idbok

Appearance

OpenID Foundation FAPI WG 活動レポート (2024年5月)

執筆日: 2026-05-21(2024 年 5 月の活動を約 2 年遡って再構成した遡及レポートです)

1. 概要

FAPI (Financial-grade API) Working Group は、金融 API をはじめとする高保証用途向けに OAuth 2.0 / OpenID Connect のプロファイルを策定する OpenID Foundation のワーキンググループである。FAPI は単一仕様の名称ではなく、Baseline / Advanced(FAPI 1)と Security Profile / Attacker Model(FAPI 2)からなる仕様ファミリーで、UK Open Banking、Brazil Open Finance、Australia の CDR など各国の金融 API 標準の参照ベースとして採用されてきた。2024 年 5 月時点の共同議長は Nat Sakimura (NAT Consulting)、Dave Tonge (Moneyhub)、Dima Postnikov、Anoop Saxena (Intuit) の 4 名。エディタ作業は Daniel Fett (Authlete)、Dave Tonge、Joseph Heenan (Authlete) を中心に進められていた。

2024 年 5 月の FAPI WG は、4 月下旬 (2024-04-24) に Dave Tonge が開始した FAPI 2.0 Security Profile の「WG Last Call (WGLC)」レビュー期間 が本格化した月である。月初 5/1 に IETF OAuth WG 議長でもある Rifaat Shekh-Yusef が WGLC への自身の技術レビューコメントを 6 項目グループにまとめて投函し、レビュー期限を 5/6 とする再周知を行った。これを契機に Dave Tonge が 5/8〜5/15 にかけて Issue #692〜#695 を立て続けに起票し、Rifaat のコメントを Issue トラッカー上の追跡可能な項目へと展開した。Joseph Heenan も 5/15 に Issue #696 / #697、5/21 に Issue #698 を起票し、Final 化前に潰すべき規範ギャップが ML と Issue トラッカー上に出揃った形になった。

これと並行して、FAPI 1.0 を ISO PAS (Publicly Available Specification) 提出 するための起草作業が動いていた。5/1 に Hodari McClain が ISO PAS Submission Draft を Google Docs で WG に共有し、5/2 に Michael Jones、5/6 に Gail Hodges (OIDF Executive Director) が相次いでレビューを返した。FAPI 2 側でも 5/2 に Michael Jones が FAPI 2 Explanatory Report for ISO PAS に対する技術コメントを ML に投函している。FAPI 1 と FAPI 2 の両方を ISO の正式手続に乗せるための文書整備が同時並行で進行した ことが、この月の構造的特徴である。

外部活動としては、5/13 に Mastercard が OpenID Foundation の Sustaining Member として理事会に加入 した(OIDF Welcomes Mastercard to the Board)。Mastercard は 2022 年に Corporate Member として OIDF に加わって以降、複数の WG(FAPI を含む)に参画してきた経緯があり、理事代表は Adam Sommer (VP of Security Standards)、代替が Mark Andrus (Director, Industry, Policy & Standards Engagement) と公表された。続いて 5/16 (公開は 5/17) に Gail Hodges (OIDF Executive Director) が OIDF 理事会を代表して CFPB Director Rohit Chopra 宛のオープンレターを公開Letter to the CFPB on US Open Banking)し、米国 Personal Financial Data Rights ルールメイキングにおいて Data Format 標準に加えて Communication Protocol を独立した Qualified Industry Standard (QIS) として採用する よう CFPB に要請した。書簡は FAPI が 12 カ国以上で採用済みで、世界で 2,800 以上の認定実装が存在することを根拠として挙げている。

月末の 5/28〜5/31 には米国最大のアイデンティティ業界カンファレンス Identiverse 2024 がラスベガス (ARIA Resort & Casino) で開催 され、FAPI WG メンバーの多くが現地に集まった。5/29 の Atlantic コール終了直後に Dave Tonge が「PRs for FAPI2」というスレッドで「皆さん Identiverse 楽しんで下さい」と書き残しているのは、5/29 の WG 議論が Identiverse 直前に押し込まれた段取りだったことを示す。

openid-specs-fapi ML の 2024-May アーカイブ には 29 件の投稿が収録されている。6 月の 12 件、7 月の 19 件と比較しても 5 月は 2024 年前半で最も投稿数が多い月 であり、WGLC 開始・ISO PAS 起草レビュー・Issue 集中起票が同時進行した活況ぶりがうかがえる。

