Whoisワークショップ＜1日目＞

-------------------------------------------------------------------------------
ICANNモントリオール会議：Whoisワークショップ ＜1日目＞
　（一般討論会（Public Forum）第1部）

日時：2003年6月24日（火）8:00～12:00
会場：Le Centre Sheraton Montreal Hotel（カナダ・モントリオール）
司会：Michael Roberts
出席者：約200名
内容：多方面の関係者によるWhois利用に関するプレゼンテーション
-------------------------------------------------------------------------------
＜詳細記録＞

■1. ICANNにおけるWhoisの現行ポリシーおよび契約上の義務等について
　　　(by Louis Touton, ICANN)

●Whoisの歴史
　当初は技術的利用のみだったが、その後利用目的が拡大

●ICANN契約におけるWhoisの規定
レジストラ認定契約：
- 最低限必要とされるWhoisのデータ要素を規定
   （登録者名、プライマリ/セカンダリネームサーバ名、レジストラ、等）
- 正確性
- レジストラが不正確なWhois情報を修正する義務
　　レジストラは最低年1回登録者に対し、注意喚起を行う
- 登録者との間で締結するサービス契約において要求される規定（プライバシーに
　関する規定）

●Whoisに関するICANNの活動
　ICANN Whois Advisory

●ICANNによる改善の取り組み
　レジストラが規定を遵守しているかを監視するトラッキングメカニズム 等

-------------------------------------------------------------------------------
■2. Whoisの仕様に関するIETFの取り組み --技術的可能性をポリシー規定につなげる
     ために--  (by Andrew Newton, VeriSign)
　http://www.icann.org/presentations/newton-whois-workshop-24jun03.pps

●現在のWhoisの問題：プロトコル自体が古い。

●過去
- Whoisについては、1982年、RFC812に最初に記述された（"Nicname/Whois"）
- RFC954が最新の規定だが、プロトコルに関する記述部分は少ない

●現在の状況
- さまざまな種類のデータに利用：ドメイン名登録、IPアドレス割り振り、
　　ルーティングポリシー、その他我々が知り得ない多くのもの
- 現在の利用者：知的財産権保持者、法執行者（当局）、サービスプロバイダー、
　ネットワーク運用者、レジストラ、登録者、DNSユーザー、不正ユーザー

●将来
- IETFのCRISP WG（Cross Registry Information Service Working Group）では、
　インターネットリソースのレジストリが利用するための新しい仕様作成に向けて
　作業をしている
- ゴール：アクセスコントロール、国際化、分散化

●認証（Authentication）vs 承認（Authorization）
- 認証＝ユーザーの身元確認のための使用するプロセス
- 承認＝認証に基づき、ユーザーに適用されるアクセスポリシー
- 認証メカニズムが承認の仕組みを簡便化

●現在の認証
- 現在は匿名利用（RFC954の規定による）
- ソースIPアドレス（認証メカニズムとして意図されたものではない）
- このため、現在の認証ポリシーは限定されている

○最新の認証方法：パスワード、ワンタイム・パスワード、デジタル証明等
○最新の承認の仕組み：ユーザーベース、シーケンス・ベース、チェーンベース、
　属性ベース、時間ベースなど
○チェーン式認証方法
○認証における属性
○参照
- CRISPプロトコルでは、サーバがクライアント経由でエクストラの情報を参照先
　サーバにパスすることができる
- この情報には認証データが含まれるため、レフェリーベースの承認ポリシーが可能

●結論
- CRISPは諸問題の解決に向けてプロトコル改善に取り組んでいる。「現状のプロトコ
　ルでどう使用するか？」ではなく、「我々は何を必要としているか？」への転換

-------------------------------------------------------------------------------
■3. 非ドメイン名ユーザーのためのWhois
　　(by Ray Plzak, American Registry for Internet Numbers（ARIN）)
　http://www.icann.org/presentations/plzak-whois-workshop-24jun03.pps

●Whoisとは？
　コミュニティにとっての電話帳、汎用レジストリ・ディレクトリサービス

アドレスコミュニティのレジストリ：
　Regional Internet Registry(RIR)
　Internet Routing Registry(IRR)

●アドレスコミュニティのWhoisの利用方法：
＜RIR Whoisを通じてなされるもの＞
 - アドレス割り振り/割り当てレコード
 - 自律システム(AS)番号割り当てレコード
 - DNSサーバ情報レコード
 - トラブルシューティングPOC情報レコード

