idbok

Appearance

OpenID Foundation FAPI WG 活動レポート (2025年2月)

執筆日: 2026-05-18(2025 年 2 月の活動を約 1 年 3 か月遡って再構成した遡及レポートです)

1. 概要

FAPI (Financial-grade API) Working Group は、金融 API をはじめとする高セキュリティ用途向けに OAuth 2.0 のプロファイルを策定する OpenID Foundation のワーキンググループである。共同議長は Nat Sakimura、Dave Tonge、Dima Postnikov、Anoop Saxena が担い、エディタ業務は Daniel Fett(Authlete)、Dave Tonge(Moneyhub)、Joseph Heenan(Authlete)が中心となって担っている。

2025 年 2 月は FAPI WG にとって画期的な月であった。前年 12 月 9 日に始まった 60 日間のパブリックレビュー期間が 2 月 7 日に終了し、続いて FAPI 2.0 Security Profile および FAPI 2.0 Attacker Model の Final 化投票が実施されたためである。投票は 2 月 1 日からの早期投票、2 月 8 〜 15 日の本投票期間を経て、2 月 19 日に**承認 82・反対 0・棄権 14(総投票数 96、定足数 20% を超える 23.9%)**で正式に Final として可決された。2 月 22 日には fapi-security-profile-2_0-final.html および fapi-attacker-model-2_0-final.html として Final 版仕様が openid.net/specs/ から正式公開された。両仕様は シュトゥットガルト大学(University of Stuttgart)による形式的セキュリティ分析を経た成果であり、Final ステータスにより仕様に対する知的財産保護(IPR 保護)と「以降は改訂を行わない」という確約が付与された。

月内の主要な動きは以下のとおり。

  • 2025-02-07: 60 日間のパブリックレビュー期間終了
  • 2025-02-12 Atlantic コール: Final 化投票への移行確認、Message Signing スペック調整議論
  • 2025-02-19: Final 投票結果アナウンス(82 / 0 / 14)と同日の Atlantic コール(11 名参加、「FAPI 2.0 Security profile and attacker model is FINAL」を全体で確認)
  • 2025-02-22: FAPI 2.0 Security Profile / Attacker Model Final 版が openid.net/specs/ で正式公開
  • 2025-02-26 Atlantic コール: Final 化後の波及対応(リンク修正、Message Signing 次フェーズ、ID2→Final 差分文書化)
  • 付随的議題: FAPI 1/2 比較表の Implementation Guide への移管(Issue #736)、Message Signing への History 節追加(Issue #735)、acknowledgement 更新(Issue #732)、BCP→RFC 9700 への参照更新(Issue #733)

ML アーカイブ (2025-February) は 20 件の投稿を収録しており、Final 化の節目にあたる月としては比較的引き締まった件数だが、技術内容を含む投稿密度(特に Issue 提起と仕様リンク是正スレッド)は前後の月より高い。

2. 公開された仕様・ドラフト改訂

FAPI 2.0 Security Profile と FAPI 2.0 Attacker Model — Final 化

2025 年 2 月の中核成果は、FAPI 2.0 の二本柱仕様の Final 化である。Final ステータスは「仕様に対する知的財産保護を実装者に提供し、以降の改訂を行わない」ものであり、Implementer's Draft とは性質が決定的に異なる。

投票・公開のタイムライン

日付イベント
2024-12-09 〜 2025-02-0760 日間のパブリックレビュー期間
2025-01-24Notice of Vote(Marie Jordan 発出)
2025-02-01早期投票(Early voting)開始
2025-02-08 〜 2025-02-15本投票期間
2025-02-19Final 承認アナウンス(Marie Jordan, OIDF Secretary。Approve 82 / Object 0 / Abstain 14)
2025-02-22Final 仕様を openid.net/specs/ から正式公開

Final 版の編者と背景

FAPI 2.0 Security Profile Final 版の編者は Daniel Fett (Authlete)、Dave Tonge (Moneyhub)、Joseph Heenan (Authlete) の 3 名。Implementer's Draft 2.0 段階で実施されたシュトゥットガルト大学による形式的セキュリティ分析(Web Infrastructure Model に基づく証明)の成果を取り込んでおり、Open Banking/Open Data エコシステムが直面する高保証認可シナリオを規範的にカバーする。

ID2 から Final への差分文書化の必要性

Final 化投票完了に先んじて、Joseph Heenan は 2 月 5 日 14:21 UTC に「Summary of changes between FAPI2SP ID2 and final」(Issue #734)を ML に投稿し、次のように述べている:

It'd be useful if we had a 'semi official' list of differences between ID2 and final, that we can mention in a blog post announcing final when the vote finishes.