月内の主要な動きは以下のとおり(日時は ML 投稿の Date ヘッダ UTC を基準とする)。

2. 公開された仕様・ドラフト改訂

2024 年 5 月内に FAPI 2.0 Security Profile / Attacker Model の新しい公開ドラフト版(Implementer's Draft 3 / Final ドラフト)は公開されていない。月の規範作業は WGLC 開始によって洗い出された Issue を Final 化前 PR へと整理するフェーズ であり、ドラフト本体の版番号変更は後続月(特に 12 月の Draft -04 公開)に集約される運用であった。月内に ML 上で展開された主要な技術論点は以下のとおり。

2-1. WGLC レビュー: FAPI 2.0 Security Profile - Final(Rifaat Shekh-Yusef の 6 項目コメント)

ML #003108 (Rifaat Shekh-Yusef, 2024-05-01 17:19 UTC)5 月の最重要投稿 である。IETF OAuth WG 議長として OAuth 2.0 Security Best Current Practice の Editor も務める Rifaat が、4/24 に Dave Tonge が開始した FAPI 2 Security Profile の Working Group Last Call レビュー期間に対して自身の技術レビューコメントを投函した。WGLC 期限は 5/6 (締切) として、続く Public Review に進む前段のレビュー機会である旨が再周知された。

Rifaat が指摘した 6 項目は次のとおり。

節 / 論点指摘内容
§5.2.1 TLS 証明書検証CAA records 推奨が note 内に留まっており、man-in-the-middle 防止のためなら明示的な要件として規範化すべきではないか
§5.2.2.2 mTLS EcosystemsMTLS to govern access to the ecosystem independently from MTLS being used for client authentication or token bindinggovern access が何を意味するか不明瞭。token binding は依然として選択肢か
Trust Listsconcenrs という typo。CA trust lists の提供が FAPI 2.0 固有の規範なのか、業界一般のプラクティスなのか
§5.3.2.1 Refresh Token Rotationリトライ条件文(要件 10)の規範文言が解読困難
JWT 時刻検証iat/nbf が将来方向に 10〜60 秒の中間時間帯にある場合、AS がどう振る舞うべきかの規範が抜けている
Attacker Model 論理クライアントを侵害したことが、なぜ AS の制御に繋がりうるのかの説明が直感に反する

これら 6 項目は、5/8 から Dave Tonge が Issue #692 / #693 / #694 / #695 として個別に立て、Joseph Heenan が §5.2.1 の TLS cipher 規範を Issue #698 へと派生させる起点になった。Rifaat の WGLC コメントが FAPI 2.0 Final 化前の規範詰めを開始させた 構図である。

2-2. Issue #690: Grant Management Maturity Level(Nat Sakimura → Ralph Bragg)

ML #003107 (Nat Sakimura, 2024-05-01 15:18 UTC) で起票された Issue #690 は、FAPI 2.0 Security Profile の §5.1.1 Introduction が Grant Management への informative reference を含んでいることの是非を Final 化前に問うた論点である。Nat が再現したコール内議論によれば、Grant Management 仕様の成熟度が Final 仕様で推奨するには低いとの懸念があり、PR 487 で「Grant Management に言及する箇条書きと Informative Reference を削除する」案が提示された。

この提案に対して 3 つの立場が現れた。

  • Joseph Heenan: Grant Management への言及を残すことが実装を促し仕様の成熟を加速させる
  • Dima Postnikov: 包括的なエコシステムは複数の相互接続された仕様を必要とし、こうしたガイダンスは広い採用を支える
  • Rifaat Shekh-Yusef: 「FAPI Framework Overview」という living document を立て、こうしたガイダンスは Final 仕様の外に出して別管理するべき

ML #003110 (Ralph Bragg, 2024-05-01 22:35 UTC) で Ralph Bragg (Raidiam) は Grant Management 参照の保持を支持 する立場を表明し、興味深い実例として「新しい UAE Open Banking エコシステムが Grant Management を採らず consents API + RAR を採用することにした主因は、Grant Management に対する WG の集合的優先度の低さである」と指摘した。Bragg の論点は「仕様がもっと成熟して広く実装されていたなら採用された可能性がある」というもので、Final 仕様での可視性を保持することで実装と成熟のフィードバックループを回すべきという立場である。これは Rifaat の「外に出すべき」立場と直接対立する論点であり、Final 化判断における 規範の純度(Final で参照する仕様は成熟したものに限る)と普及促進(成熟前の仕様も Final から参照することで実装を呼び込む)のトレードオフ を可視化した。

2-3. Issue #692: CAA records の規範化(Rifaat → Dave Tonge)

ML #003117 (Dave Tonge, 2024-05-08 14:53 UTC) で ML 周知された Issue #692 は、Rifaat の §5.2.1 への WGLC コメントを Issue 化したものである。現行文言は次のような note にとどまる。

Even if an endpoint uses only organization validated (OV) or extended validation (EV) TLS certificates, an attacker using rogue domain-validated certificates is able to impersonate the endpoint and conduct man-in-the-middle attacks. CAA records [RFC8659] help to mitigate this risk.

