idbok

Appearance

OpenID Foundation FAPI WG 活動レポート (2025年7月)

執筆日: 2026-04-28(遡及執筆)

1. 概要

FAPI WG(Financial-grade API Working Group)は、金融グレードの高セキュリティ API プロファイルを策定する OpenID Foundation のワーキンググループである。2025年7月時点の共同議長は Nat Sakimura(NAT Consulting)、Anoop Saxena(Intuit)、Anthony Nadalin、Dave Tonge(Moneyhub) の 4 名で開始し、月内(7月14日)に Dima Postnikov(ConnectID 識別戦略責任者・OIDF 理事会副議長) が共同議長として正式に追加され、5 名体制に移行した。FAPI 2.0 Security Profile および Attacker Model は 2025年2月19日に Final Specification として承認済みで、7月は FAPI 2.0 Message Signing Final Specification の 60 日パブリックレビュー期間が満了する月(5月29日〜7月28日)にあたる。

2025年7月の FAPI WG では、以下 3 軸が同時に動いた:

  • ガバナンス: Postnikov の共同議長就任(7月2日推薦・7月9日コメント締切・7月14日承認発表)。WG への支持表明として 11 件の賛同メールが ML に集約された。
  • 仕様の Final 化と認証プログラム: Mike Leszcz が 7月9日に FAPI 2.0 Security Profile / Message Signing の Final 版に対応した Conformance Tests と Certifications が利用可能になったことを公示。Joseph Heenan が連動して Issue #750(FAPI2 SP ID2 / MS ID1 の deprecated 化) を提起。
  • 新規 Issue の集中起票: 5 件(#748〜#752)の Issue が 7月中に起票され、Post-Quantum Cryptography(#748)、API アクセスを伴わない FAPI 利用シナリオ(#749)、FAPI 1 の集合的論点(#751)、M2M 用 tailored conformance profile(#752)と、FAPI 1.x / 2.x 両系列にまたがる中長期論点が一気に立ち上がった。

ML 投稿数は 7月で 30 通(うち 12 通は Postnikov 共同議長就任スレッドの賛同メール)。Atlantic Call は 7月2日・7月9日・7月16日・7月23日・7月30日の 5 回が ML 上のリマインダーから確認できる。

2. 公開された仕様・ドラフト改訂

2.1 FAPI 2.0 Message Signing — パブリックレビュー期間の満了

2025年5月29日に開始された FAPI 2.0 Message Signing Final Specification の 60 日パブリックレビュー期間は、2025年7月28日(月)に満了した。OIDF の Final 化プロセス上、このレビュー期間の終了は本投票(公式投票)の前提条件であり、7月末の時点で次のスケジュールが既に予告されていた:

段階期間
パブリックレビュー2025年5月29日 〜 7月28日(60日間)
Notice of Vote(投票公示)2025年8月27日
本投票(official voting)2025年9月10日 〜 9月24日(14日間)

これに加え、Public Review 告知では「early voting before the start of the formal voting will be allowed」と早期投票枠の存在のみが予告されていた(具体的な早期投票期間は 8月の Notice of Vote で確定する性質のもの)。レビュー期間中に WG 外から重大なテクニカルコメントが ML に提出された記録は確認できない。レビュー期間終了直前から終了直後にかけて、後述する Issue #748〜#752 の集中的な起票が行われており、これらは Errata 候補ないし FAPI 2.1 / 3.0 への持ち越し論点として位置付けられた。

2.2 FAPI 2.0 Final Conformance Tests の公開(7月9日)

OIDF は 7月9日に Final Tests for FAPI 2.0 Security Profile & Message Signing を公示した。Mike Leszcz が同日 Atlantic Call 後に ML へ投稿(003344)した内容は次の通り:

  • 対象: FAPI 2.0 Security Profile(Final, 2025-02-19 承認)および FAPI 2.0 Message Signing(当時パブリックレビュー中)の Final 版
  • 対象テスト: Authorization Server 向け / OAuth Client 向け の双方
  • 告知文: 「The OpenID Foundation is pleased to announce the availability of conformance tests and certifications
  • 意義: FAPI 2.0 Security Profile が Final 化された 2月から 5 か月遅れで、Final 版に追従した認証テストが揃った。これにより既存の draft(FAPI2 SP ID2 / MS ID1)に依拠していた実装者の Final 版への移行パスが開かれた

この公開を起点に、Heenan が即座に Issue #750(旧 draft 認証テストの deprecate 計画) を起票することになる(§4.5 参照)。

