OpenID Foundation FAPI WG 活動レポート (2026年1月)
執筆日: 2026-04-19(遡及執筆)
本記事は、OpenID Foundation の Financial-grade API (FAPI) Working Group (WG) が 2026年1月に行った活動を、公開された一次情報に基づいてまとめたものです。Bitbucket Wiki(議事録所在)については執筆時点でページの直接取得ができなかったため、メーリングリスト (pipermail) アーカイブおよびその他の公開情報から再構成しています。
FAPI WG 概要
FAPI WG は、金融 API をはじめとする高セキュリティ環境向けの OAuth 2.0 プロファイルを策定する OpenID Foundation のワーキンググループです。FAPI 2.0 Security Profile(2025年2月 Final)・FAPI 2.0 Message Signing(2025年9月 Final)の両仕様が確定した現在、WG の関心は実装・認証の普及と仕様の保守(Errata)に移行しています。
2026年1月の主な活動:
- TLS 暗号スイート近代化議論(Issue #847) — ChaCha20-Poly1305 を含む AEAD アルゴリズムの扱いについて、IANA TLS レジストリへの動的参照方式への移行を検討
- ISO/IEC 26083 PAS 適合対応(Issue #849/850) — FAPI 2.0 仕様の ISO 公開に向けた審査コメントへの対応を開始
- FAPI 2.0 OSCAL プロファイル提案(Issue #851) — NIST SP 800-53 へのマッピングを探索的に検討
- 4 回の Atlantic コール開催 — 年初めの 1 月を通じて毎週水曜日に定例 WG コールを実施
公開された仕様・ドラフト改訂
2026年1月において、FAPI WG から新規の仕様ドラフト公開や Final Specification の承認はありませんでした。
WG の主要仕様は以下の状態にあります:
| 仕様 | 状態 | 確定時期 |
|---|---|---|
| FAPI 2.0 Security Profile | Final | 2025年2月 |
| FAPI 2.0 Attacker Model | Final | 2025年2月 |
| FAPI 2.0 Message Signing | Final | 2025年9月 |
| JARM Errata Corrections | 承認済み | 2025年8月 |
| FAPI 1.0 Part 1/2 | Final(保守中) | 2021年3月 |
| Grant Management for OAuth 2.0 | Implementer's Draft | 継続審議中 |
ミーティングと議論
2026年1月は毎週水曜日に Atlantic コールが開催されました。メーリングリストアーカイブによると、Nat Sakimura 共同議長が各回の議事録を Bitbucket Wiki に公開しています。以下の 4 回のコールが確認できます。
2026-01-07 Atlantic コール(年初第 1 回)
年明け最初の定例コール。ロールコール・イベント確認・外部組織連絡・PR/Issues・AOB の標準議題。前月の年末休暇明けにあたり、継続議題の確認が中心だったとみられます。議事録は Bitbucket Wiki(FAPI_Meeting_Notes_2026-01-07_Atlantic)に公開されています。
2026-01-14 Atlantic コール
TLS 1.2 における AEAD アルゴリズム制限(Issue #847)が中心議題となりました。Nat Sakimura が議事録を ML に投稿し、ChaCha20-Poly1305 に関する IANA TLS 暗号スイートレジストリの詳細データを共有しました。議事録サブジェクト「2026-01-14 Atlantic Call Meeting notes and chacha」が示す通り、暗号アルゴリズムの取り扱いが主要論点でした(議事録: FAPI_Meeting_Notes_2026-01-14_Atlantic)。
2026-01-21 Atlantic コール
アジェンダに複数の具体的議題が設定された回です:
- 4.1: UK FCA のオープンバンキング(OBIE)に関するコメント募集への対応(締切 1 月 30 日)
- 6.1: Issue #847(TLS/AEAD/ChaCha20)の継続審議
- 6.2: Issue #790(鍵長更新)の審議
また、Mark Verstege が同日の ML 投稿にて ISO/IEC 26083-1(Security Profile)および 26083-2(Attacker Model)の PAS 審査コメントへの対応案を提出し、WG による投票・分類作業が開始されました。
2026-01-28 Atlantic コール
- 6.1: Issue #660「FAPI securityScheme タイプの OpenAPI 要件定義」の継続審議
- Damian Hickey が ML 投稿にて FAPI 2.0 OSCAL プロファイル(Issue #851)を提案し、探索的な議論が始まりました。
メーリングリストの主要スレッド
2026年1月の openid-specs-fapi ML には計 15 通のメッセージが投稿されました(1 月 7〜30 日)。以下に技術的に重要なスレッドを取り上げます。
Issue #847: TLS 1.2 と AEAD アルゴリズム制限
