idbok

Appearance

OpenID Foundation FAPI WG 活動レポート (2025年3月)

執筆日: 2026-05-18(2025 年 3 月の活動を約 1 年遡って再構成した遡及レポートです)

1. 概要

FAPI (Financial-grade API) Working Group は、金融 API をはじめとする高セキュリティ用途向けに OAuth 2.0 のプロファイルを策定する OpenID Foundation のワーキンググループである。共同議長は Nat Sakimura、Dave Tonge、Dima Postnikov、Anoop Saxena が担い、エディタ業務の中心は Joseph Heenan(Authlete)が担っている。

2025 年 3 月時点では、2025 年 2 月 22 日に FAPI 2.0 Security ProfileFAPI 2.0 Attacker Model が Final として確定したばかりで、WG の関心は「Final 化直後の波及対応」と「次に Final 化を狙う FAPI 2.0 Message Signing の前進」に移っていた。月内に確認できる主な動きは以下のとおり。

  • FAPI 2.0 Final 移行ガイドの公式公開(3 月 20 日): Dima Postnikov(OIDF Vice Chairman)執筆、Nat Sakimura・Ralph Bragg・Filip Skokan・Joseph Heenan・Gail Hodges が貢献者として名を連ねる Implementer's Guide が openid.net ブログで公開された
  • OIDF 公式ブログ「Standardized and Fine Grained Authorization with OAuth 2 Grant Management and RAR」公開(3 月 19 日): Postnikov / Hodges の共著で、新規エコシステムに対する「FAPI 2.0 Security Profile + Grant Management + RAR」推奨を打ち出した
  • Atlantic コール 3 回開催(3 月 5 日・3 月 19 日・3 月 26 日)、3 月 12 日 Atlantic コールはチェア不在(ISO ミーティング出張)により中止
  • 新規 Bitbucket Issue 2 件提起: Issue #737「FAPI 2 Security Profile Final conformance tests」(Dave Tonge)、Issue #738「Create an Ecosystem comparison table」(Nat Sakimura)
  • ISO/IEC 関連メンバーの稼働: 3 月 12 日コール中止は、議長たちが ISO ミーティング出張中であったことが直接の理由として明記された

openid-specs-fapi ML アーカイブ(2025-March)は 11 件の投稿のみを収録しており、これは前月(Final 確定月)および翌 4 月(20 件)と比べて静かな月である。Final 化直後の「移行ガイドを書き、コミュニティに浸透させる」フェーズに WG リソースが集中していたことが、ML 件数とブログ公開ペースの両面から読み取れる。

2. 公開された仕様・ドラフト改訂

FAPI 2.0 Final 移行ガイド(2025-03-20 公開)

OIDF は 3 月 20 日に Implementer's Guide: FAPI 2.0 Final vs. Implementer's Draft 2.0 を公開した。執筆は Dima Postnikov、貢献者として Gail Hodges、Nat Sakimura、Ralph Bragg、Filip Skokan、Joseph Heenan が記載されている。これは 2 月 22 日に Final となった FAPI 2.0 Security Profile に対し、Implementer's Draft 2.0 から本番化を進めていた実装者がどの差分に対応すべきかを整理した実装者向け文書である。

文書中で具体的に列挙された主要な規範的変更点は以下のとおり:

  • クライアント認証アサーションの aud クレーム: aud の値として「issuer identifier の値のみを許容する」要件に整理された。private_key_jwt 等で複数の audience 値(トークンエンドポイント URL 等)を併用していた実装は見直しを要する
  • TLS 要件 (BCP195): BCP195 の改訂に「公開から 12 か月以内に追随」することが要件化された。直近の BCP195 更新で推奨リストから削除された暗号スイートを使用する実装は移行が必要
  • 楕円曲線鍵長: Authorization Server が用いる楕円曲線鍵は「最小 224 ビット」であることが明文化された(NIST ガイドラインに準拠)
  • Clock skew 許容: JWT の iat / nbf について「未来方向に 0〜10 秒は受容、60 秒を超えるものは拒絶」という運用範囲が明確化された
  • request_uri の使い捨て化: 認可ステージで「ユーザの選択結果に関わらず request_uri を無効化する」運用に整理。Implementer's Draft 段階での曖昧さを取り除いた
  • Refresh Token Rotation 非要件化: confidential client + sender-constrained access token の組み合わせを前提とすることで、Refresh Token Rotation を要件から外す。エコシステムレベルでも「Refresh Token Rotation の撤廃」を AS に求めるべきとされる(インフラ移行等の例外を除く)