Rifaat の論点は「これは note ではなく規範要件として明示すべきではないか」というものだが、CAA records は DNS 側の運用に強く依存するため AS / RS の準拠範囲としては規範化が難しい性質を持つ。Issue は CAA records 推奨をどのレベル(MAY / SHOULD / MUST)に置くかの調整作業として後続月に持ち越された。

2-4. Issue #693: MTLS Section Readability(Rifaat → Dave Tonge)

ML #003118 (Dave Tonge, 2024-05-08 14:58 UTC) で ML 周知された Issue #693 は §5.2.2.2 mTLS Ecosystems を対象とする 3 件の指摘を束ねたものである。

  • MTLS ecosystems may implement MTLS to govern access to the ecosystem independently from MTLS being used for client authentication or token binding という文の govern access が何を指しているか不明瞭で、mTLS は本来クライアント認証用なのに「独立して」とはどういう意味かが読解困難
  • typo: concenrsconcerns
  • CA trust lists の提供が FAPI 2.0 固有の規範プラクティスなのか、業界一般のものなのか

Heenan は 6 月以降のスレッドで「ネイティブアプリの confidential client 化」議論を引き出すことになるが、5 月の段階では mTLS エコシステムが「クライアント認証 / token binding とは別の意味で」エコシステム参加者を絞る用途を持つことを規範文言上で明示するかどうかが焦点となった。

2-5. Issue #694: Refresh Token Clause Readability(Rifaat → Dave Tonge)

ML #003119 (Dave Tonge, 2024-05-08 14:59 UTC) で ML 周知された Issue #694 は §5.3.2.1 要件 10 の規範文言を対象とする。現行文は次のとおり。

shall not use refresh token rotation unless, in the case a response with a new refresh token is not received and stored by the client, retrying the request (with the previous refresh token) will succeed

Dave Tonge は「この要件は読解困難で、意図が明確でない」と指摘した。条件構造が「rotation を使うことを禁じる、ただし新しい refresh token を受信・保存できなかった場合に旧 token でリトライしても成功するような実装であれば許容する」という二重否定的な文言になっており、実装者が条件を取り違えるリスクを孕む。本 Issue は 「Refresh Token Rotation を許容するか否か」 という規範の根本論点を Final 化前に再検討する火種となり、7/17 の WG 採決(Option 1 全面禁止維持 vs Option 5 例外条件付き許容)に直結した。5/29 の Dave Tonge の PR 整理投稿(ML #003130)でも「refresh token rotation documentation の強化」が 5 本の Final 化 PR の 1 つとして挙げられている。

2-6. Issue #695: iat, nbf Clause Readability(Rifaat → Dave Tonge)

ML #003120 (Dave Tonge, 2024-05-15 13:52 UTC) で ML 周知された Issue #695 は JWT 時刻検証文言を対象とする。現行文は次のとおり。

to accommodate for clock offsets, shall accept JWTs with an iat or nbf time up to 10 seconds in the future, however should reject JWTs with an iat or nbf of 60 seconds or greater in the future

Rifaat の指摘は 10 秒〜60 秒の中間時間帯における AS 挙動が規範として未定義 という単純だが重要なギャップである。「10 秒までは受理、60 秒以上は拒否」と明記しながら、その間の挙動を実装者の裁量に委ねている。Final 化前に「中間時間帯は MAY 受理 / SHOULD 拒否」のいずれかへ寄せる必要があり、認定テストの判定基準にも直結する論点となった。

2-7. Issue #696 / #697: 形式分析の参照と Bitbucket リンク(Joseph Heenan)

ML #003122 (Joseph Heenan, 2024-05-15 14:21 UTC) Issue #696 は、FAPI 2 Security Profile が FAPI 1 の formal analysis を参照しているのは適切ではなく、FAPI 2 自身の形式分析へのリンク(fapi-2-formal-analysis のような公式アナウンスページ)に差し替えるべき という編集修正の提起である。

