OpenID Foundation Ecosystem Support CG 活動レポート (2025年2月)
執筆日: 2026-05-18(遡及執筆)
1. 概要
Ecosystem Support Community Group(以下「ESCG」)は、Open Banking / オープンデータ/デジタルアイデンティティ等の各種エコシステムが OpenID Foundation の仕様(FAPI、OpenID Connect、OpenID4VC ファミリー等)を実装・プロファイリングする際の実装者支援を目的とする CG である。共同議長は Dima Postnikov(ConnectID / OIDF Vice Chair)、Ralph Bragg(Raidiam)、Mark Verstege(OIDF Corporate Representative)の 3 名で、これに Mark Haine(OIDF Technical Director)、Gail Hodges(OIDF Executive Director)を加えた 5 名が Founding Proposers として CG ページに記載されている。
2025 年 2 月は ESCG という枠組み自体が OIDF 公式チャネル上には一切登場していない月 である。ESCG の名称が外部公開資料で初めて確認できるのは 3 月 19 日付の FAPI WG ブログ「Standardized and Fine Grained Authorization with OAuth 2 Grant Management and RAR」(Dima Postnikov・Gail Hodges 共著)の末尾段落であり、CG の正式ローンチは 5 ヶ月先の 7 月 23 日付ブログ「OIDF launches Ecosystems Support Community Group」を待つ。2 月時点では:
- メーリングリスト
openid-ecosystem-supportの 公開 pipermail アーカイブ は最古の週次インデックスがWeek-of-Mon-20250825(2025 年 8 月 25 日週)であり、2 月分の週次エントリは存在しない(リスト自体が未開設だった可能性が高い) - GitHub リポジトリ
openid/cg-ecosystem-supportは「This repository is empty」の表示が継続しており、2 月時点で commits / issues / PRs / discussions すべて 0 件(2026 年 5 月 4 日にオーナーにより archived 化) - CG ページ openid.net/cg/ecosystem-support-community-group/ の公開時期は不明だが、3 月 19 日付ブログから直接案内されている事実からは「少なくとも 3 月中旬までに公開状態」と逆算できるに留まり、2 月時点で既に公開されていた証拠は確認できない
- 共同議長 3 名・Founding Proposers 5 名の体制、6 つの組織原則(Sharing / End User Privacy and Consent / Security / Interoperability / Respect / Lower Cost of Deployment)の公的提示はいずれも 2 月時点では未実施
すなわち 2 月は ESCG が OIDF 内部の検討段階にも到達していなかった可能性が高い月 であり、本月の関連活動はもっぱら「ESCG が後にスコープに含めることとなるエコシステム横断的な動きを、OIDF の他の WG / ボードレベルが個別に扱っていた」という形でしか観察できない。本レポートでは、2 月に外部から確認できる ESCG 前駆活動の痕跡を、ローンチ前 5 ヶ月超の助走期間の最も初期のスナップショットとして誠実に再構成する。
特筆すべき 2 月の出来事は FAPI 2.0 Security Profile・Attacker Model の Final 化承認(2 月 19 日付投票結果公示、2 月 22 日付仕様公開) と Open Insurance Brazil (OPIN) の OIDF Board Sustaining Member 加入(2 月 27 日公示) の 2 件である。前者は ESCG が後に「複数のオープンバンキング・エコシステムが FAPI 2.0 へ移行する」局面を統合的に支援する直接の素材を提供し、後者は ESCG が将来的に Open Insurance 系エコシステムも視野に入れる根拠となった。
2. 公開された仕様・ドラフト改訂
ESCG は仕様策定をスコープ外とする CG であり、また 2 月時点で CG 自体が未発足のため、ESCG 名義の公開ドキュメント・チャーター文書はいずれも存在しない。
2 月の OIDF 仕様パイプラインのうち、ESCG が後に関心領域として持つ「複数エコシステムが OIDF 仕様を実装・プロファイリングする」状況に直接関係するものは以下:
- 2025 年 2 月 7 日 Public Review Period for Proposed Implementer's Draft of OpenID4VC High Assurance Interoperability Profile — OpenID4VC HAIP の第 2 Implementer's Draft に対する 45 日間パブリックレビュー(2 月 7 日〜3 月 24 日)開始。Implementer's Draft 投票通知は 3 月 11 日、早期投票 3 月 18 日、本投票 3 月 25 日〜4 月 1 日。同日付で HAIP 1.0 draft-03 が公開された。HAIP は OpenID4VP / OpenID4VCI と IETF SD-JWT VC / ISO mdoc を組み合わせるデジタルアイデンティティ・ウォレットの相互運用プロファイルで、後に EU Digital Identity Wallet 等の複数エコシステムが採用していく仕様
