おはようございます!
GMOコネクトの名もなきエンジニアです。
私はいつ頃名乗っていいのでしょうか...笑
よろしくお願いします!
日刊IETFは、I-D AnnounceやIETF Announceに投稿されたメールをサマリーし続けるという修行的な活動です!!
今回は、2025-12-01(UTC基準)に公開されたInternet-DraftとRFCをまとめました。
- Internet-Draft: 44件
- RFC: 3件
参照先:
その日のサマリー & Hot Topics
今日は47件という大ボリュームの投稿がありました!特に注目なのは、DNSSEC関連で3つものRFCが同時発行され、SHA-1の廃止とアルゴリズム更新プロセスの刷新が行われた点です。また、PQCへの移行ガイダンスやMerkle Tree証明書など、ポスト量子時代への備えが着実に進んでいます。さらに、AI利用に関する語彙定義やComputing-Aware Traffic Steeringなど、次世代ネットワークを見据えた提案も活発化しており、セキュリティと自動化の両面で大きな動きを感じる一日となりました。
🔐 セキュリティ革新の波:PQCとDNSSECが同時進行!
今日最大のトピックは、暗号化とセキュリティ基盤の大規模アップデートです。まず、DNSSECでは3つものRFCが発行され、SHA-1アルゴリズムの廃止とECC-GOSTの非推奨化が正式に決定 されました。これは20年以上使われてきた暗号技術の転換点となります。一方で、PQC移行のための実践ガイダンスやMerkle Tree証明書の提案が進んでおり、量子計算機時代への準備が本格化しています。TLS証明書のオーバーヘッド削減とCertificate Transparencyの統合を実現するMerkle Tree証明書は、短命証明書とPQC署名の両方に対応できる設計となっており、次世代のWeb PKIの姿を示しています。
投稿されたInternet-Draft
Information Element for Flow Discard Classification
ネットワーク運用におけるパケット廃棄の分類を標準化する仕様です。IPFIX情報要素としてflowDiscardClassを定義し、デバイス、インターフェース、コントロールプレーンでの廃棄とそれが影響を与えるフローとの相関を可能にします。RFC準拠の廃棄モデルに基づいており、IPFIX実装間での一貫した分類を提供することで、ネットワークトラブルシューティングやパフォーマンス分析の精度を大幅に向上させます。
SSH Agent Protocol
Secure Shell(SSH)で使用される鍵エージェントプロトコルの仕様です。SSH接続時に秘密鍵を直接扱うのではなく、エージェント経由で認証を行うことで、セキュリティを向上させます。このプロトコルは長年使われてきましたが、今回初めて正式な標準化が進められており、実装間の相互運用性向上と、将来的な機能拡張の基盤を提供します。SSH運用の安全性と利便性を両立させる重要な仕様となります。
A Taxonomy of operational security considerations for manufacturer installed keys and Trust Anchors
製造時にデバイスに組み込まれる秘密鍵とトラストアンカーの保護方法について、体系的な分類を提供する文書です。IoTデバイスやネットワーク機器のセキュリティにおいて、製造段階での鍵管理は極めて重要です。本ドキュメントは、鍵のインストール方法と製造者が保持する秘密鍵の開示防止策について、さまざまなアプローチを名前付けして整理することで、関係者間のコミュニケーションを円滑にします。評価ではなく分類に焦点を当てた実用的なリファレンスとなっています。
MPLS Network Action (MNA) Sub-Stack Solution
MPLS Network Actions(MNA)をラベルスタック内で実現するための仕様です。ネットワークアクションと補助データをMPLSラベルスタックに組み込むことで、パケット転送の判断に影響を与えたり、OAM情報を追加したり、ユーザー定義操作を実行できます。RFC 9613の要件に対応し、RFC 9789のアーキテクチャフレームワークに準拠しています。MPLSネットワークの柔軟性と可観測性を大幅に向上させる重要な拡張となります。
BGP Deterministic Path Forwarding (DPF)
