OpenID Foundation FAPI WG 活動レポート (2024年11月)

執筆日: 2026-05-19（2024 年 11 月の活動を約 1 年 6 か月遡って再構成した遡及レポートです）

1. 概要

FAPI (Financial-grade API) Working Group は、金融 API をはじめとする高保証用途向けに OAuth 2.0 のプロファイルを策定する OpenID Foundation のワーキンググループである。2024 年 11 月時点の共同議長は Nat Sakimura (NAT Consulting)、Dave Tonge (Moneyhub)、Dima Postnikov、Anoop Saxena (Intuit) の 4 名、エディタ業務は Daniel Fett (Authlete)、Dave Tonge、Joseph Heenan (Authlete) を中心に進められていた。

2024 年 11 月は、翌月 12 月 9 日に正式開始する FAPI 2.0 Security Profile / Attacker Model の Final パブリックレビュー に向けた最終調整期間にあたる。月の前半である 11 月 7 日に FAPI 2.0 Conformance Tests への DPoP (RFC 9449) サポート追加 が公示され、Final 化に必要な適合性テスト整備の主要マイルストーンが達成された。月の後半である 11 月 27 日の Atlantic コールでは、FAPI 1.0 のエラータに normative change（規範的変更）を含められるかが議論され、Nat Sakimura が翌 28 日に「OpenID Connect Core Errata 1 で Self-Issued sub 計算のセキュリティ修正が含まれた先例がある」と整理して肯定する短いやり取りが ML に残った。月末には Australian Treasury による Consumer Data Right (CDR) 規則改正案 のパブリックコンサルテーション（11/26 〜 12/24）が ML に持ち込まれ、AU CDR エコシステムに対する FAPI WG の関与の在り方が問われた。

月内の主要な動きは以下のとおり。

• 2024-11-06: 当日予定だった Atlantic コールは前月 10/31 時点で Mike Leszcz により事前キャンセル（前月 ML 参照）。FAPI WG の 11 月最初の公式集会は 11/20 まで持ち越し
• 2024-11-07: OIDF が「FAPI 2.0 Conformance Tests Now Support DPoP」を公示。同日 15:02 UTC に Mike Leszcz が ML #003225 で WG へ周知（ML #003225）
• 2024-11-20: Nat Sakimura が 11/20 Atlantic コールのアジェンダを投函（ML #003227）
• 2024-11-27: Nat Sakimura が 11/27 Atlantic コールの最新アジェンダ（draft agenda 添付）を再周知（ML #003228）
• 2024-11-28: Nat Sakimura が「Errata or dot-release」スレッドで normative change を含むエラータの正当性を OpenID Connect Core Errata 1 の先例で説明（ML #003229、議事録参照: FAPI Meeting Notes 2024-11-27 Atlantic）
• 2024-11-30: Nat Sakimura が AU CDR Public Consultation（非銀行貸付・銀行データ範囲）を ML に通知。提出期限は 2024-12-24（ML #003230）

openid-specs-fapi ML の 2024-November アーカイブ には 5 件の投稿が収録されている。前後の月と比較すると ML 投稿件数は少なめだが、(1) Conformance Tests DPoP 対応公示、(2) FAPI 1.0 エラータでの normative change 取り扱い方針確認、(3) AU CDR 規制動向のキャッチアップ、という Final 化直前の段取りが集中した月である。

2. 公開された仕様・ドラフト改訂

FAPI 2.0 Conformance Tests への DPoP サポート追加（2024-11-07）

11 月最大の対外公示は、OIDF Certification チームによる FAPI 2.0 Conformance Tests への DPoP (RFC 9449) サポート追加である。OIDF ブログ「FAPI 2.0 Conformance Tests Now Support DPoP」（2024-11-07 公開）で公表され、同日 15:02 UTC に Operations Director の Mike Leszcz が ML #003225 で WG メンバーに周知した。

We are happy to share that the FAPI 2.0 Conformance Tests now support Demonstration of Proof-of-Possession (DPoP). This addition brings a stronger layer of security for client authentication, and we are now accepting certifications for FAPI 2.0 implementations with DPoP.

