idbok

Appearance

OpenID Foundation FAPI WG 活動レポート (2026年2月)

執筆日: 2026-04-18(遡及執筆)

本記事は、OpenID Foundation の Financial-grade API (FAPI) Working Group (WG) が 2026年2月に行った活動を、メーリングリスト (pipermail) アーカイブおよびその他の公開情報をもとにまとめたものです。議事録の一次情報源は Bitbucket wiki 上に置かれているが、本稿では主に ML 投稿から再構成した議論の流れを記述する。

FAPI WG 概要

FAPI WG は、金融 API をはじめとする高セキュリティ環境向けの OAuth 2.0 プロファイルを策定する OpenID Foundation のワーキンググループです。FAPI 2.0 Security Profile(2025年2月 Final)・FAPI 2.0 Message Signing(2025年9月 Final)の両仕様が確定した現在、WG の関心は実装・認証の普及と仕様の保守(Errata)に移行しています。

2026年2月の主な活動:

  1. TLS 1.3 移行要件の議論開始 – BCP 195 改訂を見据えた FAPI 1.0/2.0 認証ポリシーの検討
  2. OpenAPI Initiative との連携検討 – 2月18日の定例コールに特別議題として設定
  3. 4回の Atlantic コール開催 – 毎週水曜日に定例 WG コールを実施

公開された仕様・ドラフト改訂

2026年2月において、FAPI WG から新規の仕様ドラフト公開や Final Specification の承認はありませんでした。

WG の主要仕様は以下の状態にあります:

仕様状態確定時期
FAPI 2.0 Security ProfileFinal2025年2月
FAPI 2.0 Attacker ModelFinal2025年2月
FAPI 2.0 Message SigningFinal2025年9月
JARM Errata Corrections承認済み2025年8月
FAPI 1.0 Part 1/2Final(保守中)2021年3月
Grant Management for OAuth 2.0Implementer's Draft継続審議中

ミーティングと議論

2026年2月は毎週水曜日に Atlantic コールが開催されました。メーリングリストアーカイブによると、Nat Sakimura 共同議長が各回の議事録作成と配布を担当し、以下の 4 回のコールが確認できます。

2026-02-04 Atlantic コール

Nat Sakimura が「通常より時間がかかったが、所定の場所に議事録を作成した」と ML に投稿し、議事録を Bitbucket Wiki(FAPI_Meeting_Notes_2026-02-04_Atlantic)に公開しました。

2026-02-11 Atlantic コール

議事録ドラフトが Bitbucket Wiki(FAPI_Meeting_Notes_2026-02-11_Atlantic)に公開されました。

2026-02-18 Atlantic コール

この週のコールには特別議題が設定されており、OpenAPI Initiative メンバーが参加した可能性があります。ML に公開された事前アジェンダは以下のとおりです:

  1. Roll Call(Dima/Nat)
  2. Adoption of Agenda(Dima/Nat)
  3. Events(Mike L./Nat)
  4. External Organizations & Liaisons(Mike L./Nat)
    • 特別項目 4.x: "OpenAPI & FAPI" 討議(OpenAPI Initiative メンバー参加予定)
  5. Pull Requests(Dima/Nat)
  6. Issues(Dima/Nat)
  7. Any Other Business(Dima/Nat)

OpenAPI Initiative の 2026年2月ニュースレター(2月10日付)では、「将来のバージョンで FAPI Security Profile と AuthZEN の対応強化を検討している」と言及されており、このコールはその連携検討の一環と考えられます。コールには OpenAPI Initiative 側から参加者があったとみられ、Chris Robbertse が会議録画を請求する返信をメーリングリストに投稿しています(003518.html)。

議事録は Bitbucket Wiki(FAPI_Meeting_Notes_2026-02-18_Atlantic)に公開されました。

2026-02-25 Atlantic コール

最終週のコールのアジェンダは以下のとおりです:

  1. Roll Call(Dave/Nat)
  2. Adoption of Agenda(Dave/Nat)
  3. Events(Mike L.)
  4. External Orgs & Liaisons(Mike L.)
  5. PRs(Dave)
  6. Issues(Dave)
  7. AOB(Nat)

2月4日・11日の議長が「Dima/Nat」であったのに対し、2月25日は「Dave/Nat」に変わっており、Dave(Dave Tonge と推定)が議事進行を担当したとみられます。

メーリングリストの主要スレッド

2026年2月の FAPI WG メーリングリストアーカイブ(https://lists.openid.net/pipermail/openid-specs-fapi/2026-February/)には 9 通のメッセージがあり、実質的な技術議論スレッドとして以下が確認されました。

Issue #852: Upcoming requirement to implement TLS 1.3 - 2026-02-02 開始

発端: Joseph Heenan が、BCP 195 に追加される新たな RFC についての情報を ML に投稿しました。Rich Salz が伝えた情報によれば、このドラフト RFC は TLS の要件を「MUST TLS 1.3、MAY TLS 1.2」へと変更する内容で、将来的に BCP 195 の一部となる予定です。

問題提起の内容:

