こんにちは、GMOコネクトの名もなきエンジニアです。
よろしくお願いします!
日刊IETFは、I-D AnnounceやIETF Announceに投稿されたメールをサマリーし続けるという修行的な活動です!!
今回は、2025-10-20(UTC基準)に公開されたInternet-DraftとRFCをまとめました。
- Internet-Draft: 443件(本記事では26-50件目を掲載)
- RFC: 0件
※本日は投稿数が非常に多いため、25件ごとに分割して掲載しています。
参照先:
その日のサマリー & Hot Topics
第2部では、ポスト量子暗号(PQC)とハイブリッド鍵カプセル化メカニズム、メディアストリーミングの最新技術、ソースアドレス検証、IPv4/IPv6移行技術など、セキュリティとネットワークインフラの両面で重要な提案が含まれています。特に注目すべきは、量子コンピュータ時代に備えたハイブリッド暗号技術の標準化が複数提案されており、従来の暗号とポスト量子暗号を組み合わせた実用的なアプローチが示されています。
Media over QUIC Transport(MOQT)やMASQUE拡張など、次世代のメディア配信技術の標準化も進んでおり、低遅延かつ高品質なストリーミングの実現に向けた取り組みが活発化しています。また、Encrypted ClientHello(ECH)の設定配布やToken Status List、SCIM Security Eventsなど、プライバシー保護とセキュリティ管理の強化に関する提案も多数含まれています。IPv6コアネットワークへの移行を支援する技術や、Segment Routingの最適化、LISPモビリティなど、ネットワークアーキテクチャの進化を支える基盤技術も豊富です。
投稿されたInternet-Draft
MASQUE extension for signaling throughput advice
MASQUE(Multiplexed Application Substrate over QUIC Encryption)プロトコルにおいて、スループットアドバイスをシグナリングするための新しいカプセルを定義します。CONNECT-UDP、CONNECT-IP、またはその他のCONNECT系プロトコルと組み合わせて使用することで、ネットワークの利用可能帯域情報をアプリケーションに伝達し、適応的なビットレート制御を実現します。メディアストリーミングやリアルタイム通信において、ネットワーク状態に応じた最適な送信レート調整を可能にします。
Fine-Grained Flow Control Backpressure Mechanism for Wide Area Networks
広域ネットワーク(WAN)向けのきめ細かいフロー制御バックプレッシャーメカニズムを定義します。ネットワーク輻輳時に、個々のフローレベルで精密な制御を行うことで、公平性を保ちながら効率的な帯域利用を実現します。データセンター間接続や長距離ネットワークにおいて、バッファオーバーフローを防ぎつつ高スループットを維持するための革新的なフロー制御手法を提供し、大規模分散システムのパフォーマンス向上に貢献します。
SCIM Profile for Security Event Tokens
SCIM(System for Cross-domain Identity Management)におけるセキュリティイベントトークンのプロファイルを定義します。Security Event Token(SET)を使用してSCIMイベントセットを標準化することで、アイデンティティ管理システム間でのセキュリティイベントの相互運用性を実現します。アカウント作成、変更、削除、権限変更などのイベントを統一的な形式で通知できるようにし、複数のシステムを横断したセキュリティ監視とコンプライアンス管理を支援します。
Concrete Hybrid PQ/T Key Encapsulation Mechanisms
ポスト量子(PQ)暗号と従来型(T: Traditional)暗号を組み合わせたハイブリッド鍵カプセル化メカニズム(KEM)の具体的な実装を定義します。量子コンピュータの攻撃からも古典的な攻撃からも安全性を確保するため、両方のアルゴリズムを併用するアプローチを提案しています。ML-KEM(旧Kyber)などのポスト量子KEMと、楕円曲線暗号ベースのKEMを組み合わせることで、移行期における実用的なセキュリティソリューションを提供します。TLS 1.3やその他の暗号プロトコルでの実装を想定しています。
Token Status List (TSL)