＜IRR Whoisを通じてなされるもの＞
 - ルーティングポリシーレコード

●アドレス割り振り/割り当てレコード
  IANA--＞RIR--＞ISP--＞USER

-------------------------------------------------------------------------------
■4. 全TLDにわたってのレジストリ-レジストラの関係／相違点について
　　(by Bruce Beckwith, Public Interest Registry(PIR))
　http://www.icann.org/presentations/beckwith-whois-workshop-24jun03.pps

- 当初は、Whoisには登録者の電話番号やEメールアドレスなどは記載されていなかった
- 1999年にICANNはウェブベースとPort43によるアクセスの両方を提供することをレジ
　ストラに要求。また、バルクアクセスも要求
- 2001年にICANNはウェブベースとPort43によるアクセスの両方を提供することをレジ
　ストリに要求

●問題点
- 多くの関係者がwhoisを現状のままで維持することを要望
　（知的財産権コミュニティ、法執行者、ネットワーク運用者）
- 一方で、多くの関係者がWhois情報を制限することを希望
　（プライバシー擁護派、EU、レジストラ、レジストリ）

●いくつかの誤解
- 「スパムはドメイン名登録に基づいてのみ発生している」「Whois情報へのバルク
　アクセスはスパマーがEメールアドレスを入手する主要な源となっている」という
　のは間違い

●事実
　レジストリゾーンファイルもスパムの原因となりうる

●今後の議論のために
- ゾーンファイルを法的利用に制限する
- Whoisへのアクセスを法的目的に限定する

-------------------------------------------------------------------------------
■5. gTLDレジストラによるWhoisの利用 (by Bruce Tonkin, Melbourne IT)
　http://www.icann.org/presentations/tonkin-whois-workshop-24jun03.pps

●レジストラの観点からのWhois利用目的

●レジストラとしてのWhois利用
- レジストラ変更の際の認証のため、登録者の連絡先情報が必要

●第三者によるWhoisの不正利用
- 悪意による更新通知
- ドメイン名登録直後を狙い、関連サービスのマーケティング目的でメールを送付
- レジストラの名前を騙り、登録者のクレジットカード情報を不正に入手

●Whoisの利用方法
- 大規模レジストラは10種類のバルクアクセス契約を保持
- port43パブリックWhoisのサンプル統計結果：
　+ 1日あたり2百万件のクエリ
　+ 137,000のseparate locations
- $30で3千万のWhoisレコードが入手可能

-------------------------------------------------------------------------------
■6. Whois利用におけるプライバシー保護およびデータ保護について
　　(by Diana Alonso Blas, European Commission, DG Internal Market, Media and
     Data Protection)
  http://www.icann.org/presentations/alonso-blas-whois-workshop-24jun03.pps

●懸念事項
- Europian Commission がICANNとWhois TFに貢献
- Deta Protection Authority(DPA)がWhois情報の不正利用について苦情を出している
- 個人によるドメイン名登録が増加
- Whois TFからの報告はWhois本来の目的を無視している印象
- 本来の目的（問題発生の際の技術連絡）は正当
- ドメイン名登録の際に必要となる情報とWhoisで公開すべき情報との差別化が必要
- Whois情報は最小限にすべき
- 電話番号を公開することへの懸念

●提案
- 正確性
- ダイレクトマーケティングのためのバルクアクセスを制限 等

●結論
- ヨーロッパにおける情報保護の枠組みを尊重すべき。どのような場合にも、契約が
　法を覆すことはない
- プライバシーを向上させる形でWhoisディレクトリを運用するための方法を模索すべき
　（個人の権利を保護する一方で、本来の目的を果たす）

-------------------------------------------------------------------------------
■7. ccTLDレジストリ／レジストラによるWhois利用
　　(by Bart Boswinkel, .nl(オランダ))
　http://www.icann.org/presentations/boswinkel-whois-workshop-24jun03.pps

●.nlのレジストリであるStichting Internet Domeinregistratie Nederland（SIDN）
　の紹介
- NLドメイン名登録数：90万件

●背景
- 1995年に個人情報保護に関するEU指令が採択される
　（EU General Directive in Protection of Personal Data('95)）
- Local Internet Community Consultation (イベント「Domain Name Debate '01」
　にて実施)の結果、浮上した問題