データセンターファブリックにおける決定論的な経路制御を実現する新しいBGP拡張です。従来のEBGPによるホップバイホップルーティングは単一のベストエフォート転送しか提供できませんでしたが、DPFは物理ファブリックを複数の論理ファブリックに分割し、トラフィック要件に応じて異なるファブリックにマッピングできます。AI/MLフローの低遅延要件、Parallel Redundancy Protocolの冗長経路要求、輻輳回避など、多様なニーズに対応できる柔軟なソリューションです。
Signal-Free Locator/ID Separation Protocol (LISP) Multicast
LISP環境でのマルチキャスト通信をユニキャストアンダーレイ上で実現する仕様の更新版です。マルチキャストソースと受信者がLISPサイトにある場合、コアネットワークでネイティブマルチキャストが利用できない環境でも、シグナリング不要なメカニズムによってトラフィックを配信できます。データプレーンではユニキャストレプリケーションとカプセル化を使用し、LISPマッピングデータベースを活用してソースサイトのカプセル化装置が受信サイトのデカプセル化装置を発見する仕組みです。
The Internet Standards Process
インターネット標準化プロセスを定義する重要文書の大幅改訂版です。RFC 2026をはじめ、RFC 5657、RFC 6410、RFC 7100、RFC 7127、RFC 8789、RFC 9282を統合して廃止します。標準化の各段階、ステージ間移行の要件、使用される文書タイプを明確化し、知的財産権と著作権の取り扱いについても規定しています。IETF標準化活動の基盤となる手続きを、現代の実情に合わせて再定義した画期的な更新です。
Path Computation Element Communication Protocol (PCEP) Extensions for Associated Bidirectional Segment Routing (SR) Paths
双方向SR経路を単一の関連付けられた経路として扱うためのPCEP拡張です。ネットワーク内の各方向の単方向SR経路2本を、1つの双方向SR経路としてグループ化する仕組みを定義します。ステートレスとステートフルの両方のPCEに対応し、PCE起動型とPCC起動型の両方のLSPで利用できます。双方向トラフィックエンジニアリングの管理を簡素化し、経路の一貫性を保証することで、ネットワーク運用の効率を向上させます。
Media Type Registration for Protocol Buffers
Protocol Buffersのメディアタイプ登録を行う仕様です。Protocol Buffersは構造化データをシリアライズするための広く使われている拡張可能なメカニズムですが、標準的なメディアタイプが定義されていませんでした。本ドキュメントは、HTTPやメール、その他のプロトコルでProtocol Buffersコンテンツを適切に識別できるよう、正式なMIMEタイプを登録します。マイクロサービスアーキテクチャやgRPCなど、Protocol Buffersを使用する現代的なシステムの相互運用性を向上させます。
SRv6 Bitmap Multicast
SRv6でステートフリーなマルチキャスト転送を実現するビットマップ拡張の提案です。従来のマルチキャストフレームワークでは、ネットワーク内でフローごとの状態管理が必要でしたが、この方式ではその課題を解決します。ビットマップを使用して複数の宛先を効率的にエンコードすることで、ネットワークノードでの状態保持を不要にし、スケーラビリティと管理性を大幅に向上させます。IPv6ネットワークでのマルチキャスト展開を簡素化する革新的なアプローチです。
Cookies: HTTP State Management Mechanism
HTTP CookieとSet-Cookieヘッダーフィールドを定義する仕様の更新版です。HTTPサーバーがユーザーエージェントに状態(Cookie)を保存し、ステートレスなHTTPプロトコル上でステートフルなセッションを維持する仕組みを提供します。歴史的にセキュリティとプライバシーの問題を抱えていますが、インターネットで広く使用されているため、現代のセキュリティ要件に合わせた改訂が行われています。RFC 6265を廃止し、より安全なCookie管理の実装を促進します。
The Erik Synchronization Protocol for use with the Resource Public Key Infrastructure (RPKI)
RPKIで使用するための新しいデータ同期プロトコルErikの仕様です。Merkleツリーを使用したデータレプリケーション、コンテンツアドレス可能な命名スキーム、単調増加するシーケンス番号による並行制御、HTTPトランスポートを特徴とします。Relying Partyは、Erik同期で取得した情報を他のRPKIトランスポートプロトコルと組み合わせて使用できます。効率的で高速、実装が容易で、ネットワークの分断や障害に対してロバストな設計となっています。
