こんにちは、GMOコネクトの名もなきエンジニアです。
よろしくお願いします!
日刊IETFは、I-D AnnounceやIETF Announceに投稿されたメールをサマリーし続けるという修行的な活動です!!
今回は、2026-02-25(UTC基準)に公開されたInternet-DraftとRFCをまとめました。
- Internet-Draft: 37件
- RFC: 0件
※ 投稿数が多いため、前後編に分けてお届けしています。後編では残りの17件を取り上げます。
参照先:
その日のサマリー & Hot Topics
- 後編ではBGPセキュリティ関連のドラフトが目立ちます。ASPAによるAS_PATH検証の強みと限界を分析するドラフトや、ソースアドレス検証(SAV)の用語整理が進んでおり、BGP FlowSpecにコミュニティレベルのフィルタリングを追加する新コンポーネントタイプも提案されました。SRv6分野ではIPv6近隣探索によるロケータ広告やIPFIXでのSRポリシー属性エクスポートなど、運用現場に直結する仕様が揃っています。OAuthのグローバルトークン失効やPrivacy Passバッチ発行といった認証基盤の改善も着実にrevisionを重ねています。
- 注目はPQC関連の続報と5Gセキュリティです。TLS 1.3向けECDHE-MLKEMハイブリッド鍵合意の推奨アップデートが提出され、前編で取り上げたCMS向けComposite ML-KEMやX.509証明書拡張と合わせると、PQCのプロトコル統合が暗号メッセージ、証明書、トランスポートと幅広い層で同時に進んでいることがわかります。5Gエッジネットワーク向けには、I2NSFフレームワークをベースにしたインテントベースのセキュリティ管理が提案され、ネットワーク自動化とセキュリティ制御の融合が加速しています。
投稿されたInternet-Draft
An Analysis of ASPA-based AS_PATH Verification
ASPA(Autonomous System Provider Authorization)に基づくAS_PATH検証の分析を行うドラフトです。ASPAは経路リーク(valley-free違反)や偽装オリジンハイジャックの大部分を検出・緩和できますが、その強みと限界を体系的に整理しています。ASPAを強化する潜在的な方向性についても言及しており、BGPセキュリティの現状を俯瞰するうえで参考になります。
Draft Link
Currently Used Terminology Related to Source Address Validation
ソースアドレス検証(SAV)に関連する用語と略語を整理した文書です。SAV関連の議論や文書全体で一貫した用語セットを確立することを目的としています。用語の権威的な定義を示すものではなく、現在使われている用語の概観を提供する位置づけです。SAV関連ドラフトを読む際の共通語彙として活用できます。
Draft Link
A syntax for the RADIUS Connect-Info attribute used in Wi-Fi networks
RADIUSプロトコルのConnect-Info属性に対して、IEEE 802.11無線ネットワーク固有の情報を伝達するための構文を定義するドラフトです。RADIUSクライアントがRADIUSサーバーに対し、ユーザーのWi-Fi接続に関する詳細情報を提供できるようにします。Wi-Fi環境でのRADIUS運用を強化する実務的な仕様です。
Draft Link
Alternate Marking Deployment Framework
Alternate Markingの展開フレームワークを提供するドラフトです。この手法はパケットにマーキングを施してパフォーマンス測定を行うもので、本ドラフトでは実際のネットワークへの導入に必要な考慮事項とガイダンスをまとめています。IPPMワーキンググループの成果として、パフォーマンスモニタリングの実運用展開を支援します。
Draft Link
Destination-IP-Community Filter for BGP Flow Specification
BGP FlowSpec(BGP-FS)に新しいコンポーネントタイプを追加し、宛先IPアドレスのコミュニティ値によるフィルタリングを可能にする提案です。Flowspec NLRIに宛先IPのコミュニティをエンコードし、コミュニティレベルのトラフィックフィルタリングを実現します。単一管理ドメイン内での適用を想定した仕様です。
Draft Link
Batched Token Issuance Protocol
Privacy Passの発行プロトコルを拡張し、バッチ処理でのトークン発行を可能にする仕様です。クライアントが一度に複数のトークンをリクエストでき、発行者も一度に複数トークンを発行できる2つのバリアントを定義しています。プライバシー保護とトークン発行効率の両立を図るrevision 7の更新版です。
Draft Link
Advertise SRv6 Locator Information by IPv6 Neighbor Discovery
SRv6エンドポイント(ホストやCPEなど)が、IPv6近隣探索プロトコルの拡張を使って隣接するSRv6対応ルーターにロケータ情報を広告する手法を定義するドラフトです。シンプルなエンドポイントでフルルーティングプロトコルスタックを動かす必要がなくなり、データセンターやマネージドアクセスネットワークなどの管理された信頼ドメインでのSRv6展開を容易にします。
Draft Link
Key Management for Group Object Security for Constrained RESTful Environments (Group OSCORE) Using Authentication and Authorization for Constrained Environments (ACE)
