idbok

Appearance

OpenID Foundation FAPI WG 活動レポート (2025年6月)

執筆日: 2026-04-28(遡及執筆)

1. 概要

FAPI WG(Financial-grade API Working Group)は、金融グレードの高セキュリティ API プロファイルを策定する OpenID Foundation のワーキンググループである。2025年6月時点の共同議長は Nat Sakimura(NAT Consulting)、Anoop Saxena(Intuit)、Anthony Nadalin、Dave Tonge(Moneyhub) の 4 名(Dima Postnikov の共同議長就任は翌7月の出来事)。FAPI 2.0 Security Profile および Attacker Model は 2025年2月19日に Final Specification として承認済みで、6月は FAPI 2.0 Message Signing Final Specification の 60 日パブリックレビュー期間(2025年5月29日〜7月28日)の中盤 にあたる。

2025年6月の FAPI WG は、外形的には極めて静かな月である。Atlantic Call は 6月4日・6月11日・6月18日のいずれもキャンセル され、月内に実開催されたコールは 6月25日の 1 回のみ。ML 投稿数も 10 通に留まり、うち 4 通はコール中止・キャンセルイベント通知であった。一方で、この 1 回だけ開催された6月25日 Atlantic Call で 「FAPI 2 認証テスト本番公開を 7月7日までに実施」 という重要な意思決定が下され、これが翌月7月9日の Final Conformance Tests 公開告知へ直結する伏線となった。

主な動きは以下のとおり:

  • コール運営: Identiverse 2025(6月3〜6日、ラスベガス)期間と重なった6月4日コールは Dave Tonge により事前キャンセル、6月18日コールは両共同議長が当日不在のため Sakimura により当日キャンセル、6月25日のみ実開催
  • FAPI 2 認証テスト本番化決定: 6月25日 Atlantic Call にて「7月7日までに FAPI 2 certification を開ける」という go-ahead が出され、認証チームは既知バグの fix と再テスト、新規バグ受付停止の 3 条件を満たすことが要件となった
  • Issue 起票(3 件): #745(JARM Downgrade、Yaron Zehavi)、#746/#747(秘密鍵取扱に関する推奨事項、Joseph Heenan・Nat Sakimura)の 3 件が起票
  • Norway HelseID 国家ヘルスケア導入の対外発表: 6月24日に OIDF が Norway Health Network(NHN)の HelseID が FAPI 2.0 を採用したと公表。金融以外で初の国家規模 FAPI 2.0 デプロイとして大きく報じられた
  • 新規参加者の質問: CyberArk の Monika Avalur が「人間・マシン・ワークロード・AI エージェント等の主体類型に応じたセキュリティ推奨を FAPI で扱うのか」を ML に投稿し、Sakimura が「FAPI は主に third-party provider と service provider 間の接続(例: Fintech と銀行)が中心で、ワークロード ID は射程外」と回答

ML 投稿数は 6 月で 10 通(Identiverse 期間と Atlantic Call 連続中止が影響)。Pacific Call の存在についてもこの月の ML には通知が残っていない。

2. 公開された仕様・ドラフト改訂

2.1 FAPI 2.0 Message Signing — パブリックレビュー期間進行中

2025年5月29日に開始された FAPI 2.0 Message Signing Final Specification の 60 日パブリックレビュー期間は、6月時点で進行中であった。OIDF が公示した Public Review Period for Proposed FAPI 2.0 Message Signing Final Specification のスケジュールは以下のとおり:

段階期間
パブリックレビュー2025年5月29日 〜 7月28日(60日間)
Notice of Vote(投票公示)2025年8月27日
本投票(official voting)2025年9月10日 〜 9月24日(14日間)
早期投票Early voting before the start of the formal voting will be allowed

