こんばんは?
GMOコネクトの名もなきエンジニアです。
よろしくお願いします!
日刊IETFは、I-D AnnounceやIETF Announceに投稿されたメールをサマリーし続けるという修行的な活動です!!
今回は、2026-03-22(UTC基準)に公開されたInternet-DraftとRFCをまとめました。
- Internet-Draft: 18件
- RFC: 0件
参照先:
📌 この記事でわかること
- PQC署名方式ML-DSAがTLS 1.3とWebAuthnの両方で改訂が進行中——量子計算機時代への備えがどこまで来ているか
- AIエージェント同士の通信プロトコルATPや、インフラ操作エージェント向け信頼フレームワークVIRPなど、自律エージェント時代の標準化動向
- CPace(PAKE)がrev 19に到達するなど、認証・暗号分野の成熟したドラフトの最新状況
その日のサマリー & Hot Topics
- この日はPQC関連のドラフトが目立つ構成となった。TLS 1.3にML-DSAを導入するdraft-ietf-tls-mldsaがrev 02へ更新され、WebAuthnへのML-DSA適用もrev 03に進んだ。パスワード認証分野ではCPaceがrev 19に到達し、成熟度を増している。新規提案ではAIエージェント間通信プロトコルATP、ネットワーク機器操作エージェント向けの暗号的信頼フレームワークVIRP、規制産業向けの決定論的監査プロトコルOMPとそのドメインプロファイルが登場し、自律エージェント時代のプロトコル設計が一気に具体化した日だ。
- 最大の注目点はPQC署名ML-DSAの普及に向けた動きだ。draft-ietf-tls-mldsaはTLS 1.3の認証にML-DSAを組み込む仕様でrev 02に更新され、draft-vitap-ml-dsa-webauthnはWebAuthnのパスワードレス認証への適用をrev 03まで進めている。もう一つの柱はAIエージェントプロトコル群で、ATPがエージェント間の発見・認証・ルーティングをDNSベースで定義し、VIRPはインフラ操作エージェントの観測と行動に暗号署名で信頼性を担保するフレームワークを提案した。
投稿されたInternet-Draft
Use of ML-DSA in TLS 1.3
TLS 1.3のハンドシェイクにおける認証処理にPQC署名方式ML-DSA(FIPS 204)を導入するための仕様。サーバー認証とクライアント認証の双方でML-DSAの利用を可能にし、将来の量子計算機の登場によって既存の署名アルゴリズムが危殆化するリスクに先手を打つ狙いがある。rev 02への更新が行われ、TLS WGにおけるPQC移行作業が着実に前進していることがうかがえる。WebAuthn側でもML-DSA適用ドラフトが並行して改訂されており、PQC認証基盤の二本柱が形成されつつある状況だ。
Draft Link
ML-DSA for Web Authentication
Web Authentication(WebAuthn)のパスワードレス認証にPQC署名方式ML-DSA(FIPS 204)を適用するドラフト。格子ベースのデジタル署名標準を認証器の署名アルゴリズムとして組み込むことで、量子計算機の時代においてもFIDO2/WebAuthn認証基盤の安全性を維持する設計を目指す。rev 03への更新が行われ、TLS 1.3側でML-DSA導入を進めるdraft-ietf-tls-mldsaと足並みを揃えた形で、PQC認証の標準化が二正面で着実に展開されつつある。
Draft Link
CPace, a balanced composable PAKE
低エントロピーの共有秘密であるパスワードから強い共有鍵を安全に導出する、バランス型の合成可能PAKEプロトコルCPaceの仕様書。オフライン辞書攻撃に対してパスワードを一切開示しない設計を核心としており、素数位数と非素数位数のどちらの群上でも動作する汎用性を持つ。計算リソースに制約のあるデバイスでの実行を念頭に最適化されていて、IRTFのCFRGにおいて長い年月にわたる検討が重ねられてきた。rev 19に到達した今、RFC化に向けた最終段階へ入りつつあると見られる非常に成熟度の高いドラフトである。
Draft Link
First Triple-Fingerprint Multi-Layer Permanence Record Under the Reilly EternaMark (REM) Protocol
Reilly EternaMark(REM)プロトコルの実装で初めて生成されたトリプルフィンガープリント永続性記録を文書化するドラフト。単一の成果物に対しSHA-256、SHA3-512、BLAKE3の三種のハッシュを同時に生成し、Bitcoinブロックチェーン、IPFS、Zenodo DOI、Internet Archive、SQLite、REMIDの6つの独立した永続化層にアンカーする。SHA3-512はGroverのアルゴリズムに対して256ビットのPQCセキュリティを提供すると著者は主張している。
Draft Link
Agent Transfer Protocol (ATP)