Token Status List(TSL)と呼ばれるメカニズム、データ構造、および処理ルールを定義します。アクセストークンや認証トークンのステータス(有効、失効、一時停止など)を効率的に管理・照会するための標準化された方法を提供します。従来のCRL(Certificate Revocation List)やOCSP(Online Certificate Status Protocol)の課題を解決し、大規模なトークンエコシステムにおいても高速かつスケーラブルなステータス確認を実現します。プライバシー保護にも配慮した設計となっています。
IPv4-Only and IPv6-Only PE Design DESIGN ALL SAFI
企業やサービスプロバイダーがMPLS/SRコアをIPv6トランスポートにアップグレードする際の、Provider Edge(PE)ルーターの設計を定義します。IPv4のみまたはIPv6のみのPE環境において、全てのSAFI(Subsequent Address Family Identifier)をサポートする実装指針を提供します。マルチプロトコルラベルスイッチング環境での柔軟なIPv4/IPv6デュアルスタック運用を可能にし、段階的な移行をサポートします。
Hybrid PQ/T Key Encapsulation Mechanisms
ポスト量子KEMと従来型KEMを組み合わせたハイブリッド鍵カプセル化メカニズムの汎用的な構成方法を定義します。複数の暗号アルゴリズムを安全に組み合わせるためのフレームワークを提供し、量子コンピュータ時代への備えと既存システムとの互換性を両立させます。鍵導出関数を用いた適切な鍵結合手法により、いずれかのアルゴリズムが破られた場合でも全体のセキュリティが維持される設計となっています。
AI Agent protocols for 6G systems
AI Agent間およびAgentとツール間の通信は、6Gシステムにおいて極めて重要になると予想されています。3GPP TR 22.870が概説する様々なユースケースと要件に基づき、6Gシステムで想定されるAI Agentプロトコルとその特性について議論します。自律的なネットワーク最適化、インテリジェントなリソース配分、動的なサービス構成など、AI駆動型の次世代通信インフラの実現に向けた基盤技術を提供します。
SSH Agent Protocol
Secure Shell(SSH)プロトコルで使用される鍵エージェントプロトコルを定義します。秘密鍵を安全に管理し、複数のSSHクライアントからの認証要求を処理するエージェントの動作を標準化します。パスフレーズで保護された鍵の管理、鍵の追加・削除、署名操作のリクエストなど、SSH鍵管理の利便性とセキュリティを向上させる機能を規定し、エンタープライズ環境での大規模SSH運用を支援します。
Media over QUIC Transport
Media over QUIC Transport(MOQT)のコア動作を定義します。QUICプロトコル上で動作するように設計されたメディア転送プロトコルで、低遅延かつ高品質なメディアストリーミングを実現します。パブリッシュ・サブスクライブモデルを採用し、ライブストリーミング、ビデオ会議、インタラクティブメディアなど、リアルタイム性が求められるアプリケーションに最適化されています。HTTP/3との親和性が高く、CDNとの統合も容易です。
Hybrid PQ/T Key Encapsulation Mechanisms
ポスト量子暗号と従来型暗号を組み合わせたハイブリッドKEMの汎用構成を再度定義します。量子耐性と古典的セキュリティの両方を確保する実用的なアプローチとして、複数の独立したKEMを組み合わせる手法を提供します。各KEMの出力を安全に結合し、いずれかが破られても全体のセキュリティが保たれる数学的な安全性証明に基づいた設計となっており、標準化と実装の両面で重要な指針を提供します。
Source Address Validation Using BGP UPDATEs, ASPA, and ROA (BAR-SAV)
BGP UPDATE、ASPA(AS Provider Authorization)、ROA(Route Origin Authorization)を用いた送信元アドレス検証フィルタの設計を提案します。偽陽性(正当なトラフィックのブロック)を最小化しつつ、送信元アドレスのスプーフィングを効果的に防ぐ手法を定義します。DDoS攻撃やリフレクション攻撃の防止に貢献し、インターネット全体のセキュリティ向上を実現します。RPKI(Resource Public Key Infrastructure)との統合により、信頼性の高いアドレス検証を可能にします。
