idbok

Appearance

OpenID Foundation FAPI WG 活動レポート (2025年8月)

執筆日: 2026-04-28(遡及執筆)

1. 概要

FAPI WG(Financial-grade API Working Group)は、金融グレードの高セキュリティ API プロファイルを策定する OpenID Foundation のワーキンググループである。2025年8月時点の共同議長は Nat Sakimura(NAT Consulting)、Anoop Saxena(Intuit)、Anthony Nadalin、Dave Tonge(Moneyhub)、Dima Postnikov の 5 名体制。Postnikov は前月(7月)に共同議長として正式に追加された。FAPI 2.0 Security Profile は2025年2月に Final 化済みで、8月は FAPI 2.0 Message Signing の Final 化に向けた最終調整月 にあたる。

2025年8月の FAPI WG では、技術論点・規制対応・国際標準化の 3 軸が同時に進んだ:

  • 技術: Dima Postnikov が Issue #753 (request object の nbf クレームは必須か) を提起し、FAPI 2.0 Message Signing 仕様と FAPI 2.0 Security Profile の間で clock-offset 関連規定の置き場所と必須性を再検討する議論が開始された。前月起票の Issue #752 (M2M 向け FAPI 2.0 conformance profile) も Atlantic Call の議題に乗った。
  • 規制対応: 米国の CFPB が 8月22日に Section 1033 (Personal Financial Data Rights) Reconsideration の ANPR を Federal Register に掲載。Gail Hodges (OIDF) が即座に US/CAN Open Banking subgroup の volunteer lead editor を募集する呼びかけを ML に投稿した。並行して日本では金融庁 (FSA) が証券口座のフィッシング攻撃対策に関する短期パブリック・コンサルテーション(締切 8月18日)を開催し、Nat Sakimura が WG として応答するか確認するため翻訳付きで ML に共有した。
  • 国際標準化: 8月13日の Atlantic Call で「Special ISO sub-group formation」が議題として明示的に追加された。FAPI を ISO/IEC 国際標準に取り込むための作業を WG 内のサブグループで分担する体制づくりが始まった。

ML 投稿数は8月で 9通(うち 7月から続く Issue #752 への参照と、新規 Issue #753 / FSA フォワード / CFPB アナウンスを含む)。月末 (8月27日) には Marie Jordan が FAPI 2.0 Message Signing Final Specification の Notice of Vote を openid.net で公示し、9月10〜24日の本投票へ向けた最終ステージに入った。

2. 公開された仕様・ドラフト改訂

2.1 FAPI 2.0 Message Signing — 早期投票期間と Notice of Vote

FAPI 2.0 Message Signing Final Specification は、2025年5月29日〜7月28日の 60 日パブリックレビューを 7月末に完了し、8月は最終投票への準備期間に位置づけられる。OpenID Foundation の規程に従って 2 段階の投票プロセスが進行した:

段階期間性格
早期投票 (early voting)2025年8月12日 〜 8月19日 (7日間)OIDF 会員向けに先行開放
本投票 (official voting)2025年9月10日 〜 9月24日 (14日間)全会員投票

8月27日には OIDF Secretary の Marie Jordan が openid.net 上で正式な Notice of Vote を公示し、投票ポータル(poll #379)が開設された。最終的に2025年9月の本投票で 賛成 87 票・反対 0 票 で Final 化が承認されることになるが、その手続的起点は8月にあった。

2.2 Issue #753 — nbf クレームの必須性と置き場所

起票者: Dima Postnikov / 起票日: 2025年8月6日 / 対象: FAPI 2.0 Message Signing (FAPI2MS)

Postnikov は ML 投稿 003358 で、FAPI 2.0 Message Signing が request object に対し nbf (not-before) クレームを必須化している点について以下 2 点を問題提起した:

  • 必須性の妥当性: 「クライアントは request object に nbf クレームを送信しなければならない (shall send a nbf claim in the request object)」と規定されているが、これが本当にすべての認可リクエストで必須なのか。実装上は有用だが厳密には必須でない場面もあるのではないか。
  • 規定の所属仕様: FAPI 2.0 Security Profile に書かれている「サーバーは iat または nbf のタイムスタンプが 0 〜 10 秒未来の JWT を受け入れる必要がある」という clock-offset 規定は、Security Profile ではなく Message Signing 仕様に置くべきではないか。