自律エージェント同士がメッセージやリクエスト、イベントを安全かつ構造的にやり取りするためのAgent Transfer Protocol(ATP)を提案するドラフト。家庭規模からクラウドプロバイダー規模まで4つのデプロイシナリオを想定しており、エージェントがATPサーバーを介してグローバルなインターネットに接続する二層アーキテクチャを基本構造として採用する。DNS SVCBレコードによるサービス発見やATSポリシーとATKに基づく認証に加え、非同期・同期・イベント駆動の3通信パターンに対応する。
Draft Link
VIRP: Verified Infrastructure Response Protocol
ネットワークインフラを自律的に操作するAIエージェント向けの暗号的信頼フレームワークVIRPを定義する。観測整合性や意図分離、操作認可、結果検証、ベースライン記憶など7つの信頼プリミティブを規定し、観測データにはEd25519署名を付与する仕組みだ。読み取り専用の観測チャネルと書き込み意図チャネルを分離し、GREEN/YELLOW/RED/BLACKの4段階の信頼階層で操作を認可する構造だ。Cisco IOSルーター35台やFortiGate 200Gを含む実環境でのIronClaw実装による検証結果も報告されている。
Draft Link
Operating Model Protocol (OMP): A Deterministic Routing and Evidence Architecture for AI Decision Accountability in Regulated Industries
規制産業でAIを運用する際に生じる構造的な証跡問題を解決するOperating Model Protocol(OMP)の中核仕様。全インタラクションをAUTONOMOUS・ASSISTED・ESCALATEDの3つの結果状態に決定的に分類し、判断時点で改ざん耐性のある監査証跡を生成する。SHA-256コンテンツハッシュ、RFC 3161タイムスタンプ、機関署名の三層暗号構造でMerkleチェーンを形成し、第三者が機関インフラにアクセスせずとも個々の判断の正当性を独立して検証可能な仕組みを実現する。
Draft Link
OMP Domain Profile: Kenya Deposit-Taking SACCOs -- SASRA Supervision and Cooperative Governance Accountability
ケニアのSASRA監督下にある預金受入型SACCO(貯蓄信用協同組合)向けのOMPドメインプロファイルを定義するドラフト。Intent Class構成やルーティング閾値範囲、Watchtower定義、Audit Trace拡張といった技術仕様を規定している。PwCによるKUSCCOの法廷監査では133億KESの資金不正流用が特定され、偽造監査署名や無許可融資などの失敗が全て、取締役の承認と業務結果を結びつける証跡の不在に起因していた。本プロファイルはその各失敗モードを構造的に封じるアーキテクチャを提示する。
Draft Link
OMP Domain Profile: Kenya Digital Credit Providers -- CBK NDTCP Regulations 2022 and AI Decision Accountability
ケニア中央銀行のデジタル信用プロバイダー規制(CBK NDTCP 2022)に準拠するOMPドメインプロファイルを定義するドラフト。AI支援の信用判断における個々の判断単位での説明可能性と、人間による監視の証跡要件を満たすための技術的な構成を規定する。CBKが2025年7月に公表したAIバンキングセクター調査では、AI信用判断に対し判断単位の説明メカニズムを備えた機関が少ない実態が明らかになった。2026年3月時点で策定が進むCBK AIガイダンスノートの要求水準に対する技術的解答を目指している。
Draft Link
MoQ Largest Group Extension
MoQ Transportプロトコルに新たなサブスクリプションフィルタ型であるLargest Groupを追加するための提案。サブスクライバーがパブリッシャー側の最新かつ最大のグループについて、その先頭オブジェクトから配信の開始を要求できるフィルタを定義している。ライブ配信やリアルタイムメディアへの途中参加時にグループ途中からではなく完全なグループ単位での受信が可能になり、不完全データに起因するデコード失敗やユーザー体験の劣化を未然に防止できる点が利点だ。新規ドラフトとしてrev 00が提出された。
Draft Link
Remote APDU Call Secure Lite(RACSL)
Remote APDU Call Secure(RACS)プロトコルの軽量版であるRACSLを定義するドラフト。RACSは複数のセキュアエレメント(SE)を束ねたGrid of SE向けだが、RACSLはIoTデバイス内のマイクロコントローラが管理する少数のSEとの通信に特化した設計だ。SEとのデータ交換コマンドや組み込みアプリケーション管理機能を備え、通信はTLS 1.3のPSKセッションで保護される。SE内にホストされたTLS-IMアプリケーションによるPSK管理にも対応し、IoT環境でのSE活用を後押しする。
Draft Link
TCP Extended Options