LISP L2/L3 EID Mobility Using a Unified Control Plane
LISPコントロールプレーンが複数のオーバーレイフレーバーを同時にサポートする柔軟性を活用し、統一されたコントロールプレーンを使用したレイヤー2およびレイヤー3のEID(Endpoint Identifier)モビリティを実現します。仮想マシンやコンテナがネットワーク内を移動する際に、IPアドレスやMACアドレスを維持しながらシームレスな接続を提供します。データセンターやクラウド環境における高度なワークロードモビリティとネットワークの柔軟性を支援します。
Connecting IPv4 Islands over IPv6 Core using IPv4 Provider Edge Routers (4PE)
オペレーターがIPv4コアからIPv6コアへ移行する際、インターネット上のグローバルテーブルルーティングのために、IPv6コア上でIPv4アイランドを相互接続する必要性が生じます。このドラフトは、IPv4 Provider Edge(4PE)ルーターを使用してIPv6バックボーン上でIPv4接続を維持する方法を定義します。段階的な移行戦略を支援し、IPv4サービスの継続性を保ちながらIPv6インフラへの移行を可能にします。
Intent Translation Engine for Intent-Based Networking
Intent-Based Networking(IBN)のデータフォーマットとインターフェースを実現するために必要なスキーマとモデルを定義します。Intent Translation Engine(ITE)は、高レベルのビジネス意図をネットワーク設定に変換する役割を担います。管理者が「達成したい目標」を記述するだけで、システムが自動的に最適なネットワーク構成を生成・適用する、真のインテント駆動型ネットワーク管理を実現します。
SRv6 Policy SID List Optimization
Segment Routing(SR)により、ノードはパケットフローを任意のパスに沿って誘導できます。SR Policyは、セグメント(つまりSID)の順序付きリストとして表現されます。このドラフトは、SRv6ポリシーにおけるSIDリストの最適化手法を提案し、ヘッダーオーバーヘッドの削減とネットワーク効率の向上を実現します。大規模なSRv6展開において、パケットサイズを最小化しつつ柔軟なトラフィックエンジニアリングを可能にします。
Authenticated ECH Config Distribution and Rotation
Encrypted ClientHello(ECH)では、クライアントが接続前にサーバーのECH設定を持つ必要があります。現在、ECH設定が変更された場合、クライアントは再度DNSクエリを実行する必要があります。このドラフトは、ECH設定の認証された配布とローテーションのメカニズムを定義し、セキュリティとパフォーマンスの両面を向上させます。プライバシー保護を維持しながら、より効率的なECH運用を実現します。
MoQ Media Interop
Media over QUIC Transport(MOQT)を使用して、LOC(Low-Overhead Container)パッキングを用いたビデオとオーディオの送受信を行うプロトコルを定義します。異なるメディアフォーマットやコーデック間の相互運用性を確保し、MOQTエコシステムにおける標準的なメディア交換方式を提供します。WebRTC、HLS、DASHなど既存のストリーミング技術とのブリッジング機能も含まれ、スムーズな技術移行を支援します。
A Voucher Artifact for Bootstrapping Protocols
ブートストラッピングプロトコルで使用されるバウチャーアーティファクトを定義します。直接的または間接的に署名されたアーティファクトを使用して、Pledgeを所有者に安全に割り当てる戦略を規定します。IoTデバイスや産業機器の初期展開時に、信頼できる方法でデバイスを正当なネットワークに参加させるための基盤を提供します。ANIMA(Autonomic Networking Integrated Model and Approach)ワーキンググループにおける自律型ネットワークの重要な構成要素です。
EVPN-VPWS Seamless Integration with L2VPN VPWS
