idbok

Appearance

OpenID Foundation FAPI WG 活動レポート (2026年3月)

執筆日: 2026-04-16(遡及執筆)

本記事は、OpenID Foundation の Financial-grade API (FAPI) Working Group (WG) が 2026年3月に行った活動を、メーリングリスト (pipermail) および openid.net 公式ブログなどの一次情報に基づいてまとめたものです。Bitbucket 上の wiki 議事録・Issue トラッカー本体は SPA 構成で静的取得が難しいため、本文では ML 上で報告された議論の内容を中心に構成しています。

FAPI WG 概要

FAPI WG は、金融 API をはじめとする高セキュリティ環境向けの OAuth 2.0 プロファイルを策定する OpenID Foundation のワーキンググループです。FAPI 2.0 Security Profile(2025年2月 Final)・FAPI 2.0 Message Signing(2025年9月 Final)の両仕様が確定した現在、WG の関心は実装・認証の普及と仕様の保守(Errata)に移行しています。

2026年3月は主に以下のトピックが確認されました。

  1. TLS 暗号スイート要件の動的化 – IANA レジストリ参照による Errata 計画を公開(2026-03-11 ブログ)
  2. 独立適合性試験プログラムの発表 – 主要組織が MOU に署名し Q2 2026 開始を予告(2026-03-18 ブログ)
  3. FAPI 1.0 / 2.0 Errata 関連の PR・Issue 整理 – 鍵長・TLS・CNSA 2.0・CRYPTREC 192 ビット推奨等、暗号方針に関する複数の Issue が ML とコールで並行議論
  4. Client Credentials 認証ローンチと FAPI-CIBA 更新 – ML 上で承認手続きと追加テスター募集、FAPI-CIBA の Implementer's Draft 公開提案
  5. Bitbucket Cloud Issues / Wiki 廃止通知 – 議事録・Issue の移行先検討が WG 運用課題に

公開された仕様・ドラフト改訂

TLS Errata 計画の公表(2026-03-11)

2026年3月11日、FAPI WG は「Adapting FAPI to evolving TLS cipher suites」と題したブログ記事を openid.net に公開しました。これは Errata の草案方針を示す技術的なアナウンスです。

背景: 暗号スイートの静的リストの問題

FAPI 2.0 Security Profile の TLS 要件は BCP 195(RFC 9325)を参照しています。RFC 9325 は TLS 1.2 で許可する暗号スイートとして以下の 4 種のみを列挙しています。

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS 1.3 の暗号スイートは RFC 8446 で定義され(RFC 9325 は TLS 1.3 暗号スイートを指定せず RFC 8446 に委ねています)、TLS_CHACHA20_POLY1305_SHA256 が利用できます。

実際に起きた問題: ChaCha20-Poly1305 事例

ある FAPI 2.0 準拠の実装が適合性テストに失敗しました。その原因は、サーバーが TLS 1.2 で TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 を提示していたためです。ChaCha20-Poly1305 は TLS 1.3 では SHOULD implement(RFC 8446 Section 9.1)と位置付けられており、AES ハードウェアアクセラレーションを持たない環境では性能面でも優れています。にもかかわらず、RFC 9325 の厳格な解釈によって TLS 1.2 では拒否されてしまいました。

解決策: IANA レジストリへの動的参照

FAPI WG は、特定の RFC 版に仕様を固定する方式から、IANA の「TLS Cipher Suites」レジストリを直接参照する動的アプローチへの移行を発表しました。

主な特徴:

  • 新規暗号の受け入れ: IANA がレジストリで Recommended マークを付けた時点で仕様更新なく利用可能
  • 非推奨暗号の除外: 警告フェーズ → 移行期間 → 拒否、という段階的な廃止
  • バージョン非依存: 各 TLS バージョンの定義 RFC に従い適用

計画中の Errata テキスト

仕様Errata の内容
FAPI 1.0「shall require and use the key length permitted by [BCP 195]」「shall not use algorithms deprecated in [IANA TLSP]」
FAPI 2.0「Servers shall only use cipher suites allowed and not deprecated in the 'TLS Cipher Suites' registry」「Clients should permit only the cipher suites recommended in the 'TLS Cipher Suites' registry」

TLS 1.3 への移行推奨

IETF での draft-ietf-uta-require-tls13 の進行を踏まえ、WG は FAPI エコシステムに対して TLS 1.3 対応を優先するよう推奨しました。TLS 1.3 は新規プロトコルで必須となり、TLS 1.2 はオプション扱いへ移行する方向性です。

実装者向けの推奨アクション(ブログより):

  1. 現在の TLS 設定を IANA レジストリと照合して監査する
  2. TLS 1.3 の準備状況と相互運用性を検証する
  3. 静的な暗号スイートのハードコードを避け、将来の変更に備える

適合性テストの更新スケジュール

  • FAPI 2.0 適合性テストの更新: 近期(near term)
  • FAPI 1.0 適合性テストの更新: その後

ミーティングと議論

FAPI WG は通常、Atlantic コール(隔週水曜)および Pacific コールを開催しており、3月のメーリングリストでは以下のコールの開催が確認できます。

