idbok

Appearance

OpenID Foundation iGov WG 活動レポート (2024年7月)

執筆日: 2026-05-21。本記事は 2024年7月 の活動を遡及的にまとめたものです。

1. 概要

iGov (International Government Assurance) WG は、公共部門サービスにおける認証および属性情報の同意ベース共有を国際的に標準化するため、OAuth 2.0 および OpenID Connect のセキュリティ・プライバシープロファイルを開発する OpenID Foundation のワーキンググループである。チェアは John Bradley (Yubico)、OAuth 2.0 プロファイルの共同エディターは Kelley Burgin および Tom Clancy (いずれも MITRE Corporation)。WG は約 4 週間ごとに火曜日 8am PT に Zoom コールを開催している。

2024年7月の iGov WG は、「Fall 2024 に次の Implementer's Draft を公開する」という具体的なターゲットを WG として確定し、そこから逆算して残課題の処理工程を組み立てた節目の月である。直前月 6月25日の WG コールで Kelley Burgin と Tom Clancy が next iGov Implementer's Draft の共同エディターに志願し、7月18日には Burgin が ML に投稿 「Wrapping up iGov OAuth 2.0 Profile」 を流して以下の工程を WG に提示した。

  • 7月23日 (火) コールで OAuth 2.0 Profile の残課題を仕上げる
  • 8月20日 (火) コールで OpenID Connect Profile を仕上げる
  • 上記を経て Fall 2024 に Implementer's Draft を公開

この投稿は、OAuth 2.0 Profile の Bitbucket リポジトリ (bitbucket.org/openid/igov) 上で残っていた未解決 Issue のうち、Burgin と Clancy が BLOCKER タグを付与した 11 件を ML 本文で列挙する形となっており、本月の iGov WG が取り組むべき技術論点を網羅的に公開チャネルに残す内容となった。

続く 7月22日 (月) には、チェアの John Bradley が ML へ 「Call reminder iGov July 23 11AM ET」 を投稿し、翌 23日 (火) の WG コール開催を周知した。同投稿で Bradley は自身に予定の競合があるため Bjorn (Bjorn Hjelm を指すとみられる) が冒頭の司会を担当する旨を明示しており、Burgin が前週に提示した「7月23日コールで OAuth 2.0 Profile を仕上げる」工程に沿った形でコール開催準備が進められたことが読み取れる。

ML 公開アーカイブ上の iGov WG 固有投稿は本月内に 2 件のみ (7月18日 Burgin、7月22日 Bradley)。Week-of-Mon-20240701 / Week-of-Mon-20240708 / Week-of-Mon-20240729 の各週は親インデックスにエントリが存在せず公開投稿ゼロである。議事録は non-public のため 7月23日コール内の個別発言・参加者リスト・各 Issue ごとの結論は公開チャネルから直接再構成できないが、後の月の動きと突き合わせて到達点を推定することは可能である (§3 で詳述)。

なお 9月以降のレポートで整理したとおり、7月22日 Bradley 投稿は ML 公開アーカイブにおいて約 2 ヶ月間にわたる長期空白期 (7月29日週〜9月16日週まで投稿ゼロ) の始点にあたる。本月後半の沈黙は、(a) IETF 120 (7月20-26日 Vancouver) と直後の北米・欧州夏季休暇期、(b) 7月23日コールで「次回コールは 8月20日」と確定したことで月内に新たな ML 告知を要する事象が発生しなかったこと、の組み合わせとして読める。

Foundation 全体としては、7月2日に OpenID Federation 第 4 Implementer's Draft の Notice of Vote が公開され、7月10日からの早期投票期間および 7月17-24日の正式会員投票期間を経て承認されている。iGov WG が直接関与する仕様ではないが、Burgin が本月に提示した「Fall 2024 に Implementer's Draft 公開」工程の手続的な参照事例として位置付けられる。

2. 公開された仕様・ドラフト改訂

iGov Profile for OAuth 2.0 — 共同エディター体制の確定と 11 件の BLOCKER Issue

7月中、openid.net 上で iGov 関連の新規ドラフト版 publication は行われていない。Editor's Draft は引き続き Bitbucket リポジトリ上で編集されている。

