idbok

Appearance

OpenID Foundation FAPI WG 活動レポート (2025年10月)

執筆日: 2026-04-25(遡及執筆)

1. 概要

FAPI WG(Financial-grade API Working Group)は、金融グレードの高セキュリティ API プロファイルを策定する OpenID Foundation のワーキンググループである。2025年10月時点の共同議長は Nat Sakimura(NAT Consulting)、Anoop Saxena(Intuit)、Anthony Nadalin、Dave Tonge(Moneyhub)、Dima Postnikov の5名体制。主要成果物である FAPI 2.0 Security ProfileFAPI 2.0 Attacker Model は2025年2月19日に Final Specification として承認済みで、本年10月は Post-Final のメンテナンスフェーズにあたる。

2025年10月の FAPI WG は、ISO/IEC 25791-1 および 25791-2 の WD レビューコメント対応 が活動の中心であった。ISO/IEC JTC 1/SC 27 が FAPI を国際標準として取り込むプロセスにおいて、ISO 側レビュアーから挙げられた多数のコメントを Issue 化し(WG 側トラッカーの #757 以降に対応)、WG として回答・修正案を整理する作業が ML 上で精力的に進んだ。並行して、Atlantic Call 定例の一部中止(10月22日)、プロトコルパラメータサイズ制限に関する技術的議論、エディタから WG への複数の確認依頼スレッドなど、実務色の強い議論が展開された。

ML 投稿数は10月の1カ月で 100件超(102件) と極めて活発で、FAPI 2.0 Final 後も ISO 取り込みおよび周辺実装課題を巡る議論が休む気配を見せていないことを示している。

2. 公開された仕様・ドラフト改訂

2025年10月中に openid.net/specs/ 上で公開された FAPI 系の新規ドラフト/改訂ドラフトは確認できなかった。FAPI 2.0 Security Profile(fapi-2_0-security-02)と FAPI 2.0 Attacker Model(fapi-2_0-attacker-model-02)は2025年2月19日付の Final Specification の状態を継続している。

ただし Post-Final メンテナンスの動きとして以下が進行中である:

  • ISO/IEC 25791-1 WD レビューコメント対応: "State that the servers are authorization servers"、"Mutual-TLS hyphens" 等のハイフネーション・用語統一系コメントを含む、ISO レビュアー発の多数のコメントが WG 側トラッカーの Issue #757〜#790 として起票・議論された(ML 投稿者: Hodari McClain)。
  • ISO/IEC 25791-2 WD レビューコメント対応: Issue #791〜#842 として起票・議論。RFC 8705 (Mutual-TLS) の参照更新・用語統一を中心に議論された。
  • Issue #756(client_credentials grant での refresh token 扱い) の継続議論: FAPI 2.0 の現行規定で client_credentials による refresh token 発行をどう扱うかを巡って、WG 内で編集方針を固める動きが進んだ。

これらはすべて Final 公開済みスペックの Errata 作成および ISO 版(25791-1/-2)への反映に向けた作業であり、WG が ISO 取り込み PAS プロセスに継続的にリソースを割いていることを意味する。

3. ミーティングと議論

FAPI WG は Atlantic Call(水曜日)を定例としており、10月の開催状況は ML 上のアナウンスから以下のように再構成される:

日付コール状態
2025-10-01 (水)Atlantic Call開催。"2025-10-01 Atlantic Call Notes Available" スレッドで Nat Sakimura が議事録公開を告知
2025-10-15 (水)Atlantic Call開催。Nat Sakimura から "It could be a short call" の事前通知あり(軽めのアジェンダ)
2025-10-22 (水)Atlantic Call中止。Mike Leszcz(OIDF スタッフ)から "Canceled: FAPI Atlantic Call" のキャンセル通知
2025-10-29 (水)Atlantic Call開催記録あり("A couple of asks to the WG as an editor" スレッドの最終メッセージが 10月30日 03:40:26 UTC で、これは29日のコール直後のタイミングと整合)

10月のコールでは以下が主要議題だった可能性が高い(ML 上で並行議論された論点との照合):

  • ISO/IEC 25791-1/-2 の WD レビューコメント対応進捗レビュー
  • Issue #756(client_credentials grant における refresh token)
  • プロトコルパラメータ(特に request parameter や JWT のサイズ)の上限ガイダンス
  • Nat Sakimura からの「エディタとしての WG への複数確認依頼」(認可サーバー種別の明示、MTLS のハイフネーション統一等)

Notes & Recordings Policy に関するアナウンスも Mike Leszcz から月内に流れており、ミーティングの録音・議事録公開ポリシーの周知が再強化された。

4. メーリングリストの主要スレッド

2025年10月の openid-specs-fapi ML には 102件の投稿 があった(2025-October thread index)。件数の多くを ISO レビューコメント対応(Hodari McClain による Issue 起票通知の連続投稿)が占める。代表的な技術スレッドは以下のとおり。

4.1 "Discussions on size limits for OpenID protocol parameters"

  • 発起人: Michael Jones
  • 返信: Rob Starling、Joseph Heenan 他
  • 論点: request object/request parameter/authorization request URL 長に関する実装上の上限値をどう FAPI 側でガイダンスするか。実装者が遭遇するサーバー側・ミドルボックス側の制約(特に URL 長・HTTP ヘッダサイズ)を踏まえて、FAPI の推奨する最大サイズを明記すべきという問題提起。
  • 意義: FAPI 2.0 Final が実装現場で採用される過程で表面化した実装互換性論点であり、将来の Errata / Implementation Advice 文書の候補トピック。

4.2 "A couple of asks to the WG as an editor"

