IRTF が RFC 9620 を発行:インターネット・プロトコルにおける人権の擁護と向き合うために

RFC 9620: A Call for Human Rights in Internet Protocols

2024/09/18 SecurityOnline — The Internet Research Task Force (IRTF) は、プロトコルおよびアーキテクチャを開発する人々の注意を、重要である人権問題に向けることを目的とした、新しいドキュメント RFC 9620 をリリースした。このドキュメントは、情報提供を目的としたものであり、必須のスタンダードではない。ただし、その作成者が期待するのは、通信技術の作成と改善において、エンジニアのための貴重なガイドとなることだ。

RFC 9620 では、データ送信に使用される技術により、人権が支援されることも侵害されることもあり得ると強調している。このドキュメントでは、プロトコルの設計段階で開発者が自らに問いかけ、その際に下す決定が、次のような権利に及ぼす影響を評価するための質問が提起されている。

  • 表現の自由の権利
  • 情報の自由の権利
  • 差別禁止の権利
  • 平等な保護の権利
  • 文化的な生活/芸術/科学に参加する権利
  • 集会および結社の自由の権利
  • プライバシーの権利
  • セキュリティの権利

たとえば、あるユーザーが特定のサービスやコンテンツへのアクセスを拒否された場合には、当局や組織による虐待について情報を開示できなくなる可能性があり得る。ユーザーの通信を監視すると、集会の自由や政治プロセスへの参加が制限される可能性が生じる。極端なケースにおいては、プロトコルにより漏洩した情報を悪用する政府が、市民を迫害することで深刻な結果を引き起こし、身体的な危険につながる恐れも生じてくる。

このドキュメントが推奨するのは、スタンダードな開発フェーズ中に、プロトコルが人権に与える影響を評価することである。そのために提案されている重要な考慮事項は、次のとおりである。

分散化:

  • プロトコルはシングル制御ポイントなしで展開できるか?
  • プロトコルは分散システム内で動作できるか?
  • プロトコルはセンタライズされた追加の制御ポイントを作成するか?

検閲耐性:

  • プロトコル・アーキテクチャは検閲を容易にさせるか?
  • トラフィックをブロックするために悪用されるボトルネックが含まれているか?
  • プロトコルには検閲に対する耐性があるか?
  • リソースへのアクセスを制限する際に透明性を提供し、その理由を説明しているか?

データの整合性:

  • プロトコルは、データの保存と正確性を確保しているか?
  • 意図的または偶発的なデータ変更を防止しているか?

コンテンツ・シグナル:

  • プロトコルのヘッダーまたはペイロードには、トラフィックを区別するために使用できる明示的/暗黙的な要素が含まれているか?
  • ネットワーク仲介者へのデータ漏洩を、最小限に抑える方法が取り込まれているか?
  • プロトコルを透明にして、トラフィックの区別による悪影響を検出し、ネット中立性に影響を与える可能性を持っているか?

さらに、プロトコル開発者は、セキュリティ標準への準拠を考慮し、プロトコルのスケーラビリティを妨げる独自のテクノロジーを避け、データと属性の信頼性を検証する機能を確保する必要がある。

このようなドキュメントが必要な理由は、過去においてプロトコル開発者が意図することなく、人権侵害のツールとなるテクノロジーを作成することがあったからだ。たとえば、中国企業 Huawei が、新たなインターネット・プロトコルである “New IP” を作成するという提案が、専門家たちの間で懸念を引き起こした。このプロトコルは、”tactile internet” (触覚インターネット) とホログラフィック通信のプラットフォームとして位置付けられているが、”New IP” により大量監視が可能になり、インターネットの匿名性が損なわれる可能性があると、専門家たちは警告している。

Chatham House/Oxford Information Labs/Oxford Internet Institute のアナリストたちは、”New IP” が大量監視に使用されると、プライバシー/表現の自由/集会の自由の権利などが脅かされる可能性が生じると指摘している。

前述の通り、このドキュメントは IETF スタンダードではなく、情報ガイドである。それにも関わらず、このドキュメントは Human Rights Protocol Considerations (HRPC) Research Group の合意により承認され、グループ・メンバーと外部の専門家によりレビューされている。つまり、人権への考慮を作業に取り入れたいインターネット・プロトコル開発者にとって、このドキュメントは極めて重要なものとなる。

RFC 9620 が、開発者に対して推奨するのは、プロトコル開発における各ステップで決定を見直し、影響を受ける可能性のある人々を、プロセスに積極的に関与させることである。

一言で言って、良い話ですね。プロトコル自体が脆弱だと、ちょっとした実装面でのバグが、とんでもないセキュリティ・ホールになり得てしまいます。犯罪者に悪用されるインターネットですが、強権政府による圧政に苦しむ人々にとっては、生命線でもあるインターネットです。IRTF には頑張ってほしいです。それと、Huawei の問題がどこにあったのかを、分かりやすく説明してくれる記事でもありますね。