idbok

Appearance

OpenID Foundation FAPI WG 活動レポート (2026年4月)

執筆日: 2026-05-17(2026 年 4 月の活動を遡及してまとめたレポートです)

1. 概要

FAPI (Financial-grade API) Working Group は、金融 API をはじめとする高セキュリティ環境向けの OAuth 2.0 プロファイルを策定する OpenID Foundation のワーキンググループである。FAPI 2.0 Security Profile(2025 年 2 月 Final)・FAPI 2.0 Message Signing(2025 年 9 月 Final)の両仕様が確定して以降、WG の関心は実装・認証の普及、Errata 整備、ならびに FAPI-CIBA など周辺仕様の更新へ移行している。共同議長は Nat Sakimura、Dave Tonge、Dima Postnikov の三名が中心となって運営している。

2026 年 4 月は、3 月から続いていた Errata・Implementer 認証ローンチ関連の議論をフォローしつつ、月後半は IIW XLII(春期 IIW)と OIDF Hybrid Workshop に WG 主要メンバーが参加するため、月末の WG コールがまとまって中止されるという「イベント月」特有のリズムとなった。月内に確認できた主な動きは以下のとおり。

  • 4 月 1 日コール、4 月 8 日コール、4 月 15 日コール、4 月 22 日コールの計 4 回の Atlantic コールが開催され、ドラフト議事録が Bitbucket wiki に投稿された
  • 4 月 3 日の Pacific コールは祝日(金曜日 = 4 月 3 日、日本の春の連休直前)を理由に Nat Sakimura により中止
  • 4 月 29 日 Atlantic コールおよび 5 月 1 日 Pacific コールは、Nat Sakimura が IIW 参加および理事会出席のため、共同議長も代行不可として中止
  • Dave Tonge(共同議長)が ML 上で FAPI 1.0 / 2.0 採用エコシステムの追跡情報の提供を呼びかけ(Bitbucket Issue #555 への寄稿を依頼)
  • FAPI 2.0 Implementation Advice(D. Tonge 編、2026-04-15 公開)が Editor's Draft として openid.bitbucket.io 上に登場
  • Singapore 政府の Singpass / Corppass が FAPI 2.0 本番環境への移行スケジュールを公表(2026-12-31 / 2027-03-31 期限)したことが Tatsuo Kudo から WG に共有された
  • 月末には Nicholas Irving から「FAPI 2 / human-in-the-loop / バックエンドリクエスト」というアーキテクチャ相談が新規に投稿され、sender-constraint と distributed claims を巡る論点が提示された
  • OIDF として UK 政府の「Making public services work for you with your digital identity」コンサルへの応答準備が Gail Hodges から DCP / FAPI 横断で呼びかけられ、Leonard Kastrati が参加を表明

ML アーカイブの収録件数は 17 件で、技術論争よりも会議運営・採用報告・外部連携が中心の月だった。

2. 公開された仕様・ドラフト改訂

FAPI 2.0 Implementation Advice(Editor's Draft, 2026-04-15)

Dave Tonge(Moneyhub、FAPI WG 共同議長)の編集による FAPI 2.0 Implementation Advice が 2026 年 4 月 15 日付で openid.bitbucket.io/fapi/ に公開された。本文書は OIDF International Standard ではなく「レビューおよびコメント目的で配布される、変更されうるドラフト」として位置付けられている。

ドラフトの章立ては以下のとおりで、FAPI 2.0 Security Profile / Message Signing の Final 化後に実装者から寄せられた実運用上の問い合わせを整理する役割を担う:

  • FAPI 2.0 Framework
  • HTTP Headers(x-fapi-interaction-id および x-fapi-end-user-present
  • DPoP vs MTLS
  • Access token size
  • Key management
  • Troubleshooting connection issues
  • Authorization server handling of suspicious requests

x-fapi-interaction-id はクライアントが UUID を生成してリクエストに添付し、Authorization Server / Resource Server / Client の三者間でリクエストを横断追跡するための識別子として位置付けられている。x-fapi-end-user-present はリクエストがエンドユーザ在席(true)かバックグラウンドプロセス(false)かを示すフラグで、Risk-based 認可ポリシーの判断材料として実装者が活用できる。