2.3 7月中に起票された主要 Issue 概観

7月中に Bitbucket Issue tracker(bitbucket.org/openid/fapi/issues)に起票された主要 Issue は次の 5 件:

Issue起票日起票者主題ML 通知
#7487月8日Joseph HeenanFAPI & Post-quantum cryptography003339
#7497月9日Dima PostnikovFAPI without API access003341
#7507月11日Joseph HeenanDeprecation of FAPI2 ID2 tests003347
#7517月23日Peter StanleyDiscuss collective issues impacting FAPI 1003351
#7527月30日Robert GallagherRequest for a tailored FAPI 2.0 conformance profile003355

それぞれの議論内容は §4 の各スレッドで詳述する。

3. ミーティングと議論

FAPI WG は Atlantic Call(水曜 14:00 UTC)を毎週、Pacific Call(金曜 09:00 JST、隔週)を別系統で開催する。2025年7月の Atlantic Call は ML リマインダーから 5 回(7月2日・9日・16日・23日・30日)すべての開催が確認できる。Pacific Call は 7月9日付の Sakimura 投稿(003345 / 003346)で「隔週金曜 9-10時 JST」のシリーズ化スケジュールが正式に共有された。議事録は Bitbucket Wiki (FAPI_Meeting_Notes_2025) にホストされているが、Bitbucket Cloud は SPA レンダリングのため WebFetch では本文取得不可。本節は ML のリマインダー本文・議事録掲載通知・派生スレッドから議論内容を再構成する。

すべての Atlantic Call は共通アジェンダで運用された:

  1. Note Well(IPR / 反トラスト方針確認)
  2. Roll Call(Dave Tonge / Nat Sakimura)
  3. Adoption of Agenda(Dave / Nat)
  4. Events(Mike Leszcz)
  5. External Orgs & Liaisons(Mike Leszcz)
  6. PRs(Dave Tonge)
  7. Issues(Dave Tonge)
  8. AOB(Nat Sakimura)

7月2日 Atlantic Call — Postnikov 共同議長推薦の正式提示

リマインダー 003326(Nat Sakimura, 13:16 UTC、コール開始 45 分前)の標準アジェンダで実施。AOB 枠で Sakimura が Dima Postnikov の共同議長推薦 を WG に提示し、コール直後の同日中に正式な推薦メール(003327)を ML へ投稿した。コール終了から 7月2日中だけで Imran Ulghar、Mark Andrus、Yaron ZEHAVI、George Fletcher、Ralph Bragg、Steinar Noem、Michael Schwartz、Kristina Yasuda、Tobias Looker、Joseph Heenan、Peter Stanley の 11 名から賛同メールが連続して ML に届き、Postnikov の WG 内支持の厚さが可視化された。

7月9日 Atlantic Call — Conformance Final 化告知と Issue ラッシュの起点

リマインダー 003340 は通常アジェンダ。コール後の同日に以下 3 件の派生 ML 投稿が連続して流れている:

Sakimura が同日 ML に投稿した 議事録掲載通知 003343 で「The meeting minutes is available at」と Bitbucket wiki への議事録掲載が報告されている。この同日の議事録には Postnikov 共同議長推薦の確定が記録されたことが、5 日後の 7月14日付 Welcoming Dima as a co-chair メール 003348 から読み取れる(後述)。

7月14日 — Postnikov 共同議長就任の正式発表

7月14日に Sakimura が ML へ投稿した Welcoming Dima as a co-chair では:

"there was no objection but a lot of support by the deadline for comments" (議事録 2025-07-09 より、Sakimura 7月14日 ML 投稿で引用)

と述べ、7月2日推薦・7月9日コメント締切・7月9日コール議事録での確認 という手順を経て、Postnikov の共同議長就任が正式化されたことが報告された。これにより FAPI WG の共同議長は 5 名体制(Sakimura / Saxena / Nadalin / Tonge / Postnikov)となった。

7月16日 Atlantic Call

コール後に Sakimura が 議事録掲載通知 003349 を投稿。アジェンダは標準構成で、前週から起票されたばかりの Issue #748・#749・#750 のレビューが Issues 枠で扱われた可能性が高い。