  • 2026-03-04 Atlantic コール: Nat Sakimura によるリマインド("FAPI Atlantic Call in 40 min")が投稿された。デフォルトアジェンダに沿いつつ、FAPI 1 / FAPI 2 の Errata 関連 PR・Issue を中心的に議論
  • 2026-03-18 Atlantic コール: Nat Sakimura から 30 分前のリマインドが投稿され、Client Credentials 認証立ち上げ(Issue #854)のデモが共有された
  • 2026-03-25 Atlantic コール: Nat Sakimura から「FAPI call in 5 min.」リマインドが投稿され、Issue #854 への反対意見表明の最終確認、Issue #756(リフレッシュトークン)のクローズなどが議題に含まれた

議事録は慣例として Bitbucket wiki(例: FAPI_Meeting_Notes_2026)に掲載されるが、3月6日付の Nat Sakimura の ML 投稿("Draft meeting notes for Feb. 25 and Mar. 4")で、2月25日・3月4日分のドラフト議事録を Bitbucket に投稿した旨が通知されている。なお 3月末には Atlassian から Bitbucket Cloud の Issues / Wiki 機能廃止(2026-08-20 完全削除)の通知が Michael Jones 経由で ML に転送されており、WG としては議事録・Issue トラッカーの移行先検討が当月の運用上の新しい課題となった。

TLS 暗号スイートに関するブログ投稿(2026-03-11)に対応する PR レビュー依頼も 3月3日付で Nat Sakimura から ML に投稿されており("Please review the two PRs (key length and TLS cipher)" — BCP 195 と IANA レジストリに基づく更新、水曜までに完了する目標)、Errata 方針のコンセンサス形成が ML・コール双方で並行して進んでいたことが読み取れる。

メーリングリストの主要スレッド

2026年3月の FAPI WG メーリングリスト(openid-specs-fapi)アーカイブには 17 件のメッセージが投稿された。主な技術スレッドは以下のとおりである。

Please review the two PRs (key length and TLS cipher) — 2026-03-03

Nat Sakimura が、BCP 195 および IANA レジストリに基づいて作成した鍵長・TLS 暗号スイートに関する 2 本の PR のレビューを要請した。水曜(3月4日のコール)までに完了させたいとの意向が示されており、3月11日に公開された「Adapting FAPI to evolving TLS cipher suites」ブログの Errata テキスト方針(§2 参照)につながる作業である。

Issue #853: FAPI1 Baseline - 5.2.2.0 - 4th NOTE — 2026-03-04

Nat Sakimura が、FAPI 1.0 Baseline 仕様の 5.2.2.0 節にある第 4 NOTE の表現について提起した。「サーバーは付与されたスコープを返さなければならない」という文言が新規要件のように読めるとの ISO コメントがあり、実際には RFC 6749 §5.1 で既に定められている内容であるため、注記に「RFC 6749 §5.1 に従い」との参照を追加することが提案された。

Issue #854: Approval to launch client credentials certifications — 2026-03-11

Joseph Heenan が、OpenID FAPI 認証チームが machine-to-machine 向け FAPI 2.0(Client Credentials Grant)テストを開発し、既に 2 実装がテストに合格したことを報告した。認証開始の承認を WG に求めると同時に、追加のテスター(1 実装)の募集を告知した。本件は Nat Sakimura が 3月25日に "Please speak up if you have objections..." として反対意見の最終確認を行い、Client Credentials 認証のローンチへと進んだ。

Issue #855: OAuth security BCP addition — 2026-03-16

Joseph Heenan が、OAuth セキュリティ BCP の更新ドラフトに言及し、ドラフトで新たに挙げられている各種攻撃について FAPI として何らかの形で対応する必要があると問題提起した。private_key_jwtaud 問題は既に対処済みであるが、その他の攻撃への対応方針については未確定として WG の検討を促す内容である。

Issue #856: FAPI not currently compliant with CNSA 2.0 — 2026-03-16

Joseph Heenan が、米国 NSA の Commercial National Security Algorithm Suite 2.0 (CNSA 2.0) が SHA-256 の使用を禁じ SHA-384 または SHA-512 を要求していることを指摘した。この影響で、FAPI(特に PKCE で SHA-256 を利用する点)が CNSA 2.0 準拠環境では利用できなくなる懸念があり、追加ハッシュ関数に関するドラフト仕様を参照しつつ解決策の検討が呼びかけられた。

Issue #857: Publishing updated draft of FAPI-CIBA — 2026-03-16

Joseph Heenan が、FAPI-CIBA の最後の公開 WG ドラフトが 2019 年付であり、以降の仕様更新が公開されていないことを指摘した。ブラジル(FAPI 1.0 ベース)・ConnectID(FAPI 2.0 ベース)が FAPI-CIBA を採用しており、認証チームも両エコシステム向けのテスト開発を進めているため、新ドラフトおよび Implementer's Draft の公開を優先すべきと提案した。これを受けて 3月18日に Nat Sakimura が "FAPI CIBA Diffs" として、ID1 から現行ドラフトへの差分リンク(ファイル名変更 Financial_API_WD_CIBA.mdfapi-ciba.md、および pandoc markdown → XML2RFC markdown へのフォーマット移行に伴う 2 組の diff)を共有した。

