idbok

Appearance

OpenID Foundation Digital Credentials Protocols WG 活動レポート (2026年2月)

執筆日: 2026-04-17 この記事は 2026年2月 の活動を遡及的にまとめたレポートです。

1. 概要

Digital Credentials Protocols WG(DCP WG)は、OpenID4VC の仕様群(OpenID for Verifiable Credential Issuance / OpenID for Verifiable Presentations / High Assurance Interoperability Profile)を開発する OpenID Foundation のワーキンググループである。Torsten Lodderstedt・Kristina Yasuda・Daniel Fett らがコア編集者を務め、欧州 EUDIW をはじめ 38 カ国以上の政府・業界が採用している。

2026年2月は、OpenID4VP 1.0・OpenID4VCI 1.0・HAIP 1.0 の三仕様に対する自己認証(Self-Certification)プログラムが 2月 26日に正式開始されるという、DCP WG 長年の取り組みの集大成となった月である。その傍らで、シュトゥットガルト大学(University of Stuttgart)が行う OpenID4VCI 1.1 の形式的安全性分析から浮上した「Stuttgart Issues」の解消作業が進み、Interactive Authorization Endpoint(IAE)仕様の精緻化が集中的に行われた。

主なトピックは以下のとおり:

  • 自己認証プログラム開始(2026年2月26日): OpenID4VP 1.0・OpenID4VCI 1.0・HAIP 1.0 の3仕様の適合試験が一般公開
  • Stuttgart Issues 解消: 大学のセキュリティ形式解析が特定した IAE の複数セッション管理・PKCE 再利用・クライアント認証の明示化問題への対応
  • OpenID4VP 1.1 分岐の着手: バージョン 1.1 エディタードラフト用のリポジトリ構造整備
  • HPKE と JWE enc の分離: 暗号アルゴリズム間の要件分離を明文化

2. 公開された仕様・ドラフト改訂

自己認証プログラムの開始(2026年2月26日)

2月 26 日、OpenID Foundation は OpenID4VP 1.0・OpenID4VCI 1.0・HAIP 1.0 の3仕様に対する自己認証(Self-Certification)テストを正式公開した。実装者はウォレット・発行者・検証者として、無償・オープンソースの適合試験スイートを利用できる。

主な特徴:

  • 実行方法: ローカルまたは OIDF サーバー経由で実行可能。公開 API 経由で CI パイプラインへ組み込むことも推奨されている
  • ログ公開: 自己認証に成功した実装のログは OpenID Foundation が openid.net 上で公開し、「エコシステム全体の準拠状況の透明性」を確保する
  • 料金: OIDF 会員は仕様・実装あたり 700 ドル、非会員は 3,500 ドルを想定
  • 対象範囲: 38 カ国以上で選定された OpenID4VC 仕様のウォレット・発行者・検証者
  • ETSI/EC との連携: 欧州電気通信標準化機構(ETSI)および欧州委員会(EC)との協力のもと、テスト要件ドラフト仕様が 2 月末を目標に策定された

このプログラムは 2025 年に実施された 11 回の相互運用テストイベントの成果に基づき、2025 年 12 月 18 日の OIDF 発表で予告されていたもの。直近の 2025 年 11 月のインターオペラビリティテストでは、OpenID4VP 1.0 + HAIP 1.0 + Digital Credentials API の組み合わせで 44 ペアの 98%、OpenID4VCI 1.0 では 22 ペアの 82% が合格した。

3. ミーティングと議論

DCP WG はヨーロッパ向け(木曜 8 AM PT)・アメリカ向け(火曜 12 PM PT)・APAC 向け(木曜 4 PM JST)の定例コールを毎週開催している。2026年2月の議論は、ML(週次アーカイブ)に投稿された議事録と GitHub の issue・PR から再構成できる。以下では主に GitHub 側の議論を中心にまとめ、ML スレッドの概要は §4 に整理する。

IAE 実装問題(Stuttgart Issues)の集中処理

University of Stuttgart が OpenID4VCI 1.1 の形式的安全性分析を実施する中で浮上した実装上の問題を「Stuttgart Issues」として追跡していた。1月 22 日に Stuttgart 4〜6 が一括して登録され、2月中に全件解消された。