このドラフト公開は §3 で後述する FAPI 2.0 採用エコシステムの拡大(Singpass / Corppass の本番化、FDX Blue Profile の RFC 投票など)と歩調を合わせており、Errata と並ぶ「Final 後保守」の柱として WG が Implementation Advice を整備していく方針が読み取れる。

仕様改訂・Errata の進捗

2026 年 3 月に Nat Sakimura が ML に提案した TLS Cipher Suite Errata(IANA レジストリ参照化) および 鍵長 Errata の 2 本の PR は、4 月の Atlantic コール議題に「PRs」「Issues」項目として継続的に挙がっているものの、4 月内に Errata テキストとしての公開・Notice of Vote の発出には至っていない(4 月 8 日コール議題の項目 6・7、4 月 22 日コール議題の項目 5・6 が PR/Issues レビュー枠)。3 月 11 日付ブログ「Adapting FAPI to evolving TLS cipher suites」で示された方針に沿って、ML よりもコール側で詳細レビューが進められていると見られる。

FAPI-CIBA については、3 月 18 日に Nat Sakimura が ML 上で投稿した「FAPI CIBA Diffs」を起点に、ID1 から現行ドラフトへの差分(pandoc markdown → XML2RFC markdown への移行を含む)が共有済みで、4 月内に Implementer's Draft 公開のための Notice の発出は確認できなかった。

3. ミーティングと議論

FAPI WG は Atlantic コール(隔週水曜)と Pacific コール(金曜朝、Asia-Pacific 帯向け)を運用している。4 月の各コールについては、ドラフト議事録の所在通知が ML に投稿されており、議題構成は以下のとおりであった(議事録本体は Bitbucket wiki FAPI_Meeting_Notes_YYYY-MM-DD_Atlantic ページに掲載)。

2026-04-01 Atlantic コール

4 月 1 日コールに先立ち、Nat Sakimura は 4 時間前のリマインダーを ML に投稿した(ML #003539)。提案アジェンダは以下:

  1. Roll Call
  2. Adoption of Agenda
  3. Events
  4. External Organizations & Liaisons
  5. (省略)
  6. Recent mailing list spam discussion
  7. Bitbucket Migration
  8. Pull Requests(Dave がリード)
  9. Issues(Dave がリード)
  10. Any Other Business(Nat がリード)

注目点として、「Bitbucket Migration」が固有の議題項目に格上げされている。これは 3 月末に Atlassian から通知された Bitbucket Cloud Issues / Wiki の 2026-08-20 完全削除に対応するもので、FAPI WG にとっては議事録ホスティング(FAPI_Meeting_Notes_YYYY)と Issue トラッカーの両方が直撃する重要課題である。また「Recent mailing list spam discussion」はこの月の ML に技術論争系スレッドが少ない一因とも見られる ML 運用課題が議題化されたものである。

ドラフト議事録は同日 16:04 UTC に「Draft FAPI Atlantic Call Notes (2026-04-01) Available」として通知された。

2026-04-03 Pacific コール(中止)

4 月 2 日 17:12 UTC、Nat Sakimura は「Cancelling the call due to the holiday」として 4 月 3 日(金)9:00〜10:00 JST 枠の Pacific コールのキャンセル通知を発出した(ML #003542)。具体的にどの祝日を指すかは本文に明示されていないが、Pacific コール(日本朝 9 時枠)を主催する Nat Sakimura のスケジュール都合による判断である。

2026-04-08 Atlantic コール

ML #003544 で公開されたアジェンダは以下:

  1. Note Well
  2. Roll Call(Dave / Nat)
  3. Adoption of Agenda(Nat)
  4. Events(Mike L.)
  5. External Orgs & Liaisons(Mike L.)
  6. Publication issues(Nat)
  7. PRs(Nat)
  8. Issues(Nat)
  9. AOB(Nat)

「Events」「External Orgs & Liaisons」を Mike Leszcz(OIDF)が担当する形が定着していることが見て取れる。**「Publication issues」**という固有議題が立っているのは、3 月 11 日公開の TLS ブログに続く一連の Errata 公開・Implementation Advice 公開フェーズで生じる「どの仕様をどの版で openid.net/specs/ に出すか」の運用判断のためと推察される。