Merkle Tree Certificates
Certificate Transparencyスタイルのロギングを統合した新形式のX.509証明書の提案です。短命証明書とポスト量子署名アルゴリズムの両方に対応し、従来のX.509とCertificate Transparencyに比べてロギングオーバーヘッドを大幅に削減します。統合設計により、同等のセキュリティ特性を維持しながら効率を向上させています。さらに、最新のRelying Partyに対しては署名を完全に省略するオプション最適化も提供しますが、その場合は古い証明書への適用が制限されます。
TCP ACK Rate Request Option
TCP遅延ACKメカニズムをより柔軟に制御するための新しいオプションです。遅延ACKは多くのシナリオでプロトコルオーバーヘッドを削減する有効な仕組みですが、最適でないパフォーマンスにつながる場合もあります。大きな輻輳ウィンドウを使用できる場合は低頻度のACKが望ましく、小さいウィンドウの場合は即座のACKが不要な遅延を回避できます。TARR(TCP ACK Rate Request)オプションは、送信者が受信者に使用するACK頻度を要求したり、即座のACKを要求したりできるようにします。
Instance Information for SDF
SDF(Semantic Definition Format)と併用するインスタンス情報のタイプを議論する文書です。IoTデバイスのデータとインタラクションを記述するSDF仕様と組み合わせて使用する、具体的なインスタンス情報の表現フォーマットを定義します。SDFモデルを使用してインスタンス情報を記述する方法も提供します。IETF 124での議論を反映し、sdfProtocolMapとsdfContextのリンクに関する実験的なセクションが追加されています。
CMSF- a CMAF compliant implementation of MOQT Streaming Format
MOQT Streaming Format(MSF)にCMAFパッケージメディアを追加する新機能の定義です。MSFを更新し、CMAF準拠のメディアをストリーミングフォーマットに含めるための構文とセマンティクスを規定します。Media over QUICトランスポート(MOQT)の柔軟性を維持しながら、既存のCMAFエコシステムとの相互運用性を提供することで、低遅延ストリーミングの実装選択肢を拡大します。
A YANG Data Model for In Situ Operations, Administration, and Maintenance (IOAM) Integrity Protected Options
IOAM完全性保護オプションを管理するためのYANGデータモデルです。IOAMはネットワーク経路上で運用とテレメトリ情報を収集するハイブリッド測定手法ですが、データの完全性を保護する拡張が定義されています。本ドキュメントは、これらの完全性保護オプション(Integrity Protected Options)の設定と管理を可能にするYANGモジュールを規定します。ネットワーク監視データの信頼性を確保し、改ざん検知を実現します。
JSON Structure: Core
厳密な型付け、モジュール性、決定性を強制するJSON構造定義言語の仕様です。JSONエンコードされたデータを記述し、プログラミング言語やデータベース、その他のデータフォーマットとの間で直接的なマッピングを可能にします。JSONスキーマとは異なるアプローチで、より厳格な構造定義を提供することで、システム間のデータ交換における一貫性と予測可能性を向上させます。データ検証とコード生成の両面で活用できる設計です。
RTP Payload Format for Haptics
MPEG-I触覚データのためのRTPペイロードフォーマットです。触覚メディアストリームはMIHSユニットで構成され、MIHSユニットヘッダーと0個以上のMIHSパケットを含みます。RTPペイロードヘッダーフォーマットは、MIHSユニットのパケット化と複数のRTPパケットへの分割の両方に対応します。RFC 9695を更新し、haptics/hmpgサブタイプ登録にオプションパラメータを追加します。触覚メディアタイプのSDP使用情報も提供し、リモート触覚通信の標準化を推進します。
OAuth SPIFFE Client Authentication