ML #003123 (Joseph Heenan, 2024-05-15 14:25 UTC) Issue #697 は、FAPICIBA・FAPI2 Message Signing への参照が https://openid.bitbucket.io/ の作業中ドラフト用 URL に向いていることを問題視し、Final 仕様のリンクは https://openid.net/specs/ の正式公開版に向けるべき とする運用要件である。両 Issue は Final 化前の文書整備として地味だが重要な作業項目であり、後続月の PR で順次解消されていく。

2-8. Issue #698: TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 の脆弱性(Joseph Heenan)

ML #003125 (Joseph Heenan, 2024-05-21 19:07 UTC) で ML 周知された Issue #698 は、FAPI 1 が MUST として要求している TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 cipher suite について、Tom Jones の過去の指摘および RFC 9325 (BCP 195 改訂版) の推奨 cipher リストから TLS_DHE_RSA_WITH_AES 系統が外されている事実を踏まえ、Final 化前に再検討すべきと提起したものである。

Heenan 自身が「まだ深く調査していない」と明示しながらも、既に Final となっている FAPI 1 仕様の cipher 規範を遡及的に修正する手段が乏しい ことへの懸念を表明している点が特徴的である。本 Issue は翌 6 月の Issue #700(TLS 1.2 用 4 cipher リスト削除と BCP 195 への一本化)、7 月の Issue #703(BCP 195 引用文言から when using TLS 1.2, 限定句削除)へと続く TLS 規範の自前管理から BCP 195 への完全委任への流れ の起点であり、5 月時点で Heenan が「FAPI 仕様側で cipher を列挙する保守コストが釣り合わない」と問題意識を明確化した記録として価値がある。

2-9. FAPI 1.0 / FAPI 2 の ISO PAS 提出準備

FAPI WG にとってもう一つの並行作業が ISO PAS Submission Draft の起草レビュー である。Hodari McClain が 5/1 の ML #003109 で FAPI 1.0 + JARM の ISO PAS Submission Draft を Google Docs で WG に共有した。OIDF の方針として 5 月中に ISO へ提出する タイムラインが組まれており、5 月初週が事実上のレビュー機会となった。

ML 上の応答は次のとおり。

  • 5/2 Michael Jones (ML #003111): 「This looks good. I've made a few minor suggested changes in the doc.」
  • 5/3 Hodari McClain (ML #003113): Mike への謝意
  • 5/6 Gail Hodges (ML #003114): 自身も微修正済みで、Nat / Dave T の一方による最終承認を ISO PAS mentor 送付前に依頼

並行して、FAPI 2 側でも 5/2 Michael Jones (ML #003112) が FAPI 2 Explanatory Report for ISO PAS に対して 2 点の改善提案を投函した。

  • FAPI CIBA の参照版が古い可能性があり、最新ドラフトを公式 OpenID specification リポジトリに公開し直すこと
  • OpenID Connect Core URL から -34 のドラフト版番号を取り除き、版指定なしの引用形式に統一すること

Mark Verstege が 4/26 までを期限として WG に呼びかけたフィードバック投稿への返信が、5 月初週の Mike Jones のコメントとして表面化した形である。FAPI 1 / FAPI 2 の双方を ISO の正式手続に乗せる作業が、Final 化作業と同じ月に並走した ことが、5 月の特徴的な動きである。

3. ミーティングと議論

FAPI WG は Atlantic コール(水曜 14:00 UTC、隔週運用だが繁忙月は週次化)と Pacific コール(金曜朝、Asia-Pacific 帯、隔週)を運用している。Bitbucket wiki 上の議事録ページ(FAPI_Meeting_Notes_2024-05-XX_Atlantic)は SPA レンダリングのため本記事執筆経路で本文を直接抽出できないが、ML 投稿のアジェンダ・Issue 起票タイミング・後続議論から各コールの内容を再構成する。2024 年 5 月の Atlantic コール開催記録は 5/1、5/8、5/15、5/22、5/29 の計 5 回 であり、通常の隔週運用を超えて事実上の週次開催となっていたことが Issue 起票密度と ML 投稿頻度から読み取れる。

なお、Chris Michael (Ozone API) からは 5/10 にカレンダー定例更新の通知が複数投函されており(ML #003198ML #003199ML #003200ML #003201)、Atlantic コールの隔週運用の枠組みは維持しつつ、繁忙月は中間週も実質開催する運用が定着していたことが分かる。