7月23日 Atlantic Call — IETF 週との重複

コール前のリマインダー兼アジェンダメール 003350(7月16日付、Sakimura)で「Since it's the IETF week, I suspect it will be a small call but nevertheless.」と明示。IETF 123(2025年7月19〜25日、Madrid)と重なるため、出席者数が普段より少ない見込みであることが事前共有された。コール終了後に Sakimura が 議事録掲載通知 003352 を投稿。同日中に Peter Stanley が Issue #751(FAPI 1 集合的論点、§4.6)を起票し、ML に通知した(003351)。Stanley の Issue 本文には「At the FAPI WG on 3rd July 2025 I was requested to raise an issue to ensure all pending items potentially impacting FAPI 1 are brought back to the Working Group for discussion.」とあり、7月3日付の WG 議論を起点としている(FAPI WG の Pacific Call ないし他の議論セッションの可能性)。

7月30日 Atlantic Call — 月末コールと Issue #752 起票

リマインダー 003353(コール 1 時間前、Sakimura)で「a rather short call」が見込まれることが事前に共有された。月末で議題量が限定的だったためである。コール後に Sakimura が 議事録掲載通知 003354 を投稿。同日中に Robert Gallagher(Mastercard)が Issue #752(M2M 向け tailored conformance profile、§4.7)を起票して ML に通知した(003355)。これは 8月以降の Atlantic Call で継続審議される論点となる。

4. メーリングリストの主要スレッド

openid-specs-fapi ML(2025-July アーカイブ)は月次インデックス形式。7月の投稿は 30 通で、コール・リマインダー / 議事録掲載通知などの定常的事務連絡を除いた実質的な技術・ガバナンス議論は以下の 7 本に集約される。

4.1 Recommendation for Dima Postnikov as Co-Chair — 2025年7月2日(Nat Sakimura、12 件のスレッド)

Sakimura の正式推薦メールに対して、7月2日のうちに 11 件の賛同メールが続いた。推薦理由として Sakimura が挙げた論点:

  • OIDF 理事会副議長としての戦略整合性: WG の方向性と Foundation 全体目標の同期
  • ConnectID Head of Identity Strategy としての実装視点: オーストラリアの national digital identity infrastructure を牽引している実務経験
  • 長年の FAPI WG メンバーとしての貢献: Open Banking Whitepapers の執筆、複数の FAPI 仕様への寄稿
  • GAIN PoC CG の議長経験: 技術 WG をリードする実証済みの能力
  • アジア太平洋地域の代表性強化: グローバル金融エコシステムへの WG カバレッジ拡張

賛同メールに反対意見は皆無で、コメント締切(7月9日)まで純粋な賛同のみが集まった。これは前述のとおり 7月14日の正式承認発表につながる(§3)。

4.2 Issue #748: FAPI & Post-quantum cryptography — 2025年7月8日(Joseph Heenan)

Authlete の Heenan が起票した、FAPI シリーズの Post-Quantum Cryptography(PQC)対応戦略 の長期ロードマップに関する提起。論点を 4 階層に分けて整理した:

  1. TLS レイヤー: 「TLS 1.3 (or later) will be required for post-quantum」のため、TLS 1.2 からの移行を WG として推奨すべきか
  2. TLS の規定継承: FAPI 2 は既に BCP195 を参照しているため、IETF 側で BCP195 が PQC 対応に更新されれば WG 側で追加対応が最小限で済む可能性
  3. JWS / JWE の PQC 化: IETF で作業中だが「at least a year away from becoming an RFC」のため、FAPI Security Profile の更新は標準成熟後に FAPI 2.1 として 2 年程度先が妥当
  4. バージョニングへの含意: PQC アルゴリズムを必須化しつつ既存(古典的)アルゴリズムを禁止する措置を取る場合、それは破壊的変更として FAPI 3.0 リリースを伴う必要がある

7月時点では ML 上の応答が確認できないが、これは 2026年以降の中長期ロードマップとして tracking 用に Issue 化された性格のものである。

4.3 Issue #749: FAPI without API access — 2025年7月9日(Dima Postnikov)

Postnikov が新規共同議長確定の 5 日前に起票した、FAPI 2.0 SP の 適用範囲設計 に関する根本的な問題提起:

  • 問題: FAPI 2.0 SP は「Clients shall support refresh tokens and their rotation」と規定しているが、API アクセスを伴わず ID Token 交換のみで完結する identity ecosystem(典型的には認証専用シナリオ)では、Refresh Token のサポートを必須化する必要が無い
  • 提案: Access Token / Refresh Token のサポートを 条件付き要件(conditional) に格下げするか、Errata で対応するか、FAPI 2.1 で構造的に整理するかの 3 択

