レジストリオペレータのセキュリティレスポンスの権利放棄(SRW)リクエスト
すべての翻訳されたコンテンツおよび文書の英語版が公式版であり、英語以外の言語の翻訳版は情報提供のみを目的として作成されたものです。
セキュリティレスポンスの権利放棄(SRW)サービスは、gTLDレジストリが、gTLDやDNSに対する現在の、または差し迫ったセキュリティインシデントを緩和または排除するために実施する可能性のある、または実施した行動に対して契約上の免除を要求するために設けられたものです。契約上の免責は、インシデントへの対応に必要な期間中は、レジストリ契約の特定の条項に対する遵守を免除するものです。SRWは、関連する当事者(たとえば、ICANN、その他の影響を受けるプロバイダー)への適切な情報提供を継続しながら、インシデントが発生した場合にもセキュリティ対策の運用を維持できるように設計されています。
2021年8月、ICANN組織は、ERSR(Expedited Registry Security Response)サービスを拡張し、レジストラが、レジストラが権利放棄のリクエストを提出できるようにしました。これに伴って、ERSRサービスはSRW(セキュリティレスポンスの権利放棄)サービスと名称が変更されました。
レジストリは、以下のインシデントが発生した場合、本サービスをリクエストできます。
- gTLDまたはDNSの体系的なセキュリティ、安定性および耐障害性を脅かす大規模で重大なDNSに関する悪意のある行為。
- ICANNのレジストリ移行プロセスで定義されているgTLDレジストリの1つ以上の重要な機能の一時的または長期的な障害を引き起こす可能性のある事象。
- レジストリデータの無許可の開示、変換、挿入、または破壊、または該当するすべての標準規格に基づき運営されているシステムによるインターネット上の情報やリソースへの不正なアクセスやそれらの開示。
- 特定のセキュリティ脅威によってレジストリが対策を講ずることを要求するレジストリを管轄する法執行機関からの裁判所命令。
SRWサービスは、レジストリによる即時の対応を必要とするセキュリティインシデントについてのみ適用されます。このプロセスは、レジストリサービス評価方針(RSEP)を通じて実施される必要がある要求を置き換えるものではありません。
レジストリのSRWプロセス
ICANN組織は、特別な状況が発生し、レジストリがインシデントを防止または解決するために速やかに対策を講ずることが要求される場合があることを理解しています。このようなケースでは、ICANNが必要に応じて遡及的な権利放棄に対応できるように、レジストリは可能な限り速やかにSRWリクエストを提出する必要があります。
SRWプロセスには、次の3つの段階があります。
-
SRWリクエストの提出:レジストリは、命名サービスポータルからセキュリティレスポンスの権利放棄のケースを提出することにより、SRWリクエストを開始できます。提出に際しては、レジストリは以下を実施する必要があります。
- すでに対策を講じているかどうかを示すこと。
- 緊急の対策が求められており、対策を実施する前に権利放棄が必要な場合は、その旨を示すこと。
- インシデントの説明と、レジストリが予定している対応の詳細、または実施した対応の詳細を記載すること。
- レジストリが権利放棄を要求しているレジストリ契約の条項を含めること。
- SRW リクエストの確認:ICANN組織は、SRWリクエストを確認して回答します。ICANN組織は、SRWリクエストを包括的に確認し検討できるように、必要に応じて、追加情報を要求することができます。SRW をリクエストしたレジストリは、速やかにかかる情報を提供するように求められます。場合によって、ICANN組織は、レジストリまたは外部機関(法執行機関、セキュリティ研究者など)に連絡を取り、インシデントを確認する場合があります。
- 判断と対応:ICANN組織は、すべての必要な情報を受け取ってから15暦日以内に、(i)適切であれば権利放棄または遡及的な権利放棄、(ii) 既存の権利放棄の更新、(iii)リクエストが既存の権利放棄の範囲内であるという決定、または(iv)権利放棄が認められないという決定(根拠を含む)を書面で回答します。緊急の対策が必要であり、対策を実施する前に権利放棄が必要であることが提出した情報で示された場合、ICANN組織はレジストリに迅速に回答します。
SRWリクエストへの応答の後で、ICANN組織は影響を受けるレジストリと協力し、事後報告書を作成し、その報告書を公開します。事後報告書が公開される予定である場合、ICANNと影響を受けるレジストリは、機密情報および専有情報が確実に保護されるように、SRWリクエストと事後報告書のどのセクションを編集すべきかを共同で検討します。
セキュリティレスポンスの権利放棄リクエストの指標
ICANN組織は、これまでERSR(Expedited Registry Security Requests)と呼ばれていたものを含め、セキュリティレスポンスの権利放棄(SRW)リクエストリクエストの指標をICANNオープンデータで公開しています。SRWの指標にアクセスするには、ICANNオープンデータのWebページにアクセスしてください。
アーカイブ
このWebページは、2022年5月にサービス改善の一環として更新されました。アーカイブされたERSR(Expedited Registry Security Response)のWebページは、こちらから参照できます。