idbok

Appearance

OpenID Foundation FAPI WG 活動レポート (2024年12月)

執筆日: 2026-05-19(2024 年 12 月の活動を約 1 年 5 か月遡って再構成した遡及レポートです)

1. 概要

FAPI (Financial-grade API) Working Group は、金融 API をはじめとする高保証用途向けに OAuth 2.0 のプロファイルを策定する OpenID Foundation のワーキンググループである。2024 年 12 月時点の共同議長は Nat Sakimura (NAT Consulting)、Dave Tonge (Moneyhub)、Dima Postnikov、Anoop Saxena (Intuit) の 4 名、エディタ業務は Daniel Fett (Authlete)、Dave Tonge、Joseph Heenan (Authlete) を中心に進められていた。

2024 年 12 月は、FAPI 2.0 系仕様の Final 化サイクルが具体的に動き出した節目の月である。月の前半である 12 月 9 日に FAPI 2.0 Security Profile および FAPI 2.0 Attacker Model の 60 日間パブリックレビュー(〜 2025 年 2 月 7 日)が正式に開始され、Final 化投票(2025 年 2 月 8 日 〜 2 月 15 日)に向けた読みやすさ・参照健全性のレビューが本格化した。一方で、月の後半である 12 月 19 日には Dave Tonge から FAPI WG の再憲章 (re-charter) 提案 が ML に投函され、FAPI 2.0 系の Final 化完了を見据えた WG の活動範囲・存続形態をめぐる議論が開始された。

月内の主要な動きは以下のとおり。

  • 2024-12-04: Nat Sakimura が Atlantic コール(12 月 4 日 14:00 UTC)のリマインダーとアジェンダを投函(ML #003231
  • 2024-12-09: OIDF が「Public Review Period for Proposed Final FAPI 2.0 Specifications」を公示し、FAPI 2.0 Security Profile / Attacker Model の 60 日パブリックレビューを開始
  • 2024-12-09: Dave Tonge が Issue #726(Private key jwt aud restrictions)を起票(ML #003232)、Nat Sakimura が当日のうちに返信(ML #003233
  • 2024-12-11: Dave Tonge が当日の Atlantic コールを Nat および本人不在のためキャンセル(ML #003234
  • 2024-12-11: Daniel Fett が OAuth Security Workshop 2025(2025-02-26 〜 02-28、レイキャビク、Signicat 主催)の登録開始を告知(ML #003235
  • 2024-12-13: Mike Leszcz が年末年始ホリデー期間中のコール(12-25 Atlantic、12-26 Pacific、2025-01-01 Atlantic)を一括キャンセル(ML #003236 / #003237 / #003238
  • 2024-12-17: Michael Jones が openid.net 上の FAPI 関連リンクが Bitbucket を指したまま壊れている件を ML に報告(ML #003239
  • 2024-12-19: Dave Tonge が「Proposal to re-charter FAPI Working Group」を投函(ML #003240)

openid-specs-fapi ML の 2024-December アーカイブ には 10 件の投稿が収録されている。投稿件数自体は年末ホリデーシーズンで少なめだが、(1) FAPI 2.0 Final パブリックレビュー開始、(2) Issue #726 起票、(3) re-charter 提案、というそれぞれが今後の WG 運営の節目になる事象が集中した重要な月である。

2. 公開された仕様・ドラフト改訂

FAPI 2.0 Security Profile / Attacker Model — Final パブリックレビュー開始(2024-12-09)

12 月最大のイベントは、OIDF による Public Review Period for Proposed Final FAPI 2.0 Specifications の発出である。レビュー期間は 2024-12-09 〜 2025-02-07 の 60 日間 で、対象は次の 2 仕様。

  • FAPI 2.0 Security Profile
  • FAPI 2.0 Attacker Model

OIDF のプロセスとして、Final Specification として承認された仕様は以降の改訂が行われず、知的財産(IPR)保護が確定する。アナウンスは次のスケジュールを提示している。

日付イベント
2024-12-09 〜 2025-02-0760 日間のパブリックレビュー期間
2025-01-25 ごろOIDF メンバー向け Notice of Vote 発出予定
2025-02-01早期投票(Early voting)開始予定
2025-02-08 〜 2025-02-15本投票期間(7 日間、OIDF メンバー対象)

非メンバーはレビュー期間中に openid-specs-fapi ML 経由でコメント可能とされ、投票に参加するには Contribution Agreement の署名と ML 参加が要件である。

FAPI 2.0 Security Profile は、FAPI 1.0 Baseline/Advanced の後継としてシュトゥットガルト大学の独立セキュリティ分析を経て設計されたプロファイルで、PAR (Pushed Authorization Requests, RFC 9126)、DPoP (RFC 9449)、JAR (RFC 9101) を主要要素とする。Attacker Model はその設計前提を形式化した文書で、Security Profile と対をなす。

Issue #726 — Private key jwt aud restrictions(2024-12-09)

Dave Tonge は 12 月 9 日に Issue #726(Private key jwt aud restrictions)を起票し、ML #003232 で WG に告知した。目的は次のとおり要約される。

Bring the same language from fapi2 to fapi1 errata.