Heenan は「OIDF は様々なエコシステムから『何が変わったのか』という問い合わせを受けることが予想される」と述べ、現行ドラフトの history/changelog 節を素材として Final 公告ブログに添える「半公式」差分リストを準備する必要性を提起した。これは 1 か月後(2025-03-20)に公開される Implementer's Guide: FAPI 2.0 Final vs. Implementer's Draft 2.0 の直接の発端である。

Final 化に直結する細部の規範整備(Issue #732, #733)

Joseph Heenan は 2 月 5 日に二つの後始末 Issue を立てている。

  • Issue #732(FAPI2 acknowledgement updates): Authlete の Hideki Ikeda を acknowledgement に追加すること、および自身が記載漏れと感じる者は名乗り出るよう WG に呼びかけた(ML #003252
  • Issue #733(fapi2 security profile / attacker model - update security BCP to RFC): 旧来「OAuth 2.0 Security Best Current Practice(BCP)」として参照していた文献を、2025 年 1 月に RFC 9700 として正式 RFC 化されたものに更新する作業(ML #003253

両 Issue は規範参照を Final 公開前に整える編集作業であり、Final 仕様の参照健全性に直接寄与する。

FAPI 2.0 Message Signing — 次の Final ターゲット

Security Profile / Attacker Model の Final 化を受け、WG の次のターゲットは Message Signing である。2 月 19 日 Atlantic コール議事録(後述)には「Message signing specification awaits researcher security analysis before final submission」と明記されており、研究者による独立セキュリティ分析を経たうえで Final 化投票に進める方針が確認された。

Dave Tonge は 2 月 12 日 10:51 UTC に「Add history section to message signing spec (openid/fapi)」(Issue #735)を提起し、「To get this published for final we need to update the history section」と Final 公開要件として history 節整備を自らアサインした。Final 化作業のテンプレートを Security Profile から踏襲して Message Signing に適用する流れである。なお実際の Notice of Public Review for Message Signing は約 3 か月後の 2025 年 5 月 29 日まで持ち越されることになる。

FAPI 1/FAPI 2 比較表の Implementation Guide への移管

Dima Postnikov は 2 月 17 日 23:02 UTC に「Move FAPI1/FAPI2 comparison table from FAPI2 spec to implementation guide」(Issue #736)を提起。FAPI 2.0 Security Profile 本文に同居していた「FAPI 1 と FAPI 2 の比較表」を、規範文書から実装ガイドへ移管する提案である。比較表は規範要件ではなく実装者向けの参考情報であり、Final 化された Security Profile 本文をクリーンに保ち、別途公開予定の Implementer's Guide 側に集約する方向性が示された。これは結果的に翌 3 月公開の Implementer's Guide: FAPI 2.0 Final vs. Implementer's Draft 2.0 に統合されていく流れの一部である。

3. ミーティングと議論

FAPI WG は Atlantic コール(隔週水曜 14:00 UTC)と Pacific コール(金曜朝、Asia-Pacific 向け)を運用している。2025 年 2 月に確認できる各コールは以下のとおり。

2025-02-06 Pacific コール(リマインダー確認)

Nat Sakimura は 2 月 5 日 23:45 UTC に「Reminder and the draft agenda of the call」を発出。Pacific コール(FAPI WG の Asia-Pacific 帯)向けで、標準アジェンダ(Antitrust Statement → Roll Call → Adoption of Agenda → Events → External Organisations → PRs and Issues → AOB)構成。コール直前のリマインダーで、議事録ドラフトは ML に直接配信されていない(Pacific コールの議事録は Bitbucket wiki に集約される運用)。

2025-02-12 Atlantic コール

Nat Sakimura は当日 13:12 UTC(コール開始 45 分前)に「Call reminder and draft agenda」を発出。本投票期間中(2 月 8 〜 15 日)に開かれた最後の Atlantic コールで、Final 投票がまさに進行している状況下で開催された。投票最中のため、Final 後の波及対応(差分文書、コンフォーマンステスト、Message Signing 次ステップ)について先回りの議論が中心になったと見られる。