本月の本質的な動きは、6月25日コールで志願した Kelley Burgin と Tom Clancy が共同エディター体制を ML 上で正式に表明し、その上で**「次の Implementer's Draft を Fall 2024 に出す」という対外コミットメントを WG として確定**した点にある。Burgin の 7月18日投稿は、それまで Bitbucket リポジトリ上に散在していた未解決 Issue の中から「Implementer's Draft 発出前に必ず決着させるべきもの」を BLOCKER タグで明示し、その全件を ML に列挙して WG メンバーの認識を揃える役割を果たした。

後の draft-09 (Appendix C - Document History) が draft-04 → draft-05 の変更項目として列挙する 5 項目 (BCP ベース脅威緩和の更新と FAPI 整合 / 暗号スイートおよび sender-constrained token の FAPI 整合 / RFC 9470 ベースの step-up + authentication context / RFC 6973 を参照する Privacy Considerations / RFC 8705 mTLS with PKI を含む enterprise tailoring) のうち、本月の BLOCKER リストには Privacy Considerations 節の追加 (#35) と BCP 関連参照 (RFC 8725 / RFC 9068) の追加 (#27)、Authorization Server mix-up 攻撃の緩和 (#38 / #43) など、後の draft-05 改稿項目に直結する論点が既に含まれていた。一方、step-up + authentication context (= 後の PR#40, 2024年12月10日マージ) は本月の BLOCKER リストには登場しておらず、これは 11月以降のコールで議題化される論点である。

iGov Profile for OpenID Connect 1.0 / iGov Use Cases

OpenID Connect プロファイル (draft 04) および International Government Assurance Profile (iGov) Use Cases は 7月中に新版公開なし。Burgin の 7月18日投稿で「OpenID Connect profile は 8月20日コールで仕上げる」と工程化されており、7月時点では編集対象の主軸を OAuth 2.0 Profile 側に置く方針が確定した。

投票・パブリックレビュー

7月中、iGov WG として開始されたパブリックレビューや会員投票 (Notice of Vote) は openid.net 上に掲載されていない。OAuth 2.0 プロファイルの WGLC1 発出は約 6 ヶ月後 (2025年1月31日) であり、7月時点では「Fall 2024 Implementer's Draft 公開」を目指して BLOCKER Issue を処理するフェーズに位置する。

3. ミーティングと議論

7月23日 (火) WG コール — OAuth 2.0 Profile BLOCKER Issue の集中処理

iGov WG コール開催が公開チャネル (ML) 上で明示的に告知された月としては、本月は珍しく具体性のある月である。チェア John Bradley は 7月22日 21:56 UTC に 「Call reminder iGov July 23 11AM ET」 を ML に投函し、翌 23日 11AM ET (= 8am PT) の Zoom 開催を周知した。Bradley は自身に予定の競合があるため Bjorn (Bjorn Hjelm) がコール冒頭の司会を担当する旨を明記している。

7月23日コールの正式な議事録は non-public であり、参加者リスト・各 BLOCKER Issue ごとの結論・投票結果は公開チャネルから直接特定できない。ただし、(a) 5 日前の 7月18日 Burgin 投稿で「このコールで OAuth 2.0 Profile を仕上げる」と工程設定された 11 件の BLOCKER Issue がコール agenda の中核であったこと、(b) 後の月 (8月の ML 沈黙、9月の OIDF 横断告知のみ、10月18日 Burgin 投稿の「once the remaining two PRs are approved」整理) と突き合わせると、7月23日コール時点で 11 件 BLOCKER のうちの相当数について方針合意が形成され、その後の Bitbucket 上の編集作業に流し込まれたと推定できる。

7月18日 Burgin 投稿が列挙した 11 件の BLOCKER Issue は以下のとおりである。これらが本月の iGov WG が取り組むべき技術論点の全貌である。