Issue #756: refresh tokens in client credentials grant — 2026-03-18

Nat Sakimura が、同日のコールで議論された Issue #756(Client Credentials Grant におけるリフレッシュトークン)について、「実装がリフレッシュトークンを返した場合はテストスイート側で WARNING を出す」という合意方針を ML に報告した。異論がなければ翌週(3月25日)のコールで Issue をクローズする予定とされた。

Nat Sakimura が、日本政府の暗号技術評価委員会 CRYPTREC が 128 ビットセキュリティから 192 ビットセキュリティへの移行を推奨し、ML-KEM およびハイブリッドモードの採用も始まっていると報告した。ID トークン自体への影響は限定的だが、エビデンスとして後日参照する用途では適切なタイムスタンプが必要であり、署名アルゴリズム・mTLS クライアント証明書についてはハイブリッド化または有効期間短縮を検討すべきとの論点が提示された。暗号化箇所については「collect now, decrypt later」攻撃への対策としてより慎重な扱いが必要とされた。

FW: Bitbucket Cloud Issues and Wikis are being removed — 2026-03-30

Michael Jones が Atlassian からの通知を WG ML に転送し、Aron Pilcher が openid-specs-ab ML 経由で反応した。Bitbucket Cloud の Issues / Wikis 機能は 2026-08-20 に削除予定で、2026-04 以降は新規リポジトリで機能を有効化できなくなる。FAPI WG の議事録・Issue の移行先(Jira / Confluence / GitHub 等)を決定することが運用上の新たな課題として加わった。

Issue トラッカー上の動き

FAPI WG の Issue トラッカーは Bitbucket(bitbucket.org/openid/fapi/issues)で運用されている。3月に ML 上で言及された主な Issue は以下のとおりである(詳細な議論内容は上記 §4 を参照)。

Issue #内容
#756Client Credentials Grant におけるリフレッシュトークン。テストスイートで WARNING 扱いとする方針で合意形成中
#853FAPI1 Baseline §5.2.2.0 第 4 NOTE の文言を RFC 6749 §5.1 参照として明確化する提案
#854Client Credentials 認証の正式ローンチ承認と追加テスター募集
#855OAuth セキュリティ BCP 更新への対応
#856CNSA 2.0(SHA-384/SHA-512 要求)への非適合状態の指摘
#857FAPI-CIBA ドラフトの更新版公開
#858CRYPTREC の 192 ビットセキュリティ推奨および ML-KEM / ハイブリッド化への対応

また、前年以前から継続審議中の論点として Grant Management の必須化(FAPI 2.0 Security Profile では現状オプション推奨)の議論も継続していると見られる。

関連イベント

独立適合性試験プログラム: 主要組織 MOU 署名(2026-03-18)

2026年3月18日、OpenID Foundation は国際的な独立適合性試験プログラムの開始に向けて、複数の試験サービスプロバイダーが MOU に署名したことを発表しました。

MOU 署名組織:

組織代表者
BixeLabTed Dunstone(CEO & Founder)
FIDO Alliance, Inc.Andrew Shikiar(Executive Director & CEO)
Fime(担当者記載なし)
RaidiamRalph Bragg(CTO & Co-Founder)
TrustID SolutionsTomas Horvath(Managing Partner)

プログラムの概要:

  • 開始時期: Q2 2026
  • 対象仕様: OpenID for Verifiable Presentation、OpenID for Verifiable Credential Issuance、High Assurance Interoperability Profile(HAIP)
  • 背景: 38 の管轄区域での採用に対応。既存の自己証明サービスを補完し、規制・主権要件に沿った認証経路を提供

このプログラムは FAPI 仕様を直接の対象としていませんが、FAPI を活用するオープンバンキングエコシステムで実績を積んできた Raidiam が参加しており、将来的な FAPI エコシステムへの波及が期待されます。OpenID Foundation の自己証明サービスはすでに 4,500 件以上の認証を実施しており(ブラジル、英国、オーストラリア、UAE、サウジアラビア、米国など)、独立試験プログラムはその次のステップと位置付けられています。

IIW(Internet Identity Workshop)

IIW 38 は 2026年4月開催のため 3月は対象外です。OIDF Summit 等の FAPI 関連の主要イベントも 3月には開催されていません。

今後の予定

2026年3月完了直後の視点での予定:

  • FAPI 2.0 Errata: TLS Cipher Suite の IANA レジストリ参照へのテキスト更新(近期)
  • FAPI 2.0 適合性テスト更新: Errata 反映後に公開予定
  • FAPI 1.0 Errata・適合性テスト更新: FAPI 2.0 の対応後に実施
  • 独立適合性試験プログラム: Q2 2026 開始(追加プロバイダーのオンボーディングも継続)
  • Grant Management for OAuth 2.0 Final 化: 進捗は 3月時点で不明、引き続き WG 内議論中
  • IIW 38(2026年4月予定): FAPI WG メンバーの参加・発表が見込まれる

参考情報源