idbok

Appearance

OpenID Foundation FAPI WG 活動レポート (2025年4月)

執筆日: 2026-05-18(2025 年 4 月の活動を約 1 年遡って再構成した遡及レポートです)

1. 概要

FAPI (Financial-grade API) Working Group は、金融 API をはじめとする高セキュリティ用途向けに OAuth 2.0 のプロファイルを策定する OpenID Foundation のワーキンググループである。共同議長は Nat Sakimura、Dave Tonge、Dima Postnikov、Anoop Saxena が担い、エディタ業務の中心は Joseph Heenan(Authlete)が担っている。

2025 年 4 月時点では、2025 年 2 月に FAPI 2.0 Security Profile と FAPI 2.0 Attacker Model が Final として確定したばかりで、WG の中心的な関心は次の三つに移っていた:

  • FAPI 2.0 Message Signing を Final へ進めるためのレビューと改稿
  • **FAPI 1.0 Advanced の Errata Set 1(draft 10)**を openid.net/specs/ へ正式公開できる状態に整える作業
  • FAPI 2.0 採用エコシステム(北米 FDX、UK SelectID、シンガポール政府、南米諸国など)の追跡とアウトリーチ

月の前半(4 月 7 日)には IIW Spring の前日枠で OpenID Foundation Workshop が Google Sunnyvale で開催され、FAPI WG アップデートを Joseph Heenan が担当した。続く 4 月 8 〜 10 日に IIW XL(第 40 回) が Computer History Museum で開催され、WG 主要メンバーの多くが参加した。月後半には Nat Sakimura が EIC(European Identity Conference)の Open Banking セッション用エコシステム調査を立ち上げ、Dima Postnikov 作成のスプレッドシートで FAPI 採用国・採用エコシステムのデータ収集を呼びかけている。月末 4 月 30 日 Atlantic コールはチェア間のスケジュール衝突および進捗不足を理由に Nat Sakimura により中止された。

openid-specs-fapi ML アーカイブ(2025-April)は 20 件の投稿を収録しており、議事録ドラフト通知・アジェンダ・キャンセル通知が件数の大半を占めるが、技術的に意味のあるスレッドは Issue #739(MCP サーバ向け Scope/RAR)、FAPI 1.0 Advanced Errata 公開可否(Brian Campbell / Nat Sakimura による実質的な反対表明を含む)、Revolut Refresh Token ポリシー共有、エコシステムデータ収集の 4 本に集約される。

2. 公開された仕様・ドラフト改訂

FAPI 1.0 Advanced Errata Set 1 (draft 10) — 公開準備

Michael Jones が 4 月 14 日 18:44 UTC に「Publishing FAPI 1.0 advanced errata set to openid.net/specs/」を ML に投稿し、Bitbucket 上のドラフトを openid.net/specs/ に正式公開してよいか WG に諮った。Jones は対応する Errata 更新が以下の通り既に公開済みであることを背景として示した:

具体的な質問は「Is the working group supportive of publishing draft 10 to openid.net/specs/?」というシンプルなもので、技術内容の改稿ではなく公開フェーズへの移行を WG に承認してもらう趣旨である。同時に Jones はレンダリング後のドキュメントタイトルに errata set 1 - 1 という意図しない - 1 の重複が表示されている編集上のミスを指摘した(ソース Markdown 上は FAPI security profile 1.0 - Part 2: Advanced - draft 10 incorporating errata set 1)。

ドラフト本体: openid.bitbucket.io/fapi/openid-financial-api-part-2-1_0.html

この提案には ML 上で複数の WG メンバーから実質的な反対意見が寄せられた。Brian Campbell は「破壊的変更を伴う内容を errata として、しかも変更点の明示なしに公開することは問題がある」「リフォーマットによって何が変わったのかを評価しにくい」と指摘し、後の投稿でも「28 ページの PDF 差分が errata として適切な内容を持つとは考えにくい」と強く異議を唱えた(ML #003293, #003297)。Nat Sakimura もまた、新規追加された Abstract が FAPI 1 Part 2(ISO Directive Part 2 準拠)には不適切であること、shall で参照されるようになった BCP195 が normative reference に追加されていないこと、そもそも「corresponding update」と呼べる範疇かどうか疑問であることを指摘した(ML #003295, #003300)。このため 4 月内には公開承認には至らず、議論はその後のコールへ持ち越された。