- Whois を「プロトコル」とみなす者と「機能」とみなす者がいる
- プロトコルとしてのWhois
- 機能としてのWhois：
　WhoisはDNSには必要ない。登録ドメイン名のステータス等については、「ISクエリー」
　（SIDNのサイトが提供する検索DB）で知ることが可能
- 情報保護の観点：
  + 情報利用の目的は法的なものに限定
  + 正確な情報利用
- 関係者の関心事(「Domain Name Debate '01」より)
- 技術問題の解決
- アプリケーションのチェック
- 知的財産権の保護
- 有害コンテンツの防止と駆除

●SIDNにおける個人情報処理に関する規定
- 一般的目的（申請処理、特定トランザクションの要請検討、レジストラの業務促進、
　ゾーンファイルへのインクルード）
- 特別目的

●結論
- さまざまな認識が存在（ビジネス、法律、一般、技術）
- 単一の解決策はない

-------------------------------------------------------------------------------
■8. 知的財産権関係者のWhois利用
　　 (by Jane Mutimear, Intellectual Property Interests constituency)
　http://www.icann.org/presentations/mutimear-whois-workshop-24jun03.pps

- 以下に該当するドメイン名登録者を探すために利用：
　+ 知的財産権を侵害している製品を提供する（有料もしくは無料）サイト
　+ ISPがホストする侵害サイト
  + 著作権もしくは商標を侵害しているサイト
　+ ドメイン名自体が知的財産権を侵害するもの

●資産管理
- ドメイン名が簡単かつ安価に登録できるため、資産がでたらめなものになってきている
- しかし、ドメイン名によっては非常に価値ある資産となる

●商業活動支援
- ドメイン名は商業活動支援のために利用されている
- 会社が倒産した時に、その資産を調べるためにWhoisが利用されている

●問題
- 正確性
- 中央データベースの不在（レジストラとccTLDで別々のWhoisが存在） など
- バルクWhoisの問題

●Whoisへのアクセス規制

-------------------------------------------------------------------------------
■9. 消費者保護のためのWhois利用 (by Michael Donohue, OECD)

●OECDの紹介
- 去年GACが国際機関をICANNに招待
- 1996年からドメイン名に関して取り組んできた

- 1999年、Eコマースにおける消費者保護のガイドラインを発表
　（企業の正確、明確でアクセス容易な情報を提供することを要請）
- 虚偽の情報の問題

●結論
- 企業は商業目的でドメイン名を登録する際には、正確な情報を提供すべき

-------------------------------------------------------------------------------
■10. 法執行機関（当局）のWhois利用 (by Maneesha Mithal, United States Federal
      Trade Commission(FTC))
　http://www.icann.org/presentations/mithal-whois-workshop-24jun03.pps

●FTCの紹介
- 競争・消費者保護を管轄する米国で唯一の機関

●インターネット詐欺（Internet Fraud）への取り組み
- 1994年以来、250件を超えるインターネット詐欺を法的処置へ持ち込み、21億ドルを
　超える消費者被害を食い止めた

●FTCのWhois利用方法
- 加害者の所在地を特定
- プロセスをサーブ
- 調査（プレミア・エスクローのケース）
- ネットサーフィン

●FTCによる証言（Testimony）
- 法執行機関（当局）はあらゆるWhois情報にアクセスできるべき
- 一般の人々は商用サイトのWhois情報にアクセスできるべき
- 非商用目的のサイトにおけるプライバシーの問題については、今後も検討していく

-------------------------------------------------------------------------------
■会場からの質問/意見

- インターネットの不正利用者を特定するためのオープンな検索DBが必要なことは事実。
　Whois以外にその機能を果たせる方法があるか疑問（Milton Mueller）
- OECDガイドラインは非商業利用者のプライバシー問題への対策を示しているか（？）
- プライバシーとセキュリティについての一定のベースラインがない限り、個人ドメイ
　ン名登録者から正確なWhois情報を提供してもらうことは難しいと思う
- レジストラ認定契約におけるプライバシー保護のポリシーを、レジストラがどれだけ
　実施しているのか？
 →登録者はプライバシーポリシー規定をろくに読まずに登録しているのが現状

-------------------------------------------------------------------------------
このページを評価してください
