こんにちは!
GMOコネクトの名もなきエンジニアです。
気づいたら今年も終わりそうですが、仕事が捗るので最高な日々です。
よろしくお願いします!
日刊IETFは、I-D AnnounceやIETF Announceに投稿されたメールをサマリーし続けるという修行的な活動です!!
今回は、2025-12-29(UTC基準)に公開されたInternet-DraftとRFCをまとめました。
- Internet-Draft: 10件
- RFC: 0件
参照先:
その日のサマリー & Hot Topics
- 本日はワークロード識別、リモート構成証明、ソースアドレス検証など、セキュリティとネットワーク管理に関わる幅広い提案が公開されました。特に注目すべきは、SSH Agent ProtocolやSCITT Reference APIsといった、認証基盤や透明性ログの標準化が進展している点です。NFSv4のACL仕様更新やIPv6の宛先オプション廃止提案など、既存プロトコルの改善も含まれています。
- SSH Agent Protocolの仕様化が第15版に到達し、SSHエコシステムにおける鍵管理の標準化が前進しています。Workload Identifierは信頼ドメイン内でのワークロード識別を統一的に扱う仕組みで、クラウドネイティブ環境でのゼロトラスト実装に影響を与える可能性があります。SCITT(透明性のあるサプライチェーン)やRATSのリモート構成証明といった、ソフトウェアやハードウェアの信頼性を担保する技術も着実に進展しています。
投稿されたInternet-Draft
Workload Identifier
このドラフトは、特定の信頼ドメイン内でワークロードを一意に識別するための正規識別子として「Workload Identifier」を定義しています。Workload IdentifierはURI形式で表現され、X.509証明書やセキュリティトークンといったデジタル認証情報に埋め込むことで、多様なシステム間での認証、認可、ポリシー適用を可能にします。この形式により相互運用性が確保され、安全なIDフェデレーションが促進されます。クラウドやマイクロサービス環境で増加するワークロードの識別管理に一貫した意味論を提供する重要な標準化作業です。
ACLs within the NFSv4 Protocols
このドラフトは、NFSv4.0とNFSv4.1におけるアクセス制御リスト(ACL)の構造と機能を詳述しています。これらのマイナーバージョンでは、WindowsのACLモデルに基づくACLが定義されており、POSIX ACLのような他のモデルは将来のバージョン(NFSv4.2など)で選択可能です。本文書はNFSv4 ACLの構造とセキュリティアーキテクチャにおける役割を説明し、POSIX由来の認可関連属性よりも柔軟なファイルアクセス認可を提供する点に焦点を当てています。従来の仕様では不十分だった認可セマンティクスについて、互換性を維持しながら異なるアプローチを採用し、最終的にRFC7530とRFC8881を更新する予定です。
Deprecate IPv6 Destination Options Before the Routing Header
このドラフトは、IPv6においてルーティングヘッダー前の宛先オプションを非推奨とし、ルーティングヘッダーが存在する場合はIPv6ヘッダー直後、またはホップバイホップオプションヘッダー直後に配置することを要求しています。この要件により、1つのパケットに含まれるルーティングヘッダーは最大1つに制限されます。IPv6ヘッダー拡張の順序を明確にすることで、パケット処理の効率化とセキュリティ向上を図る提案です。実装の複雑さを軽減し、中間ノードでの処理を簡素化する狙いがあります。
EVPN Mpls Ping Extension
このドラフトは、EVPNやVPN環境において、リモートのオーバーレイエンドポイントや中央コントローラから、オフボックスツールを用いてクライアントノードの到達性を確認する手法を提案しています。既存の標準では不完全な知識しか得られない場合の運用性向上を目指しています。また、ネットワーク境界ルータにおいて、あるネットワーク/ファブリックから別のネットワークへルートをリークするために作成される連携VRFやダミーVRFに対して、既存のmpls-pingメカニズムでは明示的な到達性確認ができない問題にも対処します。提案内容の一部はネイティブなLSP pingにも適用可能です。
SCITT Reference APIs
