idbok

Appearance

OpenID Foundation FAPI WG 活動レポート (2025年5月)

執筆日: 2026-04-28(遡及執筆)

1. 概要

FAPI WG(Financial-grade API Working Group)は、金融グレードの高セキュリティ API プロファイルを策定する OpenID Foundation のワーキンググループである。2025年5月時点の共同議長は Nat Sakimura(NAT Consulting)、Anoop Saxena(Intuit)、Anthony Nadalin、Dave Tonge(Moneyhub) の 4 名(Dima Postnikov の共同議長就任は 7月14日の出来事で、当月時点では未着任)。FAPI 2.0 Security Profile および Attacker Model は 2025年2月19日に Final Specification として承認済みで、5月は FAPI 2.0 Message Signing Final Specification のパブリックレビュー期間が月末(5月29日)に開始された月 にあたる。

2025年5月の FAPI WG は、外形的には静かに見えて、月末に 2 本のパブリックレビュー開始(FAPI 2.0 Message Signing Final / JARM Errata Set 1) が同日付で公示されるという、Final 化プロセスの節目となった月である。月内には Atlantic Call が 5月7日・5月14日・5月21日・5月28日の 4 回 開催され、Issue #740〜#744 の 5 件の新規 Issue が立て続けに起票された。これらは(1)リソースサーバーが client の公開鍵を取得する手段の標準化欠如(#740)、(2)JARM Errata 版の仕様タイトル整理(#741)、(3)public client 向け要件の解釈ゆらぎ(#742)、(4)認可レスポンスのメッセージ送信元認証に対する JARM の位置付け(#743)、(5)モバイル / wallet 文脈で OAuth Attestation-Based Client Authentication を FAPI 2 のクライアント認証手段として追加する提案(#744)と、論点が幅広く、いずれも FAPI 2.0 Message Signing の Final 化レビューに直接フィードバックされうる性格を持つ。

主な動きは以下のとおり:

  • パブリックレビュー 2 本開始 (5月29日): FAPI 2.0 Message Signing Final Specification の 60 日パブリックレビュー(5月29日〜7月28日)と、JARM Errata Set 1 の 45 日パブリックレビュー(5月29日〜7月13日)が同日に公示
  • Atlantic Call: 5月7日(Dave Tonge リマインダー)、5月14日(Nat Sakimura リマインダー)、5月21日(Sakimura リマインダー+議事録掲載通知)、5月28日(Sakimura リマインダー+アジェンダ)の 4 回開催が ML 上で確認可能
  • Issue 起票 5 件: #740(client 公開鍵取得、Takahiko Kawasaki)、#741(JARM タイトル、Mike Jones)、#742(public client 解釈、Nat Sakimura)、#743(認可レスポンス送信元認証、Hideaki Furukawa)、#744(Attestation-Based Client Authentication、Joseph Heenan)
  • OIDF Directed Funding 緊急アピール: 5月21日に Membership Director の Paul Briault が「2025年に必要な活動継続のため directed funding が不可欠」とコミュニティに資金協力を呼びかけ
  • FDX Spring Global Summit でのプレゼン報告: 4月22日に Gail Hodges と Joseph Heenan が FDX サミットで「FDX blue profile を FAPI 2.0 で実装するか否か」を発表した内容が 5月13日に openid.net で公表され、FDX が FAPI 2.0 を「blue profile」として全会一致で推奨したことが対外的にもアピールされた

ML 投稿数は5月で 13 通(うちコール用リマインダーが 4 通、議事録掲載通知が 1 通)。Pacific Call の存在についてはこの月の ML には独立した通知が残っていない(Pacific Call の隔週シリーズ化は 7月9日の Sakimura の正式アナウンスを待つ)。

2. 公開された仕様・ドラフト改訂

2.1 FAPI 2.0 Message Signing Final Specification — 60 日パブリックレビュー開始(5月29日)

OIDF は5月29日に Public Review Period for Proposed FAPI 2.0 Message Signing Final Specification を公示した。FAPI WG が Implementer's Draft ではなく Final Specification として直接承認を求める 段階に到達したことを示す節目である。スケジュールは以下のとおり:

段階期間
パブリックレビュー2025年5月29日 〜 7月28日(60日間)
Notice of Vote(投票公示)2025年8月27日
本投票(official voting)2025年9月10日 〜 9月24日(14日間)
早期投票Early voting before the start of the formal voting will be allowed