5.2. Network layer protections are interpreted in a way limiting use of more recent AEAD algorithms with TLS 1.2 — 2026-01-07 開始
問題提起(Robert Gallagher): Robert Gallagher は FAPI 適合性テストが TLS 1.2 使用時に ChaCha20-Poly1305 暗号スイートを持つ実装を不合格とする問題を報告しました。FAPI 2.0 準拠の実装が TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 をアドバタイズしたところ、適合性テストに失敗したというのが発端です。
Gallagher の主張:
- ChaCha20-Poly1305 は RFC 7539 で厳密に解析された認められたアルゴリズム
- RFC 7905 が TLS 1.2 への使用を明示的に承認している
- TLS 1.3 では RFC 8446 Section 9.1 により推奨実装 (SHOULD) の暗号スイートに含まれる
- AES ハードウェアアクセラレーションを持たないプラットフォームでは特に有効
Nat Sakimura の提案(1 月 14 日): 特定の RFC バージョンへの固定参照ではなく、IANA TLS 暗号スイートレジストリへの動的参照 への移行を提案。IANA レジストリ上の Recommended (Y) / Deprecated (D) の区分を FAPI の要件として直接参照することで、将来のアルゴリズム追加・廃止に対して仕様が自動的に追従できるようになります。
IANA レジストリ確認結果(Sakimura が議事録にて共有):
- TLS 1.2 において ChaCha20-Poly1305 ファミリーの以下が Recommended (Y):
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256
- 以下は Deprecated (D):
TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256
WG の方向性: IANA レジストリ参照方式への移行に向けた合意形成が進み、次のようなアプローチが浮上しました:
- FAPI 1.0 Errata: 「[IANA TLSP] で deprecated とされたアルゴリズムを使用してはならない」
- FAPI 2.0 Errata: 「サーバーは IANA で allowed かつ非 deprecated の暗号スイートのみを使用すること」「クライアントは IANA が recommended とする暗号スイートのみを許可すべき」
- 戦略的方向性: TLS 1.3 への移行を優先し、TLS 1.2 はオプション対応へ格下げ
この議論は 1 月 21 日のコールでも継続され、翌 2 月以降の Errata 策定につながります。
Issue #849/850: ISO/IEC 26083 PAS 審査コメント対応
FAPI2: Security Profile ISO/IEC 26083-1 Review Comments — 2026-01-21 開始(Mark Verstege)
背景: FAPI 2.0 Security Profile および Attacker Model は ISO への PAS(Publicly Available Specification)申請が行われ、ISO 加盟国の投票により可決されました(2024年末)。ISO による公式発行(ISO/IEC 26083-1, 26083-2 として)に向けて、ISO から計 26 件の審査コメント(Security Profile: 14 件、Attacker Model: 12 件)が返却されました。
提案された変更の分類(Security Profile の場合):
ISO 体裁のみの変更(仕様内容に影響なし):
- ドキュメントタイトルを FAPI 1.0 フォーマットに合わせる
- 規範的参照セクションを移動
- 略語定義の大文字化を修正
- 強調書式(bold/italic)の削除
- テキストカラーを黒に統一
- Acknowledgements セクションおよび Warning clause の削除
Errata 変更(仕様内容への実質的な修正):
- 規範的参照から ISO/IEC Directives を削除
- 参考文献(bibliography)セクションを新設
- NOTE ラベルの bold 書式を削除
- RFC・ISO 番号前のスペース追加(例: 「RFC9325」→「RFC 9325」)
- 付録 B を Annex A に変換(ISO 慣習への準拠)
- Author's Addresses セクションの削除
WG タスク: 各コメントについて Accept / Partially Accept / Reject の投票と、errata vs. PAS-only の分類作業が必要。
Issue #851: FAPI 2.0 OSCAL プロファイル提案
FAPI2.0 OSCAL Profile — 2026-01-28 開始(Damian Hickey)
Damian Hickey が FAPI 2.0 セキュリティプロファイルを NIST OSCAL(Open Security Controls Assessment Language)でモデル化し、NIST SP 800-53 へのマッピングを行う取り組みを提案しました。