また、既存要件の「明確化」として以下が併記された:

  • AS が confidential client のみをサポートすること
  • PAR (RFC 9126) のリクエストには client_idrequest_uri を除く全認可パラメータを含めること
  • response_type=code の Authorization Code Grant が必須であること
  • 相互運用性のため nonce 長は 64 文字以下に抑えること

この移行ガイドは、§2 後段で扱う Grant Management / RAR 推奨ブログと合わせて、3 月の FAPI WG が外向きに発信した中核ドキュメントである。

Grant Management + RAR 推奨ブログ(2025-03-19 公開)

3 月 19 日、Dima Postnikov と Gail Hodges 共著の OIDF 公式ブログ Standardized and Fine Grained Authorization with OAuth 2 Grant Management and Rich Authorization Requests が公開された。同内容の Postnikov 個人 Medium 版 Standardized fine-grained authorization using OAuth2 Grant Management and OAuth2 Rich Authorization Requests も同日公開されている。

本ブログの主張は以下:

  • Grant Management は AS が grant_id で個別認可(grant)を識別できる標準的な仕組みを提供し、サードパーティが特定の認可を閲覧・更新・撤回できる API を標準化する。既存のオープンバンキング・エコシステムが個別に作っている「Consent API」「Intent API」相当を標準で代替できる
  • Rich Authorization Requests (RAR, RFC 9396) は「OAuth 2.0 の scope パラメータでは表現が不十分な、複雑できめ細かい認可リクエスト」を、標準的な外側構造に各エコシステム固有の内側データを乗せる形で表現可能にする
  • 新規 Open Banking / Open Data エコシステムは「FAPI 2.0 Security Profile + Grant Management + RAR」を採用すべき。これらは正式なセキュリティ分析とコンフォーマンステストを伴う標準であり、個別エコシステムが独自に設計する「Consent / Intent API」のような未検証の独自仕様より優位である

ブログは末尾で「Early Adopter となる実装者は openid-specs-fapi-owner@lists.openid.net まで連絡を」と具体的なアクションを呼びかけており、Grant Management の本格的な実エコシステム採用を促す WG の意思表示として位置付けられる。

FAPI 2.0 Message Signing — Final 化に向けた継続作業

2025 年 2 月の FAPI 2.0 Security Profile / Attacker Model Final 化を受けて、WG の次の Final 化ターゲットは Message Signing である。3 月時点では Notice of Public Review の発出には至っておらず、内部レビューと編集作業(Joseph Heenan が主導)が継続フェーズにある。実際に Notice of Public Review が出るのは 5 月 29 日の Public Review Period for Proposed FAPI 2.0 Message Signing Final Specification を待つことになる。3 月の ML 上に Message Signing ドラフトに対する技術コメントスレッドは確認できない。

FAPI 2.0 Security Profile Final コンフォーマンステスト — 整備中

Dave Tonge が 3 月 19 日に提起した Bitbucket Issue #737「fapi 2 security profile final conformance tests」は、Final 化された FAPI 2.0 Security Profile に対応するコンフォーマンステスト Final 版のリリース時期を Certification Team に問い合わせるためのものである(ML #003276)。Tonge は「it would be good to get a timeline on when this will be ready from the certification team」と述べ、Final 仕様と認証テストの整合確保の必要性を WG として可視化した。実際の Final 版コンフォーマンステスト公開は 7 月 9 日の Final Tests for FAPI 2.0 Security Profile & Message Signing を待つこととなる。