2025-02-19 Atlantic コール — Final 化の節目

Final 投票結果アナウンス日と同日に開催。Nat Sakimura は同日 11:26 UTC に「Call reminder and the draft agenda」を、同日中に「Meeting notes for 2025-02-19 Atlantic call」を ML に共有した。議事録ドラフト(Bitbucket wiki: FAPI_Meeting_Notes_2025-02-19_Atlantic)から確認できる要点:

  • 参加者: 11 名(Nat Sakimura, Dave Tonge, Mike Leszcz, Dima Postnikov, Bjorn Hjelm, Hideki Ikeda, Filip Skokan, Peter Wallach, Robert Gallagher, George Fletcher, Peter Stanley, Kosuke Koiwai 等。Zoom、14:00 GMT 開催)
  • 頭出し宣言: 「FAPI 2.0 Security profile and attacker model is FINAL」を全体で確認
  • エコシステム動向: 2025 年 1 月は認証要求が活発化。Brazil(Open Finance/Open Insurance)の年次 FAPI 再認証進行中。Chile CMF とリファレンスアーキテクチャ整備で調整中
  • 技術 PR: クロスデバイスフロー PR に対し、追加の文書化が必要との指摘
  • Message Signing: 研究者によるセキュリティ分析を待ってから Final 提出するとの整理
  • Issues: FAPI 1/2 比較表は承認済み仕様に残存(移管は Implementer's Guide 側で対応)、ID2 と Final の差分文書化を進行中、state パラメータ長要件は実装ガイド側の素材と整理
  • Events: OSW 2025(Reykjavik, 2/26 〜 2/28)、DICE(Zurich, 3/4 〜 3/5)、ISO/IEC 会議(Fairfax, 3/10 〜 3/18)、MOSIP Connect(Philippines, 3/11 〜 3/13)、IETF(Bangkok, 3/15 〜 3/21)、OIDF Workshop(Mountain View, 4/7)、IIW Spring 2025(4/8 〜 4/10)を WG として把握

このコールは「Final 化を受けて WG が何を次にやるか」を確認する場として実質的に機能した。

2025-02-26 Atlantic コール

Nat Sakimura は当日 13:30 UTC(コール開始 30 分前)に「FAPI WG Atlantic Call in 30 min」を発出し、同日中に「Meeting notes for 2025-02-26 Atlantic call now available」として議事録通知を行った(Bitbucket wiki: FAPI_Meeting_Notes_2025-02-26_Atlantic)。Final 公開(2/22)直後のコールであり、§4 で扱う「openid.net/wg/fapi/specifications/ ページのリンク不整合」議論がコール内 Issues 枠で取り上げられた可能性が高い(Heenan が同日 10:28 UTC に「old URL からリダイレクトを設定済」と ML 報告しているため)。

Pacific コール(2 月後半)

ML 上には 2 月 6 日 Pacific コールのリマインダー以外に Pacific コールの直接の議事録通知は確認できない。隔週運用の構造から推察すれば 2 月 20 日もしくは類似日付に開催された可能性があるが、ML 上のドラフト議事録投稿は確認できない。

4. メーリングリストの主要スレッド

2 月の openid-specs-fapi ML は 20 件の投稿を含み、技術内容を含むスレッドは以下の 4 本に集約される。

Summary of changes between FAPI2SP ID2 and final — 2025-02-05 Heenan

ML #003254 で Joseph Heenan が「Final 公告ブログに添える『半公式』ID2→Final 差分一覧の準備」を WG に提起。狙いは Final アナウンス時点でエコシステムからの「何が変わったのか」問い合わせに即応できる状態を作ることである。Heenan は「既存の history/changelog 節を素材にできるが、公告向けに整理・編集が必要」と述べ、編集ワークの主体が誰かを明確にしないまま WG に呼びかけた。本スレッドは個別の技術論争には発展しなかったが、結果として 1 か月後に Dima Postnikov 主筆の Implementer's Guide が公開されるルートを開いた、戦略的な布石としての投稿である。

Questions about Authorization Server Requirements — 2025-02-14 DeCock

ML #003259 で Joe DeCock(Duende Software)が FAPI 2.0 Security Profile の 5.3.2.1 節「Authorization Server Requirements」 について 3 点の技術質問を投稿(投票期間中)。論点は以下:

  1. Clock skew 適用範囲: iat / nbf 検証時のクロックスキュー許容について、適用対象となる JWT 種別はどれか。候補として private_key_jwt のクライアント認証アサーション、DPoP proof token、JWT 形式アクセストークン、JAR リクエストオブジェクト(FAPI 2 は PAR 重視だが)、id_token_hint 用 ID Token を挙げた
  2. exp クレームの扱い: iat / nbf と類似のクロックスキュー考慮が exp に対しても明文化されていない理由
  3. 「may」表現の解釈: 同節 item 10 の「may」が「要件」か「示唆」かの解釈確認