FAPI 2.0 Security Profile で確立された private_key_jwt クライアント認証時の aud (audience) クレーム制限の表現を、FAPI 1.0 のエラータにも取り込むという趣旨である。private_key_jwtaud には Token Endpoint URL を指定するのが OpenID Connect Core 由来の標準だが、リダイレクトやプロキシ越しの呼び出しを含む実装で aud の解釈差異がセキュリティ上の問題になりやすい。FAPI 2.0 ではこの曖昧さを排除する明確な表現を採用しており、それを FAPI 1.0 にもエラータとして遡及反映する論点である。

Nat Sakimura は同日のうちに ML #003233 で返信し、FAPI 1.0 が OpenID Connect の private_key_jwt 規定を参照している点を指摘した上で、「OIDC 側が同じ時間枠で更新される場合、その部分も合わせて修正される」と整理した。つまり、FAPI 1.0 エラータの文言整備は OIDC 仕様側の進行と整合させる必要があり、単独の FAPI 1.0 改訂で完結する話ではないという認識合わせである。Issue 自体はオープンのまま 2025 年に持ち越され、翌月以降の FAPI 1.0 エラータ整備(Issue #729: RAR 参照更新など)と合流していく。

openid.net 上の FAPI 仕様リンク不整合(2024-12-17)

Michael Jones は 12 月 17 日に ML #003239 で、openid.net 上の FAPI 関連仕様リンクが Bitbucket 上の存在しないパスを指したまま放置されている問題を報告した。具体的に指摘されたのは次の 4 種類。

  • FAPI-CIBA: Bitbucket の non-existent location を指しており、openid.net/specs の正式版に誘導すべき
  • FAPI 2 (Security Profile / Attacker Model): 同じく Bitbucket への参照になっている
  • Grant Management
  • FAPI 2 Message Signing

「WG 議長またはエディタは、これらのリンクを正しい openid.net/specs URL に修正してほしい」というシンプルだが Final 化を控えた時期には重要な指摘で、12 月 9 日に始まった Final パブリックレビューで実装者・レビュワーが仕様本文に辿り着けないというリスクに直結する。リンク修正自体は OIDF Web 担当の作業であり、ML 上の直接的な完了報告は確認できないが、翌月以降のレビュー期間中に解消されている。

FAPI 2.0 Message Signing / JARM — 12 月時点の状況

FAPI 2.0 Message Signing(非否認・メッセージ署名)は 12 月時点では WGLC 開始前の段階で、編集作業が継続中であった。Michael Jones の 12-17 リンク指摘で Message Signing リンクも対象に含まれており、ドラフト URL の整備が並走していたことが分かる。実際の WGLC 開始は翌 2025 年 1 月 8 日(Issue #727)まで持ち越される。

JWT Secured Authorization Response Mode (JARM) は 2022 年 11 月に Final 承認済みであり、12 月時点ではエラータ整備に向けた準備段階。WGLC は同じく 2025 年 1 月 8 日に開始される。

3. ミーティングと議論

FAPI WG は Atlantic コール(水曜 14:00 UTC、隔週)と Pacific コール(金曜朝、Asia-Pacific 帯)を運用している。2024 年 12 月分の各コールについて ML 上で確認できる情報を以下に整理する。Bitbucket wiki 上の議事録ページ(FAPI_Meeting_Notes_YYYY-MM-DD_*)は SPA レンダリングのため公開取得経路からは本文を抽出できず、ML 上のリマインダー・キャンセル通知から再構成する。

2024-12-04 Atlantic コール

Nat Sakimura は 12 月 4 日 13:42 UTC に ML #003231 で「Reminder and agenda」を投函。標準アジェンダは次のとおり。

  1. Roll Call (Dave/Nat)
  2. Adoption of Agenda (Dave/Nat)
  3. Events (Mike L.)
  4. External Orgs & Liaisons (Mike L.)
  5. PRs (Dave)
  6. Issues (Dave)
  7. AOB (Nat)

12 月 9 日の Final パブリックレビュー開始を直前に控えたタイミングであり、Security Profile / Attacker Model の最終調整、Message Signing の WGLC 準備、Issues バックログのトリアージなどがコール内で取り上げられたと推察される。ML 上に当日の議事録投稿は確認できないが、5 日後の Final パブリックレビュー開始を裏付けるエディタ作業がここで段取りされた可能性が高い。

2024-12-11 Atlantic コール(中止)

Dave Tonge は 12 月 11 日に ML #003234 で当日のコールをキャンセル。

Unfortunately we need to cancel the FAPI WG call today as Nat and I can't make it.