このドラフトは、SCITTアーキテクチャの規範的要件をサポートするREST APIを記述しています。X.509証明書や公開鍵発見を支援する代替手段、およびアーティファクトリポジトリとの相互運用性をサポートするために、オプションの鍵発見とクエリインターフェースを提供します。SCITTは「Supply Chain Integrity, Transparency, and Trust」の略で、サプライチェーン全体の透明性と信頼性を確保する仕組みです。透明性ログへの登録やクレームの検証といった操作を標準化されたAPIで実現し、ソフトウェアサプライチェーンの信頼性向上に寄与します。
Attestation Event Stream Subscription
このドラフトは、リモート構成証明手順(RATS)のためのYANGイベントストリームをサブスクライブする方法を定義しています。具体的には、TPMベースのチャレンジレスポンス型リモート構成証明(CHARRA)のYANGモジュールを拡張し、Evidence型のRATS概念メッセージや、そのEvidenceの一部としての補助イベントログのサブスクリプションを可能にします。このモジュールを使用するには、YANGサーバーが動作するAttester上に、少なくとも1つのTPM 1.2またはTPM 2.0(もしくは同等の保護機能を提供するハードウェア実装)が必要です。デバイスの信頼性を継続的に監視するための標準インターフェースを提供します。
Bicone Source Address Validation
このドラフトは、ソースアドレス検証(SAV)において、正当なトラフィックの不適切なブロックを回避しつつ、方向性を維持するための代替的なアプローチを提案しています。既存のSAVメカニズムは、顧客ASや横方向のピアASに面したインターフェースでイングレスallowlistフィルタに依存しており、allowlistが不完全な場合に不適切なブロックが発生する可能性があります。このドラフトはこの問題を分析し、プロバイダーコーンに排他的に関連付けられたプレフィックスのブロックリストに基づくイングレスSAVアプローチを説明しています。ネットワーク運用者は運用状況に応じて、どちらのアプローチを選択するかを判断できます。
YANG Data Model for supporting multipath IGMP/MLD proxies
このドラフトは、IGMP/MLDプロキシにおいて複数のアップストリームインターフェースをサポートするため、特定のマルチキャストチャネルやセッションに対して異なるアップストリームインターフェースを設定する必要性に対応します。RFC9398で定義されたIGMPおよびMLD Proxy DevicesのYANGデータモデルを基盤として、複数のアップストリームインターフェースをサポートするためのモデル拡張を提案しています。マルチパス環境でのマルチキャスト配信の柔軟性と冗長性を向上させ、ネットワーク管理をより効率的に行うための標準化作業です。
SSH Agent Protocol
このドラフトは、Secure Shell(SSH)プロトコルで使用される鍵エージェントプロトコルを規定しています。SSH Agentは、ユーザーの秘密鍵を安全に管理し、複数のSSH接続で鍵を再利用できるようにする重要なコンポーネントです。これまで実装間で微妙に異なる仕様が存在していましたが、本ドラフトでそのプロトコルを標準化することで、相互運用性が向上します。鍵の追加、削除、署名リクエストなどの操作が明確に定義され、SSHエコシステム全体の安全性と利便性が強化されます。
Flowspec Indirection-id Redirect for SRv6
このドラフトは、SRv6向けに「FlowSpec Redirect to indirection-id Extended Community」の拡張を定義しています。この拡張コミュニティは、SRv6のフロースペッククライアントに対して高度なリダイレクト機能をトリガーします。有効化されると、フロースペッククライアントはローカライズされたindirection-idマッピングテーブル内で対応するネクストホップとエンコーディング情報を取得します。本機能により、ネットワークコントローラがBGPフロースペックのリダイレクト指示を利用可能なパスの運用から分離でき、柔軟なトラフィックエンジニアリングが実現します。
発行されたRFC
本日はRFCの発行はありませんでした。
編集後記
- 本日はセキュリティ、ネットワーク管理、リモート構成証明など多様な分野のドラフトが公開され、インターネット技術の進化が続いていることを実感します。SSH Agent Protocolのような長年使われてきた技術の標準化は、エコシステム全体の相互運用性向上につながる重要な一歩です。SCITT、RATS、Workload Identifierといった信頼性と透明性を担保する技術群が着実に進展している様子も注目に値します。
最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。