FAPI 2.0 Message Signing — Final 化に向けた事前整備

OIDF Workshop(4 月 7 日)での Joseph Heenan の FAPI WG アップデートでは「Progressing the FAPI 2 Message Signature Specification to Final Version with focus on implementation and deployment advice documents」が次の中心テーマとして掲げられた(Nat Sakimura による Workshop Recap より)。

実際の公開レビュー手続きは翌 5 月 29 日に 60 日間のパブリックレビュー開始 として正式開始されるため、4 月時点では Notice of Public Review の発出にまでは至っていない。4 月内の作業は WG 内部レビューとエディタ作業(Heenan が主導)が中心で、ML 上には Message Signing ドラフトに対する技術コメントスレッドは立っていない。

FAPI 2.0 Security Profile / Attacker Model — Final 確定後の波及

2025 年 2 月 22 日に Final となった FAPI 2.0 Security ProfileAttacker Model について、4 月時点で WG が取り組んでいたのは次の三つである:

  • コンフォーマンステストの整備: Workshop 報告で「テスト合格率約 87%(2025-04-04 時点)」と報告されており、Heenan を中心にベータ版を 4 月中に提供開始する見通しが共有された。Final 版のコンフォーマンステスト・認証の正式公開は 7 月 9 日の Final Tests for FAPI 2.0 Security Profile & Message Signing を待つことになる。
  • private_key_jwt の audience 値変更に伴う移行ガイド: Workshop で言及された「Change related to audience value in private key JWT client authentication(脆弱性対応)」について、実装者の移行を容易にするための文書化が進められた。
  • Implementation / Deployment Advice ドキュメントの整備(Final 後の補助文書)

なお Issue 番号で言及される細部の議論(#739 など)は §5 を参照。

3. ミーティングと議論

FAPI WG は隔週水曜の Atlantic コール(毎週水曜 14:00 UTC)と Pacific コール(金曜朝 8pm EDT 枠、Asia-Pacific 向け)で運営されている。2025 年 4 月の各コール開催状況は以下のとおり。

2025-04-02 Atlantic コール

Nat Sakimura は当日 10 分前に「FAPI Atlantic call in 10 min. Agenda attached」を投稿。標準アジェンダ(Roll Call → Adoption of Agenda → Events → External Orgs & Liaisons → PRs → Issues → AOB)で開催され、Issues 枠は以下のような技術トピックに細分化されていた:

  • 先週からの action items のフォロー
  • FAPI2 Message Signing 実装状況
  • 大きなトークンに関するセキュリティ考慮事項
  • Webhook サポート
  • DPoP vs MTLS のトレードオフ整理

議事録は同日「FAPI Atlantic Call 2025-04-02 Meeting Notes are available now」として Bitbucket wiki (FAPI_Meeting_Notes_2025-04-02_Atlantic) へのリンク付きで通知された。

2025-04-09 Atlantic コール

2025-04-09 OIDF FAPI WG Atlantic Call Draft Agenda」で公開されたアジェンダは標準構成。Issues 枠で Dave Tonge が立てた Issue #739: MCP Servers - Scope and RAR が議論候補に挙がっており、ML 上には Tonge による短い問題提起「Are scopes enough?」が同日 ML #003286 で投稿されている。MCP(Model Context Protocol)サーバを認可対象に据えるユースケースで OAuth 2.0 の scope だけで権限粒度を表現しきれるのか、それとも RAR (RFC 9396) のような細粒度認可機構を要するのか、という設計論である。議事録は FAPI_Meeting_Notes_2025-04-09_Atlantic に掲載され、同日「FAPI Meeting (Atlantic) Notes 2025-04-09 Available now」として通知された。

