への対策を規定するドラフトです。異なるECSオプションを持つクエリを送り付けることで、リゾルバに同一ドメインへの複数同時クエリを強制し、Birthday Attackを復活させる脆弱性が判明しています。権威サーバのECSサポート状態を追跡する仕組みを導入し、ECS非対応と判定されたゾーンに対してはクエリ集約を厳格に適用することで、この脆弱性を塞ぎます。
Draft Link
Clarifying DNS Resolver Behavior for the Recursion Desired (RD) Flag
DNSクエリにおけるRecursion Desired(RD)フラグの処理がリゾルバ実装間で一貫していない問題に対処するドラフトです。RDフラグがクリアされている場合の処理の不統一がDoS増幅攻撃に悪用され得ることが判明しています。転送リゾルバや再帰リゾルバがRDフラグの設定値に応じてどう振る舞うべきか、明確なガイダンスと推奨事項を提供し、DNSの安全性向上と予測可能な動作の確保を目指しています。
Draft Link
DNS Response Pre-processing Security Guidelines: Awaiting Valid Responses
DNSリゾルバがレスポンスを受信・処理する際のセキュリティガイドラインを規定するドラフトです。現行のDNS仕様にはレスポンス前処理に関する網羅的なガイダンスが不足しており、実装の差異がキャッシュポイズニングやDoS、リソース枯渇の脆弱性を生んでいます。クエリ発行後に適格なレスポンスを受信するまで待機し続ける「Awaiting Valid Responses」機構を提案し、不正パケットを破棄して有効なレスポンスまたはタイムアウトを待つ動作を義務付けています。
Draft Link
発行されたRFC
本日発行されたRFCはありません。
編集後記
- DNS関連のドラフトが6本も同日に出てきたのは圧巻で、PHOENIX DOMAIN T2やDNSBombなど攻撃手法の名前もなかなかインパクトがあります。リゾルバの実装差異を突く攻撃が次々見つかっているだけに、標準レベルでの対策整備が急務だと改めて感じました。
- AIエージェントの認可をJWTで管理するAgent Operation Authorizationも気になる提案で、エージェントが勝手に動いた操作を暗号的に検証できるのは実運用で心強いですよね。Part 3ではSAVNET関連やマルチエージェント連携プロトコルなどをお届けします!
最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。