idbok

Appearance

OpenID Foundation Digital Credentials Protocols WG 活動レポート (2026年4月)

執筆日: 2026-05-17 この記事は 2026年4月 の活動を遡及的にまとめたレポートです。

1. 概要

Digital Credentials Protocols WG(DCP WG)は、OpenID for Verifiable Credential Issuance (OpenID4VCI)、OpenID for Verifiable Presentations (OpenID4VP)、および High Assurance Interoperability Profile (HAIP) を開発する OpenID Foundation のワーキンググループである。Kristina Yasuda(Microsoft)、Torsten Lodderstedt(個人)、Joseph Heenan(Authlete)、Daniel Fett(Authlete)らがコア編集者を務め、欧州 EUDI Wallet をはじめ世界各国の政府・業界が採用する OpenID4VC 仕様群のメンテナンスと拡張を担う。

2026年4月は、2026-02-26 の 1.0 自己認証(Self-Certification)プログラム開始から約 2 カ月後、かつ 2026-04-27 開催の Internet Identity Workshop (IIW) 直前という、ふたつの大きな節目に挟まれた月にあたる。WG は以下の四つの軸で活動した。

  • 1.0 系の errata 整備と次世代 1.1 系へ向けた技術論点の集約(OpenID4VCI/OpenID4VP の issue 多数起票)
  • HAIP 1.0 conformance test の "Testing the Tests" 段階への移行と、実装者コミュニティへの参加呼びかけ
  • ISO/IEC JTC 1/SC 17 WG 10 との合同活動の枠組み化に向けた Partner Standards Development Organization (PSDO) 設立準備
  • IIW 2026 春に向けた pre-IIW ハイブリッドミーティングと、Interactive Authorization Endpoint (IAE) の方針決定

2. 公開された仕様・ドラフト改訂

2026年4月に新たな Final 版・Implementer's Draft の公開は確認できなかった。各仕様は 2026-02 末に 1.0 の正式公開を完了しており、4月は引き続き 1.0 errata と 1.1 候補ドラフトの作業が主軸である。

リポジトリベースでの主要マージ:

  • openid/OpenID4VP#703 「Define usage of HPKE and info structure to be used」 — GarethCOliver 起票、Sakurann により 2026-04-26 マージ。JOSE HPKE を OpenID4VP で用いる際の info パラメータ構造(session_info)を新規定義した。
  • openid/OpenID4VP#716aud must match issuer metadata in dynamic discovery」 — awoie 起票、2026-04-26 マージ。動的ディスカバリ時の aud クレーム検証要件を明確化した。
  • openid/OpenID4VCI#686 「Add invalid_tx_code error code to pre-authz code flow」 — awoie 起票、2026-04-22 マージ。pre-authorized code flow におけるトランザクションコード検証失敗時のエラーコードを新設し、ブルートフォース対策のセキュリティガイダンスを追加した。後方互換のため invalid_tx_code は SHOULD として規定。
  • openid/OpenID4VCI#714 「Explain how credential issuer indicates cryptographic key binding is not required」 — javereec 起票、2026-04-26 マージ。
  • openid/OpenID4VCI#722 / #731 — editorial fix。

HAIP リポジトリでは 4月中に新規 PR マージは行われず、issue 起票による論点整理(§5 参照)が中心となった。

3. ミーティングと議論

DCP WG は毎週の APAC コール、EU friendly コール、グローバル WG コールに加え、ISO WG 10 との合同コール、pre-IIW ハイブリッドミーティングを 4月に開催した。各ミーティングの議事録は ML に投稿されている。

3-1. 2026-04-01 グローバル WG コール

Frederik Krogsdal Jacobsen による議事録(001171.html)。参加者は Dima Postnikov、Frederik Krogsdal Jacobsen、Kento Goro、Stefan Charsley、Kenichi Nakamura、Klaus Roehrle、Martijn Haring。

主要議題:

  • ISO WG 10 との対面会合(2026-05-30 欧州開催)告知
  • IIW 前日(2026-04-27)の pre-IIW ハイブリッドミーティングへの登録呼びかけ
  • DICE(2026 年 6 月予定)前の対面集会の関心測定
  • expected_origins とプラットフォーム識別子の議論。Martijn Haring が「同一トランザクションで複数 origin を期待するユースケースを持つ人はいるか? wallet は使用 origin をシグナルできない」と問題提起
  • HPKE と info 構造の更新、DCQL のセキュリティチェック、credential response metadata
  • Ecosystem CG コール日程の Easter 回避による変更
  • 1.1 のスコープ確定はリーダーシップが主導することを確認

スコープの大きい項目(first-party-apps 連携、メタデータ機構、wallet notifications)は IIW・DICE での議論に持ち越されることが決まった。