本投稿はまさに Final 化投票の最中に行われており、DeCock は冒頭で「FAPI 2.0 が Final になることへの期待」を表明したうえで詳細実装レベルの確認に踏み込んでいる。Final 投票には影響しない(仕様本文は凍結フェーズ)が、Final 後の Implementer's Guide や次版(Message Signing、または将来の Errata)で扱うべき細部論点として WG 内に記録された。

Michael Jones が 2 月 19 日 19:39 UTC に ML #003262 で「openid.net/wg/fapi/specifications/ ページの複数リンクが誤っている」と報告。具体的な指摘は次のとおり:

  • FAPI-CIBA のリンクが存在しない Bitbucket ロケーションを指している(正: https://openid.net/specs/openid-financial-api-ciba.html
  • FAPI 2 系(Security Profile、Grant Management、Message Signing)のリンクが openid.net/specs/ ではなく Bitbucket リポジトリを指している
  • 加えて https://openid.net/developers/specs/ も Final 化された FAPI 2 を反映する必要がある

Jones は WG 議長または編集者にリンク是正を依頼した。これは Final アナウンス当日に「公式ページから新 Final 仕様にたどり着けない」状態が発覚したという、タイミング的に深刻な指摘である。

Gail Hodges(OIDF Executive Director)は 20:17 UTC(投稿の 37 分後)に ML #003263 で即座に反応し、「Elizabeth と Stephanie にウェブサイト修正リストの上位に置くよう依頼してほしい」とエスカレーション。FAPI WG ページへの被リンク先が Final 仕様にたどり着けるようにすることの優先度を強調した。

Nat Sakimura は翌 2 月 20 日 02:33 UTC に ML #003265 で「https://openid.net/wg/fapi/specifications/https://openid.net/developers/specs/ の両方を更新した」と報告。短く「Elementor is so hard to deal with...」と編集ツール(WordPress 用ページビルダー)への愚痴を漏らしている。

ここから議論はリンク是正の次フェーズへ。Filip Skokan が 2 月 21 日 21:56 UTC(ML #003266)で次の論点を持ち込んだ:

Is there any chance for this 'final-looking' link to be redirected to the final spec?

これは https://openid.net/specs/fapi-2_0-security-profile.html のようなバージョン記号を含まない素のファイル名を、Final 仕様ファイルへリダイレクトするべきではないか、という提案である。

Brian Campbell は 2 月 25 日 08:21 UTC(ML #003267)で Skokan に賛同し、「Doesn't the unadorned file name usually point to the most recent version?」と簡潔に問い返した。Michael Jones は同日 09:18 UTC(ML #003268)で OpenID Foundation の従来慣行を改めて明文化:

the names without -final or -05 refer to the latest version. That's normally what we link to from our websites.

そして Joseph Heenan が 2 月 26 日 10:28 UTC(ML #003269)で根本原因を「spec ファイルがリネームされたこと」と特定し、https://openid.net/specs/fapi-2_0-security-profile.html から Final ロケーションへのリダイレクトを実装済みと報告して着地。Final 化直後の「Web 公開導線の最後の 1 ピース」を埋める実務的なやり取りで、6 名(Jones、Hodges、Sakimura、Skokan、Campbell、Heenan)が短期間に連携した好例である。

EIC Submission: Open Banking - Global FAPI Ecosystems Roundup — 2025-02-06 Rundgren

Anders Rundgren が ML #003255 で、Nat Sakimura が WG を代表して EIC 2025(European Identity Conference)に提出したパネルセッション案について言及。提出パネルのスコープは「Open Banking ecosystems powered by the OpenID Foundation's FAPI are emerging across multiple continents, shaping the future of secure and interoperable financial APIs」というもので、複数大陸で進展する FAPI ベース Open Banking エコシステムの包括的レビューを目的とする。Rundgren 自身は EU デジタル ID ウォレットアーキテクチャに関する GitHub 議論への参照も併せて投じた。EIC 2025 Open Banking セッションは 2 か月後の 4 月後半に向けたデータ収集(4 月の Dima Postnikov 主導スプレッドシート)の遠因となる。