ベータ版での実装者からのフィードバックを取り込み、DPoP nonce のサポートを含む形で正式リリースされた。FAPI 2.0 Security Profile は sender-constrained access token の確立手段として (1) Mutual TLS と (2) DPoP の 2 方式を必須選択肢として規定しており、DPoP 側の Conformance Test が整わない限り Final 化後の認証取得は片肺となる。今回の DPoP テスト対応により、Security Profile を Final 化したのちすぐに DPoP プロファイルでの認証申請を受け付けられる体制が整った。これは翌 12 月に開始される Final パブリックレビューの前提条件として位置づけられる成果である。

FAPI 2.0 Security Profile / Attacker Model — Final パブリックレビュー直前の最終調整

11 月時点で FAPI 2.0 Security Profile と Attacker Model は Implementer's Draft 段階を完了しており、Final パブリックレビュー開始（2024-12-09）に向けた最終文言整備が進行していた。ML 上に大量の編集議論は残っていないが、11/20 および 11/27 の Atlantic コールのアジェンダ項目「PRs (Dave)」「Issues (Dave)」（ML #003227 / ML #003228）で Dave Tonge が編集中の PR/Issue を順次レビューする運用が読み取れる。

シュトゥットガルト大学の Daniel Fett らによる FAPI 2.0 の形式的セキュリティ分析は 2024 年に ACM Transactions on Privacy and Security に採録され、Final 化に向けた学術的裏付けが揃った段階にあった（ACM TOPS 掲載論文）。これも Final パブリックレビュー開始の前提を成す重要な要素である。

FAPI 1.0 Errata — normative change 取り扱い方針の確認（2024-11-27 / 11-28）

11 月のもう一つの実質的な仕様マターは、FAPI 1.0 のエラータに normative change を含められるかという手続き上の確認である。11/27 Atlantic コールで提起された質問に対し、Nat Sakimura は翌 11/28 14:53 JST に ML #003229 で次のように回答した。

The answer is yes. There is a precedence in OpenID Connect core where a security issue identified in the Self-Issued 'sub' computation was fixed in Errata 1.

OpenID Connect Core 1.0 のエラータ 1 では、Self-Issued OpenID Provider の sub クレーム計算に関するセキュリティ問題が修正された前例があり、normative change を含むエラータが OIDF プロセス上認められていることを示した。この確認は、12 月 9 日に Dave Tonge が起票する Issue #726 (Private key jwt aud restrictions) の前提となる議論で、FAPI 2.0 で確立された規範的表現を FAPI 1.0 にエラータとして遡及反映する作業の手続き的正当性が、この段階で WG 内に共有された。

3. ミーティングと議論

FAPI WG は Atlantic コール（水曜 14:00 UTC、隔週）と Pacific コール（金曜朝、Asia-Pacific 帯）を運用している。2024 年 11 月分の各コールについて ML 上で確認できる情報を以下に整理する。Bitbucket wiki 上の議事録ページ（FAPI_Meeting_Notes_YYYY-MM-DD_*）は SPA レンダリングのため公開取得経路からは本文を抽出できないが、ML 上のリマインダー・アジェンダ・後続スレッドから議論内容を再構成する。

2024-11-06 Atlantic コール（キャンセル済み）

このコールは前月 10/31 時点で Mike Leszcz により事前キャンセル通知が出されており（10 月分 ML 参照）、開催されていない。WG として 11 月の実質的な集会は 11/20 から始まる。

2024-11-20 Atlantic コール

Nat Sakimura は 11 月 20 日 10:04 UTC に ML #003227 で「Reminder and draft agenda for 2024-11-20 Call」を投函。標準アジェンダは次のとおり。

1. Roll Call (Dave/Nat)
2. Adoption of Agenda (Dave/Nat)
3. Events (Mike L.)
4. External Orgs & Liaisons (Mike L.)
5. PRs (Dave)
6. Issues (Dave)
7. AOB (Nat)