2026-04-15 Atlantic コール

ML #003545 は「40 分前リマインダー」兼ドラフト議事録通知として配信され、当日のアジェンダでは Issues 枠(項目 7.2)に「FAPI2 SP Issues」、AOB 枠(項目 8.1)に「Co-chair changes」が掲げられていた。

「Co-chair changes」が議題に上ったのは、4 月のもう一つの重要なコンテキストである 2026 年 OIDF 理事選出(結果公開済み)の影響と関連する。理事選出結果として Dima Postnikov が Community Representative に選出され、Vice Chairman として FAPI を含む複数 WG でリーダーシップ役を継続することが公式アナウンスで確認されている。月内のコール運営では引き続き Nat Sakimura と Dave Tonge がリードしているが、FAPI WG のリーダーシップ構成のレビューが議題化された月であったことが記録から読み取れる。

ドラフト議事録は同日中に「Draft FAPI Atlantic Call Meeting Notes (2026-04-15)」として通知された。

2026-04-22 Atlantic コール

ML #003548 で 4 月 22 日 07:51 UTC に投稿されたリマインダー兼アジェンダは以下:

  1. Roll Call(Dave / Nat)
  2. Adoption of Agenda(Dave / Nat)
  3. Events(Mike L.)
  4. External Orgs & Liaisons(Mike L.)
  5. PRs(Dave)
  6. Issues(Dave)
  7. AOB(Nat)

PRs / Issues レビューが共同議長間の役割分担で Dave 主導の形を取っており、4 月 1 日コール(Nat / Dave 並列、PRs / Issues は Dave)、4 月 8 日コール(PRs / Issues は Nat)、4 月 22 日コール(PRs / Issues は Dave)という具合に、Bitbucket 上の Issue ハンドリングがコールごとに分担されていることが分かる。

2026-04-29 Atlantic コール および 2026-05-01 Pacific コール(中止)

Nat Sakimura は 4 月 28 日 16:36 UTC、「Cancelling this week's FAPI Calls」として、IIW(4 月 28 〜 30 日、Mountain View)参加および理事会出席のため、29 日 Atlantic コールと 5 月 1 日 Pacific コールの両方を中止する旨を発出した。共同議長も誰も代行できないことが明記されており、コミュニティイベント期間に WG コールが意図的に休止される運用が確認できる。

4. メーリングリストの主要スレッド

4 月の openid-specs-fapi ML はアーカイブで 17 件のメッセージを収録している。議事録ドラフト通知やコールのリマインダー・キャンセル通知が件数の大半を占めるなか、技術トピックを伴うスレッドは下記の 4 本だった。

Singpass / Corppass FAPI 2.0 — 2026-04-06 開始

Tatsuo Kudo(Authlete, Japan Country Manager)が、シンガポール政府の Singpass および Corppass が FAPI 2.0 を本番環境で導入したことを WG に共有した(ML #003543)。共有された移行スケジュールは以下の通り:

エコシステムパートナー本番移行期限
Singpass2026 年 12 月 31 日
Corppass2027 年 3 月 31 日

Singapore 政府は FAPI 2.0 採用に伴い、Pushed Authorization Requests (PAR) の導入と ID Token の常時 JWE 暗号化を要件化しており、これは FAPI 2.0 Security Profile / Message Signing の本格的な政府ユースケースとして注目される。Singpass の場合、ステージング環境は 2026 年 2 月中旬から提供されており、4 月時点ではエコシステム全体が本番移行作業の初期フェーズに入っていた。

このスレッドは返信なしの単発投稿だが、FAPI 2.0 の国家規模採用例として WG メンバーへの情報共有として意義が大きく、Dave Tonge による直後の Implementation 追跡呼びかけ(後述)に繋がる流れとして読める。

FAPI 2.0 Implementation Information Request — 2026-04-15 開始

Dave Tonge(共同議長、Moneyhub)が、FAPI 採用エコシステムを追跡している既存 Bitbucket Issue である Issue #555: Tracking implementers of FAPI 1.0 and FAPI 2.0 への情報追加を WG に呼びかけた(ML #003546)。「FAPI 1.0 または FAPI 2.0 を使う他のエコシステム・実装をご存知でしたら、直接 Issue にコメントするか、ML に返信してください」というシンプルな依頼で、Singpass / Corppass の本番化や FDX Blue Profile の RFC 投票など同時並行で進む採用事例を体系的に記録に残す意図と読み取れる。