3. ミーティングと議論

FAPI WG は Atlantic コール(隔週水曜 14:00 UTC)と Pacific コール(金曜朝、Asia-Pacific 向け)を運用している。2025 年 3 月の Atlantic コールは以下のとおり。

2025-03-05 Atlantic コール

Nat Sakimura が同日に「Meeting notes for 2025-03-05 Atlantic Call」を投稿し、議事録ドラフトの所在を ML に共有した(Bitbucket wiki: FAPI_Meeting_Notes_2025-03-05_Atlantic)。Final 化直後のコールで、Final 仕様の波及対応(移行ガイド執筆、コンフォーマンステスト整備、エコシステム周知)が中心的な議題であったと見られる。Sakimura は議事録に対する「修正があれば連絡を」と短いフォローアップを添えた。

2025-03-12 Atlantic コール(中止)

3 月 12 日朝、Nat Sakimura は「Cancelling this week's call, and updates on Events and FAPI Engagement」を発出。中止理由は「Both Dave and I are unavailable due to travel/ISO meetings」と明記されている。本通知は単なる中止連絡にとどまらず、以下の Events / Engagement アップデートを併せて配信した:

  • 今後の関連イベント(3 〜 6 月)の案内: ISO/IEC ミーティング(Fairfax, VA)、IETF(Bangkok)、4 月 7 日 Google Mountain View 開催の OIDF Workshop、IIW Spring 2025、RSA 2025 ほか
  • Brazil における FAPI エンゲージメント: Open Finance / Open Insurance の年次 FAPI 再認証フォロー
  • Chile における WG 接点: CMF(Comisión para el Mercado Financiero)チームと Grant Management / Consent API について議論進行中

同時刻に「Canceled event with note: FAPI WG Call (Atlantic) @ Wed 2025-03-12 11pm - Thu 2025-03-13 12am (GMT+9)」というカレンダー連動の正式キャンセル通知も配信された。

2025-03-19 Atlantic コール

Nat Sakimura が当日 15 分前に「Call reminder and the draft agenda」を投稿。標準アジェンダ(Roll Call → Adoption of Agenda → Events → External Orgs & Liaisons → PRs → Issues → AOB)で開催。同日のコール中、Dave Tonge が Issue #737(Final コンフォーマンステストのタイムライン照会)を ML 経由で提起している(ML #003276、14:25 UTC)。これはコール議題「Issues」枠に直結する形での提起と読める。

議事録ドラフトの所在は同日中の「FAPI Atlantic Call 2025-03-19 Meeting Notes are available now」で通知され、Bitbucket wiki (FAPI_Meeting_Notes_2025-03-19_Atlantic) に置かれた。

2025-03-26 Atlantic コール

Nat Sakimura が 3 月 26 日 13:00 UTC に「FAPI WG Atlantic Call Agenda and Reminder」を発出。アジェンダは以下のとおり:

  1. Roll Call(Dave / Nat)
  2. Adoption of Agenda(Dave / Nat)
  3. Events(Mike L.)
  4. External Orgs & Liaisons(Mike L.)
  5. PRs(Dave)
  6. Issues(Dave)
  7. AOB(Nat)

このコールにおける議論として、Sakimura の翌日 ML 投稿(ML #003279)から「curating comparable information about ecosystems would be great」という合意があったことが分かる。これが Issue #738(エコシステム比較表)提起の直接の発端である(§4 参照)。

Pacific コール

3 月の Pacific コール開催・キャンセル通知は ML アーカイブには確認できない。Pacific コール(金曜朝、Asia-Pacific 向け)は当時時点で隔週運用と見られるが、3 月分は ML 上にドラフト議事録通知が現れていない。

4. メーリングリストの主要スレッド

3 月の openid-specs-fapi ML はアーカイブで 11 件のメッセージを収録しており、技術内容を含むスレッドは以下の 3 本に集約される(残りはアジェンダ・議事録通知)。