ACEフレームワークのアプリケーションプロファイルとして、Group OSCOREによるCoAPグループ通信向けの鍵管理を定義するドラフトです。クライアントがグループマネージャーとして機能するリソースサーバーを介してOSCOREグループに参加する際の認証・認可を委任します。ACEのトランスポートプロファイルを活用し、通信セキュリティとキーの所有証明を実現するrevision 20の成熟した仕様です。
Draft Link
An Integrated Security Service System for 5G Networks using an I2NSF Framework
I2NSF(Interface to Network Security Functions)アーキテクチャを5Gエッジネットワークに適用した統合セキュリティ管理フレームワークです。インテントベースネットワーキング(IBN)により、管理者が高レベルのセキュリティインテントを宣言すると、ネットワーク層のポリシーはNEF経由で5Gコアに、アプリケーション層のポリシーは分散IBNコントローラー経由でUEに適用されます。ハンドオーバーなどのモビリティシナリオにもリアルタイムで対応する適応的なポリシー制御を実現します。
Draft Link
Update to Post-quantum Hybrid ECDHE-MLKEM Key Agreement for TLSv1.3
TLS 1.3におけるECDHE-MLKEMハイブリッド鍵合意メカニズムの推奨に関するアップデートです。RFC化予定のI-D.ietf-tls-ecdhe-mlkemに対する迅速な更新として提出されており、3つのハイブリッド鍵合意方式を推奨しています。PQCへの移行を進めるTLSエコシステムにとって、実装指針の明確化に寄与する提案です。
Draft Link
IPv6 Query for Enabled In-situ OAM Capabilities
RFC 9359で記述されたIOAM(In-situ OAM)機能発見メカニズムをIPv6ネットワークに適用するドラフトです。ICMPv6クエリメッセージを使い、IOAMカプセル化ノードが各トランジットノードやデカプセル化ノードで有効化されているIOAM機能を発見できるようにします。ネットワーク内のIOAM対応状況を動的に把握するための仕組みです。
Draft Link
ICMP Query for IP Node Information
ICMPに2つの新しいメッセージタイプ、ICMP Query RequestとICMP Query Responseを導入するドラフトです。Query Requestで情報を要求し、Query Responseで応答する汎用的な問い合わせメカニズムを提供します。RFC 4884を更新する内容で、ICMPの拡張性を高める基盤的な提案です。
Draft Link
ICMP Error Handling for VPNs in SRv6 Networks
SRv6ベースのVPNにおけるICMPエラーハンドリングを規定するドラフトです。SRv6 VPN環境ではパケットのカプセル化構造が複雑になるため、ICMPエラーメッセージの処理にも特有の考慮が必要になります。SRv6 VPNの運用品質を向上させるための実装指針を提供しています。
Draft Link
Updates to DNS64 Functionality Advertisement for DNS RA Option
DNS RAオプションに新しいフラグを定義し、DNS64機能の広告を可能にするドラフトです。この拡張により、IPv6移行シナリオにおけるDNS64解決の自動設定が実現し、展開の容易さが向上します。IPv6移行を推進するための軽量で実用的な仕組みです。
Draft Link
Yang Data Model for EVPN multicast
EVPNマルチキャストサービスのためのYANGデータモデルを記述するドラフトです。アンダーレイに依存しない設計で、RFC 9251にも対応しています。EVPNインスタンスフレームワークを中心に据えたモデルで、マルチキャストサービスの構成管理を自動化するための基盤を提供します。
Draft Link
Export of Segment Routing Policy Attributes in IP Flow Information Export (IPFIX)
IPFIX(IP Flow Information Export)の新しい情報要素を定義し、IPフローに適用されたSRおよびSRv6ポリシーの属性をエクスポートできるようにするドラフトです。観測されたトラフィックフローと、それを搬送するSR/SRv6ポリシーとの相関を取れるようになります。SRv6ネットワークの可観測性を強化する運用志向の仕様です。
Draft Link
Global Token Revocation
セキュリティインシデント管理ツールや外部アイデンティティプロバイダーが、認可サーバーに対して特定ユーザーの全トークン失効を要求できるメカニズムを定義するドラフトです。失効後はユーザーの再認証を経て新しいトークンが発行されます。インシデント対応時にユーザー単位で即座にアクセスを遮断できるため、セキュリティ運用の迅速性を大きく高めます。
Draft Link
編集後記
- BGPセキュリティのドラフトが固まって出てきたのは、やはりルーティングセキュリティへの関心が根強いことの表れだと思います。ASPAの分析ドラフトは強みだけでなく限界も正直に書いているのが好感が持てて、現場でどう使うか考えるときの判断材料として重宝しそうです。あとGlobal Token Revocationは地味に嬉しい仕様で、インシデント発生時に「全トークン一括失効」を標準的な手順でできるのは運用者としてずっと欲しかった機能です。こういう実務に直結する仕様が着実にrevisionを重ねているのを見ると安心感があります。
最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。