これは FAPI 2.0 SP (Final 済み) と FAPI 2.0 MS (投票中) の間の規定の振り分けに関わる構造的論点で、Errata 候補としても重要な指摘となった。Postnikov 自身が一週間後の8月13日に再度 ML に投稿 (003362) して WG メンバーへの注意喚起を行っており、急ぎ議論したい意図を示している。

2.3 Issue #752 — M2M 向け conformance profile の継続議論

7月30日に Mastercard の Robert Gallagher が起票した Issue #752 は、8月6日の Atlantic Call で正式な議題に乗った(003357 のリマインダーで明示)。要件は以下のとおり:

  • Client credentials grant + private key JWT + DPoP の組み合わせ
  • Token request と resource consumption のみ
  • PAR は対象外
  • Authorization endpoint・end-user redirection も対象外
  • 「現状この組み合わせをテストする conformance suite が存在しない」

非対話的な金融 API 連携(バッチ処理・データ取得 API・サーバー間連携)の実装者から見ると、FAPI 2.0 SP の対話型フロー前提の conformance テストは過剰であり、M2M 用に切り出した tailored profile が望まれていた。8月の WG 議論はこの要件を技術的にどう切り分けるかが焦点となり、後の月の Issue #755 (節構成の整理) へつながる伏線となった。

3. ミーティングと議論

FAPI WG は Atlantic Call(水曜 14:00 UTC)を毎週定例で開催する。8月は 5 週あったうち、ML リマインダーから3回(8月6日・13日・20日)の開催が確認できる。8月27日は Notice of Vote の公示日と重なるが、ML 上には 8月27日の Atlantic Call リマインダーが残っていない(Atlantic 側は 7月最終週か、夏季休暇による不開催の可能性)。なお Pacific Call (FAPI WG はもう一系統の Pacific Call を持つ) は 7月の ML 投稿数に比べ 8月は ML 上に通知が残らず、議事録は Bitbucket Wiki (FAPI_Meeting_Notes_2025) にホストされているが SPA のため WebFetch では本文取得不可。本節は ML のリマインダー本文と関連する派生メールから議論内容を再構成する。

8月6日 Atlantic Call — Issue #718 と Issue #752

リマインダー 003357 (Nat Sakimura, 12:49 UTC) によれば、当日のアジェンダは以下 2 件の Issue 議論を中心としていた:

  • Issue #718: HTTP Message Signatures における signature;req および signature-input;req パラメータが「推奨されない (not recommended)」とする規定への対応。FAPI 2.0 MS は RFC 9421 (HTTP Message Signatures) 上の req フラグでレスポンス署名にリクエスト要素を含める設計だが、この req パラメータの利用が IETF コミュニティで非推奨扱いとなりつつあることへの対処を要する。
  • Issue #752: M2M 用 tailored conformance profile (前述)

会議終了後の 15:59 UTC に Sakimura が 議事録公開通知 を ML に投稿し、Bitbucket wiki への議事録掲載と修正点があれば返信を求めた。同日 14:29 UTC に Postnikov が起票した Issue #753 もコール内で短く議論された可能性がある(Issue 起票時刻がコール時間帯と重なるため)。

8月13日 Atlantic Call — ISO サブグループの設置議論

リマインダー 003360 (Nat Sakimura, 13:37 UTC) では、通常アジェンダに加えて 「Special ISO sub-group formation」 が独立議題として明示された。これは FAPI を ISO/IEC 25791 シリーズとして PAS (Publicly Available Specification) 経由で取り込むための WG 内サブグループを正式に立ち上げる提案であり、SC 27 (情報セキュリティ) と SC 44 (Identity Management) の双方をカバーする体制が必要であることに対応した動きである。後の9月17日に Nat が I'm ill-prepared as ISO SC27 and SC44 are going on this week. とコメントするのも、この8月の体制づくりが具体化した結果である。

同日朝 14:59 UTC に Sakimura が日本 FSA のパブリック・コンサルテーション(§4.3 参照)を WG にフォワードしており、コール内で日本側の規制動向についても短い情報共有があった可能性が高い。