- 2025 年 2 月 10 日 Approved: 2nd Implementers Draft OpenID for VC Issuance — OpenID4VCI の第 2 Implementer's Draft 承認公示。投票結果は Approve 86 票、Object 1 票、Abstain 17 票、合計 104 票(399 メンバー中 26%)で、20% クォーラム要件を超えて成立。DCP WG の成果物
- 2025 年 2 月 19 日 FAPI 2.0 Security Profile and Attacker Model Final Specifications Approved — FAPI 2.0 Security Profile および Attacker Model の Final Specification 承認公示。投票結果は Approve 82 票、Object 0 票、Abstain 14 票、合計 96 票(401 メンバー中 23.9%)で、20% クォーラム要件を超えて成立。Final Specification の知財保護効力が発動し、以後 critical issues が発見されない限り改版されない確定版となった
- 2025 年 2 月 22 日 FAPI 2.0 Security Profile および FAPI 2.0 Attacker Model の Final 版正式公開。Stuttgart 大学による形式的セキュリティ解析を経た FAPI 2 系の中核仕様 2 件が Final 化
- 2025 年 2 月 25 日 Notice of a Security Vulnerability — Stuttgart 大学 Ralf Küsters・Tim Würtele・Pedram Hosseyni の 3 氏が OpenID Federation の形式解析過程で発見した、authorization server に送信される JWT の audience 値の曖昧性に関する脆弱性(CVE-2025-27370: OpenID Connect
private_key_jwt、CVE-2025-27371: OAuth2 JWT クライアント認証アサーション RFC 7521/7523 系)を公示。OIDF 仕様・適合性テストに修正を取り込み済みで、公開時点で既知の被害事例は確認されていない旨を明記。ESCG が後に共通議題として推奨する「audを issuer identifier に厳格化する」FAPI 2.0 Final の挙動と直接整合する - 2025 年 2 月 28 日 International Government Assurance Profile (iGov) for OAuth 2.0 - draft 06 — iGov WG が政府保証プロファイル draft-06 を公開
2 月の OIDF 仕様パイプラインは、(a) FAPI 2.0 Final 化という FAPI WG の 5 年越しの集大成、(b) OpenID4VCI / HAIP のデジタルアイデンティティ・ウォレット系仕様の Implementer's Draft 進展、(c) Federation 系の脆弱性開示と修正反映、(d) iGov draft 改版 が並走する活況にあった。いずれも「複数エコシステムが OIDF 仕様を採用していく」流れの直接の基盤を整える内容であり、ESCG が後に支援対象とする問題領域の素材が 2 月に集中的に公的整備されていたと言える。
3. ESCG 設立準備状況(公開記録の不在)
3.1 公式ローンチ前 5 ヶ月の状態
2 月時点で ESCG の公式定例コールは未開始である(第 1 回 EU/AU friendly call は 7 月 28 日 18:00 Sydney が起点)。Board レベルでのチャーター承認手続きが 2 月のどのタイミングで進行していたかは、公開記録から確定することはできない。Board の議事録は non-public であり、ESCG の前身呼称「new Ecosystem Community Group」が公の場に初めて言及されるのは 3 月 19 日付 FAPI WG ブログ、ESCG への明示的呼称言及は 6 月 13 日付 Identiverse 2025 OIDF Board パネル振り返り、正式ローンチは 7 月 23 日と、いずれも 2 月から見て数ヶ月先の出来事である。
3.2 ML・GitHub・議事録の状況
| チャネル | 2025 年 2 月の状態 |
|---|---|
ML openid-ecosystem-support | 公開 pipermail アーカイブに 2 月分の週次インデックスなし。最古エントリは Week-of-Mon-20250825。リスト自体が 2 月時点で未開設の蓋然性が高い |
GitHub openid/cg-ecosystem-support | 「This repository is empty」状態。2 月時点で commits / issues / PRs / discussions すべて 0 件 |
| 議事録 | 公式ミーティング未開催のため議事録自体が存在しない |
| CG ページ | 2 月時点での openid.net 上の公開有無は外部証拠から確定できず。少なくとも公の場から CG ページへの導線案内(3 月 19 日付 FAPI ブログ)は 2 月時点では未確認 |
| 共同議長間調整 | 推定: Dima Postnikov・Ralph Bragg・Mark Verstege・Mark Haine・Gail Hodges 間の個別協議が OIDF 内部チャネル経由で進行していた可能性はあるが、外部からは観測不可 |