3-2. 2026-04-08 APAC コール

Stefan Charsley による議事録(001178.html)。なお 2026-04-09 のグローバル WG コールは Kristina Yasuda により直前で cancel された(001179.html)。

3-3. 2026-04-15 APAC コール

Stefan Charsley による議事録(001184.html)。

中心議題は OpenID4VCI#729 「who is deferred issuance optional for?」で、deferred issuance を wallet 側で必須サポートとすべきか否かが議論された。仕様本文では optional とされているが Section 8 の記述は deferred endpoint のサポートを必須と解釈し得る、という指摘があり、「相互運用性の観点では wallet 側を必須にしておくのが理想だったが、現行仕様はそうなっていない」という発言が記録されている(議事録 2026-04-15 より要約)。プロファイル単位での要件整理("high-assurance low-interop" vs "low-assurance high-interop")の必要性も提起された。

OAuth Security Workshop(2026年5月下旬)前後の対面会合候補日についても投票が呼びかけられた。

3-4. 2026-04-16 EU friendly コール

Valentine Mazurov による議事録(001185.html)。

  • Oliver Terbu が Functional Conformance Assessment Framework (FCAF) を紹介。「wallet 認定をサポートするための functional conformance テスト成果物を定義・適用するための調和されたアプローチ」と位置づけ
  • PSDO 指定プロセスは長期化が見込まれ、6 カ月程度のタイムラインが共有された
  • OpenID4VP 関連の技術論点として以下を議論:
    • expected_origins を opaque string とみなすかどうかの語義論争。Brian Campbell が「"opaque string" は別の技術的意味を持つので、より精密な表現が必要」と異議
    • 仕様改訂後はモバイル app-to-app の origin 処理を扱う Issue #646 の優先度が低下
    • nonce エントロピー精緻化(OpenID4VP#707)について Paul Bastian が PR を作成すると約束

3-5. 2026-04-26 pre-IIW ハイブリッド WG ミーティング

Frederik Krogsdal Jacobsen による議事録(001204.html)。会場は Cisco Santana Row(San Jose)、ハイブリッド開催。

主要議題と決定:

  • ISO 合同 WG: 今週分の合同コールは cancel、5月5日に次回開催。提案された charter と working practices に対するフィードバックを 5月1日までに集約することを確認
  • Conformance testing: 「最初の certification は全ロールで HAIP 1.0」と方針確認。FAPI 由来のテスト追加により VCI と wallet テストが大幅拡張され、verifier テストには x509 conformance と DCQL クエリのカバレッジが加わった
  • OpenID4VP PR レビュー: 計 6 件をレビュー。typo 修正のような軽微なものから、nonce エントロピー要件を「sufficient」から「128 bit」に変更することが既存実装に対する breaking change にあたるか否かを巡る議論まで含まれた
  • OpenID4VP issue: 一部項目を HAIP へ移管。client_metadata パラメータが信頼可能とは限らないことを踏まえた、信頼源に関する明文化が必要との合意
  • Interactive Authorization Endpoint: First Party Native Apps draft の上に再構築する案を引き続き検討
  • OpenID4VCI: credential metadata と redirect URI 取り扱いに関する PR/issue をレビュー
  • IIW セッション: IAE、credential metadata、ecosystem policy guidance の 3 セッションをアレンジ
  • 重要決定: 1.1 への組み込みを要する contributor は速やかに leadership へ通告すること

3-6. ISO/DCP 合同コール

2026-04-01 にも合同コールが開催され、Joseph Heenan が議事録を投稿(001173.html)。決定事項:

  • 合同コールの時間帯は Joseph のスケジュール都合により「21:00 London 枠」を選定、別途 13:00 UTC 枠も併存
  • ISO 側の推奨により Innovation Working Agreement ではなく PSDO(Partner Standards Development Organization)方式を採る方向
  • 技術作業は 2026 年 7 月頃から本格化見込み
  • ISO 移管の不確実性に作業をブロックさせず、OIDF 側で並行進行して dual logo 公開を目指す
  • charter と working practices のドラフト作成チーム(Chris、Lee、Martijn、Joseph)を編成

4. メーリングリストの主要スレッド

openid-specs-digital-credentials-protocols ML は週次(Week-of-Mon)形式でアーカイブされている。2026年4月の主要スレッドを抜粋する。

4-1. 「A possible mitigation to session fixation」(Pascal Knoth, 2026-03-30 開始)

001172.html — 4月初頭にかけて議論。

Knoth は OpenID4VP の cross-device フローに内在する session fixation 脆弱性に対する代替緩和策として、SIOPv2 フローを OID4VC フローの前段に挿入し、cross-device から same-device フローへ遷移させる手法を提示した。verifier ページへの deeplink を含む authorization code を発行することで、ID Token と VP Token を同一鍵で署名する same-device 提示が可能となり、「same-device フローは session fixation に脆弱でないことが知られている」と主張。実装デモも添えて WG にフィードバックを求めた。