  • Heenan はドラフト RFC の本文をまだ特定できていないとして、具体的なタイムラインが不明であることを認めた
  • FAPI 2.0 認証テストについては、「BCP 195 の更新から 12 か月以内に TLS 1.3 対応を反映させる」という方針を既に提案していた
  • 未決事項として残したのは FAPI 1.0 の認証テストへの適用方針であり、「FAPI 1.0 の Errata にも同様の記述を追加すべきか」を WG に問いかけた

論点と対立軸: スレッドとしての返信は確認されていませんが、この問題提起は 2026年3月に openid.net で公開された技術ブログ「Adapting FAPI to evolving TLS cipher suites」の議論の起点となりました。TLS 要件の静的 RFC 参照から IANA レジストリへの動的参照への移行は、この February 2026 の問題提起を経て WG 内で方針が固まったものです。

確認された事実: ML スレッド 1 通のみで直接の返信は確認されていません。実際の議論は 2月4日以降のコール上で行われた可能性が高いです。

議事録関連の通知スレッド(2026-02-04〜02-25)

以下の事務的なスレッドが確認されました:

件名投稿者日付
Gentle reminder for the FAPI Atlating CallNat Sakimura2月初旬
2026-02-04 FAPI Atlantic Call Note is availableNat Sakimura2026-02-05
Draft Meeting Notes for 2026-02-11 Atlantic CallNat Sakimura2月中旬
Meeting reminder and draft agendaNat Sakimura2026-02-18 直前
Draft meeting notes for 2026-02-18 Call available nowNat Sakimura2026-02-18 翌日
EXTERNAL: Draft meeting notes for 2026-02-18 Call(返信)Chris Robbertse2026-02-18 以降
Gentle reminder for today's Atlantic callNat Sakimura2026-02-25 当日

「Atlating」は「Atlantic」のタイポと考えられます。

GitHub 上の議論

FAPI WG の主要な issue トラッカーは GitHub ではなく Bitbucket(https://bitbucket.org/openid/fapi/issues)にあります。2月中の議論は主に ML と定例コールで進められ、Issue #852(TLS 1.3 要件、後述)が ML 上で確認できる主要論点です。

GitHub の openid/fapi リポジトリは補助的に使われており、2月分では有意な新規 issue/PR は見当たりません。

Bitbucket issue #852 - TLS 1.3 requirement (ML 経由で確認)

メーリングリストの「Issue #852」への言及から存在が確認されます。BCP 195 改訂に伴う TLS 1.3 要件についての議論で、Joseph Heenan が主導し、FAPI 1.0・FAPI 2.0 の認証テストおよび Errata 対応方針を検討する内容です。詳細は上記 ML スレッドを参照してください。

関連イベント

OpenID Foundation 全体の動向(2026年2月)

2026年2月は OIDF 全体として活発な月でした。直接 FAPI に関係するものではありませんが、関連エコシステムの動きとして以下を記録します。

2026-02-17: OpenID Federation 1.0 Final Specification 承認 AB/Connect WG が主導した OpenID Federation 1.0 が、メンバー投票(85 票賛成、0 票反対)で Final Specification として承認されました。FAPI エコシステムでも OpenID Federation は信頼フレームワークの基盤として採用が進んでおり、この承認は FAPI デプロイメントにとっても重要なマイルストーンです。

2026-02-13: TIIME 2026 — 9 か国による OpenID Federation 相互運用実証 アムステルダムで TIIME 2026 が開催されました。9 か国・9 実装から 12 名の実装者が集まり、OpenID Federation 1.0 のリアルタイム相互運用テストを実施しました。「real world readiness」が証明されたとして、OpenID Foundation が 2026-02-18 付けで成果を発表しました。FAPI WG メンバーも関係者として関与している可能性があります。

2026-02-11: iGov Profile for OAuth 2.0 第一次 Implementer's Draft パブリックレビュー開始 iGov WG が OAuth 2.0 向け国際政府保証プロファイルの公開審査を開始しました。FAPI と iGov は相補関係にある仕様群であり、FAPI WG メンバーとの連携が想定されます。

OpenAPI Initiative との連携検討

前述のとおり、2026-02-18 のコールには OpenAPI Initiative との連携を議題とした特別セッションが含まれていました。OpenAPI Initiative の 2026年2月ニュースレターが FAPI Security Profile の OpenAPI への統合検討を言及しており、この時期に両組織間の対話が始まっていたことがうかがえます。

今後の予定

2026年2月完了直後の視点での予定:

  • TLS 1.3 移行方針の策定継続: issue #852 の議論を踏まえた Errata テキストの起草(3月以降)
  • FAPI 1.0 Errata の検討: BCP 195 更新に対応した FAPI 1.0 認証テストポリシーの確定
  • OpenAPI Initiative との協議: 2月18日のコールで始まった対話の継続
  • Grant Management for OAuth 2.0 Final 化: Implementer's Draft から Final へのロードマップ継続審議
  • IIW 38(2026年4月予定): FAPI WG メンバーの参加・発表が見込まれる

参考情報源