解決しようとする課題: 規制された金融サービス業界では、GRC(Governance, Risk, and Compliance)ツールによる自動的なコンプライアンス検証が求められています。FAPI 2.0 と NIST SP 800-53 などのセキュリティ統制フレームワークの間に現状はギャップがあり、OSCAL プロファイルによって組織が FAPI 2.0 準拠を機械可読な形式でプログラム的に検証できるようになります。
Hickey 自身は「初期調査は行ったが、実現可能性すら未確認」と断った上で、WG の関心と意見を求める姿勢でした。1 月末時点では探索的な提案段階にとどまり、具体的な技術的決定は行われていません。
GitHub 上の議論
2026年1月に FAPI WG の Bitbucket(議事録)および ML への言及から確認できた主要 Issues は以下の通りです(Bitbucket API への直接アクセスは取得不可のため、ML から再構成):
| Issue # | タイトル | 提起者 | 区分 |
|---|---|---|---|
| #847 | TLS 1.2 における AEAD アルゴリズム制限 | Robert Gallagher | 技術(TLS 暗号スイート) |
| #848 | 5.2.3.1 の NOTE を箇条書き末尾に移動(編集上の修正) | Nat Sakimura | 編集 |
| #849 | FAPI2 Security Profile ISO/IEC 26083-1 審査コメント | Mark Verstege | ISO PAS 適合 |
| #850 | FAPI2 Attacker Model ISO/IEC 26083-2 審査コメント | Mark Verstege | ISO PAS 適合 |
| #851 | FAPI 2.0 OSCAL プロファイル | Damian Hickey | 新規提案(探索的) |
1 月中に議題として取り上げられた既存 Issues:
- Issue #790(鍵長更新): 1 月 21 日コールで審議。暗号アルゴリズムの最小鍵長要件に関する仕様更新。
- Issue #660(OpenAPI FAPI securityScheme 要件定義): 1 月 28 日コールで審議。OpenAPI の
securitySchemeにおいて FAPI 準拠を表現する方法の標準化。
Issue #848: 5.2.3.1 NOTE の配置変更(編集修正)
Nat Sakimura が報告した軽微な文書構造の問題。セクション 5.2.3.1 の NOTE が箇条書き 4 番目と 5 番目の間に置かれており、本来 NOTE は箇条書きリスト全体の後に置かれるべきものです。5 番目の箇条書きが NOTE 作成後に追加されたことで生じた位置ずれであり、技術的な変更を伴わない純粋な編集修正として処理される見込みです。
関連イベント
UK FCA オープンバンキング コメント募集
1 月 21 日の WG コールにおいて、英国 FCA(金融行動監視機構)と PSR(決済システム規制機関)によるオープンバンキングに関するコメント募集への対応 が議題となりました(締切: 1 月 30 日)。
背景として、FCA/PSR は 2026年1月に以下を公表しています:
- オープンバンキングの価格設定モデルに関する共同声明(1 月 15〜16 日)
- OBIE(Open Banking Implementation Entity)後継となる将来の運営組織の設立プロセスに関する書簡
FAPI 2.0 がオープンバンキングの標準 API セキュリティプロファイルとして英国でも参照されていることから、FAPI WG としての見解表明が必要と判断されました。
IIW / EIC
1 月は IIW や EIC などの主要カンファレンスの開催はありませんでした。
今後の予定
2026年1月末時点での今後の動き(当時の視点):
- Issue #847 解決: IANA TLS レジストリ参照方式を採用した Errata 案の文書化と承認(2 月以降)
- ISO/IEC 26083 PAS 適合: WG メンバーによる各審査コメントへの投票結果を集約し、ISO への回答を確定
- UK FCA コメント: 締切(1 月 30 日)に向けた意見書の提出
- Issue #660(OpenAPI securityScheme): 継続審議
- Issue #790(鍵長更新): 継続審議
参考情報源
- openid-specs-fapi メーリングリスト 2026年1月アーカイブ — 15 通のスレッド(Issue #847〜#851 を含む)
- FAPI WG Bitbucket Wiki(議事録) — 2026年の全ミーティング議事録インデックス(要認証)
- 2026-01-07 Atlantic コール:
FAPI_Meeting_Notes_2026-01-07_Atlantic - 2026-01-14 Atlantic コール:
FAPI_Meeting_Notes_2026-01-14_Atlantic(暗号スイート詳細を含む) - 2026-01-21 Atlantic コール:
FAPI_Meeting_Notes_2026-01-21_Atlantic - 2026-01-28 Atlantic コール:
FAPI_Meeting_Notes_2026-01-28_Atlantic
- 2026-01-07 Atlantic コール:
- OpenID Foundation FAPI WG ページ
- OpenID Foundation ブログ: "Adapting FAPI to evolving TLS cipher suites" — Issue #847 の経緯と WG の決定を詳述(2026年3月公開)
- FAPI GitHub リポジトリ