Final パブリックレビュー開始（12/9）まで残り 3 週間というタイミングで、Security Profile / Attacker Model の編集 PR/Issue の最終レビューがアジェンダ項目「PRs (Dave)」「Issues (Dave)」で取り上げられたと推察される。ML 上に当日の議事録投稿は確認できないが、Bitbucket wiki に FAPI_Meeting_Notes_2024-11-20_Atlantic 相当のページが残されている想定である。

2024-11-27 Atlantic コール

11 月 27 日 11:03 UTC に Nat Sakimura が ML #003228 で「Updated invitation with note」を投函し、Draft Agenda および Anti-trust Statement を添付した。アジェンダ構成は 11/20 と同形である（Roll Call / Agenda Adoption / Events / External Orgs / PRs / Issues / AOB）。

このコールで議論された具体的なトピックのうち、ML 上に追跡可能な形で残ったのが 「FAPI 1.0 エラータに normative change を含められるか」 という手続き的論点である。Nat Sakimura の翌日返信（ML #003229）が議事録 URL https://bitbucket.org/openid/fapi/wiki/FAPI_Meeting_Notes_2024-11-27_Atlantic を明示的に参照しており、11/27 のコールで提起された質問への回答であることが分かる。OIDC Core Errata 1 の Self-Issued sub 計算のセキュリティ修正という具体例を引いて、normative change を含むエラータの正当性が WG 内に確立された。

このやり取りは短いが、翌月 12/9 に Dave Tonge が起票する Issue #726 (Private key jwt aud restrictions) — FAPI 2.0 の private_key_jwt aud 制限表現を FAPI 1.0 エラータに取り込む提案 — の手続き的前提を整える役割を果たした。

4. メーリングリストの主要スレッド

2024 年 11 月の openid-specs-fapi ML は 5 件の投稿を含む。年末ホリデー前の Final 化準備期間としては抑制的な投稿量で、内容も (1) 公式アナウンス周知、(2) コール運営、(3) エラータ手続き確認、(4) 外部規制動向の通知に分かれる。技術内容を含む主要スレッドを以下に整理する。

FAPI 2.0 Conformance Tests Now Support DPoP — 2024-11-07 Mike Leszcz

ML #003225 は OIDF Operations Director の Mike Leszcz による公式アナウンス周知である。FAPI 2.0 Conformance Tests に DPoP (RFC 9449) サポートが追加され、DPoP 方式での FAPI 2.0 実装の認証受付が開始された旨を WG に通知した。

技術的には DPoP nonce のサポートを含む形でテストスイートが整備されており、ベータフェーズでのフィードバックを反映したリリースである。FAPI 2.0 Security Profile が要求する sender-constrained access token の 2 方式（Mutual TLS / DPoP）のうち、DPoP 側の認証経路が Final 化前に整ったことを意味し、Final 化後の実装者にとって即座に認証取得を進められる環境が整備された。WG 内に技術論点としての返信スレッドは形成されなかったが、Final 化マイルストーン管理の観点で重要な一報である。

Errata or dot-release — 2024-11-28 Nat Sakimura

ML #003229 は 11/27 Atlantic コールで提起された手続き的質問に対する Nat Sakimura の回答である。論点は「normative change（規範的変更）を含む修正は errata で行うべきか、それとも dot-release（小数点版数アップ）として新版を発行すべきか」という、OIDF Final Specification のメンテナンス手続きに関わる根本的な問いである。

Nat の回答は端的で、OIDC Core 1.0 Errata 1 で Self-Issued OP の sub 計算に関するセキュリティ修正が含まれた先例を引き、normative change を含む errata が OIDF プロセス上は許容されていることを確認した。実務的には次の含意を持つ:

• FAPI 1.0 Final（2018 年 Final 化）に対しても、private_key_jwt の aud 制限など FAPI 2.0 で確立された規範的表現を errata として取り込める
• FAPI 2.0 Final 化後も、後続のセキュリティ知見を errata で取り込む経路が明確に開かれている
• WG として dot-release（例: FAPI 1.0.1）を新たに発行する負荷を回避できる

このやり取りは翌月の Issue #726 起票（12/9）に直結し、FAPI 1.0 エラータと FAPI 2.0 文言の整合作業の基礎を成す論点である。

AU CDR Public Consultation due Dec. 24 — 2024-11-30 Nat Sakimura

ML #003230 で Nat Sakimura が Australian Treasury による Consumer Data Right (CDR) 規則改正案のパブリックコンサルテーション（c2024-598346、2024-11-26 開始）を ML に通知した。

Do we need to act upon the AU Consumer Data Right Rules?