このため、2 月の ESCG 関連で本文化できる公開議論は 存在しない。本月のレポートは、ESCG 前駆コンテクスト(複数エコシステムによる FAPI / OpenID4VC 採用の地ならし)の再構成に徹する。
4. メーリングリストの主要スレッド
openid-ecosystem-support ML(親アーカイブ)の公開 pipermail を参照すると、現存する最古の週次エントリは Week-of-Mon-20250825(8 月 25 日週)であり、それ以前の週次ディレクトリは一切作成されていない。2025 年 2 月の openid-ecosystem-support ML 投稿は、公開アーカイブ上では確認できない。
ML 自体が 2 月時点では未作成だった可能性が最も高い。後の運用パターン(ML は CG コール案内専用、議論は Zoom コール内)から逆算しても、2 月時点で ESCG 関連の公開 ML 議論が存在しなかったことは整合的である。
本月のレポートでは、「ESCG 名義の公開 ML 投稿は 2 月時点で存在しない」 という事実を中立に記述するに留める。
5. GitHub 上の議論
GitHub リポジトリ openid/cg-ecosystem-support は 2025 年 2 月時点で空または未作成 である。リポジトリの正確な作成時期は外部から確定できないが、GitHub UI 上は「This repository is empty」と表示され、Issues / Pull Requests カウントは 0 のまま。2 月中の commits / issues / pull requests / discussions は すべて存在しない。
ESCG の前駆となるリファレンスアーキテクチャ構想(Dima Postnikov 個人が後の EIC 2025 / Identiverse 2025 で発表することになる素材、Ralph Bragg が Raidiam で蓄積してきた UK Open Banking / Brazil Open Banking のセキュリティプロファイル知見、Mark Verstege の Consumer Data Right (AU) Lead Architect for Banking and Information Security としての経験等)は、2 月時点では各人の個人・所属組織のチャネル(個人ブログ・社内ドキュメント・カンファレンス資料)に分散して存在していた可能性が高いが、ESCG という統合枠組みでの公開ホスティングは GitHub・OIDF Confluence いずれにおいても 2 月時点では未実現である。
6. 関連イベント(ESCG が後に扱うエコシステム動向)
6.1 FAPI 2.0 Security Profile・Attacker Model の Final 化(2025 年 2 月 19 日承認・2 月 22 日公開)
§2 で挙げた通り、2 月 19 日付の承認公示(OIDF Secretary Marie Jordan 署名)により、FAPI 2.0 系の中核仕様 2 件が Final 化された。投票結果は Approve 82 / Object 0 / Abstain 14 / 計 96 票で、Object ゼロという全会一致型の結果は FAPI 2.0 仕様の技術的成熟と OIDF メンバーシップのコンセンサス成立を象徴 する。
Final 化に至るプロセスは:
- 2024 年 12 月 9 日 Public Review Period 開始(60 日間、〜2025 年 2 月 7 日)
- 2025 年 1 月 24 日 Notice of Vote 公示
- 2025 年 2 月 1 日 Early voting 開始
- 2025 年 2 月 8〜15 日 本投票期間
- 2025 年 2 月 19 日 投票結果公示・承認
- 2025 年 2 月 22 日 Final 版正式公開
ESCG の文脈から見ると、この Final 化は 「Brazil Open Finance / UK Open Banking / Australia CDR / Saudi Arabia Open Banking / UAE Open Finance / Norway HelseID 等が FAPI 1 系から FAPI 2 Final へ移行する」局面のスタートライン にあたる。後の 3 月 20 日付 Dima Postnikov 著 Implementer's Guide: FAPI 2.0 Final vs. Implementer's Draft 2.0 は、この移行の事実上の公式ガイダンスとして機能することになるが、2 月時点ではガイダンス整備は未着手であり、Final 仕様本体の公開のみが先行した。
なお Final 仕様の主要技術変更点(aud クレームを issuer identifier に限定するクライアント認証の厳格化、BCP195 準拠の TLS 設定、楕円曲線最小鍵長 224 ビット、Refresh Token Rotation の運用上の問題点と廃止推奨、クロックスキュー許容範囲 0〜10 秒・上限 60 秒)は、2 月 25 日付 Notice of a Security Vulnerability で公示された CVE-2025-27370 / CVE-2025-27371 の修正対応と密接に連動しており、2 月の OIDF 仕様パイプラインは「FAPI 2 Final + Federation 系脆弱性修正 + 適合性テスト更新」が一体となって動いた月 と整理できる。
6.2 Open Insurance Brazil (OPIN) の OIDF Board Sustaining Member 加入(2025 年 2 月 27 日公示)