5. Issue トラッカー上の動き

FAPI WG の Issue トラッカーは Bitbucket(bitbucket.org/openid/fapi/issues)で運用されており、GitHub 側に公開仕様リポジトリはこの時点では存在しない。2 月の ML 上で明示的に言及された Issue は以下の 5 件。

Issue #内容
#732FAPI2 acknowledgement updates。Joseph Heenan が 2 月 5 日提起。Hideki Ikeda(Authlete)追加、その他漏れの自己申告呼びかけ
#733FAPI2 Security Profile / Attacker Model の参照を旧 OAuth Security BCP から RFC 9700 に更新。Joseph Heenan が 2 月 5 日提起
#734Summary of changes between FAPI2SP ID2 and final。Joseph Heenan が 2 月 5 日提起、Final アナウンス用の ID2→Final 差分一覧を準備するための起案 Issue
#735Message Signing 仕様への history 節追加。Dave Tonge が 2 月 12 日提起・自アサイン。Final 公開要件の前提整備
#736FAPI1 / FAPI2 比較表を Security Profile 本文から Implementation Guide へ移管。Dima Postnikov が 2 月 17 日提起

Issues 枠は Atlantic コール内で Dave Tonge がリードしてレビューする運用が継続しており、ML 上に登場しない既存 Issue 群(FAPI 1.0 / 2.0 のオープン Issues)はコール内で並行レビューされていると見られる。

6. 関連イベント

FAPI 2.0 Security Profile / Attacker Model Final 公開(2025-02-22)

2 月最大のイベントは、Final 化された 2 仕様の openid.net/specs/ への正式掲載である。Final 仕様の公開は OIDF Final Specification プロセスの形式的な最終段階で、知的財産保護条項が発効する。実装ベンダー・認証エコシステム(Brazil Open Finance/Open Insurance、UK Open Banking、AU CDR 等)にとっては、これ以降の改訂が行われないことが約束された「凍結ターゲット」が確定したことを意味する。

OpenID Security Workshop (OSW) 2025(2025-02-26 〜 02-28, Iceland)

2 月 19 日 Atlantic コール議事録に「OSW(Iceland, Feb 26-28)」が WG として把握すべきイベントとして列挙されている。OSW(OpenID Security Workshop)は OIDF が主催するセキュリティ研究者・実装者向けの非公開ワークショップで、FAPI 2.0 の Final 化と同月開催という象徴的なタイミングで実施された。WG メンバーの参加状況の詳細は ML 上には記載されていない。

4 月以降の主要イベント(2 月時点での先行案内)

2 月 19 日 Atlantic コール議事録には、続く 4 月以降の重要イベントが先行案内として記載されている:

  • 2025-04-07: OpenID Foundation Workshop(Google Mountain View、IIW Spring 前日枠)
  • 2025-04-08 〜 04-10: Internet Identity Workshop(IIW Spring 2025、第 40 回 IIW XL)

これらは Final 化された FAPI 2.0 SP / Attacker Model を実装者コミュニティに広く周知する場として WG が想定していたものであり、月内には準備段階の確認にとどまる。

7. 今後の予定

2025 年 2 月完了直後の視点で、当時 WG が次月以降に予定していた動きは以下のとおり。

  • Final アナウンスのブログ整備: Joseph Heenan 提起の ID2→Final 差分文書(Implementer's Guide 形態)の早期公開。Dima Postnikov を中心に Medium 個人版と OIDF 公式ブログ版を並走で準備(3 月中の公開を目標)
  • FAPI 2.0 Final コンフォーマンステスト整備: Certification Team との連携、テストスイート Final 版の準備
  • FAPI 2.0 Message Signing Final 化準備: 研究者によるセキュリティ分析の依頼・完了、history 節整備(Issue #735)。Notice of Public Review 発出に向けた WG 内最終レビュー(実際の Notice of Public Review は 2025-05-29 に発出される)
  • FAPI 1/2 比較表の Implementer's Guide 側への移管(Issue #736): 規範文書のクリーン化
  • openid.net/wg/fapi/specifications/ および /developers/specs/ のリンク是正フォロー: Sakimura / Heenan によるリダイレクト整備の継続
  • エコシステム拡大: Brazil(Open Finance/Open Insurance 再認証)、Chile(CMF のリファレンスアーキテクチャ整備)への継続関与
  • EIC 2025 Open Banking セッション準備: 提出済みパネルが採択された場合の登壇者調整・データ収集

8. 参考情報源

メーリングリスト

議事録 (Bitbucket wiki)

仕様

公式アナウンス

Issue トラッカー

関連情報