現行のTCPヘッダーが収容できるオプション領域は40オクテットに限られているが、現代のアプリケーションではそれ以上のオプション空間が必要となる場面が少なくない。このドラフトはTCPオプションフィールドを拡張するための実験的な手法を詳細に記述しており、既存のTCP実装との後方互換性を維持しつつ、拡張が実装可能でありデプロイ可能であることの実証を目標に掲げている。rev 03への更新が行われ、TCPMワーキンググループでの実験的な検証作業が引き続き継続中だ。成功すれば正式な拡張手順への道が拓かれる。
Draft Link
Cloud Resource Identifier Templates (CRIT)
Cloud Resource Identifier Templates(CRIT)は、既知の脆弱性が影響するクラウドリソースの所在を機械可読テンプレートで表現する仕様だ。各クラウドプロバイダーが定義するリソース識別スキーマ内で部分的に未知の値をパラメータ化する変数システムを備えており、時間情報、修復手段、検出戦略のメタデータも含む。露出状態の判定から修復ワークフローの駆動までを一貫して支援する。1つのCRITレコードは1つの脆弱性識別子に紐付き、複数プロバイダーへの対応はレコードのセットで表現する。
Draft Link
Crystal Network Protocol (CNP) Version 1.0
Crystal Network Protocol(CNP)バージョン1.0は、インターネット上で分散型アプリケーションをシームレスに開発・運用するための汎用ネットワークプロトコルだ。インターネットへの依存を前提としつつも分散型の性質を維持するアプリケーションの基盤を提供することを目的としている。初回提出のrev 00であり、プロトコルの基本設計思想とフレームワークを大枠で提示する段階にある。今後の改訂でメッセージ形式やセキュリティ要件、具体的なプロトコル動作の詳細が明確化されていくことが見込まれる。
Draft Link
IPv6-only and IPv6-Mostly Terminology Definition
「IPv6-only」や「IPv6-Mostly」といった表現がIETFの各種文書の間で統一されずに使われている問題を解消するべく、それぞれの用語の正確な定義を示すドラフト。「IPv6-only」はプロトコル実装としてのサポートの有無ではなく、ネットワーク上で実際に利用されているネイティブ機能を指す用語であると明確に定めている。rev 11に到達しており、v6ops WGで長い期間にわたる議論が積み重ねられた成果物だ。IPv6移行期の運用者間で用語の齟齬を減らし、正確な意思疎通を促す狙いがある。
Draft Link
IP Addressing with References (IPREF)
異なるアドレス空間間のエンドツーエンド通信を実現するIPREF(IP Addressing with References)の仕様。実アドレスの代わりに参照を使い、NAT/NAT6やIPv4/IPv6プロトコルの壁を越えた通信を可能にする純粋なL3アドレッシング手法だ。IPREFアドレスはDNSに公開でき、異なるアドレス空間やプロトコルの背後にあるホストのサービスへの到達性を確保する。IPv4とIPv6が混在する現実のインターネットに必要な互換性を提供するもので、rev 07への更新が行われた。
Draft Link
VLSM Tree Routing Protocol
VLSMによるアドレス配分でツリー型トポロジを形成するネットワークの内部に特化した軽量なルーティングプロトコルの提案。VLSMツリー内部にデフォルトルートを設定するアプローチを採ることで、外部ネットワークのルーティング情報をツリー下位のノードへ伝播させる必要を排除し、各ルーターの処理負荷を大幅に軽減する設計となっている。加えてRSVP-TEを拡張してVLSMツリー内でのMPLS対応IP-VPNもサポートしている。rev 09への更新が行われ、長い期間にわたって改訂が継続されてきた取り組みである。
Draft Link
CTP/0: Cognitive Time Protocol -- Definition and Framework
AIシステムにおける時間の表現と操作を体系的に整理するCognitive Time Protocol(CTP)ファミリーの概念定義文書。知覚層、方向層、複製層、創発層の4つのレイヤーで構成されており、それぞれの層の用語体系と層間の相互関係を記述する。ワイヤプロトコルやメッセージ形式は本文書では規定しておらず、将来のプロトコル設計や実装のための概念的な基盤を提供する位置づけだ。AIが時間という概念をどのように扱うべきかという根源的な問いに取り組むフレームワーク提案として、今後の展開が楽しみである。
Draft Link
編集後記
- PQCの波がTLSやWebAuthnの仕様改訂として毎週のように押し寄せてきていて、ドラフトの改訂履歴を丹念に追いかけるたびに暗号技術の世代交代が着実に進んでいることを肌で実感する日々が続いています。同じ一日のうちにAIエージェントが自律的にネットワーク機器を操作するためのVIRPや、エージェント同士が相互に安全な通信を確立するためのATPといった提案が並んで登場してきたのを眺めていると、近い将来、エージェント間の信頼モデルの確立がIETF標準化の中心テーマになりそうな予感がして、わくわくしました。
最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。