このリクエストは ML 上では返信が確認できないが、Bitbucket Issue #555 をハブとしたエコシステム追跡が WG 公式の運用フローとして再確認された投稿である。

Feedback on UK Gov Consultation — 2026-04-22 開始

Gail Hodges(OIDF Executive Director)が、英国政府の公開コンサルテーション「Making public services work for you with your digital identity」(5 月 5 日締切)について、OIDF として応答を準備するための小規模 WG への参加を呼びかけた(ML #003549)。本投稿は DCP WG ML との クロスポスト で、コンサルが標準(standards)に重点を置いていることが理由として挙げられた。

これに対して Leonard Kastrati が 4 月 26 日に「参加可能、ミーティング・電話とも対応可能」と返信(ML #003550)。FAPI WG の活動範囲(Open Banking / Open Finance を中核とする決済・金融データ向け API セキュリティ)と政府サービス向けデジタル ID の交差点という、本来 DCP / Connect が主導しそうな領域に FAPI WG メンバーが応答する構図となっており、英国 Open Banking エコシステムでの FAPI 1.0 採用実績を政府サービス文脈に橋渡しする意図が背景にある。

FAPI 2, human in the loop and backend requests — 2026-04-30 開始

Nicholas Irving(darkedges.com)が月末に投稿した、実装現場からのアーキテクチャ相談スレッド(ML #003554)。RFC 8693(OAuth 2.0 Token Exchange)をサポートしないサードパーティサービスを利用せざるを得ない状況で、ベンダーから「FAPI 2.0 の sender-constraint と OIDC Core の distributed claims アーキテクチャを回避してほしい」と要請されており、結果として「audience 制約に違反するセキュアでない bearer token 受け渡しアンチパターン」に追い込まれているという問題提起である。

Irving は、ワークロード ID フェデレーションでマシンクレデンシャルを管理しているものの「単一マシン ID モデルでは全体コンテキストを失い、不適切なアクセス保護のためにポリシー適用が必要になる」と現状を述べた上で、

  • 代替標準として参照すべきものは何か
  • distributed claims はセキュリティ境界を跨ぐ ID アクセス転送のアンチパターンなのか

の 2 点を WG に問うている。Zero Trust / sender-constraint の徹底とベンダー実装の現実的制約のあいだのギャップを照らす投稿で、月内にスレッド返信は確認できないものの、5 月以降の議論シードとして残された。

5. Issue トラッカー上の動き

FAPI WG の Issue トラッカーは Bitbucket(bitbucket.org/openid/fapi/issues)で運用されており、github.com/openid/fapi リポジトリは公開されていないため GitHub 側の活動追跡は対象外である(注: FAPI WG の主要 Issue は依然として Bitbucket 上にあり、Bitbucket Cloud Issues 廃止予告に対する移行先決定が WG 運営課題として残っている — §3 の 4 月 1 日コール「Bitbucket Migration」議題参照)。

4 月の ML 上で明示的に言及された Issue は以下の通りである。

Issue #内容
#555FAPI 1.0 / 2.0 実装者・エコシステム追跡の Living Issue。Dave Tonge が 4 月 15 日に WG への追記を呼びかけ

3 月に活発に議論されていた Issue 群(#756 Refresh Token、#853 FAPI1 Baseline NOTE、#854 Client Credentials 認証ローンチ、#855 OAuth セキュリティ BCP、#856 CNSA 2.0 非適合、#857 FAPI-CIBA ドラフト更新、#858 CRYPTREC 192bit 推奨)はいずれも 4 月のコール議題「PRs」「Issues」枠で継続的にレビューされていると見られるが、4 月の ML 上で新規の決定的進展を示す投稿は確認できなかった。

6. 関連イベント

Financial Data Exchange (FDX) Spring Global Summit(2026 年 4 月)