Issue #737: FAPI 2 Security Profile Final Conformance Tests — 2025-03-19 提起

Dave Tonge が「Issue #737: fapi 2 security profile final conformance tests (openid/fapi)」を ML に共有。本文は「it would be good to get a timeline on when this will be ready from the certification team」というシンプルな問い合わせだが、Final 化された FAPI 2.0 Security Profile に対し、認証テストが追いついていない状況を WG として可視化する役割を果たした。Implementer's Draft 用テストはすでに存在しており、Final 化前後で「Final テスト」「Final 認証」のリリース時期を Certification Team から取り付ける必要があった。スレッドへの ML 上の返信は確認できないが、コール内(3 月 19 日)で並行議論されたと読める。

Issue #738: Create an Ecosystem Comparison Table — 2025-03-27 〜 議論継続

Nat Sakimura が 3 月 27 日 04:11 UTC に「Issue #738: Create an Ecosystem comparison table. (openid/fapi)」を投稿。前日 3 月 26 日 Atlantic コールでの合意「エコシステム比較情報の整理が有用」を受けた具体提案で、提案された比較表のカラム見出しは以下のとおり:

  • Ecosystem name
  • Brief description
  • Application area and usage statistics (if available)
  • Security protocols deployed (例: FAPI Advanced with PAR and MTLS)
  • Custom additions
  • Application protocols
  • User Interface Guidelines
  • Certification requirements
  • Starting date
  • Ecosystem governing body
  • Ecosystem rules

Sakimura は「I am sure there are more, so please elaborate」と追記を呼びかけた。

これに対し Anders Rundgren が同日 12:31 UTC に返信(ML #003280)。Rundgren は自身が GitHub で公開する Open Banking 2.0 を「Berlin Group の Signed Payment Request の直接の競合」として比較表に含めるべきと提案し、背景文脈として openid/OpenID4VP#429 を参照させた。

Sakimura は同日 18:04 UTC に短く「Is this deployed?」と返答し、Rundgren の提案する Open Banking 2.0 がエコシステム比較表(つまり実エコシステムの比較)に載せる対象なのかを問うた。

Rundgren は同日 19:38 UTC に「No, obviously a scheme pushed by one person is not a candidate for deployment」と認め、自身の提案がまだデプロイ実績を持たないこと、ピアレビューの過程で代替案を「totally useless」と評価したこと、そして OpenID4VP issue #429 への反応がないことから「OIDF にも解はなく、底辺レースになっている」と挑発的に締めた。

このやり取りは「エコシステム比較表は実デプロイされた本物のエコシステムを対象にするべきか」という比較表のスコープ自体に関する重要な論点を浮上させたが、3 月内に Sakimura は具体的な追加コメントを出していない。Issue #738 の今後の運営方針は 4 月以降のコールに持ち越された。

Cancelling this week's call, and updates on Events and FAPI Engagement — 2025-03-12

§3 で扱った 3 月 12 日 Sakimura 投稿は、単純な中止連絡にとどまらず、Brazil / Chile 等での FAPI エンゲージメント情報(Brazil の Open Finance / Open Insurance 年次 FAPI 再認証、Chile CMF との Grant Management / Consent API 議論)と、3 〜 6 月の主要イベント情報を WG 全体に展開する役割を持つ。これは ML 件数の少ない 3 月において、WG メンバーへのコンテキスト共有として実質的な意義を持つ投稿である。

5. Issue トラッカー上の動き

FAPI WG の Issue トラッカーは Bitbucket(bitbucket.org/openid/fapi/issues)で運用されており、GitHub 側にはこの時点で公開仕様リポジトリは存在しない。3 月の ML 上で明示的に言及された Issue は以下の 2 件。

Issue #内容
#737FAPI 2 Security Profile Final Conformance Tests。Dave Tonge が 3 月 19 日に WG へ提起。Certification Team からのリリースタイムライン取得が目的
#738Create an Ecosystem comparison table。Nat Sakimura が 3 月 27 日に提起。FAPI 採用エコシステムを横断比較する表のスキーマ提案。Anders Rundgren との間でスコープ議論が発生