これは Postnikov が ConnectID(オーストラリア国家 ID)で実装する立場から提起したと推察される論点で、「FAPI = 必ず API がある」という従来の暗黙の前提を問い直すものであった。後続月で具体的な議論進展は ML 上では確認できないが、FAPI 2.1 のスコープ議論の入口として Issue 化された。

4.4 Additional identity related conferences — 2025年7月9日(Nat Sakimura)

Sakimura が 2025年下半期のアイデンティティ関連カンファレンス一覧表2025.H2.Identity_Conferences.xlsx、18.5 KB)を WG に共有。コール内で言及されたもの以外の追加情報を補足する目的。FAPI WG の対外プレゼンス(登壇・パネル参加)を WG レベルで戦略的に把握しようとする意図が読み取れる。具体的な掲載カンファレンス名は添付スプレッドシート内のため ML 本文からは取得できない。

4.5 Issue #750: Deprecation of FAPI2 ID2 tests — 2025年7月11日(Joseph Heenan)

Final 版 Conformance Tests の公開(7月9日、§2.2)から 2 日後に Heenan が起票した「旧 draft 認証テストの段階的廃止計画」の議論喚起:

  • 対象: 「FAPI2 SP ID2 / MS ID1」用の認証プログラム
  • 継続利用者として認証チームが把握している組織:
    • ConnectID(Australia, ConnectID 自体)
    • CBUAE(Central Bank of the UAE)
  • 両組織の見通し: 「expected to migrate to the final version relatively soon
  • 提案するスケジュール: 「end of March 2026」を初期 deadline とし、ConnectID / CBUAE との交渉次第で更なる移行猶予期間が必要なら延長を検討

これは Final 版が利用可能になったことを受けた実装エコシステムの整理であり、認証プログラム運営者(OpenID Foundation / Authlete)の視点で実施計画を WG に諮問した形となる。Heenan は本投稿で「is anyone aware of any other users」と他のユーザーの情報提供を呼びかけており、エコシステム全体の状況把握を求めている。

4.6 Issue #751: Discuss collective issues impacting FAPI 1 — 2025年7月23日(Peter Stanley)

UK Open Banking 関係者の Peter Stanley が起票。FAPI 2 の Final 化が進む中で、FAPI 1 系列(特に UK ecosystem が利用する FAPI 1 Advanced)に対する保守的論点を集合的に整理することを提案:

  • 背景: 「the UK ecosystem has only recently moved to FAPI 1 Advanced (from FAPI 1 ID2)」 — UK Open Banking エコシステムが FAPI 1 ID2 から FAPI 1 Advanced(Final)への移行を完了したばかりで、FAPI 1 系列の保守継続が現実的に必要
  • 目的: 影響範囲を可視化し、Errata 更新 / マイナーバージョンリリースのいずれの形で対応するか判断材料を WG に提供
  • 起点: 「following the FAPI WG meeting on 3 July 2025」 — 7月3日の何らかの WG 議論(Pacific Call または別セッション)を起点とする

FAPI 2 の Final 化に注力する WG にとって、FAPI 1 の継続保守は「忘れがちだが現実の本番環境では UK / Brazil 等で動いている」という現実的論点である。Stanley の Issue 提起は WG リソースの分配に関する問題提起としても読める。

4.7 Issue #752: Request for a tailored FAPI 2.0 conformance profile — 2025年7月30日(Robert Gallagher、Mastercard)

Mastercard の Robert Gallagher が起票した、M2M / 非対話型 FAPI 2.0 用認証テスト要求:

  • Mastercard の実装範囲:
    • Client Credentials grant + private key JWT + DPoP
    • Token request および resource consumption のみ
  • 未実装範囲:
    • Authorization code flow
    • PAR(Pushed Authorization Requests)
    • Authorization endpoint および end-user redirection
  • 問題: 「there currently is no conformance suite for testing this case

これは非対話型金融 API 連携(バッチ処理、サーバー間連携、データ取得 API 等)の実装者からの実需に基づく要求で、FAPI 2.0 SP の対話型フロー前提の認証テストは過剰であり、tailored profile が必要であるという主張。8月6日の Atlantic Call で正式議題に乗り、9月以降の Issue #755(節構成の整理)への伏線となる

5. GitHub 上の議論

FAPI WG は GitHub 上にリポジトリを保有していない。github.com/openid/fapi は 2026年4月時点でも 404 を返す。FAPI WG の正式リポジトリは bitbucket.org/openid/fapi であり、Issue / PR 議論はそちらで行われている。