2024-05-01 Atlantic コール(WGLC 集中レビュー始動回)

ML 上に直接のアジェンダ投稿は確認できないが、Nat Sakimura の Issue #690 投稿(同日 15:18 UTC)が「コール中に話題に上った」内容を再現する形式(During a 1st of May 2024 call, concerns were voiced ...)であることから、5/1 14:00 UTC 開始の Atlantic コールで以下が議論されたと再構成できる。

  • Grant Management への informative reference を Final 仕様に残すかの議論(Joseph・Dima 推進派 vs Rifaat の Framework Overview 別建て案)
  • 4/24 に開始済みの WGLC レビュー期間(締切 5/6)への対応方針

コール後数時間以内に Rifaat が WGLC への 6 項目コメントを投函し、Hodari が ISO PAS Submission Draft を共有しているため、5/1 コールは WGLC への集中レビューと ISO PAS という二大作業の同時始動を WG として確認した回 と位置付けられる。

2024-05-08 Atlantic コール(Rifaat WGLC コメントの Issue 化集中回)

ML #003116 (Nat Sakimura, 2024-05-08 12:25 UTC) で公示されたアジェンダは以下の構成。

  1. Roll Call
  2. Adoption of Agenda
  3. Events
  4. External Orgs & Liaisons (Brazil, UAE, India)
  5. Issues (6 件の open issue を明示)
  6. PRs
  7. AOB

External Orgs & Liaisons に Brazil、UAE、India が明示的にトピックとして挙げられている点が特徴的である。UAE は Ralph Bragg が 5/1 の Issue #690 への返信で言及した新 Open Banking エコシステム(consents API + RAR 採用)の進捗、Brazil は Open Finance での FAPI 採用の継続、India は Account Aggregator フレームワーク等を含む規制連携の話題と考えられる。

Issues 議題の中心は Rifaat の WGLC コメント(5/1 投函)を Issue として個別化する作業 で、コール当日 14:53〜14:59 UTC(コール開始 14:00 UTC の直後)に Dave Tonge が Issue #692 / #693 / #694 を立て続けに ML 周知している。コール中に「Rifaat の 6 項目を Issue 化して個別追跡する」方針が決まり、その合意に基づき Dave がコール直後に Issue を立てた と再構成できる。

2024-05-15 Atlantic コール(追加 WGLC 論点の整理回)

ML #003121 (Nat Sakimura, 2024-05-15 14:02 UTC) は「Sorry that I did not send out the agenda and reminder in time, but it is happening now.」というアジェンダなしの当日リマインダーで、ML 投稿経路で公式アジェンダは残されていない。コール当日 13:52〜14:25 UTC に立て続けに ML 周知された Issue #695(13:52、Dave Tonge、JWT iat/nbf)、Issue #696(14:21、Joseph Heenan、FAPI 2 formal analysis 参照)、Issue #697(14:25、Joseph Heenan、Bitbucket リンク差し替え)から、コールでは Rifaat の残りの WGLC コメントの Issue 化と、Joseph Heenan による FAPI 2 仕様の参照リンク整備が議題に乗った と再構成できる。

2024-05-22 Atlantic コール(Rundgren の EU Payment Wallet 提起への WG 反応回)

ML #003127 (Dave Tonge, 2024-05-22 13:03 UTC) で Dave Tonge が「usual agenda」として開催 1 時間前のリマインダーを投函した。前日 5/21 に Joseph Heenan が Issue #698(TLS_DHE_RSA cipher 脆弱性)を起票しており、これが新規 Issues 議題の中心となった可能性が高い。また、Anders Rundgren が 5/15・5/22 連続で EU Payment Wallet / Berlin Group の話題を ML に投げ込んでいたため、WG として「FAPI のスコープ内で扱う論点か」を再確認する議論があった可能性がある。

2024-05-29 Atlantic コール(Identiverse 前最終回・Final 化 PR 整理回)

ML #003129 (Nat Sakimura, 2024-05-29 13:59 UTC) はコール開始直前の「Getting late please start」というアジェンダなしリマインダー。コール終了直後の 16:08 UTC に ML #003130 (Dave Tonge)Final 化に向けた 5 本の PR が以下のとおり整理された。

  • 特定 cipher 参照の削除(Issue #698 系)
  • Grant Management 関連箇所と Introduction の改訂(Issue #690 系)
  • Refresh Token Rotation 文書の強化(Issue #694 系)
  • MTLS セクションの技術更新(Issue #693 系)
  • Clock skew 関連節(iat/nbf 文言)と関連 note の改訂(Issue #695 系)

