idbok

Appearance

OpenID Foundation FAPI WG 活動レポート (2025年12月)

執筆日: 2026-04-21 / 遡及執筆

本稿は OpenID Foundation の Financial-grade API (FAPI) Working Group が 2025 年 12 月に行った活動を、メーリングリスト・Bitbucket リポジトリ・公式サイト等の一次情報をもとに遡及的にまとめたレポートである。

1. 概要

FAPI WG は OAuth 2.0 / OpenID Connect をベースとした高セキュリティ API プロファイルを策定する Working Group であり、オープンバンキングや医療・政府など高リスクなデータアクセス領域での標準化を推進している。

2025 年 12 月は、9 月の FAPI 2.0 Message Signing 最終仕様承認(87 賛成・0 反対)という大きなマイルストーンの直後に当たり、WG としては次フェーズの作業(ISO 標準化、IANA 登録、Grant Management 仕様等)の地均しを進めた時期であった。一方で 12 月下旬の年末休暇期間は複数のコールが中止となり、メーリングリストの技術的議論も少なかった。

2. 公開された仕様・ドラフト改訂

12 月に新たな仕様バージョンや公式アナウンスは確認されなかった。

直近の仕様マイルストーンの参考として、2025 年中に達成された主要な里程標を示す。

仕様ステータス承認日
FAPI 2.0 Security ProfileFinal Specification2025 年 2 月
FAPI 2.0 Attacker ModelFinal Specification2025 年 2 月
FAPI 2.0 Message SigningFinal Specification2025 年 9 月 26 日
JARM Errata 修正投票承認2025 年 7 月〜8 月
FAPI 2.0 最終適合性試験利用開始2025 年 7 月 9 日

以下のドラフト仕様は引き続き審議中・開発中であった。

  • Grant Management for OAuth 2.0 – Implementer's Draft 段階
  • FAPI: CIBA Profile – Implementer's Draft 段階

12 月時点では、FAPI 2.0 Message Signing が Final 化されたことに伴う IANA レジストリ登録申請(Issue #844:panva が 11 月に提起)の作業が継続中であった。

3. ミーティングと議論

メーリングリストによると、12 月の WG コールは以下のような実施・中止状況であった。

  • Atlantic コール(隔週水曜開催): 早期は通常どおり開催(Nat Sakimura が「Atlantic Call in Two hours」「Gentle reminder: Atlantic call in 15 min」とリマインダーを送信)
  • 12 月 24 日(水)・12 月 31 日(水)の Atlantic コール: キャンセル(Mike Leszcz が中止通知を送信)
  • 12 月 25 日(木)の Pacific コール: キャンセル
  • 2026 年 1 月 8 日(木)の Pacific コール: 年またぎでキャンセル(事前通知)

また、Nat Sakimura から「ASAP: Question from the OIDF secretariat for budget and meetings」という件名のメッセージが送付された。WG 全体の 2026 年の予算や活動計画について、OIDF 事務局からの確認依頼があったものと考えられる。

議事録は Bitbucket wiki(FAPI_Meeting_Notes_2025)に掲載される運用である。なお Atlassian は 2026 年 3 月 25 日付で Bitbucket Cloud の Issues / Wiki 機能の廃止(2026 年 8 月 20 日に完全削除)を予告しており、FAPI WG においてもこれらの議事録・イシュー・PR の移行が今後の課題となっている。

4. メーリングリストの主要スレッド

2025 年 12 月のメーリングリスト(openid-specs-fapi)は 12 月 3 日〜17 日の間に 14 件のメッセージが投稿された。内訳は以下のとおりであり、技術的議論を伴うスレッドは確認されなかった。

種別件数主な送信者
定例コール招待・カレンダー同期6 件Freddi Gyara, Chris Michael
コール中止通知4 件Mike Leszcz
コールリマインダー3 件Nat Sakimura
事務連絡(予算・ミーティング確認)1 件Nat Sakimura

技術的議論は ML には現れなかったが、これは 11 月から 12 月上旬にかけて開催されたコールで主要トピックが処理されたためと考えられる。前月(11 月)の ML では以下のような技術的課題が議論されており、12 月のコールで引き続き扱われた可能性が高い。

  • Issue #843: Browser swapping attacks(josephheenan 提起) – OAuth 2.0 のコードフローにおけるブラウザスワップ攻撃への対処。攻撃者が被害者のブラウザで開始された認可フローのコードを横取りし、自身のセッションで利用するシナリオ。形式的安全性分析では 2022 年時点で指摘済みの攻撃であり、PAR + 短命認可コード等の緩和策が FAPI 2.0 に組み込まれている。
  • Issue #844: FAPI 2.0 MS IANA 登録申請(panva 提起) – Final 化された FAPI 2.0 Message Signing について、OAuth Dynamic Client Registration Metadata レジストリへの登録申請を行う作業。
  • Issue #845/#846: ISO 採択に向けた編集的修正(Kosuke Koiwai / Nat 提起) – FAPI 仕様の ISO/IEC 標準化プロセスに向けた文書整形・参照更新。

5. GitHub 上の議論

FAPI WG の主要なトラッカーは Bitbucket(bitbucket.org/openid/fapi)上で運用されている。上述のとおり、11 月に提起された Issue #843〜#846 が 12 月に持ち越されており、IANA 登録や ISO 対応の編集作業が進んでいたと考えられる。

6. 関連イベント

12 月は主要なオープンバンキング・アイデンティティ系カンファレンスの開催は確認されなかった。

FAPI 2.0 のエコシステム全体として、2025 年後半時点で実装が進んでいた主な地域・分野を以下に示す。

  • オープンバンキング実装国: 英国、ブラジル、サウジアラビア、ドイツ、UAE、オーストラリア
  • 医療分野: ノルウェーが FAPI 2.0 を医療データ交換に採用(Norwegian Health Network 全域)
  • Authlete: FAPI 2.0 Security Profile Final に対する初の認定取得(2025 年 7 月)

英国では FCA(金融行動監視機構)が「Future Entity(オープンバンキングの将来的な標準策定主体)」の設計についてのフィードバックステートメント(FS25/4)を公表しており、OIDF では FAPI WG 内に「RFC サブグループ」を設置して英国 FCA の要件への対応を検討していた。

7. 今後の予定

2025 年 12 月末時点での主要な今後の取り組みは以下のとおりであった。

  • IANA 登録完了: FAPI 2.0 Message Signing に関する OAuth メタデータ登録の申請・完了
  • Grant Management for OAuth 2.0: Implementer's Draft からの昇格を視野に入れた議論継続
  • FAPI: CIBA Profile: Implementer's Draft の改訂・最終化に向けた作業
  • ISO 標準化: FAPI 1.0 の ISO/IEC 標準化プロセス継続、FAPI 2.0 の将来的な ISO 提出の検討
  • 2026 年 1 月の WG コール再開: 1 月 14 日(水)以降の Atlantic コールおよび Pacific コールから通常スケジュール復帰予定

8. 参考情報源