6月中の ML には、レビュー期間中の WG 外からの重大なテクニカルコメントは確認できない。ただし後述する Issue #745(JARM Downgrade)や Issue #746/#747(秘密鍵取扱)は、Final 化された FAPI 2.0 SP / レビュー中の MS と関連する論点としての提起であり、実質的にはレビュー期間中の議論喚起の側面を持つ。

2.2 6月中に起票された主要 Issue 概観

6月に Bitbucket Issue tracker(bitbucket.org/openid/fapi/issues)に起票された主要 Issue は次の 3 件:

Issue起票日起票者主題ML 通知
#7456月1日Yaron ZehaviJARM Downgrade003316
#7466月14日Joseph HeenanRecommendations around handling of private keys etc003318
#7476月25日Nat SakimuraRecommendations around handling of private keys etc003322

各 Issue の詳細は §4 で論じる。

2.3 FAPI 2 認証テスト本番公開の WG 内決定(6月25日)

6月25日 Atlantic Call にて、FAPI 2.0 Security Profile / Message Signing 用認証テスト(Conformance Tests)の本番公開 に向けた WG としての go-ahead が出された。Sakimura が翌6月26日に投稿した 議事録掲載通知 003323 では「gives go-ahead for opening FAPI 2 certification by July 7th, with certification team to fix known bugs by then」と記録されている。具体的な前提条件は以下 3 点:

  • 現在認識されているすべての問題への対処
  • 既存参加者による再テストの実施
  • 新規バグ受付の停止(タイムライン延長を防ぐため)

加えて、「テスト自体はすでに本番環境で potentially incomplete ステータスでアクセス可能」「ConnectID スキーム要件で 8月末までの認証取得が急務」といった補足情報も記録された。これは Filip Skokan のフィードバックを反映した運用ルール であり、開発・QA・スキーム要件の三者調整の結果としての本番公開判断であった。

この決定が、翌月7月9日に Mike Leszcz が ML に投稿した Final Conformance Tests 公開告知 と、同日 openid.net 上での Final Tests for FAPI 2.0 Security Profile & Message Signing アナウンスの直接的な前提となった。

3. ミーティングと議論

FAPI WG は Atlantic Call(水曜 14:00 UTC)を毎週定例で運営する。2025年6月の 4 回(6月4日・11日・18日・25日)のうち、実開催されたのは 6月25日のみ であった。議事録は Bitbucket Wiki (FAPI_Meeting_Notes_2025) にホストされているが、Bitbucket Cloud は SPA レンダリングのため WebFetch では本文取得不可。本節は ML のリマインダー本文・キャンセル通知・議事録掲載通知から議論内容を再構成する。

6月4日 Atlantic Call — Identiverse 期間でキャンセル

Cancelling Atlantic call today 003317(Dave Tonge、6月4日 13:18 UTC)にて事前キャンセル。理由は:

"Quite a few attendees are at Identiverse or otherwise engaged" (Dave Tonge、ML 投稿 003317 より)

Identiverse 2025(6月3〜6日、ラスベガス・Mandalay Bay)の開催と重なり、定足数に満たない見込みのためコールは見送られた。Dave Tonge は「来週再開する」と短く告知している。

6月11日 Atlantic Call — 記録なし

ML には 6月11日コールに関する明示的なリマインダーもキャンセル通知も残されていない。6月4日キャンセル時に Tonge が「来週再開」と述べたものの、ML 上では 6月11日コールの議事録掲載通知も派生スレッドも見当たらないため、実開催されたかどうかは ML 公開情報からは確認できない。Identiverse からの帰国直後で実質的な議論は限定的だった可能性が高い。

6月18日 Atlantic Call — 両共同議長不在で当日キャンセル

Cancelling today's FAPI Call 003319(Nat Sakimura、6月18日 13:28 UTC、コール開始 30 分前)で当日キャンセル。Sakimura のメッセージ:

"Due to unforeseen circumstances, I am cancelling today's call as both co-chairs became unavailable." (Nat Sakimura、ML 投稿 003319 より)