FDX Spring Global Summit が 4 月に Gaylord National Harbor で開催され、OIDF Executive Director の Gail Hodges と Joseph Heenan による FAPI 2.0 関連セッション「If, when, and why to implement the FDX 'blue' security profile with FAPI 2.0」が行われた。FDX Security and Authorization Work Group が春に「Blue Profile(FAPI 2.0 ベース)」採用の RFC 投票を進めていた時期と重なる重要なアウトリーチで、FAPI 2.0 の北米オープンバンキングへの本格波及のキックオフとなった(補足: 同じトピックの公式ブログは 2025 年版の FDX Summit を扱った openid.net/openid-foundation-presents-at-financial-data-exchange-summit/ として 2025 年に公開されており、2026 年版についての openid.net 公式まとめ記事は本稿執筆対象月内に公開が確認できなかった)。

OpenID Foundation Hybrid Workshop(2026-04-27, San Jose / Online)

OIDF Hybrid Workshop が 2026 年 4 月 27 日 12:30 〜 16:30 PDT に Cisco San Jose オフィス(SJC34-1 Training Room)およびオンラインで開催された。IIW の直前日程で、OIDF 2026 ロードマップ、各 WG 進捗、新興デジタル ID 動向、最新ホワイトペーパーの議論がトピックとして掲げられた。FAPI WG として独立した枠が公開アジェンダで明示されているわけではないが、Hodges・Heenan・Tonge・Postnikov・Sakimura など FAPI 主要メンバーが参加する場であり、4 月 29 日 Atlantic コール・5 月 1 日 Pacific コール中止の主因となった。

Internet Identity Workshop XLII(2026-04-28 〜 04-30, Mountain View)

IIW 第 42 回(春期 IIW)が Computer History Museum(Mountain View, CA)で開催された。OIDF からは Mike Jones が 4 月 28 日に「Introduction to OpenID Connect」101 セッションを担当(self-issued.info の登壇記録)。FAPI WG として登壇枠の事前告知は ML 上で確認できないが、IIW はアンカンファレンス形式で当日セッション提案が一般的なため、FAPI 関連の議論は当日提案セッションで実施されたと見られる。Nat Sakimura の WG コールキャンセル理由としても IIW 参加が直接挙げられている(§3 参照)。

OIDF 理事会(2026-04-20)

OIDF Board は 2026 年 4 月 20 日に開催され、OIDF Groups, Activities, & Events Code of Conduct Policy の改訂 が正式承認された(公式ブログ公開は 2026-05-07)。改訂の主眼は新設の Section 5 で、ハラスメント等の懸念事項の提起・レビュー・対応プロセス(リアルタイム対応、事後フォロー、苦情処理)の明文化である。FAPI WG コール・ML 含むすべての OIDF 活動・イベントに適用される。

2025 Year in Review 公開(2026-04-01)

OIDF が 2025: A Year Worth Talking About for the OpenID Foundation を 2026 年 4 月 1 日に公開した。ITU による OIDF 仕様の国際標準採択(OIDF 仕様としては初)、3 つの仕様ファミリの ISO/IEC PAS 承認など 2025 年の主要マイルストーンがまとめられている。FAPI 2.0 が 2025 年 12 月の ISO ballot に通過したことは、別途 2026 年 OIDF 理事選出結果 でも Mark Verstege のボランティアリーダー実績として明記されている。

7. 今後の予定

2026 年 4 月完了直後の視点で、当時予定されていた次月以降の動きは以下のとおり:

  • OIDF UK Gov コンサルテーション応答(5 月 5 日締切): FAPI / DCP 共同で応答ドラフトを取りまとめ
  • TLS Cipher Suite / 鍵長 Errata の正式公開: 3 月から進行中の PR ベースで Errata テキストとして発出予定
  • FAPI 2.0 Implementation Advice の継続更新: 4 月 15 日公開の Editor's Draft へ実装者フィードバックを反映
  • FAPI-CIBA Implementer's Draft 公開: 3 月時点での差分共有を踏まえた WG レビュー継続
  • Bitbucket Migration: Bitbucket Cloud Issues / Wiki の 2026-08-20 廃止に向けて、議事録・Issue トラッカーの移行先決定
  • 5 月 6 日 Atlantic コール再開(4 月最終週中止後の通常運転復帰)
  • Singpass / Corppass 本番化フォロー: 12 月 31 日・3 月 31 日の本番移行期限に向けた実装者支援継続

8. 参考情報源