OPIN joins OIDF Board via Peers Consulting + Technology(2 月 27 日公開)により、ブラジル超大型 Open Insurance イニシアチブ OPIN(Open Insurance Brazil、2021 年発足、SUSEP 規制下、Peers Consulting が運営)が OIDF Board の Sustaining Member として加入し、Francisco Leme(OPIN Chief Technology and Operations Officer)が Board 代表となった。
本記事は OPIN を 「世界初の Open Insurance エコシステムとして FAPI 標準と OIDF 自己認証スキームを採用・必須化したエコシステム」 と位置付けており、Brazil Open Finance に続いて Brazil Open Insurance も OIDF 標準を中核に据えたという事実を公的に示した。
ESCG の問題領域(複数エコシステムの統合的支援)から見ると、OPIN の加入は 「Open Banking → Open Insurance → Open Finance」とブラジル発で広がるドメイン横断的なエコシステム拡張が、OIDF 仕様の同一スタック上で実現している現状 を体現するケースであり、後に ESCG が「Open Banking / Open Data / Digital Identity」のスコープを並列に扱う設計思想の直接の参照例となる。
6.3 Australian Digital Trust Community Group (ADT CG) の公式紹介(2025 年 2 月 19 日)
Australian Digital Trust Community Group (ADT CG)(2 月 19 日公開)により、ADT CG が OIDF 公式チャネル上で改めて紹介された。共同議長は ID Partners の Victoria Richardson。ADT CG は「Australian digital identity and trust ecosystems の専門家がコラボレーションする中立プラットフォーム」を提供し、ローカルイニシアチブ(mDL 等)をグローバル文脈で議論することを目的とする。
ADT CG は ESCG とは別の CG(Australia 単一エコシステムに focus)であるが、ESCG 共同議長候補となる Mark Verstege(Consumer Data Right 担当)が同時期に Australia 領域で活動していた背景 を示す。ESCG が後に Australia の ConnectID / CDR をエコシステム事例として取り上げる際、ADT CG が補完的役割を担う関係性は 2 月時点で既に下地が整っていたと言える。
6.4 OIDF Workshop pre-IIW Spring 2025 の事前告知(2025 年 2 月 20 日)
Attend the OIDF Workshop prior to IIW Spring 2025 on 7th April 2025(2 月 20 日公開)により、4 月 7 日 Google Sunnyvale + Zoom ハイブリッド開催の Workshop が告知された。記事末尾には「The full agenda will be published soon!」とあり、2 月時点では (1) OIDF 2025 年戦略目標アップデート、(2) WG アップデート、(3) Digital ID 新興トレンド議論 の 3 大トピックの概要のみが提示されている。
ESCG 名義のセッション枠は 2 月時点では予告されておらず、後の Workshop(4 月 7 日)でも ESCG 関連セッションは設定されない。すなわち 2 月の段階で ESCG の Workshop 露出計画は OIDF 内部にも存在していなかった と整理できる。
6.5 OIDF Re-Elected to OpenWallet Foundation's Board(2025 年 2 月 25 日)
OIDF Re-Elected to OpenWallet Foundation's Board(2 月 25 日公開)により、OIDF が OpenWallet Foundation Board の Observer に再選出された(2 期目)。Joseph Heenan が associate members 代表、Gail Hodges が alternate を担当。OWF プロジェクト群における OIDF 標準(verifiable credentials / 適合性テスト)採用の進展が背景に挙げられた。
ESCG の文脈から見ると、デジタルアイデンティティ・ウォレット系エコシステム(OWF コミュニティ)と OIDF 仕様との接続が制度的に強化された 2 月の出来事であり、後に ESCG が Digital Identity 領域を扱う際の制度的基盤の一部を構成する。
6.6 AuthZEN at Gartner IAM Summit London の事前告知(2025 年 2 月公開)
「AuthZEN community to host interoperability session at the Gartner IAM Summit」が 2 月中に公開された(後の 3 月 24〜25 日 London 開催に向けた告知)。本告知記事の URL は 2026 年 5 月時点で 404 を返すため公開時の本文は確認不能だが、後の 4 月 2 日付 AuthZEN & Shared Signals in the Gartner IAM 2025 spotlight によれば、Gartner IAM Summit London 2025 で AuthZEN WG が 15 社(Aserto, Axiomatics, AWS, Cerbos, OpenFGA, Topaz, Rock Solid Knowledge, Sgnl, Amazon API Gateway, Broadcom, Envoy, Kong, Tyk, WSO2, Zuplo)と相互運用デモを実施した。