公示文では「a Final Specification provides intellectual property protections to implementers」と Final 化の意義が改めて強調され、参加者が Contribution Agreement に署名のうえ FAPI ML 経由でテクニカルコメントを提出できることが明示された。この公示は OIDF Secretary の Marie Jordan の名義で出されている。

位置付け: FAPI 2.0 Security Profile / Attacker Model(2025年2月19日 Final 承認済み)に続き、Message Signing が Final 化されれば FAPI 2.0 系の主要 3 仕様すべてが Final 段階に揃う。Sakimura は翌6月初頭の自身のブログ(sakimura.org)で「finally here!」と表現しており、長らくドラフト段階にあった Message Signing が Final 化レビューに到達した感慨を示している。

2.2 JARM Errata Set 1 — 45 日パブリックレビュー開始(5月29日)

同じ5月29日に、FAPI WG はもう 1 本のパブリックレビュー開始を公示した: Public Review of JWT Secured Authorization Response Mode for OAuth 2.0 (JARM) — JARM Final Specification に対する Errata Set 1 である。スケジュール:

段階期間
パブリックレビュー2025年5月29日 〜 7月13日(45日間)
Notice of Vote(投票公示)2025年7月14日
早期投票2025年7月21日 開始
本投票2025年7月28日 〜 8月4日(7日間)

Errata 版は「Final Specification 公開後に発見された訂正事項を取り込むもの」であり、公示文では具体的な訂正項目はリストアップされていない。ただし月内に Mike Jones が起票した Issue #741 は、まさにこの Errata 版の 仕様タイトル表記 を整える運用上の論点であり、Errata Set 1 のパブリックレビュー公示と同月の動きとして整合している。

2.3 5月中に起票された主要 Issue 概観

5月中に Bitbucket Issue tracker(bitbucket.org/openid/fapi/issues)に起票された主要 Issue は次の 5 件:

Issue起票日(ML 通知日)起票者主題ML 通知
#7405月9日Takahiko KawasakiClient's Public Key Retrieval003305
#7415月15日Mike Jones (mbj)Title of JARM spec incorporating errata corrections003307
#7425月21日Nat Sakimura5.2.3. Public client interpretation003308
#7435月23日Hideaki Furukawa7.2. Message source authentication failure003312
#7445月27日Joseph HeenanAllow OAuth 2.0 Attestation-Based Client Authentication003313

各 Issue の詳細は §4 で論じる。

3. ミーティングと議論

FAPI WG は Atlantic Call(水曜 14:00 UTC)を毎週定例で運営する。2025年5月の ML から確認できる Atlantic Call は以下 4 回。議事録は Bitbucket Wiki (FAPI_Meeting_Notes_2025) にホストされているが、Bitbucket Cloud は SPA レンダリングのため WebFetch では本文取得不可。本節は ML のリマインダー本文・議事録掲載通知・派生スレッドから議論内容を再構成する。

5月7日 Atlantic Call — 標準アジェンダで開催

Dave Tonge が当日朝(10:45 UTC)に リマインダー 003303 を投稿:

"Just a quick reminder of our regular FAPI Atlantic call later today. We will start with the standard agenda." (Dave Tonge、ML 投稿 003303 より)

アジェンダは標準 7 項目(Roll Call / Adoption of Agenda / Events / External Orgs & Liaisons / PRs / Issues / AOB)。コール本体の議事録掲載通知は ML には残されておらず、議題の詳細は確認できない。

5月14日 Atlantic Call — Sakimura のリマインダーから開催確認

Sakimura が当日(5月14日 13:59 UTC、コール開始 1 分前)に リマインダー 003306("OIDF FAPI WG Atlantic Call in two minutes")を投稿しており、コールの実開催が ML から確認できる。標準 7 項目のアジェンダが共有されているが、議事録掲載通知は ML に残されていない。なお、前々日(5月12日週末を挟んで5月9日)に Takahiko Kawasaki が Issue #740 を ML 通知付きで起票しており、5月14日コールの Issues 枠で言及された可能性がある。

5月21日 Atlantic Call — 議事録掲載通知あり

Sakimura が当日(5月21日 13:27 UTC、コール開始 33 分前)に リマインダー 003309("OIDF FAPI WG Atlantic Call in 30 min.")を投稿。アジェンダは標準 7 項目。コール終了後に Sakimura は FAPI Atlantic Call Meeting Notes (2025-05-21) Available 003311 を投稿し:

"It is at the usual location: ... Let me know if something needs to be changed." (Nat Sakimura、ML 投稿 003311 より)

と、議事録が Bitbucket Wiki の通常位置に掲載されたことを案内した。本文は議事録 URL の提示のみで、議題の詳細は ML には記録されていない。同日に Sakimura 自身が Issue #742(FAPI 2.0 SP 5.2.3 の public client 解釈)を起票しており、コール内での議論を受けて WG 内に正式に持ち込まれた論点と推察される。

5月28日 Atlantic Call — Joseph Heenan の Issue #744 を控えた標準コール

Sakimura が FAPI Atlantic Call Reminder and Agenda 003315 を 13:22 UTC(コール開始 40 分前)に投稿。アジェンダは標準 7 項目:

  1. Roll Call (Dave/Nat)
  2. Adoption of Agenda (Dave/Nat)
  3. Events (Mike L.)
  4. External Orgs & Liaisons (Mike L.)
  5. PRs (Dave)
  6. Issues (Dave)
  7. AOB (Nat)

このコールの前日(5月27日)に Heenan が Issue #744 003313(OAuth Attestation-Based Client Authentication)を起票し、Sakimura が翌日(5月28日、コール直前)に 003314 で「議論に値する」と短く呼応している。コールの Issues 枠で同 Issue が議題化された可能性が高い。コール終了後の議事録掲載通知は ML には残されていない。

なお、5月28日の翌日(5月29日)に FAPI 2.0 Message Signing Final / JARM Errata Set 1 の 2 本のパブリックレビュー開始公示 が openid.net で出されており、5月28日コールでは公示直前の最終調整が行われたと推察される。

4. メーリングリストの主要スレッド

openid-specs-fapi ML(2025-May アーカイブ)は月次インデックス形式。5月の投稿は 13 通(うち 4 通はコール用リマインダー)で、実質的な技術・運営議論は以下の 5 本に集約される。

4.1 Issue #740: Client's Public Key Retrieval — 2025年5月9日(Takahiko Kawasaki)

Authlete の Takahiko Kawasaki が、HTTP Message Signature 検証のためにリソースサーバーが client の公開鍵を取得する標準的な軽量手段が存在しない という問題を提起:

  • 問題の所在: リソースリクエストの HTTP Message Signature 検証には、クライアントの公開鍵が必要だが、これを取得する標準化されたメカニズムが整備されていない
  • 既存の重量級手段: OpenID Federation が jwks_uri を介したメタデータ取得を提供するが、「adopting OpenID Federation is too heavy for most API systems」 — Trust Anchor / Intermediate Authority の運用が前提となるため、多くの API システムには重すぎる
  • 提案: Token Introspection レスポンスに client_jwks_uri のようなプロパティを追加し、リソースサーバーがそこから client の JWKS を取得できるようにする
  • 自己留保: Kawasaki は同提案が適切な解か確信が持てない旨を明記し、コミュニティに議論を促した

これは FAPI 2.0 Message Signing が Final 化レビューに入る直前のタイミングで提起された、「仕様の周辺で不足している運用基盤」 に関する問題提起であり、Implementation Guidance や将来の FAPI 改訂への論点として記録された。

4.2 Issue #741: Title of JARM spec incorporating errata corrections — 2025年5月15日(Mike Jones)

Mike Jones (mbj) が、JARM Errata 対応版の仕様タイトル表記を整える運用上の Issue を提起:

  • 提案タイトル: 「JWT Secured Authorization Response Mode for OAuth 2.0 (JARM) - Draft 05 incorporating errata set 1
  • 背景: Errata 版は Final 化された仕様を置き換えるものであり、OIDF が定める命名規約に沿って明示的にバージョン番号と Errata Set 識別子を含めるべき
  • 担当: Joseph Heenan が対応を担当(assignee として記録)

これは5月29日に公示された JARM Errata Set 1 パブリックレビュー(§2.2)と直接連動する整備作業であり、レビュー期間中に外部から仕様文書を参照する際の混乱を避けるためのタイトル整理であった。

4.3 Issue #742: 5.2.3. Public client interpretation — 2025年5月21日(Nat Sakimura)

Sakimura が FAPI 2.0 Security Profile §5.2.3(public client 向け要件)の 読み取りの曖昧さ を提起:

  • 対象テキスト: 「If openid is not in the scope value, then the public client」 という条件節に続いて、要件 9・10・11 の 3 項目が列挙されている
      1. RFC 6749 に従って state パラメータを含める
      1. token レスポンスの scope がリクエスト scope と一致または部分集合であることを検証
      1. well-known エンドポイント(OIDD または RFC 8414)から取得した Authorization Server メタデータのみを使用
  • 争点: 条件節(「openid が scope に含まれない場合」)が 要件 9 のみに掛かる のか、それとも 9 / 10 / 11 の 3 項目すべてに掛かるのか、テキスト構造から一意に読み取れない
  • 意義: openid が scope にある場合(つまり OpenID Connect 利用時)にも 10 / 11 が適用されるべきかは、public client の実装に直接影響する。FAPI 2.0 Final 化済みの仕様であるため、解釈ゆらぎがあれば Errata 候補となる

Sakimura 自身が WG 共同議長として起票している点が特徴で、コール(5月21日 Atlantic Call)での議論を経て正式な WG 課題化された可能性が高い。

4.4 Issue #743: 7.2. Message source authentication failure — 2025年5月23日(Hideaki Furukawa)

Hitachi の Hideaki Furukawa が、FAPI 仕様 §7.2 のメッセージ送信元認証に関する記述の 不完全性 を提起:

  • 対象テキスト: 「Authorization request and response are not authenticated. For higher risk scenarios, they should be authenticated.
  • 論点 1(認可レスポンス側): テキストは認可リクエストの未認証を認めるが、認可レスポンス側の認証についての扱いが不明瞭
  • 論点 2(JARM の位置付け): JARM (JWT Secured Authorization Response Mode) が認可レスポンスの認証手段として該当するのではないか — ならば仕様内で明示的に参照すべき
  • 背景: FAPI Part 2: Advanced は Request Object をメッセージ送信元認証の手段として用いている。これを認可レスポンス側にも対応する形で言及すべきというドキュメントクラリフィケーション要求

これは Errata Set への取り込み候補として明確な論点であり、JARM Errata Set 1 / FAPI 2.0 Message Signing Final レビューと並行して進む文書整合性の議論として位置付けられる。

4.5 Issue #744: Allow OAuth 2.0 Attestation-Based Client Authentication — 2025年5月27日(Joseph Heenan)

Authlete の Joseph Heenan が、FAPI 2 でモバイル / wallet クライアントが利用可能なクライアント認証手段の追加 を提起:

  • 現状: 「FAPI2 currently only allows private_key_jwt and mtls client authentication, both of which are kind of awkward for mobile clients to do.」 — FAPI 2 は private_key_jwtmtls のみを許可しており、いずれもモバイルクライアントには不便
  • 影響: この制約が OpenID4VCI(OpenID for Verifiable Credential Issuance) の採用障壁となっている
  • 提案: IETF ドラフト draft-ietf-oauth-attestation-based-client-auth を FAPI 2 のクライアント認証手段として追加で許可する
  • 互換性: 「a non-breaking extension」 — 既存実装を破壊しない拡張として位置付け

Sakimura は翌日 003314 で短く呼応:

"It is worth a discussion. I recently had a similar enquiry, not really in the wallet field but in the mobile apps field." (Nat Sakimura、ML 投稿 003314 より)

と、wallet 領域に限らず一般的なモバイルアプリ領域でも同様の問い合わせを受けた経験を共有した。WG 全体としての議論喚起の起点となるスレッドであり、5月28日 Atlantic Call の Issues 枠で取り上げられた可能性が高い。

4.6 Urgent Directed Funding ask for 2025 — 2025年5月21日(Paul Briault)

OpenID Foundation の Membership Director である Paul Briault が、FAPI ML を含む各 WG ML へ 2025年の Directed Funding 緊急アピール を発信:

  • メッセージ: 「without directed funding we cannot do what needs to be done in 2025」 — Directed Funding なしには 2025年に必要な活動が遂行できない
  • 位置付け: 「extremely high priority for OIDF」と最高優先度の課題と位置付け
  • 添付: (1) Directed Funding 背景・メンバー要請を解説するプレゼン資料、(2) OIDF Directed Funding Policy(2021年10月版)

これは技術議論ではないが、FAPI を含む各 WG の活動継続の前提となる組織財務上の重要メッセージであり、Identiverse 2025 / EIC 2025 を経た 2025 後半の活動計画と直結する内容であった。