8月20日 Atlantic Call

リマインダー 003363 (Nat Sakimura, 13:30 UTC) の本文は標準アジェンダ(roll call → events → liaisons → PRs → issues → AOB)のみで、具体的な突出議題は明示されていない。前週から積み残された Issue #753 の nbf 議論や、Notice of Vote 公示準備(8月27日に予定されていた)に関する打ち合わせが行われたとみられるが、ML には派生スレッドが残っていない。

4. メーリングリストの主要スレッド

openid-specs-fapi ML(2025-August アーカイブ)は月次インデックス形式。8月の投稿は 9 通。Atlantic Call リマインダー 3 通を除いた 6 通すべてが技術論点または対外規制対応に関する実質的なスレッドである。

4.1 Recording of FAPI2 overview etc — 2025年8月4日(Joseph Heenan)

Authlete の Heenan が、Daniel Fett と共同で複数のカンファレンスで講演してきた FAPI2 概説プレゼンテーションの最新版(2025年2月の OAuth Security Workshop で収録)が YouTube に公開されたことを ML に共有。FAPI 2.0 SP の Final 化を反映した最新版で、対外的な普及啓発資料として位置付けられている。Heenan はあわせて X (旧 Twitter) と LinkedIn 用の共有リンクも提示し、メンバーに拡散を呼びかけた。

4.2 Issue #753: Is nbf a mandatory requirement for request object in FAPI 2 message signing? — 2025年8月6日(Dima Postnikov)

§2.2 で詳述した Issue #753 の起票通知。FAPI 2.0 MS の nbf 必須化と、FAPI 2.0 SP の clock-offset 許容規定 (±0〜10秒) の所属仕様に関する 2 点の問題提起を含む。Postnikov は Atlantic Call 当日の朝に起票しており、コール内で本人から論点提示があった可能性が高い。

4.3 Fwd: Japanese FSA's Public Consultation on Secure Customer Authentication on stock trading — 2025年8月13日(Nat Sakimura)

日本の金融庁(JFSA)が 2025年に多発した証券口座へのフィッシング攻撃(2025年1〜4月だけで 6,380 件のアカウント乗っ取りと 3,505 件の不正取引、不正売買額は約 161.2 + 143.7 億円)への対応として、証券会社向けに多要素認証強化を求めるパブリック・コンサルテーションを発出。締切は 2025年8月18日 という極めて短い期限であった。

Sakimura は原文(日本語)と DeepL 翻訳、および提案応答(Google Docs)を WG に共有し、応答を OIDF として提出するか NAT Consulting として提出するかの可否を問うた。提案応答には Shared Signals Framework と API の言及を含み、FAPI が直接関連するため WG として関与する選択肢を示した。「夏季休暇期間と短期締切のため確実な約束はできないが、興味があれば Foundation として参加可能」というニュアンスで、結果的に8月18日締切に間に合う形で WG 名義の応答提出には至らなかったとみられる(その後の ML 投稿に応答提出の確認なし)。

4.4 FAPI2 MS - Should nbf be mandatory or not? — 2025年8月13日(Dima Postnikov)

Issue #753 起票から1週間後の Postnikov による短い注意喚起。Bitbucket Issue (#753) へ WG メンバーを誘導する内容で、技術討議自体は Bitbucket 側で進行した。本投稿は ML 上での議論可視化が乏しい点を補うための「読んでください」という呼びかけ機能を果たしている。

4.5 CFPB 1033 comments opened - US/CAN subgroup volunteers — 2025年8月23日(Gail Hodges)

OIDF Executive Director の Gail Hodges が、米国 CFPB が 2025年8月22日に Federal Register で公示した Personal Financial Data Rights Reconsideration ANPR について、4 つの論点(コメント締切 2025年10月21日)を ML に共有:

  1. 消費者の「representative (代理人)」の定義
  2. covered person が顧客主導の請求に応じる際の費用負担方式
  3. Section 1033 コンプライアンスに伴うデータセキュリティの脅威・費用便益
  4. Section 1033 コンプライアンスに伴うデータプライバシーの脅威