AuthZEN は ESCG のスコープ(オープンバンキング系エコシステム支援)とは直接重ならないが、OIDF が 2025 年 Q1 段階で複数 WG にまたがって相互運用デモを定期化していく運用モデルの一部であり、ESCG が後にエコシステム間相互運用性をテーマに掲げる際の参照モデルの 1 つとなる。
7. 今後の予定(2025 年 2 月末時点の視点)
2 月末時点で外部から観測可能な OIDF 全体スケジュール(ESCG への直接言及はなしの状態):
- OpenID4VC HAIP Implementer's Draft 公開レビュー終了(3 月 24 日)と Implementer's Draft 本投票(3 月 25 日〜4 月 1 日)
- OIDF Workshop pre-IIW(4 月 7 日 Google Sunnyvale + Zoom)— 詳細アジェンダは追って公表予定
- IIW XL #40(4 月 8〜10 日 Computer History Museum, Mountain View)
- Gartner IAM Summit London 2025(3 月 24〜25 日)での AuthZEN WG 相互運用デモ
- FAPI 2.0 Final 版適合性試験のベータ版(後の Workshop 周辺で公開予定)
- FAPI 2.0 Message Signing の Final 化推進(後に 5 月末から 60 日パブリックレビュー開始)
- Federation 系 CVE-2025-27370 / CVE-2025-27371 対応の継続調整
ESCG に関しては 2 月時点で公開された設立・運用開始予定の告知は確認できない。「newly established Ecosystem Community Group」という公の呼称が初めて使われる 3 月 19 日付 FAPI WG ブログまで 1 ヶ月、CG ページが公の場から案内されるのも 3 月中旬まで、第 1 回コール開催日(後の 7 月 28 日)や正式ローンチアナウンス(後の 7 月 23 日)の予告は 2 月末時点では一切公開されていない。
8. 参考情報源
| 情報源 | URL | 備考 |
|---|---|---|
| Ecosystem Support CG ページ | https://openid.net/cg/ecosystem-support-community-group/ | CG 概要・共同議長・ミーティング運用(2 月時点では公開証拠なし、参考用) |
| OIDF launches Ecosystems Support Community Group | https://openid.net/oidf-launches-ecosystems-support-community-group/ | 2025-07-23 ローンチアナウンス(2 月活動の事後文脈確認用) |
| FAPI 2.0 Security Profile and Attacker Model Final Specifications Approved | https://openid.net/fapi-2-security-profile-attacker-model-final-specifications-approved/ | 2025-02-19 公開、Marie Jordan 署名。投票結果 Approve 82 / Object 0 / Abstain 14 |
| FAPI 2.0 Security Profile (Final) | https://openid.net/specs/fapi-security-profile-2_0-final.html | 2025-02-22 公開、Final 仕様 |
| FAPI 2.0 Attacker Model (Final) | https://openid.net/specs/fapi-attacker-model-2_0-final.html | 2025-02-22 公開、Final 仕様 |
| Public Review Period for Proposed Final FAPI 2.0 Security Profile and Attacker Model | https://openid.net/public-review-for-proposed-final-fapi-2-0-specifications/ | 2024-12-09 公開(参考、レビュー期間 〜2025-02-07) |
| Notice of Vote for Proposed FAPI 2.0 Security Profile and Attacker Model Final | https://openid.net/notice-of-vote-for-proposed-fapi-2-0-security-profile-and-attacker-model-final-specifications/ | 2025-01-24 公開(参考、本投票 2025-02-08〜02-15) |
| Public Review Period for Proposed Implementer's Draft of OpenID4VC HAIP | https://openid.net/public-review-period-for-proposed-implementers-draft-openid4vc-haip/ | 2025-02-07 公開、45 日レビュー(〜2025-03-24) |