5. GitHub 上の議論

FAPI WG の正式リポジトリは bitbucket.org/openid/fapi であり、github.com/openid/fapi は 2026年4月時点でも 404 を返す。Issue / PR 議論は Bitbucket 上で行われている。

ただし Bitbucket Cloud は SPA(JavaScript レンダリング)で HTML を生成するため、WebFetch 経由では Issue / Wiki / Pull Request の本文を取得できない。本月の主要 Issue(#740 〜 #744)の議論内容は §2.3 と §4 で示したとおり、ML 上の Issue 起票通知メールから再構成しており、Bitbucket への直接アクセスを伴わない範囲で WG の議論内容を表現している。

6. 関連イベント

Financial Data Exchange Spring Global Summit 報告(5月13日 openid.net 公表)

OIDF は5月13日に OpenID Foundation presents at Financial Data Exchange Summit を公表した。これは4月22日に Gaylord National Harbor で開催された Financial Data Exchange (FDX) Spring Global Summit での Gail Hodges (OIDF Executive Director) と Joseph Heenan (Authlete) のプレゼン報告である。

プレゼン題目: If, when, and why to implement the FDX 'blue' security profile with FAPI 2.0

主要メッセージ:

  • FDX の推奨: FDX Security and Authorization Work Group が 満場一致 で FAPI 2.0 を「blue profile」として推奨する RFC を採択
  • OAuth 2.0 → FAPI 2.0 への 4 ステップ移行プレイブック:
    1. セキュアなクライアント認証(private_key_jwt または MTLS)の実装
    2. Sender-constrained token(DPoP または MTLS)の実装
    3. Pushed Authorization Requests (RFC 9126) の実装
    4. PKCE (RFC 7636) の実装
  • 国際展開実績: ブラジル、UAE、サウジアラビア、ノルウェー、オーストラリアでの FAPI 採用実績を提示
  • 認証コスト: メンバー $1,000、非メンバー $5,000 で OIDF Conformance Tests を利用可
  • Hodges のコメント: 「The FDX expertise in data specifications perfectly complements the OpenID Foundation expertise in highly secure and interoperable communications profiles.

この公表は、米国 Open Banking 領域で FAPI 2.0 を直接的に推す OIDF のメッセージングであり、後の8月の CFPB Section 1033 ANPR への OIDF 関与へと連なる文脈を作った。

FIDO Alliance Payments WG 発足の ML 共有(5月8日)

5月8日に Anders Rundgren が 003304 で、FIDO Alliance が新設した Payments WG のアナウンスを FAPI ML に共有した。Rundgren 自身は懐疑的:

  • 過去の Secure Payment Confirmation (SPC) は決済領域に大きな影響を与えなかった
  • 金融機関は既に SCA (Strong Customer Authentication) 能力を保有しており、新規 WG が決済を覆す要因になりにくい
  • Universal Authorization is [probably] the only way they could turn the tables.」と独自見解を示し、EUDIW-4-Payment イニシアチブに関する GitHub Issue へのリンクを共有

これは FAPI / FIDO の境界領域で進む「決済 × 認証」の標準化潮流に対する、コミュニティ内の批判的視点として記録された短いノートである。

7. 今後の予定(2025年5月末時点の視点)

5月末時点で FAPI WG が見据えていた当面の予定:

  • 5月29日〜7月28日: FAPI 2.0 Message Signing Final Specification の 60 日パブリックレビュー
  • 5月29日〜7月13日: JARM Errata Set 1 の 45 日パブリックレビュー
  • 6月2〜5日: Identiverse 2025(ラスベガス)と OIDF パネル登壇
  • 7月13日 / 7月28日: 2 本のパブリックレビュー期間満了
  • 8月27日: FAPI 2.0 Message Signing Notice of Vote
  • 9月10〜24日: FAPI 2.0 Message Signing 本投票
  • Issue #740(client 公開鍵取得): API 業界向けの軽量手段として継続検討
  • Issue #741(JARM タイトル): Errata 版発行に向けた整理として Heenan が対応
  • Issue #742(public client 解釈): FAPI 2.0 Errata 候補として継続審議
  • Issue #743(認可レスポンス送信元認証): JARM 参照を含む文書整合性の論点として WG タスク化
  • Issue #744(Attestation-Based Client Auth): モバイル / OpenID4VCI 採用障壁の解消策として WG 内議論を継続

8. 参考情報源