共同議長の Tonge と Sakimura が同時に不在というスケジュール都合での中止であった。

2024-12-13 ホリデー期間中の一括キャンセル

Mike Leszcz は 12 月 13 日に、年末年始の 3 つのコールをまとめてキャンセル通知。

  • 2024-12-25 Atlantic コール(9am-10am EST)— ML #003237、理由: "Meeting cancelled due to the holiday."
  • 2024-12-26 Pacific コール(8pm-9pm EST)— ML #003236、理由: "Meeting cancelled due to the holidays."
  • 2025-01-01 Atlantic コール(9am-10am EST)— ML #003238、理由: "Meeting cancelled due to the holiday."

クリスマス・年末年始の影響で、12 月 11 日のキャンセルと合わせて 12 月後半のコールは事実上ゼロに近い運用となった。年明け最初のコールは 2025 年 1 月 8 日 Atlantic コールに持ち越されることになる。

2024-12-18 Atlantic コール

ML 上にキャンセル通知が見当たらないため、12 月 18 日の Atlantic コールは通常通り開催された可能性が高い。翌日の Tonge による re-charter 提案投函(12-19)が、このコールでの議論を ML に展開した流れと整合する。ただし当日のリマインダー・議事録投稿は ML 上に確認できない。

4. メーリングリストの主要スレッド

2024 年 12 月の openid-specs-fapi ML は 10 件の投稿を含む。技術内容・WG 運営方向性を中心とする主要スレッドを 4 本選定する。

Proposal to re-charter FAPI Working Group — 2024-12-19 Dave Tonge

ML #003240 は、FAPI WG の今後の活動範囲・存続形態を問い直す節目の投函である。Tonge は新しい憲章草案として、ミッションを次のように再定義することを提案した。

セキュリティとプライバシー推奨事項およびプロトコルを提供し、アプリケーションが安全な API を提供・利用できるようにする

旧憲章が「JSON Schema」「Financial API」という金融特化の表現を含むのに対し、新憲章は 「金融」という業種限定を外し、技術範囲をセキュリティ・プライバシーに絞る 構成である。提案された現在の作業範囲は次の 2 点。

  1. FAPI 2.0 ファミリー仕様の完成作業(Security Profile / Attacker Model の Final 化、Message Signing の WGLC・Final 化、Grant Management 等)
  2. FAPI 1.0 および JARM のエラータ管理

最も重要な視点として、Tonge は「FAPI 適合性テスト (Conformance Test) の継続運用に基づき、金融・医療・その他業界にわたるセキュア API 移行を支援し続ける必要がある。今後活動ペースは低下する可能性があるが、長期的には WG をアクティブに保つ必要がある」と整理した。FAPI 2.0 Final 化完了後の WG を「クローズして役目終了」とするのではなく、適合性テストを抱えるエコシステム責任主体として維持し、ペースを落としつつエラータと拡張に対応するという方向性である。

Berlin Group の Wallet 連携イニシアチブ(翌 2025 年 1 月の ML #003249 で Anders Rundgren が持ち込む論点)に対し、FAPI WG が「Wallet API war には参戦しない」という立場の前提となる文書でもある。Wallet 系仕様策定は DCP WG (Digital Credentials Protocols) が主導し、FAPI WG は OAuth 2.0 ベースの Open Banking / Open Finance に集中するという棲み分けである。

ML 上ではこの提案への直接的な返信スレッドは 12 月内には確認できない(年末ホリデーの影響)。実質的な議論は翌 2025 年以降のコール・ML で継続される。

Issue #726: Private key jwt aud restrictions — 2024-12-09 Tonge / Sakimura

ML #003232 で Dave Tonge が FAPI 1.0 エラータに FAPI 2.0 の private_key_jwt aud 制限表現を取り込む提案を起票し、同日の ML #003233 で Nat Sakimura が「FAPI 1.0 は OpenID Connect の private_key_jwt 規定を参照しているので、OIDC 側が同じタイミングで更新される場合はそちらも合わせて修正される」と応答する短いやり取り。FAPI 1.0 エラータ整備が OIDC Core エラータと連動して進む構造を確認した点が要点であり、独立した FAPI 単独の改訂で済まない論点であることがこの段階で認識共有された。

ML #003239 は、Microsoft(当時。後に Self-Issued Consulting)の Michael Jones による Web リンク不整合の指摘である。FAPI-CIBA、FAPI 2 (Security Profile / Attacker Model)、Grant Management、FAPI 2 Message Signing のリンクが openid.net 上で Bitbucket を指したまま壊れている点が列挙された。