Issue #論点種別
#10例示中のパラメータを OIDC 由来 (nonce 等) から OAuth パラメータへ変更するか仕様明確化
#14JWT および Introspection を必須化するか仕様明確化
#15Resource Server は毎リクエストごとに Introspection を行う想定か仕様明確化
#17Authorization Response 節 (3.3) を Resource Server interactions 節 (3.2) より前に移動するか文書構造
#18トークン有効期間がクライアント種別に依存するのはなぜか技術パラメータ
#27RFC 8725 (JWT BCP) と RFC 9068 (JWT Profile for OAuth 2.0 Access Tokens) を参照に追加ベストプラクティス追従
#32Request Object 署名を必須化するかセキュリティ要件
#34DNSSEC Considerations 節を追加するか文書化
#35Privacy Considerations 節を追加するか文書化
#38「各 Resource Server は単一の Authorization Server からのトークンのみを信頼する」要件を追加するかセキュリティ要件 (mix-up 攻撃緩和)
#43「クライアントは論理的な Authorization Server ごとに固有の redirect URI を使用しなければならない」要件を追加するかセキュリティ要件 (mix-up 攻撃緩和)

これらは後の draft-05 変更項目 (Appendix C) と対応関係にあり、特に #38 / #43 は「BCP ベース脅威緩和の FAPI 整合」、#27 / #32 は「暗号スイートおよび sender-constrained token の FAPI 整合」、#35 は「RFC 6973 ベース Privacy Considerations」の各変更項目と直結する論点である。本月 7月23日コールでの議論が、9月〜10月の Bitbucket 上の編集作業 (10月コール時点で残るのは PR#36 / #37 のみ、という Burgin の 10月18日整理に到達する) の起点となった。

7月の Bradley の不在対応

7月22日 Bradley 投稿は短文ながら、当時の iGov WG の運営実態を示唆する要素を含んでいる。チェアが個人スケジュールの競合を ML で公開し、別の WG コアメンバーが冒頭の司会を引き継ぐという運営は、WG が少数のコアメンバーで動いていること、および公開チャネルでの透明性を担保する姿勢の現れとして読み取れる。Bjorn Hjelm は OpenID Foundation 配下で MODRNA WG など複数 WG に関与する古参メンバーであり、iGov WG への日常的なコミットも継続的に行われていた。

7月のその他のミーティング

OIDF 主催の Workshop や対面イベントは 7月中に openid.net 上で告知されておらず、iGov WG 関係者が一堂に会する Foundation 主催の場は本月内には設けられていない。一方、7月20-26日にバンクーバーで開催された IETF 120 は、Burgin が ML 投稿内で「IETF meetings are next week」と明示的に言及した同時開催イベントであり、iGov WG コールはあえて IETF 開催前 (= 7月23日午前) に設定された。OAuth WG など IETF 側の関連 WG にも参加するメンバーがいることを前提に、両イベントを連続して回せるよう調整されたことがうかがえる。

4. メーリングリストの主要スレッド

openid-specs-igov ML の 2024年7月分は、親インデックス (https://lists.openid.net/pipermail/openid-specs-igov/) を確認した結果、Week-of-Mon-20240715Week-of-Mon-20240722 の 2 週にのみエントリが存在し、各週 1 件ずつ、合計 2 件が公開アーカイブに記録されている。Week-of-Mon-20240701 / Week-of-Mon-20240708 / Week-of-Mon-20240729 の各週は親インデックスにエントリ自体がなく公開投稿ゼロである。

両投稿はいずれも返信が ML アーカイブには記録されていない単発投稿であり、本月の ML 上の議論は「エディターからの工程提示」「チェアからのコール開催告知」の 2 件で完結している。技術的な質疑応答は WG コール内および Slack 上で行われていたとみられる。

Wrapping up iGov OAuth 2.0 Profile (Burgin, 2024-07-18)

共同エディター Kelley Burgin (MITRE Corporation) による、Fall 2024 Implementer's Draft 公開に向けた工程提示。本月の核心となる投稿である。

主要な論点は以下のとおり:

  • 共同エディター体制の確定: 「During the last iGov WG call June 25, I volunteered, along with Tom Clancy, to serve as editor for the next iGov Implementers Draft」と明記し、6月25日コールで決まった編集者志願を ML 公開チャネルに記録
  • Fall 2024 公開ターゲットの設定: 「the timeline and requirements for publishing an Implementer's Draft this Fall to meet the needs of iGov stakeholders」と公開チャネルでコミット
  • 2 段階の wrap-up 工程: 7月23日コールで OAuth 2.0 Profile、8月20日コールで OpenID Connect Profile を仕上げる
  • IETF 120 との時間関係: 「the iGov meeting will occur before any IETF meetings on Tuesday」と明記し、両イベント参加者の負担に配慮
  • 11 件の BLOCKER Issue リストアップ: §3 の表に整理したとおり、OAuth 2.0 Profile の Bitbucket リポジトリ上の Issue #10 / #14 / #15 / #17 / #18 / #27 / #32 / #34 / #35 / #38 / #43 を全列挙

本投稿は ML 上で「次の Implementer's Draft 公開」の対外コミットメントを成立させた点、および 11 件の BLOCKER Issue を ML 公開チャネルに記録した点で、本月の iGov WG にとって最も重要な投稿である。

Call reminder iGov July 23 11AM ET (Bradley, 2024-07-22)

チェア John Bradley (Yubico) による 7月23日 (火) 11AM ET 開催の WG コール告知。Bradley 自身の予定競合に伴い、Bjorn が冒頭の司会を担当する旨を周知。Zoom ミーティング ID と Passcode を明示する短文だが、本コールが Burgin が前週 18日投稿で工程化した「OAuth 2.0 Profile wrap-up コール」そのものであることが、投稿日時の関係から確認できる。

本投稿以降、Week-of-Mon-20240729 週から 9月中旬 (Week-of-Mon-20240923) まで openid-specs-igov ML 公開アーカイブにはエントリ自体が存在せず、約 2 ヶ月間の長期空白期間が始まる。

5. リポジトリ上の議論

iGov WG の仕様リポジトリは 2024年7月時点で bitbucket.org/openid/igov にホストされており、GitHub の openid Organization 配下に iGov の公式リポジトリは存在しない。Bitbucket Cloud は SPA ベースで HTML レンダリングするため、外部から非認証で commit ログや pull-request コメント詳細を参照することはできない構造的制約があり、7月の commit 単位・Issue コメント単位の議論を公開チャネルから直接再構成する手段はない。

ただし、本月は珍しく**「Bitbucket 上でどの Issue が論点となっていたか」を ML 公開チャネルから具体的に特定できる月**である。7月18日 Burgin 投稿が列挙した 11 件の BLOCKER Issue (#10 / #14 / #15 / #17 / #18 / #27 / #32 / #34 / #35 / #38 / #43) は、いずれも Bitbucket リポジトリ上の Issue 番号であり、本月の 7月23日コール agenda の中核を成していた。これらの Issue は後の draft-05 改稿項目と直結しており、特に以下のグループ分けで論点を整理できる。

後の draft-05 変更項目対応する 7月の BLOCKER Issue
BCP ベース脅威緩和の FAPI 整合 (Authorization Server mix-up 攻撃緩和を含む)#38 (RS 単一 AS 信頼), #43 (固有 redirect URI)
暗号スイートおよび sender-constrained token の FAPI 整合#27 (RFC 8725 / RFC 9068 参照追加), #32 (Request Object 署名必須化)
RFC 6973 を参照する Privacy Considerations 節の追加#35
文書構造の整理#17 (Authorization Response 節の移動), #34 (DNSSEC Considerations 節追加)
仕様の細部明確化#10 (OIDC 由来パラメータ整理), #14 (JWT / Introspection 必須化), #15 (Introspection の per-request 想定), #18 (トークン有効期間とクライアント種別)

step-up + authentication context (= 後の PR#40, 2024年12月10日マージ) と RFC 8705 mTLS with PKI を含む enterprise tailoring は本月の BLOCKER リストには含まれておらず、これらは 11月以降の WG コールで議題化される論点である。本月時点では「FAPI 整合」「Privacy Considerations 追加」「mix-up 攻撃緩和」「文書構造整理」の 4 軸が主要な編集軸として確定したと位置付けられる。