  • 発起人: Nat Sakimura
  • 返信: Ralph Bragg、Kosuke Koiwai ほか3件超の議論
  • 論点: Nat がエディタとして WG 全体に確認を求める複数の小問題の束。最終投稿は10月30日 03:40:26 UTC で、10月29日 Atlantic Call 後に議論が続いたことを示す。
  • 意義: ISO 25791 レビューコメント対応と並行して、エディトリアル判断が必要な論点を集中処理する試み。

4.3 ISO/IEC 25791-1 / -2 WD レビューコメント対応連投

  • 発起人: Hodari McClain
  • 個別 Issue ごとのスレッド: #757 "State that the servers are authorization servers"、"Mutual-TLS hyphens"(ハイフネーション統一)、#791 以降の 25791-2 関連など数十本
  • 論点: ISO 側レビュアーが指摘した用語一貫性・正規化・引用書式などのコメントを、FAPI WG 側の Issue トラッカーに逐次反映して対応案を議論する。
  • 意義: ISO 25791-1/-2 PAS(Publicly Available Specification)プロセスを通過させるための実務作業で、10月の ML トラフィックの過半を占める。

4.4 "Use of non-standard port numbers for https"

  • 発起人: Joseph Heenan
  • 論点: 非標準ポート(例: https://example.com:8443/)を用いた際の FAPI 適合性確認・Conformance Suite 側の挙動について。
  • 意義: OpenID Foundation Conformance Testing の実装者視点の問題提起で、FAPI と Certification 周辺の相互依存の典型例。

4.5 "Key length guidance"

  • 発起人: Nat Sakimura
  • 論点: FAPI プロファイルにおける鍵長推奨値のガイダンス改訂要否。楕円曲線暗号と RSA それぞれの最小鍵長推奨、量子耐性を見据えた将来的な鍵長ポリシーの方向性などが対象となる。
  • 意義: FAPI 2.0 の Crypto Hygiene 系論点を ISO 25791 取り込み機会に整理する動き。

4.6 "ISO Sub-Group"

  • 発起人: Nat Sakimura
  • 論点: ISO 25791 対応を専任する WG 内サブグループの運営。25791-1/-2 それぞれに対するコメント処理の分担・定例会の有無などを定める目的。
  • 意義: ISO 対応が独立した恒常的な作業ストリーム化していることの組織的反映。

4.7 Issue #756(client_credentials grant での refresh token 扱い)

  • 関連スレッド: Issue 起票通知および返信数件
  • 論点: FAPI 2.0 Security Profile における client_credentials grant フローと refresh token の関係(通常は refresh token を発行しないというのが RFC 6749 の意図)をどう規範化するか。
  • 意義: 実装現場での誤解釈を防ぐための規範明文化トピック。

4.8 "Notes & Recordings Policy"

  • 発起人: Mike Leszcz(OIDF スタッフ)
  • 論点: 定例コールの録音・議事録公開に関する OIDF 全体ポリシーの周知。
  • 意義: FAPI WG 固有の技術議論ではないが、ガバナンス周りの透明性向上の動き。

5. GitHub 上の議論

FAPI WG の仕様ソースは歴史的に Bitbucket の openid/fapi リポジトリで管理されており、Issue トラッカーも同 Bitbucket 上にある。Bitbucket の Issue UI は SPA で、公開 URL に直接アクセスしても本文 HTML が取得できないため、本レポートでは ML に流れた Issue 通知から観測できる範囲を記述する。

10月中に ML 経由で新規起票・議論が確認できた Issue は以下のレンジ:

  • #756: client_credentials grant における refresh token 扱い
  • #757〜#790: ISO/IEC 25791-1 WD レビューコメント対応(Hodari McClain)
  • #791〜#842: ISO/IEC 25791-2 WD レビューコメント対応(Hodari McClain)

数としては10月1カ月で 85件以上の新規 Issue が起票されたことになり、ISO レビュー対応フェーズの密度を示している。いずれも Final 仕様本文の技術変更ではなく、用語統一・正規参照更新・文書構造の ISO スタイル調整が中心とみられる。

6. 関連イベント

OIDF Cisco Workshops(2025年10月20日)

OpenID Foundation と Cisco の共催ワークショップ。他 WG(eKYC-IDA など)のアジェンダでも言及されており、FAPI 実装者・ISO 対応関係者にとってもエコシステム横断の情報共有機会として機能した。

IIW 41 — Internet Identity Workshop XLI(2025年10月21〜23日)

カリフォルニア州 Mountain View の Computer History Museum で開催。FAPI 固有の公式セッション記録は公開インデックスから直接確認できなかったが、共同議長の Dima Postnikov は DCP WG の共同議長も兼ねており、Pre-IIW Hybrid Meeting(10月20日)および会期中に FAPI 関連トピックが議論された可能性が高い。

IETF 124 Montreal(2025年11月1〜7日)

10月末時点で開催直前の状態にあり、OAuth WG・JOSE WG 等で FAPI に関連する技術基盤(トークンバインディング、DPoP、mTLS 継続議論)が予定されていた。FAPI メンバーの一部が参加準備を進めていた。

7. 今後の予定(2025年10月末時点の視点)

  • ISO/IEC 25791-1/-2 レビューコメント対応の継続: Issue #757〜#842 の全件クローズを目標に11月以降も継続
  • Issue #756(client_credentials + refresh token) の結論取りまとめ
  • プロトコルパラメータサイズ制限ガイダンス(Michael Jones 発議)の Implementation Advice 化検討
  • 11月以降の Atlantic Call サイクル 再開(10月22日キャンセル後の仕切り直し)
  • FAPI 2.0 Final に対する Errata Set 公開準備: ISO レビュー対応で浮かび上がった用語統一・参照更新を Errata に集約

8. 参考情報源