改正案の趣旨は (1) CDR を非銀行貸付セクターへ拡張、(2) 銀行が共有すべき CDR データの範囲を縮小、の 2 点である。提出期限は 2024-12-24。AU CDR は FAPI 1.0 を技術基盤に採用してきたエコシステムで、規則の対象範囲変更は FAPI 適用領域に直接影響しうる。Nat はあくまで「WG として動くべきか」を問う形で投げかけており、強い主張はしていないが、Final 化を控えた FAPI 2.0 が次のステップで AU CDR 等の現行実装に展開される際の文脈を意識した情報共有である。

ML 上ではこの提案への直接の返信スレッドは 11 月内には確認できない（月末投稿で、かつ年末スケジュールに向かう時期）。

コール運営スレッド — 2024-11-20 / 2024-11-27 Nat Sakimura

ML #003227（11/20 アジェンダ）および ML #003228（11/27 アジェンダ更新）は、いずれも標準的なコール運営通知で、技術論点は含まない。ただし両スレッドのアジェンダ項目「PRs (Dave)」「Issues (Dave)」が Final パブリックレビュー直前期の編集レビュー実施の場として機能していたことを示す根拠となる。

5. Issue トラッカー上の動き

FAPI WG の Issue トラッカーは Bitbucket (bitbucket.org/openid/fapi/issues) で運用されている。2024 年 11 月の ML 上で明示的に起票・言及された Issue は確認できなかった。

前月（10 月）末に Michael Jones による Issue #725: Change Lukasz to Łukasz in Acknowledgements が起票されており、これは謝辞表記のディアクリティカル記号修正という最終文言整備の典型例である。11 月期は新規 Issue 起票が ML 上で公示されていない静かな時期で、12 月 9 日に Dave Tonge が起票する Issue #726 (Private key jwt aud restrictions) が次の動きとなる。

Bitbucket Cloud は SPA レンダリングのため Issue 一覧の自動取得が困難で、11 月期に内部的に進行していた編集系 Issue の詳細は ML 上には現れていない。11/20 と 11/27 のコールアジェンダにある「PRs (Dave)」「Issues (Dave)」項目で内部処理が継続していたと推察される。

新規 Issue 起票が 11 月に ML 上で公示されなかった背景には、(1) Security Profile / Attacker Model の Final パブリックレビュー（12/9）開始に向けて編集面の収束を志向していたこと、(2) Conformance Tests DPoP 対応リリース（11/7）に WG の作業リソースが集中していたこと、の 2 つの要因がある。

6. 関連イベント

FAPI 2.0 Conformance Tests DPoP サポート公示（2024-11-07）

OIDF Certification チームによる主要マイルストーン達成。FAPI 2.0 Final 化に向けた認証取得経路の整備が完了し、Final パブリックレビュー開始（12/9）の前提条件が揃った。

Australian Treasury CDR Rules Public Consultation 開始（2024-11-26）

AU CDR の規則改正案（非銀行貸付拡張・銀行データ範囲縮小）のパブリックコンサルテーションが c2024-598346 として開始。提出期限は 12/24。FAPI 1.0 を採用する AU エコシステムの将来像に関わる規制動向で、Nat Sakimura が 11/30 に WG に通知した。

FAPI 2.0 Final パブリックレビューの準備（11 月通期）

12 月 9 日に開始される Public Review Period for Proposed Final FAPI 2.0 Specifications の準備が並行進行。11 月期は ML 上の公示こそ少ないが、編集 PR/Issue の収束、リンク・参照の整合チェック、Conformance Tests の DPoP 対応完了などが Final レビュー開始の前提として整えられた。