Dave Tonge は「WGLC 期間が当初予定より長引いたが、WG メンバーからの徹底したフィードバックは価値があった」と総括し、「Identiverse の参加者は良い時間を」と締めくくった。WGLC 開始から約 1 か月で、5 本の具体的な PR に Issue 群が収斂した ことが 5 月の規範作業の到達点である。

Pacific コール

2024 年 5 月の ML 投稿には Pacific コールのアジェンダ・リマインダー投稿が確認できない。Pacific コールは隔週運用かつ初夏は不定期開催であり、5 月中はアジア太平洋帯メンバーの主要参加が Atlantic コール側に集約されていた可能性がある。

4. メーリングリストの主要スレッド

2024 年 5 月の openid-specs-fapi ML は 29 件の投稿を含む。技術論点・WG 運営に直結する主要スレッドを以下に整理する。

WGLC レビュー: FAPI 2 Security Profile - Final — 5/1 Rifaat Shekh-Yusef

ML #003108 (Rifaat Shekh-Yusef, 5/1)5 月で最も重要な投稿 である。Rifaat は IETF OAuth WG 議長としての立場と FAPI レビュアーとしての立場を兼ね、4/24 に Dave Tonge が開始した WGLC レビュー期間に対して 6 項目のグループ化されたコメントを WG に提示した(§2-1 で詳述)。WGLC レビュー期限の 5/6 が再周知され、WG が Final 化に向けた最後の集中レビューを動かす号砲 となった。

Issue #690 と Grant Management の Final 仕様内位置付け — 5/1 Nat Sakimura / Ralph Bragg

ML #003107 (Nat Sakimura, 5/1)ML #003110 (Ralph Bragg, 5/1) のスレッドは Final 仕様内の informative reference の純度 を巡る対立を表面化させた(§2-2 で詳述)。Nat が再現した「Joseph 推進 vs Rifaat 別建て案 vs Dima 包括的支持」の 3 立場に、Bragg が「UAE Open Banking が Grant Management を採らなかった理由は WG の集合的優先度の低さである」という具体例で参照保持を支持する第 4 の立場を加えた。

FAPI 1.0 ISO PAS Submission Draft レビュー — 5/1〜5/6 McClain / Jones / Hodges

ML #003109 (Hodari McClain, 5/1)ML #003111 (Michael Jones, 5/2)ML #003113 (Hodari McClain, 5/3)ML #003114 (Gail Hodges, 5/6) の 4 投稿スレッドは、FAPI 1.0 を ISO PAS として正式提出するための起草レビュー を 5 月初週で完了させた一連の動きである。OIDF の 5 月中提出タイムラインに合わせ、Mike Jones・Gail Hodges の双方が Google Docs 上で微修正を入れた後、Nat / Dave T の最終承認を経て ISO PAS mentor 送付の段取りが整えられた。

Issues #692〜#695 集中起票 — 5/8 / 5/15 Dave Tonge

5/8 14:53〜14:59 UTC の Dave Tonge による Issue #692 / #693 / #694 連投と、5/15 13:52 UTC の Issue #695 投稿は、Rifaat の WGLC コメントを Atlantic コールの合意に基づいて個別 Issue へと分解した運用上の重要な作業 である(§2-3〜§2-6 で詳述)。Issue #694 が後の 7/17 Refresh Token Rotation 採決の直接的な引き金になることは、5 月時点では明確化されていなかった。

Issues #696 / #697 / #698 — 5/15 / 5/21 Joseph Heenan

Joseph Heenan が単独で 3 件の Issue を 5 月後半に起票した。

  • Issue #696 (5/15): FAPI 1 formal analysis から FAPI 2 formal analysis への参照差し替え
  • Issue #697 (5/15): openid.bitbucket.io への作業用リンクを openid.net/specs/ の正式版に差し替え
  • Issue #698 (5/21): RFC 9325 で推奨外となった TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 の取り扱い再検討

これらは OIDF 認定スイート責任者の立場から見た文書整備・規範整合性の論点 を集中投入したもので、特に Issue #698 は FAPI 1 Final の遡及修正可能性という困難な問題を WG に投げかけた。

EU Payment Wallet / Open Banking スレッド — 5/15〜5/31 Anders Rundgren

Anders Rundgren が 5/15・5/22・5/25・5/31 と継続的に投函した一連のスレッド(ML #003124ML #003126ML #003128ML #003131)は EU Digital Identity Wallet が Open Banking API(FAPI)に依存する設計 に対する異議申し立てである。Rundgren の主張の要点は次のとおり。