Bitbucket → GitHub への移行については、7月時点の ML 投稿には言及されておらず、リポジトリ移行に関する WG 内の broad consensus が ML に登場するのは 12月7日 (12月10日コール告知) の「broad consensus around shifting iGov repo from Bitbucket to GitHub for next versions」が最初である。本月時点では Bitbucket 上での運用継続が WG 内の暗黙の前提となっていた。

6. 関連イベント

IETF 120 (Vancouver, 2024-07-20 〜 26)

7月20-26日にバンクーバーで開催された IETF 120 は、Burgin の 7月18日 ML 投稿内で「the IETF meetings are next week」と明示的に言及された同時開催イベントである。iGov WG が参照する RFC 群 (RFC 8725 JWT BCP, RFC 9068 JWT Profile for OAuth 2.0 Access Tokens, RFC 9470 OAuth Step-up Authentication など) の所属 WG (主に IETF OAuth WG) が活動する場であり、iGov WG コアメンバーの一部も両イベント参加者として想定されていた。iGov WG コールが 7月23日 (火) 午前に設定されたのは、同日午後以降に始まる IETF 関連セッションとの両立を可能にする配慮であったと、Burgin 自身が ML 投稿で説明している。

OpenID Federation 第 4 Implementer's Draft 投票 (2024-07-02 Notice of Vote 公開, 7月10日早期投票開始, 7月17-24日 正式投票)

7月2日、OIDF は AB/Connect WG の成果物 OpenID Federation 1.0 について 第 4 Implementer's Draft の Notice of Vote を公開し、7月10日からの早期投票および 7月17-24日の正式会員投票期間を経て承認 (Fourth Implementer's Draft of OpenID Federation Approved)。iGov WG が直接関与する仕様ではないが、Burgin が本月 ML で表明した「Fall 2024 に iGov 次期 Implementer's Draft 公開」の手続的な参照事例として、Notice of Vote → 公開レビュー → 会員投票という標準フローの確認材料となった。

OpenID Connect for Identity Assurance 最終仕様パブリックレビュー開始 (2024-07)

7月、OIDF は eKYC & IDA WG の成果物 (OpenID Connect for Identity Assurance 1.0 など) の Final Specification 化に向けた パブリックレビュー期間 を告知した (最終化 Notice of Vote は 9月9日公開)。iGov WG とは別 WG の動きだが、政府関連 ID assurance を扱う隣接領域の動向として位置付けられる。

openid.net の iGov 固有の公式アナウンス

openid.net/tag/igov/ を確認したが、7月中に iGov WG に関する OpenID Foundation 公式 blog post・アナウンス (Notice of Vote / Public Review 開始等) は確認できなかった。本月は WG 内部での編集体制確定と工程合意の月であり、Foundation 全体への公開告知を要する段階にはまだ到達していなかった。

7. 今後の予定 (2024年7月末時点の視点)

2024年7月末時点で予定されていた / 期待されていた主な動き:

  • 8月20日 (火) iGov WG コール: Burgin の 7月18日投稿で工程化された OpenID Connect Profile wrap-up コール。OAuth 2.0 Profile に続いて OIDC Profile も Fall Implementer's Draft 公開対象として仕上げる予定
  • Fall 2024 Implementer's Draft 公開: 7月23日コールで合意した工程に沿って、OAuth 2.0 Profile および OpenID Connect Profile を 2024年秋に Implementer's Draft として公開することを目指す
  • BLOCKER Issue の Bitbucket 上での編集反映: 7月23日コールで方針合意した 11 件の BLOCKER Issue を、夏季休暇期 (8月) の編集作業で Editor's Draft に取り込む
  • IETF 120 (Vancouver, 7月20-26日): iGov コール直後の IETF 開催。OAuth WG の議論動向 (特に BCP・暗号・mix-up 攻撃緩和関連) が iGov の FAPI 整合作業に影響を与える可能性

8. 参考情報源