「Final パブリックレビューを開始したのに、レビュワーが仕様本文に辿り着けない」という運用品質の問題で、Final 化に向けた読みやすさ確保の観点で重要な指摘である。技術論点ではないが、Final 投票直前に Web 担当が修正する必要があるアイテムとして ML にトレースが残った。

🌋 Registration open | OAuth Security Workshop 2025 — 2024-12-11 Daniel Fett

ML #003235 で Daniel Fett が OAuth Security Workshop 2025 の登録開始を告知。

  • 開催日: 2025-02-26 〜 2025-02-28
  • 場所: アイスランド・レイキャビク(Signicat 主催)
  • 登録 URL: https://oauth.secworkshop.events/osw2025#h.8vvhholy35zc
  • セッション提案締切: 2025-01-12

OSW は FAPI WG のエディタ陣・セキュリティ研究者が定期参加する場で、シュトゥットガルト大学による FAPI セキュリティ分析の共有もここで継続されてきた。Final 化投票の翌週というスケジュールは、Final 化完了報告と次の Message Signing Final 化に向けた議論を行う絶好の場として WG メンバーが位置づけていた。

5. Issue トラッカー上の動き

FAPI WG の Issue トラッカーは Bitbucket (bitbucket.org/openid/fapi/issues) で運用されている。2024 年 12 月の ML 上で明示的に起票・言及された Issue は次の 1 件。

Issue #内容
#726Private key jwt aud restrictions。Dave Tonge が 2024-12-09 起票。FAPI 2.0 の private_key_jwt aud 制限表現を FAPI 1.0 エラータに取り込む提案。Nat Sakimura が OIDC Core との連動性を指摘して継続中

Bitbucket Cloud は SPA レンダリングのため Issue 本文の自動取得が困難で、本月の議論内容は ML 上のスレッドから再構成している。

新規 Issue 起票が 12 月は 1 件にとどまった背景には、(1) Security Profile / Attacker Model が Final パブリックレビュー期間に入り編集面の収束を志向していたこと、(2) 年末ホリデー期間の活動低下、の 2 つの要因がある。翌 2025 年 1 月にかけて Message Signing / JARM / FAPI-CIBA 関連の Issue #727 〜 #731 が一気に起票される伏線として、12 月は静かに準備が進んだ月と位置づけられる。

6. 関連イベント

FAPI 2.0 Final パブリックレビュー開始(2024-12-09)

12 月の最重要マイルストーン。Public Review Period for Proposed Final FAPI 2.0 Specifications として OIDF から公示され、Security Profile / Attacker Model の 60 日間レビューが始動した。OIDF プロセスでは Final 投票の前提となる必須プロセスで、レビュー終了は 2025-02-07、本投票は 2025-02-08 〜 2025-02-15 を予定。

OAuth Security Workshop 2025 登録開始(2024-12-11)

Daniel Fett のアナウンス(ML #003235)で告知。FAPI WG の Final 化サイクルと密接にリンクするコミュニティイベント。

Bitbucket Cloud の長期動向(背景)

12 月時点では明示的な ML 言及はないが、Atlassian が Bitbucket Cloud Issues/Wiki の長期的な扱いを変えていく方針が業界で議論されており、FAPI WG が今後 GitHub への移行をいつ・どう実行するかは、re-charter 提案の文脈とも交差する論点として残った。

7. 今後の予定

2024 年 12 月完了直後の視点で、当時 WG が次月以降に予定していた動きは以下のとおり。

  • FAPI 2.0 Security Profile / Attacker Model パブリックレビュー継続: 2025-02-07 まで。レビュー期間中に重大な技術コメントが入った場合のドラフト調整
  • Notice of Vote 発出: 2025 年 1 月下旬を目処に OIDF Secretary から発出予定
  • FAPI 2.0 Final 化投票: 2025-02-01 早期投票開始、2025-02-08 〜 2025-02-15 本投票
  • FAPI 2.0 Message Signing の WGLC 開始: Final パブリックレビュー期間中に並走して開始予定(実際の WGLC 開始は 2025-01-08)
  • JARM Errata 整備の WGLC 開始: 同じく 2025-01-08 を予定
  • FAPI 1.0 エラータ整備(Issue #726 等): OIDC Core 側の更新と連動して継続
  • FAPI WG 再憲章提案の議論継続: 2024-12-19 Tonge 提案を WG コール・ML で揉み、Final 化完了後の WG 形態を確定させる
  • OAuth Security Workshop 2025: 2025-02-26 〜 02-28 レイキャビク。Final 化完了後の最初のセキュリティコミュニティ集会
  • openid.net 上の壊れたリンク修正: Michael Jones の指摘(ML #003239)対応、Final レビュー期間中の優先事項

8. 参考情報源

メーリングリスト

議事録 (Bitbucket wiki)

公式アナウンス

仕様

Issue トラッカー

関連情報