DC API(Digital Credentials API)による緩和が業界の主流である一方、対応 OS/ブラウザを前提とせず既存プロトコルの組み合わせで対処する選択肢を提案する内容として注目を集めた。

4-2. 「Feedback needed on Interactive Authorization Endpoint (VCI 1.1) and FPA specs」(Micha Kraus, 2026-04-20 開始)

001189.html(および 001190.html)。

Kraus は「IAE を現行の VCI 1.1 ドラフトの上に構築すべきか、IETF の First-Party Apps (FPA) draft をベースにすべきか不確かで進捗が停滞している」と問題提起。DCP WG には VCI 1.1 ベースか FPA ベースかの判断について、FPA 著者には VCI ユースケースに必要な改修への技術的懸念について、それぞれコメントを求めた。「IIW での解決を期待しているが、自身は対面参加できない」と明示。

Frederik Krogsdal Jacobsen が「DCP 側として IIW で進展させる議論を歓迎する」と返信。3月に jogu が立ち上げた OpenID4VCI#719 からの継続論点であり、pre-IIW ミーティング(§3-5)でも採り上げられた。

4-3. 「Proposed Joint ISO/DCP WG path forward」(Joseph Heenan, 2026-04-23 開始)

001198.html — Gail Hodges、Olivier Meunier、Bjorn Hjelm が返信。

Heenan は ISO/DCP 合同活動の長期的形態として PSDO 設立へと収束した経緯を整理し、PSDO 設立準備中の暫定的活動拠点として OIDF 内に新規 WG を立てる提案を提示した。Q&A 文書、新規 OIDF WG の draft charter、working procedures ドキュメントの 3 点を共有し、5月1日までのフィードバック、5月5日の合同会合での合意形成を目標として設定。Gail Hodges が「5月5日は同アプローチへの合意を得る最後の機会となり得る」と参加を強く呼びかけた。

2025-12 以降の due diligence を経て joint work へ移行する重要な節目として位置づけられた。

4-4. 「Testing the Tests & Launch Comms (OpenID4VP/VCI/HAIP 1.0)」(Gail Hodges, 2026-04-28 開始)

001208.html — Lukas J Han、Olivier Meunier、Edward Curran、Horváth Tamás、Henry、Ketan L. Mehta、Puria Dyne、Niels Klomp から多数の返信。

Hodges はテストスイートの最終検証段階として、少なくとも issuer 3、wallet 3、verifier 3 のリード実装者による "Testing the Tests" 参加を募集。要件は (1) デモ環境での最新更新によるテスト、(2) 合格/不合格/ギャップ問わずすべての結果を certification@oidf.org に提出、(3) DCP WG IPR 保護のための contribution agreement 提出、など。

ローンチ後は OpenID4VP 1.0 + HAIP 1.0、OpenID4VCI 1.0 + HAIP 1.0(SD-JWT および mdoc)の self-certification が可能になる予定。Q2 中には認定された第三者が conformance suite を運営する Independent Conformance Service プログラムも開始予定で、欧州委員会、カリフォルニア州、インド、ブラジル、世界銀行などの主要エコシステムとの協業継続も示された。

4-5. 「Feedback on UK Gov Consultation by 5/5」(Gail Hodges, 2026-04-23 開始)

001195.html

英国政府の「Making public services work for you with your digital identity」consultation への OIDF 回答ドラフト参加を募集。標準化に重点を置いた consultation であるため OpenID コミュニティとして応答する意義が高いと位置づけ、5月5日の提出期限に向けて小規模 SME グループを編成する提案。

5. GitHub 上の議論

2026年4月は OpenID4VCI で 7 件、OpenID4VP で 6 件、HAIP で 4 件の新規 issue が起票された。技術的に重要なものを抽出する。

5-1. 「New Key Attestation proof type for local authentication policies without requiring a wallet backend」(OpenID4VCI #728)

openid/OpenID4VCI#728 — awoie 起票、@leecam, @GarethCOliver, @tplooker, @c2bo に意見を求めた。

ローカル認証ポリシー(生体認証など)で保護された鍵を Credential Endpoint へ安全に伝達する手段が、現行では (a) wallet backend を介する、(b) UX を犠牲にして proof-of-possession を要求する、のいずれかしかないという問題提起。提案は attestation JWT を wallet backend 鍵ではなく DPoP 鍵で署名する新しい key attestation proof type(ヘッダ値の例: key-attestation-dpop)を導入し、OAuth レイヤで既に信頼されている DPoP 鍵で credential-bound 鍵との暗号学的バインディングを確立すること。これにより追加インフラなしに key injection 攻撃を防げる、というアーキテクチャ提案である。