7. 今後の予定

2024 年 11 月完了直後の視点で、当時 WG が次月以降に予定していた動きは以下のとおり。

• 2024-12-04 Atlantic コール: 標準アジェンダで Final パブリックレビュー開始直前の最終調整を実施予定
• 2024-12-09 FAPI 2.0 Security Profile / Attacker Model Final パブリックレビュー開始: 60 日間（〜 2025-02-07）。Final 投票の前提プロセス
• FAPI 1.0 エラータでの normative change 取り込み: 11/28 ML #003229 で手続き的正当性が確認されたことを受け、FAPI 2.0 で確立された private_key_jwt aud 制限などを FAPI 1.0 エラータに反映する作業に着手予定
• FAPI 2.0 Message Signing の WGLC 開始: Final パブリックレビュー期間と並走して 2025 年初頭に開始予定
• JARM Errata 整備の WGLC 開始: 同じく 2025 年初頭を想定
• AU CDR Public Consultation への対応検討: 2024-12-24 締切。WG として個別意見を出すか、エコシステム情報共有に留めるかの判断
• 2024-12-25 / 12-26 / 2025-01-01 のコール: ホリデー期間のためキャンセル想定（実際 12 月 13 日に Mike Leszcz が一括キャンセル通知）

8. 参考情報源

メーリングリスト

• openid-specs-fapi メーリングリスト 2024-November アーカイブ - 11 月分 5 件
• ML #003225: FAPI 2.0 Conformance Tests Now Support DPoP - Mike Leszcz, 2024-11-07
• ML #003227: Reminder and draft agenda for 2024-11-20 Call - Nat Sakimura, 2024-11-20
• ML #003228: Updated invitation with note: FAPI WG Call (Atlantic) @ 2024-11-27 - Nat Sakimura, 2024-11-27
• ML #003229: Errata or dot-release - Nat Sakimura, 2024-11-28
• ML #003230: AU CDR Public Consultation due Dec. 24 - Nat Sakimura, 2024-11-30

議事録 (Bitbucket wiki)

• FAPI Meeting Notes Wiki (Bitbucket) - 議事録所在（FAPI_Meeting_Notes_YYYY-MM-DD_*）
• FAPI Meeting Notes 2024-11-27 Atlantic - ML #003229 で参照

公式アナウンス

• FAPI 2.0 Conformance Tests Now Support DPoP - 2024-11-07 公開、DPoP nonce 含む正式リリース

仕様

• FAPI 2.0 Security Profile (パブリックレビュー前ドラフト) - 11 月時点で Final レビュー直前の最終調整中
• FAPI 2.0 Attacker Model (パブリックレビュー前ドラフト) - 同上
• FAPI 1.0 Part 1: Baseline - エラータ整備対象（Issue #726 の前提）
• FAPI 1.0 Part 2: Advanced - 同上
• RFC 9449: OAuth 2.0 Demonstrating Proof of Possession (DPoP) - Conformance Tests に正式サポート追加
• RFC 9126: OAuth 2.0 Pushed Authorization Requests - FAPI 2.0 必須要素
• RFC 9101: The OAuth 2.0 Authorization Framework: JWT-Secured Authorization Request (JAR) - FAPI 2.0 必須要素

Issue トラッカー

• Bitbucket FAPI Issues - 11 月期は新規起票が ML 上で公示されず
• Bitbucket Issue #726: Private key jwt aud restrictions - 2024-12-09 起票。11/28 ML #003229 の手続き確認が前提

外部規制

• AU Treasury Consultation c2024-598346 - CDR 非銀行貸付拡張・銀行データ範囲縮小、2024-11-26 〜 2024-12-24

学術的裏付け

• Formal Security Analysis of the OpenID FAPI 2.0 Family of Protocols (ACM TOPS) - Daniel Fett ほか、2024 年採録。Final 化に向けた形式的検証

関連情報（後続プロセス）

• Public Review Period for Proposed Final FAPI 2.0 Specifications - 2024-12-09 開始、本月の準備の帰結