Hodges は「WG として優先すべきはデータセキュリティとデータプライバシーの脅威・費用便益」と明示し、US/CAN Open Banking Subgroup から lead editor の volunteer を募集した。OIDF スタッフがサポート編集を行うが、subgroup 参加者がドラフト作成を主導することを求めた。これは2024年11月のオリジナル PFDR 規則を CFPB が一旦再考に戻した政治的経緯(コンプライアンス期日が裁判所命令で 90 日延期されている状況)への対応であり、FAPI 2.0 が Open Banking の技術基盤として米国で採用されるかどうかにも影響する案件であった。

5. GitHub 上の議論

FAPI WG は GitHub 上にリポジトリを保有していないgithub.com/openid/fapi は 2026年4月時点でも 404 を返す。FAPI WG の正式リポジトリは bitbucket.org/openid/fapi であり、Issue / PR 議論はそちらで行われている。

ただし Bitbucket Cloud は SPA(JavaScript レンダリング)で HTML を生成するため、WebFetch 経由では Issue / Wiki / Pull Request の本文を取得できない。本月の主要 Issue (#752 / #753 / #718) の議論内容は §2 と §4 で示したとおり、ML 上の Issue 起票通知メールおよびコール・リマインダーの議題明示から再構成している。

なお、Atlassian は2026年8月20日に Bitbucket Cloud Issues / Wiki の完全削除を予定するが、この告知は2026年3月以降であり、2025年8月時点では FAPI WG として Bitbucket からの移行計画は未着手だった。

6. 関連イベント

米国 CFPB Section 1033 ANPR の公示

2025年8月22日に Federal Register で公示された Personal Financial Data Rights Reconsideration ANPR は、米国 Open Banking 制度の方向性を左右する重要文書である。コメント期間は 2025年10月21日まで。FAPI 2.0 SP は米国 FDX (Financial Data Exchange) の API 仕様としての採用候補であり、CFPB の規制再考が FAPI 2.0 の北米普及に影響する。

日本 FSA 証券口座セキュリティ・コンサルテーション

§4.3 で詳述した日本 FSA のコンサルテーションは、2025年に急増した証券口座フィッシングへの規制対応として位置付けられ、フィッシング耐性 MFA の義務化が主眼であった。FIDO / Passkeys の活用も視野に入る議論であり、FAPI WG の射程と接続する。締切は 2025年8月18日。

OAuth Security Workshop 2025 の余波

8月4日に Joseph Heenan が共有した FAPI2 overview の YouTube 公開は、2025年2月の OAuth Security Workshop での発表の事後展開である。FAPI 2.0 SP の Final 化を踏まえた最新の解説が公開動画として残ったことで、実装者向けリファレンス資料が拡充された。

2025年 Q3〜Q4 の予定(8月時点で見えていたもの)

  • 9月10〜24日: FAPI 2.0 Message Signing Final 本投票
  • 10月13〜16日: FIDO Authenticate (Carlsbad)
  • 10月20日: OIDF events / DCP WG hybrid meeting (San Jose)
  • 10月21日: CFPB Section 1033 ANPR コメント締切
  • 10月21〜23日: IIW Fall 2025 (Mountain View)

7. 今後の予定(2025年8月末時点の視点)

  • 9月10〜24日: FAPI 2.0 Message Signing Final Specification 本投票(投票ポータル poll #379)。早期投票(8月12〜19日)で会員からの大きな反対は確認されておらず、9月の Final 化は確実視されていた。
  • Issue #753 (nbf の必須性) の決着: Final 投票期間中の修正は不可(小さな editorial 修正のみ)のため、Issue #753 は Errata 候補としてフォロー継続。
  • Issue #752 (M2M conformance profile) の WG 内実装方針確定: tailored profile を新規作成するか、既存 profile のオプション化として処理するかの方向性決定。
  • CFPB Section 1033 への OIDF 公式コメント提出: US/CAN subgroup の lead editor 確保と 10月21日までのドラフト作成。
  • ISO sub-group の活動本格化: SC 27 / SC 44 双方への対応分担と、FAPI を ISO/IEC 25791 として持ち込むための文書整備。

8. 参考情報源