両共同議長が予期せぬ事情で同時不在となったための急遽の中止であり、Sakimura 自身が短い通知でメンバーに謝意を示している。同日に Google Calendar からの 自動キャンセルイベント通知 003320 も配信された。

6月25日 Atlantic Call — 月内唯一の実開催、FAPI 2 認証テスト本番化決定

FAPI Atlantic Call Agenda 003321(Nat Sakimura、6月25日 11:23 UTC)で事前公示されたアジェンダ:

  1. Roll Call (Dave/Nat)
  2. Adoption of Agenda (Dave/Nat)
  3. Events (Mike L.)
  4. External Orgs & Liaisons (Mike L.)
  5. FAPI 2.0 test review (Joseph) — リクエストにより追加
  6. PRs (Dave)
  7. Issues (Dave)
  8. AOB (Nat)

通常アジェンダに 「FAPI 2.0 test review」 が Joseph Heenan の依頼で追加された点が特徴的で、これがコール中の中心議題となった。コール終了後に Sakimura が投稿した 議事録掲載通知 003323 では、§2.3 で詳述した 7月7日までの FAPI 2 認証テスト本番公開 という明確な決定が記録された。

同日のコール内で、Sakimura は別途 Issue #747 003322 を起票しており、これは6月14日に Joseph Heenan が起票した Issue #746 003318 と同テーマ(秘密鍵取扱に関する推奨事項)の重複ないし派生 Issue として位置付けられる(同日の議事録に基づく派生起票の可能性が高い)。

4. メーリングリストの主要スレッド

openid-specs-fapi ML(2025-June アーカイブ)は月次インデックス形式。6月の投稿は 10 通(うち 4 通はコール中止・キャンセルイベント自動通知)で、実質的な技術・運営議論は以下の 4 本に集約される。

4.1 Issue #745: JARM Downgrade — 2025年6月1日(Yaron Zehavi)

Yaron Zehavi が、JARM(JWT Secured Authorization Response Mode) の規定に潜むセキュリティダウングレード問題を提起:

  • 問題: JARM 仕様は、Relying Party(RP)が JARM 形式のレスポンスを要求したにもかかわらず、OpenID Provider(OP)がそれを無視して通常の code / state / iss クエリパラメータで返してきた場合の RP 側の挙動について何も規定していない
  • 想定リスク: OP が JARM 対応にも関わらず、攻撃者の操作などで通常の認可コード形式に「ダウングレード」されたレスポンスを RP が受容してしまう可能性
  • 提案: 仕様としてこれを潜在的セキュリティダウングレードとして明示し、RP が検出・拒絶できる規定を盛り込むべき
  • 条件付き考察: OP が response_modes_supported メタデータで JARM 対応を明示宣言している場合のみ、ダウングレード時の RP 拒絶を要件化すべきというニュアンス

これは FAPI 2.0 Message Signing 仕様(パブリックレビュー中)での明示的セキュリティ能力ネゴシエーションの重要性を示す指摘でもある。ML 上で 6月内に直接の応答スレッドは形成されていないが、Bitbucket Issue 上での議論継続が前提となっている。

4.2 Issue #746: Recommendations around handling of private keys etc — 2025年6月14日(Joseph Heenan)

Authlete の Joseph Heenan が起票した、FAPI 仕様における秘密鍵管理ガイダンスの欠如 に関する問題提起:

  • 背景: 「several people have said to me that they're surprised FAPI doesn't have recommendations on storage of private keys etc.」 — 複数のステークホルダーから「FAPI に秘密鍵保管に関する推奨が無いのは意外」という声が上がっている
  • Heenan の立場: このトピックは厳密には FAPI 仕様の技術範囲外と考えられる
  • 提案: 仕様の境界を明示的に文書化したうえで、実装者を確立された外部標準に誘導する形を取るべき
  • 推奨参照: NIST SP 800-57 Part 1 Revision 5(暗号鍵管理に関する NIST の包括的ガイダンス)