ただし Bitbucket Cloud は SPA(JavaScript レンダリング)で HTML を生成するため、WebFetch 経由では Issue / Wiki / Pull Request の本文を取得できない。本月の主要 Issue(#748〜#752)の議論内容は §2.3 と §4 で示したとおり、ML 上の Issue 起票通知メールから再構成しており、Bitbucket への直接アクセスを伴わない範囲で WG の議論内容を表現している。

なお、Atlassian は 2026年8月20日に Bitbucket Cloud Issues / Wiki の完全削除を予定するが、この告知は 2026年3月以降であり、2025年7月時点では FAPI WG として Bitbucket からの移行計画は未着手だった。

6. 関連イベント

IETF 123(Madrid, 2025年7月19〜25日)

7月23日 Atlantic Call のリマインダー(003350)で Sakimura が「Since it's the IETF week, I suspect it will be a small call but nevertheless.」と述べたとおり、IETF 123 が同週にスペイン・マドリードで開催。OAuth WG / DPoP / HTTP Message Signatures など FAPI と密接な仕様の議論が進行する週で、FAPI WG メンバーの一部がそちらに参加していた。これに伴い、Atlantic Call は通常より小規模となった。

FAPI 2.0 Final Conformance Tests のローンチ(OIDF 公式アナウンス、7月9日)

Final Tests for FAPI 2.0 Security Profile & Message Signing が openid.net 公式ブログで公示。FAPI 2.0 Security Profile は Stuttgart 大学による Formal Security Analysis を経た仕様であり、Final 版に対応したテストプログラムが整ったことで、本番環境での認証取得が可能になった節目のリリースであった。

Help Net Security インタビュー(Gail Hodges, 7月14日)

Help Net Security に FAPI 2.0: How the OpenID Foundation is enabling scalable interoperability in global healthcare が掲載され、Gail Hodges(OIDF Executive Director)がインタビュー形式で FAPI 2.0 のヘルスケア領域への展開を解説した。要点:

  • Norway HelseID が国家規模のヘルスケアシステムで FAPI 2.0 を本番運用する初の事例として紹介
  • DPoPJWT-secured authorization requests を FAPI 2.0 の中核的セキュリティ機構として説明
  • 既存導入国: UK、Brazil、Saudi Arabia、Germany、UAE、Australia
  • 追加で 5 か国が導入準備中

これは 6月24日の Norway HelseID 発表に続く対外的な普及啓発であり、金融以外への FAPI 2.0 の応用拡張をアピールするタイミングと位置付けられる。

2025年下半期のアイデンティティ関連カンファレンス(7月時点で予定されていたもの)

Sakimura が 7月9日に共有した 2025.H2.Identity_Conferences.xlsx の具体的な内容は ML 本文からは取得不可だが、本月の前後関係から少なくとも以下が WG として注目していたイベントである:

  • 8月: 通常的に夏季休暇期間で大型イベント少
  • 10月13〜16日: FIDO Authenticate(Carlsbad)
  • 10月20日: OIDF events(San Jose)
  • 10月21〜23日: IIW Fall 2025(Mountain View)
  • 11月: IETF 124(Montreal)

7. 今後の予定(2025年7月末時点の視点)

7月末時点で FAPI WG が見据えていた当面の予定:

  • 8月: FAPI 2.0 Message Signing Final の Notice of Vote 公示(8月27日予定)と早期投票枠(公式投票前に許容、具体日は Notice of Vote で確定)。WG 側では実質的な追加修正は不要で、投票の事務手続きに移行
  • 9月10〜24日: FAPI 2.0 Message Signing Final 本投票
  • Issue #748(PQC): 中長期 tracking。具体的な仕様作業は 2026年の IETF JWS/JWE PQC RFC 化を待つ
  • Issue #749(API access なしの FAPI): FAPI 2.1 のスコープ議論として継続
  • Issue #750(FAPI2 ID2 tests deprecation): 2026年3月末を deadline とし、ConnectID / CBUAE との移行調整を実施
  • Issue #751(FAPI 1 集合的論点): UK Open Banking との連携で Errata またはマイナーリリース判断
  • Issue #752(M2M conformance profile): 8月の Atlantic Call で正式議題化(実際に 8月6日 Atlantic Call の議題に乗る)
  • Postnikov 共同議長体制下での WG 運営: 5 名議長体制の役割分担確立、ISO 連携・規制対応の強化

8. 参考情報源