  • EU Payment Wallet 仕様は Apple Pay と比較して複雑なステップ(merchant credential presentation request → biometric consent → credential 検証 → 各当事者間の追加プロトコル → status 確認)を要求しており、機能性が劣る可能性
  • Berlin Group の P2P 決済 API は確立しておらず、Open Banking Limited (OBL) のロードマップにも入っていない
  • OAuth はあらゆる authorization タスクに完全に適合するわけではなく、特に C2B 決済では merchant が OAuth の伝統的スコープ外にいるため枠組みが合わない
  • EU の SCA リダイレクト方式は EMV / Apple Pay 比で「不要な複雑性」を持ち込んでいる

Rundgren は WG 議長に「正式な議論呼びかけ」を要求したが、5 月内には WG 全体の応答スレッドは形成されておらず、「FAPI WG が EU Wallet の決済適用論点を自スコープと見なすか否か」が未決のまま残った 月である。なお、5/29 の Identiverse 連休直前タイミングでも Rundgren は 5/31 に追加投稿しており、議論継続の意志を強く示していた。

5. Issue トラッカー上の動き

FAPI WG の Issue トラッカーは Bitbucket (bitbucket.org/openid/fapi/issues) で運用されている。Bitbucket Cloud は SPA レンダリングのため Issue 本文の直接取得経路は限定的だが、対応する ML 投稿から内容を把握できる。

2024 年 5 月に ML 上で起票・周知が行われた Issue は次の 9 件であり、FAPI WG にとって極めて Issue 起票密度の高い月であった。

9 件のうち #690〜#695 は Rifaat の WGLC コメント(5/1 投函)を Issue に分解した派生物、#696〜#698 は Joseph Heenan が単独で立てた文書整備・規範整合性の論点 である。Brian Campbell の #691 は WGLC とは独立に Attacker Model 文書の編集ノイズを除去する純粋な編集論点だが、Final 化前の文書クリーンアップとして同時期に処理された。

GitHub openid/fapi リポジトリは Bitbucket の公開ミラー的位置付けで、編集ワークフローの主軸は引き続き Bitbucket 上の PR / Issue で運用されていた。5/29 の Dave Tonge の PR 整理投稿(ML #003130)が示すとおり、月末時点で Final 化に向けた 5 本の PR が同時並行で進行していた。

6. 関連イベント

5/13: OIDF Welcomes Mastercard to the Board

OIDF Welcomes Mastercard to the Board として、Mastercard が OpenID Foundation の Sustaining Member(理事構成員)に昇格したことが公表された。Mastercard は 2022 年に Corporate Member として OIDF に加入して以降、複数の WG(FAPI を含む)に参画してきた経緯がある。理事代表は Adam Sommer (VP of Security Standards)、代替は Mark Andrus (Director, Industry, Policy & Standards Engagement)。

Gail Hodges (OIDF Executive Director) は「Mastercard はアイデンティティ領域における長年のリーダーであり、グローバル決済を駆動するレールを構築してきた経験と、業界が直面する課題への協働実績を有する」とコメントを寄せた。FAPI WG の文脈では、Mastercard の理事就任は 金融業界の主要決済ネットワークが FAPI 仕様の進化に直接的な発言権を持つ立場へと移った ことを意味し、後の FAPI 2.0 Final 化や ISO PAS 提出における支持基盤の強化と読み取ることができる。

5/16 (公開 5/17): Letter to the CFPB on US Open Banking

Gail Hodges (OIDF Executive Director) が OIDF 理事会を代表する形で CFPB Director Rohit Chopra 宛のオープンレター を公開した(Letter to the CFPB on US Open Banking)。書簡の核心は、CFPB が進行中の Personal Financial Data Rights ルールメイキングにおいて Data Format 標準だけでなく Communication Protocol を独立した Qualified Industry Standard (QIS) として要求すべき という規制設計上の主張である。書簡が挙げた論拠は以下のとおり。