これは「ユーザー期待」と「仕様カバレッジ」の乖離を埋めるための、運用ガイダンス整備の提起であり、Implementation Guidance ドキュメントの拡充課題として WG に持ち込まれた論点である。

4.3 Issue #747: Recommendations around handling of private keys etc — 2025年6月25日(Nat Sakimura)

Sakimura が6月25日 Atlantic Call の最中に起票した、Issue #746 と同テーマの Issue。ML 投稿本文も #746 と同様の論点(秘密鍵保管に関する推奨の欠如、NIST SP 800-57 Part 1 Rev 5 への誘導)を含む。同日の議事録(Bitbucket)で、コール参加者間の合意に基づき正式な tracking Issue として再起票された性格のものと推察される。Heenan の #746 が「議論喚起」段階だったのに対し、Sakimura の #747 は「コールでの合意を経た WG タスク化」段階と位置付けられる可能性が高い。

4.4 Introduction and some questions — 2025年6月26日(Monika Avalur、CyberArk)

CyberArk の Identity & Access Management プロダクトマネージャーである Monika Avalur が、FAPI WG への新規参加挨拶とともに以下の問いを投げた:

  • エンティティ別セキュリティ推奨: 人間・マシン・ワークロード・AI エージェント等の主体類型ごとに、推奨されるセキュリティアプローチが異なるという観点を FAPI として整理する予定はあるか
  • プロトコル / プロファイル選択ガイダンス: 「FAPI talks mostly about confidential clients, but it doesn't say a lot」 — FAPI は機密クライアントを主に扱っているが、どのエンティティ類型にどのプロトコル・セキュリティプロファイルが適合するかの明示的ガイダンスは乏しい
  • 標準化の意義: そのようなガイダンスがあれば、IAM ベンダー間で一貫したセキュリティ実践が確立される

Sakimura は翌6月27日に 003325 で返答:

"FAPI is mostly working on the third-party provider connecting to a service provider (e.g. Fintech to Bank)" (Nat Sakimura、ML 投稿 003325 より)

と FAPI のスコープを明示し、ワークロード ID は WG の歴史的射程ではないと回答。同時に「Implementation Guidance ドキュメントが現在策定中」であり、Avalur の問いの一部はその文書で扱われる可能性があると示唆した。これは前述の Issue #746/#747(秘密鍵取扱推奨)と並んで、FAPI を「仕様セット」から「運用ガイダンス込みのスタック」へ拡張する WG の方向性を裏付ける動きである。

なお、Avalur が提起した「AI エージェント」の主体類型については、当時 OIDF 全体としてはまだ AIIM CG(AI Identity Management)の発足前段階であり、FAPI WG として直接対応する仕組みはなかった。

5. GitHub 上の議論

FAPI WG は GitHub 上にリポジトリを保有していないgithub.com/openid/fapi は 2026年4月時点でも 404 を返す。FAPI WG の正式リポジトリは bitbucket.org/openid/fapi であり、Issue / PR 議論はそちらで行われている。

ただし Bitbucket Cloud は SPA(JavaScript レンダリング)で HTML を生成するため、WebFetch 経由では Issue / Wiki / Pull Request の本文を取得できない。本月の主要 Issue(#745 / #746 / #747)の議論内容は §2.2 と §4 で示したとおり、ML 上の Issue 起票通知メールから再構成しており、Bitbucket への直接アクセスを伴わない範囲で WG の議論内容を表現している。

6. 関連イベント

Identiverse 2025(ラスベガス、2025年6月3〜6日)

Mandalay Bay Resort & Casino で開催された Identiverse 2025 は、識別子・認証・アクセス管理分野の主要カンファレンス。FAPI WG メンバーの多くがこの期間ラスベガスに参加していたため、6月4日 Atlantic Call は事前キャンセルとなった(§3)。