2025-04-16 Atlantic コール

Nat Sakimura は 4 月 16 日に「FAPI Atlantic Call Reminder」を投稿。アジェンダ構成は他週と同じだが、Issues 枠では前日 14 日に Michael Jones が ML に投じた FAPI 1.0 Advanced Errata 公開可否 が事実上の議論候補となった(§2 参照)。議事録ドラフトは「FAPI Atlantic Meeting (2025-04-17) Notes are now available」として通知され、Bitbucket wiki (FAPI_Meeting_Notes_2025-04-16_Atlantic) に置かれた。

2025-04-17 Pacific コール(中止)

Mike Leszcz が 4 月 11 日に「Canceled: FAPI WG Pacific Call」を発出し、4 月 17 日 8〜9pm EDT 枠の Pacific コールをキャンセル。理由は明示的に「This WG meeting is canceled as many in AU are out of office due to Good Friday.」と記載されており、Good Friday(4 月 18 日)前後の豪州勢の不在を考慮した運用判断である。FAPI WG の Pacific コールは Asia-Pacific 帯(とりわけ豪州・日本)参加者が中心であるため、豪州祝日と直撃する場合には開催を見送る慣行が読み取れる。

2025-04-23 Atlantic コール

Nat Sakimura が 4 月 23 日に「Atlantic Call Reminder」を 45 分前に投稿。同コールでは Issues 枠で前日 21 日に Nat Sakimura が ML に共有した Revolut Refresh Token ポリシー(§4 参照)と、§4 で後述する エコシステム調査スプレッドシートの取り扱いが議題化された。後者については Nat Sakimura が翌日 4 月 24 日に Bitbucket でのコミット間差分取得方法を ML で説明する「How to take a diff of a file between commits at bitbucket」を投稿しており、コール中のレビュー作業(Bitbucket リポジトリでの差分確認)への WG メンバーからの不慣れに応えたものと読める。

2025-04-30 Atlantic コール(中止)

Nat Sakimura は 4 月 30 日に「Cancelling the call today (2025-04-30)」を発出。理由は次のように明記された:

Sorry for the last-minute change, but there are multiple people not being able to participate in the call, as well as I made no progress during the last week

WG コミュニティ内の複数の参加者が当日出席不能であったこと、および議長側でも先週 1 週間に十分な準備進捗を得られなかったことが直接の理由として述べられている。続けて「open PR/Issue の現状ではコールを開いても有意義な前進が得られない」という判断も付されており、形だけのコール開催を避ける運用判断である。同日キャンセルの正式通知は「Cancelled: FAPI WG Atlantic Call」として配信された。

4. メーリングリストの主要スレッド

4 月 ML の技術スレッドは以下の 4 本に集約される。

Issue #739: MCP Servers - Scope and RAR — 2025-04-09 開始

Dave Tonge が「Issue #739: MCP Servers - Scope and RAR (openid/fapi)」を投じ、Bitbucket の openid/fapi リポジトリ上に立てた Issue #739 を WG に共有した。本文は「Are scopes enough?」というシンプルな問題提起のみで、論点はタイトル自体に集約されている。

背景として、2024 年後半から 2025 年前半にかけて Anthropic が公表した Model Context Protocol (MCP) を中心に「AI エージェントがアクセスする MCP サーバを OAuth 2.0 でどう認可するか」というユースケースが業界で活発化しており、Tonge は FAPI WG の文脈で「OAuth 2.0 の単純な scope パラメータでは MCP サーバへのきめ細かい認可表現が不十分なのではないか、RAR (RFC 9396) を併用すべきではないか」という論点を提示している。返信は ML 上では確認できないが、4 月 9 日 Atlantic コールおよびそれ以降のコール Issues 枠で継続的にレビューされたと見られる。

Publishing FAPI 1.0 advanced errata set to openid.net/specs/ — 2025-04-14 開始

Michael Jones が投じた公開可否の確認スレッド(§2 参照)。Connect WG 側で OpenID Connect Core Errata Set 2 (draft 36) および CIBA Core Errata Set 1 (draft 06) が既に正式公開済みである状況を踏まえ、FAPI 1.0 Advanced も同様の手順で openid.net/specs/ に出すことを提案した。レンダリング側のタイトル末尾の - 1 重複バグの指摘も含まれており、編集ツールチェーンの細部までフォローした投稿である。