Stuttgart 4(Issue #691): 複数並行 IAE セッションの auth_session 管理

仕様の Section 6.1.2 は「IAE へのフォローアップリクエストには最後に受け取った auth_session 値を含めなければならない(MUST)」と定めているが、ウォレットが同一 AS に対して複数セッションを並行維持している場合に「最新の」auth_session が曖昧になる問題を指摘。PR #710 で解消し、2 月 26 日にマージされた(レビュー: jogu・Vanderkast・c2bo)。

Stuttgart 5(Issue #692): redirect_to_web でのリクエスト URI の一意性

複数回の redirect_to_web において request_uri を毎回新規生成すべきか否かが仕様から読み取れないと指摘。RFC 9126 はクライアントが request_uri を一度しか使用してはならないと定めるが、サーバー側の再利用許容もありうる。PR #704「Add language to explicitly require unique request_uris」で 2 月 17 日に解消した(著者: fkj)。

Stuttgart 6(Issue #693): フォローアップ IAE リクエストへのクライアント認証要件

クライアント認証の要件が Section 6.1.1(初回リクエスト)にのみ記述され、Section 6.1.2(フォローアップリクエスト)にも適用されることが読み取れないと指摘。PR #705「Move the text requiring client auth to the IAE endpoint」で 2 月 12 日に解消した(レビュー: jogu・c2bo・Sakurann)。

Stuttgart 8(Issue #702): 複数並行セッションにおけるレスポンス帰属の特定

2 月 2 日に jogu が起票した新規 Stuttgart Issue。ウォレットが redirect_to_web 中に複数の並行インタラクティブ認証フローを保持している場合、ウォレットのリダイレクトエンドポイントに届いた code または auth_session がどのセッションに属するかを識別する方法が仕様に欠けているという問題。解決策は 2 月時点では未決のまま残った。

4. メーリングリストの主要スレッド

openid-specs-digital-credentials-protocols ML は週次(Week-of-Mon)単位でアーカイブされており、2026年2月には以下のような投稿が行われた。

2月第1週(Week-of-Mon-20260202)

  • 「DCP WG APAC call agenda」「2026-02-04 DCP WG APAC call meeting minutes」(Joseph Heenan、Jan Vereecken、Frederik Krogsdal Jacobsen)
  • 「ISO WG10/DCP joint meetings notes」(Joseph Heenan) — ISO WG 10 との合同会合の議事録共有
  • 「Updated invitation with note: Joint ISO/DCP call」(Joseph Heenan)
  • 「WGLC responses needed for JOSE HPKE」(Michael Jones) — IETF JOSE WG での HPKE ドラフト WGLC 対応要請

2月第3週(Week-of-Mon-20260216)

  • 「Fwd: ISO WG10: proposal on roadmap to SDO selection」(Joseph Heenan) — SDO 選定ロードマップ提案の転送
  • 「OIDF proposal to joint WG last week」(Joseph Heenan)
  • 「DCP WG Apac call agenda」「DCP WG America call agenda」(Joseph Heenan ほか)

2月第4週(Week-of-Mon-20260223)

  • 「ISO WG10/DCP joint meetings notes」(Joseph Heenan)
  • 「Selection of new co-chairs」(Joseph Heenan) — 新 co-chair 選出の議題
  • 「DCP WG APAC meeting notes for February 25th」(Frederik Krogsdal Jacobsen)
  • 「[OpenID DCP] EU friendly call meeting notes」(Valentine Mazurov)

2月の ML 投稿は、定例コールの議事録に加え、ISO WG 10 との合同会合関連スレッドが大きな比重を占めた。ISO 側の「SDO 選定ロードマップ」や OIDF からの提案など、mdoc / ISO/IEC 18013-5 系の標準化分担をめぐる調整が継続していることが読み取れる。

5. GitHub 上の議論

2月は OpenID4VCI の IAE 関連修正が集中し、OpenID4VP は 1.1 分岐の準備が行われた。以下に主要 issue・PR を整理する。

5-1. OpenID4VCI 1.1 IAE の iae_post 統一(PR #697)

openid/OpenID4VCI#697「consistent iae_post」が TimoGlastra によって 2 月 12 日にマージされた。IAE 関連パラメータの表記を統一し、読み取りやすさを向上した編集的変更。