| OpenID4VC HAIP 1.0 draft-03 | https://openid.net/specs/openid4vc-high-assurance-interoperability-profile-1_0-03.html | 2025-02-07 公開、HAIP 第 2 Implementer's Draft |
| Second Implementer's Draft of OpenID for VC Issuance Approved | https://openid.net/second-implementers-draft-openid-for-verifiable-credential-issuance-approved/ | 2025-02-10 公開、投票結果 Approve 86 / Object 1 / Abstain 17 |
| Australian Digital Trust Community Group (ADT CG) | https://openid.net/australian-digital-trust-community-group-adt-cg/ | 2025-02-19 公開、Victoria Richardson 共同議長 |
| Attend the OIDF Workshop prior to IIW Spring 2025 on 7th April 2025 | https://openid.net/attend-the-oidf-workshop-prior-to-iiw-spring-2025-on-7th-april-2025/ | 2025-02-20 公開、4 月 7 日 Workshop 事前告知 |
| OIDF Re-Elected to OpenWallet Foundation's Board | https://openid.net/oidf-re-elected-to-openwallet-foundations-board/ | 2025-02-25 公開、Joseph Heenan / Gail Hodges 代表 |
| Notice of a Security Vulnerability | https://openid.net/notice-of-a-security-vulnerability/ | 2025-02-25 公開、CVE-2025-27370(OIDC private_key_jwt)・CVE-2025-27371(OAuth2 JWT client auth assertions) |
| OPIN joins OIDF Board via Peers Consulting + Technology | https://openid.net/opin-joins-oidf-board-via-peers-consulting-technology/ | 2025-02-27 公開、Open Insurance Brazil の OIDF Board Sustaining Member 加入 |
| iGov OAuth 2.0 draft 06 | https://openid.net/specs/openid-igov-oauth2-1_0-06.html | 2025-02-28 公開 |
| Standardized and Fine Grained Authorization with OAuth 2 Grant Management and RAR | https://openid.net/standardized-fine-grained-authorization-with-oauth2-grant-management-and-rich-authorization-requests/ | 2025-03-19 公開(翌月)、ESCG の前駆呼称「newly established Ecosystem Community Group」が公の場で初めて使われた一次資料 |
| openid-ecosystem-support ML pipermail アーカイブ | https://lists.openid.net/pipermail/openid-ecosystem-support/ | 親インデックス。最古の週次エントリは Week-of-Mon-20250825。2025 年 2 月分の週次エントリは存在せず |
| openid-ecosystem-support ML listinfo | https://lists.openid.net/mailman/listinfo/openid-ecosystem-support | private list |
| openid/cg-ecosystem-support | https://github.com/openid/cg-ecosystem-support | ESCG の GitHub リポジトリ。2 月時点で「This repository is empty」状態(後の 2026-05-04 に archived 化) |
| 2025 OpenID Foundation Board of Directors | https://openid.net/2025-openid-board-of-directors/ | Mark Verstege の Corporate Representative としての位置付けを記載 |
| 2025 年 3 月レポート(翌月) | ./2025-03.md | 3 月 19 日付 FAPI WG ブログで「the newly established Ecosystem Community Group」が公に初言及された月 |