本スレッドには Brian Campbell と Nat Sakimura から実質的な反対意見が寄せられ、4 月の主要技術スレッドの一つとなった。論点は (1) 破壊的変更を伴う改稿を「errata」として変更点の明示なしに公開してよいか、(2) 28 ページに及ぶ PDF 差分が errata の範疇を超えているのではないか、(3) Abstract が FAPI 1 Part 2 の ISO Directive Part 2 準拠と整合しない、(4) shall で参照される BCP195 が normative reference に追加されていない、といった編集・規範構造上の問題に及んだ。FAPI 1.0 Advanced Errata の公開判断は 4 月内には決着せず、後続コールに持ち越された。

Revolut Refresh Token ポリシー共有 — 2025-04-21 開始

Nat Sakimura が「Revolute Refresh Token」を投稿し、Revolut の 2025 年 3 月 19 日付 Developer Update から、Open Banking API のトークン有効期間が以下のとおり 2025 年 8 月 4 日から運用される旨を共有した:

区分期限
Access Token(全リージョン共通)60 分
Refresh Token(EU)180 日
Refresh Token(UK、long-lived)50 年
Refresh Token(その他リージョン)90 日

「Long-lived token 50 年」という極端な値は、UK Open Banking の規制要件(PSU の長期同意維持を想定)に対応するためのもので、FAPI 1.0 Advanced を実装する Open Banking エコシステムにおける refresh token ライフタイム設計の実例として WG 内で共有された。スレッドへの ML 上の返信は確認できないが、4 月 23 日 Atlantic コールで取り上げられた可能性が高い。

Ecosystems data collection form / FAPI Ecosystem Data Collection Spreadsheet — 2025-04-23 〜 24

Nat Sakimura が「Ecosystems data collection form」(4 月 23 日)と続く「Link to the FAPI Ecosystem Data Collection Spreadsheet」(4 月 24 日)の 2 通で、Dima Postnikov が用意した FAPI / Open Banking エコシステム調査スプレッドシートへの WG メンバーからのデータ入力を呼びかけた。狙いは 5 月開催の EIC(European Identity Conference)の Open Banking セッション用スライド作成で、Nat Sakimura は「スライド締切が今週末」「至急記入してほしい」と急ぎ依頼を述べている。EIC セッション情報: kuppingercole.com session 5852

このスレッドは技術論争ではないが、Workshop(4 月 7 日)で Heenan が報告した「FAPI 2.0 採用エコシステム拡大(BIS、UK SelectID、Chile、Colombia 等への波及)」と歩調を合わせ、エコシステム情報を体系的に集約する WG 公式の取り組みとして位置付けられる。

5. Issue トラッカー上の動き

FAPI WG の Issue トラッカーは Bitbucket(bitbucket.org/openid/fapi/issues)で運用されており、GitHub 側にはこの時点で公開リポジトリは存在しない。4 月の ML 上で明示的に言及された Issue は以下の通り。

Issue #内容
#739MCP Servers - Scope and RAR。Dave Tonge が 4 月 9 日に WG へ問題提起。OAuth 2.0 scope のみで MCP サーバの認可表現が十分か、RAR の併用が必要か

Issues 枠は Atlantic コールごとに Dave Tonge がリードして整理しており、ML 上に登場しない既存 Issue 群(FAPI 1.0 / 2.0 のオープン Issues)はコール内で継続的にレビューされていると見られる。

6. 関連イベント

OpenID Foundation Workshop(2025-04-07, Sunnyvale / Online)

OpenID Foundation Workshop が 2025 年 4 月 7 日 12:30 〜 16:00 PST に Google Sunnyvale オフィス(242 Humboldt Ct, Zebra Shark room)およびオンラインのハイブリッドで開催された。IIW Spring 2025 の前日枠で、各 WG のアップデートが行われた。