OIDF は6月2日に 「OpenID Foundation Board Take on the Landscape」 セッションを実施。OIDF 理事会メンバーがパネル形式で、AuthZEN / Shared Signals / Digital Credentials Protocols / 委任権限関連仕様の進捗を共有した。FAPI については openid.net 公式記事 で「In the last five years, FAPI has become the standard of choice for Open Banking and Open Data implementations, allowing people to access and share data across entities.」と総括されている。

セッション登壇者:

  • Gail Hodges(Executive Director、モデレーター)
  • Nat Sakimura(Board Chair、FAPI WG 共同議長)
  • Dima Postnikov(Vice Chair、後の FAPI WG 共同議長)
  • Nancy Cam-Winget(Treasurer、Cisco)
  • Atul Tulshibagwale(SGNL)
  • Ali Adnan(Authlete)

このパネル自体は FAPI を主題とせず、Agentic AI / age assurance / digital estate planning といった新規ユースケースと委任権限の議論が中心であった。

Norway HelseID 国家ヘルスケア導入の対外発表(6月24日)

OIDF は6月24日に Scaling FAPI 2.0 to Transform Healthcare Security in Norway を openid.net 上で公示した。FAPI が金融以外で初めて国家規模に展開された記念碑的な事例 であり、要点:

  • 対象: Norway Health Network(NHN、ノルウェー保健医療省所管の国営機関)が運営する HelseID identity & access management platform
  • 規模: ノルウェー国民約 600 万人と最大 50,000 のヘルスケア組織を対象。100 以上の API、1,800 以上のクライアントアプリ、300 以上のベンダーが対象
  • デプロイ方式: 新規 API は最初から FAPI 2.0 必須、既存 API は段階的移行
  • セキュリティ効果: NHN 自身のリスク評価で「DPoP 等の FAPI 2 措置を有効化したのち、トークン窃取の発生確率と影響の双方が劇的に低下」「窃取されたトークンは暗号学的に無効化される」
  • NHN の OIDF 加盟: 本件を機に NHN が OpenID Foundation のメンバーとなった

Biometric Update の記事 (2025-06-25) には HelseID CTO の Ragnhild Varmedal の発言が掲載されており:

"FAPI 2 has already delivered tangible security gains. Automated tests and a shared standard mean our vendors spend less time decoding proprietary specs and more time shipping secure, interoperable services to frontline clinicians." (Ragnhild Varmedal、HelseID CTO)

と、自動化された conformance test が ベンダー側の開発負担削減 に直接寄与している点を強調している。Gail Hodges(OIDF Executive Director)は「The move underscores the profile's maturity, scalability and real-world security value.」とコメント。

この対外発表は、翌7月14日の Help Net Security インタビュー でのヘルスケア領域における FAPI 2.0 普及啓発に直接つながる起点となった。

7. 今後の予定(2025年6月末時点の視点)

6月末時点で FAPI WG が見据えていた当面の予定:

  • 7月7日まで: FAPI 2 認証テストの本番公開(6月25日コールでの go-ahead に基づく)。認証チームが既知バグを修正し、再テスト・新規バグ受付停止の 3 条件を満たす形で本番化
  • 7月28日: FAPI 2.0 Message Signing Final Specification のパブリックレビュー期間満了
  • 8月27日: Notice of Vote 公示
  • 9月10〜24日: FAPI 2.0 Message Signing Final 本投票
  • 8月末: ConnectID スキームの認証取得期限(議事録に記録された外部要件)
  • Issue #745(JARM Downgrade): Errata 候補として継続審議
  • Issue #746/#747(秘密鍵取扱推奨): Implementation Guidance ドキュメントへの反映として WG タスク化
  • 新規参加者の問い: Monika Avalur が提起したエンティティ類型別ガイダンスは、Implementation Guidance 文書の射程に含めるか継続検討

8. 参考情報源