Issues 枠は Atlantic コールごとに Dave Tonge がリードして整理しており、ML 上に登場しない既存 Issue 群(FAPI 1.0 / 2.0 のオープン Issues)はコール内で継続的にレビューされていると見られる。

6. 関連イベント

ISO/IEC SC27 ミーティング(Fairfax, VA)

3 月 12 日 Atlantic コール中止の直接理由として「travel/ISO meetings」が挙げられている。Nat Sakimura は同日付メールで「ISO/IEC meetings in Fairfax, VA」を 3 〜 6 月のイベントリストに明記しており、共同議長たちが ISO/IEC SC27(情報セキュリティ)系ミーティングのため Fairfax へ出張中だったことが分かる。FAPI 2.0 仕様の ISO/IEC PAS(Publicly Available Specification)化に向けた事前接触の文脈で重要な月であった。

4 月以降の主要イベント(Sakimura 3 月 12 日メールより)

3 月 12 日 ML 投稿は、3 〜 6 月の WG 周辺イベントを次のように列挙した:

  • 4 月 7 日: OpenID Foundation Workshop(Google Mountain View ホスト、IIW Spring 2025 前日枠)
  • 4 月 8 〜 10 日: IIW XL(第 40 回 Internet Identity Workshop)
  • 4 月 22 日: Financial Data Exchange Spring Global Summit(National Harbor)
  • : RSA Conference 2025、IETF 122(Bangkok)

これらは 3 月時点での「先のイベント案内」だが、Sakimura 自身が ISO ミーティングと並走してアジェンダを管理していたこと、および Brazil / Chile 案件などのエンゲージメントが同時並行で進んでいたことを示すコンテキストとして重要である。

Brazil / Chile における FAPI エンゲージメント

3 月 12 日 ML 投稿で Sakimura が明示的に共有した内容:

  • Brazil: Open Finance および Open Insurance の年次 FAPI 再認証フォロー
  • Chile: CMF(Comisión para el Mercado Financiero)チームと Grant Management および Consent API の議論を進行中

特に Chile については、3 月 19 日公開の Postnikov / Hodges 共著ブログ「Grant Management + RAR 推奨」の論調と直接連動しており、ブログが対象とした「新規 Open Banking / Open Data エコシステム」のリアルな対話相手として CMF が想定されていたことが分かる。

7. 今後の予定

2025 年 3 月完了直後の視点で、当時 WG が次月以降に予定していた動きは以下のとおり:

  • 4 月 7 日 OIDF Workshop: FAPI WG アップデート枠(Joseph Heenan が担当する想定)。Final 化済みの FAPI 2.0 SP / Attacker Model 周知、Message Signing Final 化の見通し、エコシステム拡大状況の共有
  • 4 月 8 〜 10 日 IIW XL: WG 主要メンバーが参加。アンカンファレンス形式で FAPI 関連トピックの議論
  • 4 月 22 日 FDX Spring Global Summit: Gail Hodges / Joseph Heenan が「If, when, and why to implement the FDX 'blue' security profile with FAPI 2.0」を発表予定
  • FAPI 2.0 Security Profile Final 対応コンフォーマンステスト: Issue #737 の進捗フォロー。ベータ → Final へのリリース工程
  • FAPI 2.0 Message Signing Final 化: Notice of Public Review の発出に向けた WG 内最終レビュー
  • Issue #738(エコシステム比較表): 4 月以降のコールでスコープ(実デプロイ済みエコシステムのみか、提案段階のスキームを含むか)を整理
  • Brazil / Chile エンゲージメント継続: Open Finance / Open Insurance 再認証、Chile CMF との Grant Management 議論

8. 参考情報源

メーリングリスト

議事録(Bitbucket wiki)

仕様・ドラフト

公式アナウンス・ブログ

Issue トラッカー

関連情報