5-2. IAE での client_id_prefix に origin を許可しない提案(Issue #701)

openid/OpenID4VCI#701「Define that client_id_prefix value of origin is not allowed for IAE?」が TimoGlastra によって 2 月 1 日に開かれた。IAE は通常のブラウザベースのフローとは異なる環境で使用されるため、origin クライアント識別子の使用を明示的に禁止する必要があるという提案。

5-3. トランザクションコードのブルートフォース保護(Issue #709)

openid/OpenID4VCI#709「Include a section on transaction code brute-force attack protection in 1.0 errata」が javareec によって 2 月 12 日に起票された。Pre-authorized Code Flow で使用されるトランザクションコードはエントロピーが低い PIN コードになる可能性があり、ブルートフォース攻撃への対策の記述が不足していると指摘。errata への追記を求める内容で、1.0 のセキュリティ強化として注目された。

5-4. OpenID4VP 1.1 のリポジトリ分岐準備(PR #699, #700)

2 月 19 日、awoie が OpenID4VP リポジトリに PR #699「chore: set up version 1.1」と PR #700「chore: prepare 1.1 and 1.0 for editor's drafts」をマージした。1.0 の errata 管理と 1.1 の新機能開発を並行させるための構造整備であり、3 月以降の 1.1 作業の基盤となった。

5-5. HPKE と JWE enc の要件分離(OpenID4VP PR #698)

openid/OpenID4VP#698「add HPKE exception for enc values supported」が 2 月 26 日にマージされた(著者: awoie)。

変更の要点は encrypted_response_enc_values_supported パラメータが JWE コンテンツ暗号化アルゴリズムにのみ適用され、JOSE HPKE(Hybrid Public Key Encryption)には適用されないことを明示したもの。JOSE HPKE は JWE とは異なる暗号化モデルを採用しており、enc 値の概念が異なるため仕様上の要件が混在しないよう整理された。1.1 と 1.0 errata の両方に反映された。

5-6. 認証後の OAuth 連携パターン提案(OpenID4VP Issue #695)

openid/OpenID4VP#695「Proposal: Define a post-OID4VP authentication and authorization integration pattern」が Vanderkast によって 2 月 12 日に提起された。

OID4VP は検証可能提示(Verifiable Presentation)リクエストを効果的に処理するが、検証結果をその後の API アクセス認可に繋げるパターンが仕様に明示されていないという問題提起。vp_token はプレゼンテーション交換に特化したトークンであり、サイズが大きくプライバシー上センシティブで短命であるため、OAuth2 のアクセストークンとして流用するのは適切でないと指摘した。二つの解決策として、(1) VP 検証後に検証者がアクセストークンを発行するパターン、(2) OID4VP を OAuth2/OIDC フローの前段に配置するパターンを提案した。

6. 関連イベント

  • OpenID Federation 1.0 Final Specification 承認投票(2月3〜17日): DCP WG の仕様群は OpenID Federation と組み合わせて使用されるケースが多く、Federation 1.0 の Final Specification 承認は DCP エコシステムにとっても重要な出来事だった。
  • OpenID Federation インターオペラビリティイベント(2月13日・アムステルダム): 9 カ国 12 名の実装者がアムステルダムに集まり、相互運用性を検証した。OpenID Federation 1.0 Final 達成と同時期の開催となった。
  • 自己認証プログラム開始(2月26日): OpenID4VP 1.0・OpenID4VCI 1.0・HAIP 1.0 の3仕様に対する自己認証テストが正式公開された。11 回の相互運用イベントで培われた成果の実用化を示すマイルストーン。

7. 今後の予定

2026年2月末時点での展望:

  • 自己認証プログラムの本格稼働: ウォレット・発行者・検証者の開発者が継続的インテグレーションへ適合試験を組み込む動きが広がると予想された
  • Q2 2026 公認(Accreditation)サービス開始: 自己認証に続き、OIDF によるサードパーティ公認サービスの開始が予定されていた(料金: OIDF 会員 700 ドル、非会員 3,500 ドル / 仕様・実装あたり)
  • OpenID4VCI 1.1 IAE の設計継続: Stuttgart Issues 解消後に残る設計課題(並行セッションの session 識別など)の仕様化を継続
  • OpenID4VP / OpenID4VCI 1.1 editor's draft の整備: 1.1 バージョン分岐を踏まえた各仕様の editor's draft 更新
  • HAIP 1.1 候補の議論開始: HAIP の次世代バージョンに向けた IAE サポートや DPoP 連携強化の検討

8. 参考情報源