Joseph Heenan が担当した FAPI WG アップデート の主な内容(Nat Sakimura による Workshop Recap より):

  • FAPI 2.0 Security Profile および Attacker Model が Final として公開済み
  • コンフォーマンステストは 4 月中にベータリリース予定
  • 採用エコシステムの拡大: Bank for International Settlements との取り組み、UK SelectID、Chile / Colombia からの関心表明
  • private_key_jwt の audience 値変更(セキュリティ脆弱性対応)に伴う移行ガイドの整備
  • 次のフォーカス: FAPI 2 Message Signing を Final へ、Implementation / Deployment Advice ドキュメント整備
  • Shared Signals と連携した金融サービス向けホワイトペーパー構想(Chile / Brazil 等)

Workshop 全体のテスト合格率報告では FAPI コンフォーマンステストが約 87%(2025-04-04 時点)と共有された。

Internet Identity Workshop XL(2025-04-08 〜 04-10, Mountain View)

IIW 第 40 回(IIW XL) が Computer History Museum(1401 N Shoreline Blvd, Mountain View, CA)で 4 月 8 〜 10 日に開催された。FAPI WG として公式セッションを事前告知する形ではないが、アンカンファレンス形式のため当日提案セッションで FAPI 関連の議論(特に MCP サーバ認可、Open Banking エコシステム、Message Signing)が議論されたと見られる。OIDF Workshop 直後の日程で、WG 主要メンバーは概ね両イベント参加というスケジュールであった。

Financial Data Exchange Spring Global Summit(2025-04-22, National Harbor)

FDX Spring Global Summit が Gaylord National Harbor で開催され、OIDF Executive Director の Gail Hodges と Joseph Heenan が 「If, when, and why to implement the FDX 'blue' security profile with FAPI 2.0」 を 4 月 22 日に発表。

FDX Security and Authorization Work Group が「blue プロファイル」として FAPI 2.0 を全会一致で推奨し、4 月内に対応 RFC 採決を予定していた背景があり、北米のオープンバンキング規制動向(米国 CFPB ルール、カナダ Consumer-Driven Banking 立法)と並走するアウトリーチとなった。OIDF は同月 FDX に新規加盟したばかりで、本プレゼンを「FAPI 2.0 の北米本格波及のキックオフ」と位置付けている。発表内容には FAPI 2.0 の主な利点(セキュリティ・認可・認証・相互運用性・コンフォーマンスを一体で規定)と、OAuth 2.0 から FAPI 2.0 への移行プレイブック(private_key_jwt または MTLS を有効化することから始めるよう Heenan が説明)が含まれた。

その他

  • FAPI 1.0 Final 公開からの継続採用: Brazil、UAE、Saudi Arabia、Norway、Australia など既存採用国のエコシステムは継続稼働。Workshop 報告で「これらに加えて新規 4 大陸 5 か国での展開支援」が言及された。

7. 今後の予定

2025 年 4 月完了直後の視点で、当時 WG が次月以降に予定していた動きは以下のとおり。

  • FAPI 1.0 Advanced Errata draft 10 → openid.net/specs/ 正式公開: Mike Jones の 4 月 14 日提案を受けて、WG 承認後速やかに公開
  • FAPI 2.0 Message Signing Final 化: 5 月中に 60 日間のパブリックレビュー開始(実際には 5 月 29 日に開始、7 月 28 日締切で進行)
  • FAPI 2.0 コンフォーマンステスト Final 版: 4 月のベータから順次 Final 版へ移行
  • EIC 2025(5 月 6 〜 9 日、Berlin)Open Banking セッション: Nat Sakimura らが FAPI 採用エコシステム調査スプレッドシートを基にスライドを準備
  • FDX「blue プロファイル」RFC 採決フォロー: 4 月 22 日プレゼンを受けた北米実装者向けサポート継続
  • Issue #739(MCP / RAR)議論継続: AI エージェント・MCP サーバ向け認可粒度の整理

8. 参考情報源

メーリングリスト

議事録 (Bitbucket wiki)

仕様・ドラフト

イベント・公式アナウンス

Issue トラッカー

補足情報