5-2. 「Best Practices for Credential Presentation during Issuance with VCI 1.0」(OpenID4VCI #730)

openid/OpenID4VCI#730 — mickrau(Micha Kraus)起票、2026-04-15。

IAE を含む VCI 1.1 が未確定の現状で、既存クレデンシャル提示と発行を組み合わせるフローを 1.0 ベースでどう実装すべきかのベストプラクティスを問う issue。実装パターンを (1) Separated Flows(提示完了後に発行)、(2) Nested Flows(VCI Authorization Code Flow の認可ステップ内で提示)、(3) Integrated Authentication(1.1 機能、対象外)の 3 つに分類し、HAIP レベルのセキュリティを満たすバリアント、wallet 実装者からの Variant 2 に関するフィードバックの有無、詳細比較の有無、を WG に問うた。§4-2 の ML スレッドと連動する論点である。

5-3. 「request_uri_method should be case sensitive」(OpenID4VP #733)

openid/OpenID4VP#733 — Sakurann 起票、2026-04-26。issue #675 への対応として request_uri_method パラメータ値の大文字小文字の扱いを明確化する PR。pre-IIW ハイブリッドミーティング(§3-5)でレビューされた一連の OpenID4VP PR 群のひとつで、後日マージされた。request_uri_method を巡る相互運用上の細部を、エディトリアル寄りの修正で整える位置づけである。

5-4. 「Signed Credential Metadata」(OpenID4VCI #735)

openid/OpenID4VCI#735 — Wicpar 起票。

Credential Issuer Metadata の署名付きバージョンに関する論点。pre-IIW ミーティング(§3-5)の議題のひとつとして取り上げられた credential metadata 系の議論の一環である。

5-5. 「Make it clear that dcql_query must be used; and scope values are not an option」(HAIP #366)

openid/OpenID4VC-HAIP#366 — awoie 起票、2026-04-02、マイルストーン: 1.1、has-PR ラベル。

欧州委員会の conformance チームから、HAIP では「DCQL クエリとレスポンスは Section 6 のとおり使用すること(MUST)」とある一方、OpenID4VP Section 5.5 は DCQL クエリに対応する scope 値の使用も許容しているため二重の文書化が解釈ぶれを生むとの指摘。HAIP は dcql_query の使用を必須とし、scope 値の使用は HAIP では許容しないことを明文化する提案。jogu と c2bo にレビューを依頼。

5-6. その他の HAIP 起票

  • HAIP#367 クレデンシャルフォーマットプロファイル文面の editorial 改善(awoie, 2026-04-03)
  • HAIP#368 self-signed 証明書/wallet attestation 内の trust anchor 不在ケースに関する文面整理(jogu, 2026-04-06)
  • HAIP#369 AKI による trusted_authorities マッチングの明確化(awoie, 2026-04-21)

6. 関連イベント

  • Internet Identity Workshop (IIW) XL 春: 2026-04-28〜30、Computer History Museum(Mountain View)。DCP 関連では IAE、credential metadata、ecosystem policy guidance の 3 セッションを WG として用意(§3-5)
  • OpenID Foundation Pre-IIW Hybrid Workshop: 2026-04-27、Cisco Santana Row(San Jose)。DCP WG のハイブリッド対面ミーティングを同枠内で開催(告知
  • ISO/IEC JTC 1/SC 17 WG 10 との合同活動枠組み議論: 4月中旬から PSDO 設立提案・新規 OIDF WG charter ドラフトが共有され、5月5日の合同会合での合意形成へ向かう
  • OpenID Foundation Conformance Testing "Testing the Tests": OpenID4VP/VCI/HAIP 1.0 conformance suite の最終検証フェーズへ移行

7. 今後の予定

2026年4月末時点で WG が共有していた次月以降の計画:

  • 2026-05-01: ISO/DCP 合同 WG の charter・working practices に対するフィードバック締切、UK Gov digital identity consultation への OIDF 応答提出期限
  • 2026-05-05: ISO/DCP 合同会合で PSDO 方式・新規 OIDF WG charter について合意形成を目指す
  • 2026-05-30 頃: ISO WG 10 メンバーとの欧州対面会合
  • OAuth Security Workshop(2026年5月下旬): その前後で DCP WG 対面会合の機会を検討
  • 2026 年 Q2 中: Independent Conformance Service プログラム開始
  • DICE(2026 年 6 月予定): 対面集会の関心測定中
  • OpenID4VCI 1.1: IAE を FPA ベースで再設計する方向で IIW 後に具体化、1.1 必須機能の集約を leadership 主導で進める
  • OpenID4VP/HAIP errata: 1.0 errata 公開前に依存仕様(client attestation draft 等)の整合を確認する 3月起票方針を継続

8. 参考情報源

メーリングリスト(pipermail 週次インデックス)

主要 ML スレッド

GitHub PR / Issue

公式アナウンス・イベント