2. The IETF Will Work to Mitigate Pervasive Monitoring (IETF は広範な監視の緩和に取り組む)
2. The IETF Will Work to Mitigate Pervasive Monitoring (IETF は広範な監視の緩和に取り組む)
「緩和」(Mitigation) は, 攻撃を完全に防止または阻止する能力を意味しない技術用語である。PM を緩和するプロトコルは攻撃を防止しないが, 脅威を大幅に変更できる。(「攻撃」と「脅威」という用語がどのように関連しているかについては, RFC 4949 の 24 ページの図を参照。) これにより, 攻撃のコストを大幅に増加させたり, 秘密だったものを公開させたり, または攻撃が検出される可能性を高めたりすることができる。
IETF 標準は既にインターネット通信を保護するためのメカニズムを提供しており, プロトコル設計にこれらを適用するためのガイドライン [RFC3552] がある。しかし, これらの標準は一般的に PM, プロトコルメタデータの機密性, トラフィック分析への対抗, またはデータの最小化には対処していない。全てのケースにおいて, プロトコルによって不可避的に開示されるいくつかのプライバシー関連情報が残る。技術が進歩するにつれて, かつては非常に資金力のある行為者のみが利用できた技術がより広くアクセス可能になる。したがって, PM の緩和は広範な類似攻撃に対する保護である。
したがって, 我々の標準のセキュリティとプライバシーの特性を再検討する時期が来ている。IETF は, 一般的なプロトコルの脆弱性に対して行うのと同様に, PM の技術的側面を緩和するために取り組む。IETF プロトコルが PM を緩和する方法は, 緩和技術と攻撃技術が進化するにつれて時間とともに変化するため, ここでは説明しない。
IETF 仕様を開発する人々は, PM をどのように考慮したかを説明できる必要があり, 攻撃が発行される作業に関連する場合, 関連する設計決定を正当化できる必要がある。これは, IETF ドキュメントに新しい「広範な監視に関する考慮事項」セクションが必要であることを意味するものではない。これは, 質問された場合,「広範な監視はこの作業に関連しているか, もしそうならどのように考慮されているか?」という質問に対する良い答えが必要であることを意味する。
特に, 既存の技術のどれを再利用するかを含むアーキテクチャ上の決定は, プロトコルの PM に対する脆弱性に大きな影響を与える可能性がある。したがって, IETF 仕様を開発する人々は, アーキテクチャ上の決定を行う際に PM の緩和を考慮する必要がある。PM の適切な緩和を行えるかどうかを含め, アーキテクチャ上の決定の適切な早期レビューを得ることが重要である。プロセスの後半でこれらのアーキテクチャ上の決定を再検討することは非常にコストがかかる。
PM は攻撃であるが, PM の定義に当てはまる可能性のある他の形態の監視は有益であり, いかなる攻撃の一部でもない可能性がある。例えば, ネットワーク管理機能はパケットまたはフローを監視し, スパム対策メカニズムはメールメッセージの内容を確認する必要がある。一部の監視は PM の緩和の一部にさえなり得る。例えば, 証明書の透明性 [RFC6962] は, いくつかの PM 攻撃技術を検出できる方法で公開鍵基盤を監視することを含む。しかし, 監視メカニズムが PM のために悪用される可能性は明らかであり, この緊張関係はプロトコル設計において慎重に考慮する必要がある。PM を緩和するためにネットワークを管理不可能にすることは受け入れられない結果であるが, PM を無視することはここで文書化された合意に反する。この緊張関係の実際のインスタンスが考慮されるにつれて, 適切なバランスが時間とともに現れる。
最後に, IETF は標準開発組織として, 我々の仕様の実装または展開を制御していない (ただし, IETF 参加者は多くの実装を開発している) し, IETF はプロトコルスタックの全てのレイヤを標準化しているわけでもない。さらに, 広範な監視を緩和する非技術的 (例えば, 法的および政治的) 側面は IETF の範囲外である。PM が完全に対処されるためには, より広範なインターネットコミュニティが PM に取り組むために前進する必要がある。
要約すると: 現在の能力により, 一部の行為者はかつて見たことのない規模でインターネット全体のコンテンツとメタデータを監視することができる。この広範な監視はインターネットのプライバシーに対する攻撃である。IETF は広範な監視攻撃を緩和する仕様を作成するよう努める。