L2VPN Virtual Private Wire Service(VPWS)からEthernet VPN(EVPN) Virtual Private Wire Serviceへの移行ソリューションを提案します。既存のL2VPN VPWSサービスを中断することなく、段階的にEVPNベースのアーキテクチャに移行できるシームレスな統合手法を定義します。サービスプロバイダーがレガシーシステムとの互換性を維持しながら、EVPNの利点(マルチホーミング、高速コンバージェンス、スケーラビリティ)を享受できるようにします。
YANG Data Model for Segment Routing Policy
Segment Routing(SR)ポリシーの設定、インスタンス化、および管理のためのYANGデータモデルを定義します。SR-MPLS、SRv6、またはその両方の組み合わせをサポートし、統一的なインターフェースでSegment Routingの高度な機能を制御できるようにします。ネットワーク自動化、プログラマビリティの向上、異なるベンダー機器間の相互運用性を実現し、SDNコントローラーからのSRポリシー管理を標準化します。
Customer-Facing Relay (CFR): Enhancing Source Privacy in Encrypted Transport and CDN Scenarios
Encrypted Client Hello(ECH)はTLSにおけるServer Name Indicationを暗号化することで宛先プライバシーを向上させますが、顧客のIPアドレスは依然として露出しています。このドラフトは、Customer-Facing Relay(CFR)アーキテクチャを提案し、暗号化トランスポートおよびCDNシナリオにおける送信元プライバシーを強化します。中継サーバーを介することで、エンドサーバーに対してクライアントのIPアドレスを隠蔽し、より包括的なプライバシー保護を実現します。
Protocol for Crowd Sourcing Air Domain Awareness
航空領域の状況認識を提供するセンサーへの信頼を確立するアーキテクチャを標準化します。Broadcast Remote ID(リモートID放送)などの情報源を活用し、ドローンや航空機の位置情報をクラウドソーシングで収集・共有するプロトコルを定義します。無人航空機システム(UAS)の安全な運用を支援し、航空交通管理の高度化に貢献します。複数のセンサーからの情報を統合し、信頼性の高い航空領域認識を実現します。
HMAC Based Hybrid Key Combiners for Multiple Keys
セキュリティプロトコルにおける基本的な構成要素として、鍵コンバイナーは2つ以上の入力暗号鍵を単一の出力鍵に結合するために使用されます。このドラフトは、HMACベースのハイブリッド鍵コンバイナーを定義し、複数の鍵を安全に結合する手法を提供します。量子耐性暗号への移行期において、複数の暗号アルゴリズムからの鍵を適切に組み合わせることで、全体のセキュリティを強化します。暗号的に健全な結合方法により、いずれかの鍵が侵害されても全体の安全性が維持されます。
COSE Hash Envelope
ペイロードがハッシュ関数の出力であることをシグナリングするための、新しいCOSEヘッダーパラメータを定義します。この仕組みにより、実際のコンテンツではなくハッシュ値に対して署名を行うエンベロープ構造を実現します。大容量データの署名において、データ全体を転送せずにハッシュ値のみで検証可能にすることで、効率性とセキュリティを両立させます。IoTデバイスや制約のある環境でのデータ整合性検証に特に有用です。
編集後記
第2部では、ポスト量子暗号への移行を支援するハイブリッドKEM技術が複数提案されており、量子コンピュータ時代への備えが本格化していることが窺えます。従来型暗号とポスト量子暗号を組み合わせることで、移行期のセキュリティリスクを最小化する実用的なアプローチが示されています。また、Media over QUIC Transportを中心とした次世代メディアストリーミング技術の標準化も大きく進展しており、低遅延・高品質なリアルタイム配信の実現が近づいています。
IPv4からIPv6への移行を支援する様々な技術提案も目立ち、特にIPv6コア上でIPv4サービスを継続するための現実的なソリューションが提示されています。さらに、Encrypted ClientHelloの運用改善、Token Status Listによる効率的な認証管理、SCIMセキュリティイベントの標準化など、プライバシーとセキュリティ運用の両面での進化が見られます。第3部もお楽しみに!
最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。