  • Data Format 標準は naming conventions / standard codes / formatting を扱い、Communication Protocol は security と privacy・technical interoperability を扱う異なる役割を持つ
  • FAPI は OAuth 2.0 + OpenID Connect のプロファイルとして UK・Australia・Brazil・Saudi Arabia など 12 カ国以上で採用済み、世界で 2,800 を超える FAPI 認定実装 が存在
  • Communication Protocol が QIS として要求されなかった場合のリスクとして、エコシステム相互運用性の断片化、市場採用の遅延、セキュリティ実装の不一致による消費者脆弱性、グローバル Open Banking 市場での競争劣位を列挙
  • OIDF として必要であれば Standards Setting Body として申請する用意がある

本書簡は 2023 年 10 月に CFPB が公示した Personal Financial Data Rights ルールメイキングへの OIDF 公式応答の起点であり、FAPI を米国 Open Banking 規制の参照標準として位置付けるための渉外作業の出発点 に位置する。書簡を起点として、6/15 に Gail Hodges が ML で CFPB/US-Canada サブグループ立ち上げを呼びかけ(2024-06 月次レポート §4 参照)、7/24 に Guidance to the CFPB regarding US Open Banking の詳細ガイダンスが公開されるという連続した渉外活動の流れが形成された。

5/28〜5/31: Identiverse 2024 (Las Vegas, ARIA Resort & Casino)

北米最大のアイデンティティ業界カンファレンス Identiverse 2024 が 5/28〜5/31 にラスベガス ARIA Resort & Casino で開催された(参加者 1,000 社超・3,000 人超)。250 を超える講演で 100 以上のトピックがカバーされ、70 時間超のセッションが提供された。FAPI WG メンバーの多くが現地参加し、5/29 Atlantic コール直後の Dave Tonge による「Identiverse 参加者へのねぎらい」コメント(ML #003130)はこれを反映している。

セッション内容としては、OpenID Connect の 10 周年(2014 年 2 月 Final 化からの振り返り)パネル がハイライトの 1 つであり、FAPI 1 / FAPI 2 を含む OpenID 標準の到達点と次の 10 年への展望が議論された。Open Banking や OAuth 2.0、Verifiable Credentials も主要トピックとして扱われた。FAPI 単独セッションは確認できないが、Joseph Heenan・Daniel Fett 等のエディタ陣が同会場で対面議論する機会となり、5/29 コール直後の Final 化 PR 整理が会期入りギリギリのタイミングで行われた段取りに対応する。

7. 今後の予定

2024 年 5 月完了直後の視点で、当時 WG が次月以降に予定していた動きは以下のとおり。

  • WGLC で洗い出された 5 本の Final 化 PR のマージ: 5/29 Dave Tonge 整理の cipher 削除、Grant Management、Refresh Token Rotation、MTLS、Clock skew の 5 本を 6 月以降のコールで順次マージ
  • Issue #694 (Refresh Token Rotation) の規範方針確定: 文言の可読性向上にとどまらず、rotation を許容するか禁止するかの本質的判断が後続月に持ち越し(実際には 7/17 採決へ)
  • Issue #698 (TLS_DHE_RSA cipher) の調査と FAPI 1 erratum 検討: BCP 195 (RFC 9325) との整合性をどう取るか
  • FAPI 1.0 + JARM ISO PAS の正式提出: OIDF として 5 月中の ISO 提出ターゲットだった起草が、レビュー完了を受けて 5 月後半から 6 月初旬にかけて mentor 送付・ISO 提出へ
  • FAPI 2 Explanatory Report for ISO PAS の更新: Mike Jones の指摘(FAPI CIBA 参照版、OpenID Connect Core URL)を反映
  • CFPB レターを受けた米国 Open Banking 渉外活動の継続: 6/15 のサブグループ呼びかけ・7/24 の詳細ガイダンス公開へと続く流れの組成
  • Atlantic コール継続: WGLC 集中審議のため事実上の週次運用を継続、コール議題は残存 Issue の PR 化に集中
  • Identiverse 2024 での対面議論の WG 還流: 会期中 (5/28〜5/31) の対面交流から得られた論点を 6 月以降のコールで議題化

8. 参考情報源

メーリングリスト

議事録 (Bitbucket wiki)

  • FAPI Meeting Notes Wiki (Bitbucket) — 議事録所在(FAPI_Meeting_Notes_2024-05-01_AtlanticFAPI_Meeting_Notes_2024-05-08_AtlanticFAPI_Meeting_Notes_2024-05-15_AtlanticFAPI_Meeting_Notes_2024-05-22_AtlanticFAPI_Meeting_Notes_2024-05-29_Atlantic

Issue トラッカー (Bitbucket)

OpenID Foundation 公式アナウンス

仕様

関連イベント

関連リソース(OpenID Foundation)