SPIFFE認証情報を使用したOAuth 2.0クライアント認証を可能にする仕様です。RFC 7521とRFC 7523をプロファイル化し、SPIFFE Verifiable Identity Documents(SVIDs)をクライアントクレデンシャルとして使用できるようにします。SPIFFEクレデンシャルを持つOAuthクライアントは、JWT-SVIDsまたはX.509-SVIDsを使用してクライアントシークレットなしで認証できます。SPIFFE対応ワークロードとOAuth認可サーバー間のシームレスな統合を実現し、静的なシークレット管理の必要性を排除してセキュリティを強化します。
EVPN-Specific BMP RIB Statistics Extensions
BGP Monitoring Protocol(BMP)にEVPN固有の統計タイプを追加する拡張です。EVPNルートタイプごとのスカラーカウンタを含み、さらにマルチホーミングイーサネットセグメント数、マルチホームEVI数、エイリアスパス数、動的なVRF間ルートリーキング(IVRL)数など、EVPNルートタイプに依存しないがBGP-EVPN RIBに関連するカウンタの定義も可能にします。EVPNネットワークの運用監視とトラブルシューティングを効率化します。
Updates to OAuth 2.0 Security Best Current Practice
OAuth 2.0のセキュリティベストプラクティスを更新する文書です。RFC 6749、RFC 6750、RFC 9700で提供されているセキュリティアドバイスを拡張し、これらの文書が公開されて以降に発見された新しい脅威に対応します。OAuth実装のセキュリティ態勢を現代の脅威環境に適合させるための重要な更新となります。認可フローの保護、トークン管理、クライアント認証など、幅広いセキュリティ側面をカバーします。
CMSF- a CMAF compliant implementation of MOQT Streaming Format
MOQT Streaming Format(MSF)にCMAFパッケージメディアのサポートを追加する仕様の別版です。draft-ietf-moq-cmsfと同一内容で、draft-wilaw-moq-cmsfとして投稿されています。CMAF準拠のメディアをMOQTストリーミングフォーマットに統合するための構文とセマンティクスを規定し、既存のメディアエコシステムとの互換性を提供します。
RDAP Extension for DNS Time-To-Live (TTL Values)
Registration Data Access Protocol(RDAP)にDNSレコードのTTL値を含める拡張仕様です。RFC 9083を拡張し、関連するDNSレコードタイプのTTL値をRDAPレスポンスに含められるようにします。ドメイン登録情報とDNS運用情報を統合的に提供することで、ドメイン管理の効率を向上させます。GitHub上でソースコードとissue trackerが公開されており、コミュニティ主導の開発が進められています。
Static Context Header Compression (SCHC) for the Constrained Application Protocol (CoAP)
制約のあるデバイス向けにCoAPヘッダーをSCHCフレームワークで圧縮する仕様の更新版です。RFC 8724がIPv6とUDPヘッダーへのSCHC適用を記述していましたが、本ドキュメントはCoAPヘッダーに特化した圧縮を定義します。CoAPは可変長オプションを持つ柔軟なヘッダー構造を持ち、リクエストとレスポンスで非対称なフォーマットを使用します。この非対称性を活用してより効率的な圧縮ルールを定義し、RFC 8824を置き換えて廃止します。
編集後記
今日は47件もの投稿があり、特にセキュリティ分野での動きが活発でした。DNSSECで3つのRFCが同時発行され、SHA-1からの脱却が正式に進められたことは、インターネットインフラの大きな転換点です。同時に、PQCへの移行準備やMerkle Tree証明書など、量子コンピュータ時代を見据えた提案も加速しており、「今やるべきこと」と「未来への備え」が同時進行している様子が印象的でした。
また、Computing-Aware Traffic SteeringやAI利用に関する語彙定義など、ネットワークの自動化と最適化に向けた提案も目立ちました。技術の進化は止まることを知らず、私たち技術者も常に学び続ける必要があることを改めて実感させられます。Part 2もお楽しみに!
最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。