idbok

Appearance

OpenID Foundation iGov WG 活動レポート (2024年11月)

執筆日: 2026-05-19。本記事は 2024年11月 の活動を遡及的にまとめたものです。

1. 概要

iGov (International Government Assurance) WG は、公共部門サービスにおける認証および属性情報の同意ベース共有を国際的に標準化するため、OAuth 2.0 および OpenID Connect のセキュリティ・プライバシープロファイルを開発する OpenID Foundation のワーキンググループである。チェアは John Bradley (Yubico)、OAuth 2.0 プロファイルの共同エディターは Kelley Burgin および Tom Clancy (いずれも MITRE Corporation)。WG は約 4 週間ごとに火曜日 8am PT に Zoom コールを開催している。

2024年11月の iGov WG は、11月12日 (火) の定例 WG コールを起点に、OAuth 2.0 プロファイルの Working Group Review (WGLC) 発出に向けた「最後の編集」を片付けるフェーズに入った月である。前月 (10月18日) にエディターの Kelley Burgin が ML へ「PR#36 / PR#37 のレビューを 11月1日までに完了してほしい。両 PR が承認されれば WG レビューに進める」と要請しており、11月12日コール後の Tom Clancy の告知投稿 (11月11日付) ではその前回コールの帰結として、「Security and Privacy Considerations 節を採択し、クライアント / サーバー / 保護リソース プロファイル各節の共通要件を Global Requirements 節として再編成した変更が Bitbucket リポジトリへマージ済み」であることが報告されている。11月12日コール自体の agenda は、(1) OAuth 2.0 プロファイル WG レビュー開始前の「最終編集」、(2) iGov OpenID Connect プロファイルの次ステップの議論 (チェア承認次第) の 2 点に絞られた。

11月の ML 投稿は 11月11日 (Tom Clancy による 11月12日コール告知) の 1 件のみで、公開アーカイブ上はそれ以外の週 (Week-of-Mon-20241104 / 20241118 / 20241125) にエントリが存在しない。議事録は non-public のため 11月12日コールの個別発言・参加者リストは公開チャネルから再構成できないが、(a) 10月18日の PR レビュー要請、(b) 11月11日のコール告知、(c) 翌 12月10日コール後の Tom Clancy 投稿 (12月17日) という前後の公開記録から、11月12日コール時点での到達点と未完了タスクは追跡可能である。

外部標準化動向としては、NIST SP 800-217 (Personal Identity Verification Federation) の最終公開ドラフト (fpd) が 11月14日付で公開され、パブリックコメント期間が 2025年1月10日まで設定された。公的セクター向け Federation Guidelines の最終段階ドラフトであり、iGov WG にとって直接的な関心事項であった (実際、翌月 12月10日コール agenda にも明示的に挙げられている)。また、Internet Identity Workshop (IIW) XXXIX が 10月29-31日に Mountain View で開催され、その前日 10月28日の OpenID Foundation Hybrid Workshop において John Bradley が iGov WG update を 5 分枠で行ったことが、11月12日コール告知中に「John delivered an iGov working group update at the OpenID Foundation's Internet Identity Workshop」と振り返り言及されている。

なお、後の月の動向と照らすと、11月12日コール後に「最終編集」として残った修正群はそのまま 12月10日コール時点で PR#40 (step-up + authentication context) のマージ および small-fixes ブランチ → PR#41 化へとつながり、さらに翌 2025年1月31日の WGLC1 発出 へ収束する。11月末時点では「Kelley が 10月18日に要請した PR#36 / #37 のレビュー期限 (11月1日) を消化し、11月12日コールで Global Requirements 再編成と Security/Privacy Considerations 採択を確定させ、年明けに向けて WG レビュー発出のためのクリーンアップを残すのみ」というステータスにあった。

2. 公開された仕様・ドラフト改訂

iGov Profile for OAuth 2.0 — 11月12日コール前後の編集状況

11月中、openid.net 上で iGov 関連の新規ドラフト版 publication は行われていない。Editor's Draft は引き続き Bitbucket リポジトリ (bitbucket.org/openid/igov) 上で編集されている。

11月11日付の Tom Clancy による 11月12日コール告知は、前回コールでの編集結果を以下のとおり報告している。

  • Security and Privacy Considerations 節の構造案を採択: 前回コールで提案されていた Security / Privacy Considerations 節の構造案が WG として採択された
  • Global Requirements 節への再編成: クライアント / サーバー / 保護リソース プロファイル各節に分散していた共通要件を、これら 3 つのプロファイル節に先行する Global Requirements 節へまとめる再編成を実施。これらの変更は Bitbucket リポジトリへマージ済み

この再編成は、後の draft-09 (Appendix C - Document History) において draft-05 に対して列挙される変更項目のうち、

  • BCP ベースの脅威緩和の更新と FAPI との整合
  • RFC 6973 を参照する Privacy Considerations 節を追加

の前提となる構造変更にあたる。

11月12日コールの agenda として Tom が明示したのは以下の 2 点であり、いずれも「WG レビュー開始前の片付け」に絞り込まれている。

  • OAuth 2.0 プロファイルの WG レビュー開始前の最終編集 (any final edits prior to initiating Working Group Review)
  • iGov OpenID Connect プロファイルの次ステップ (チェア承認次第)

iGov Profile for OpenID Connect 1.0 / iGov Use Cases

OpenID Connect プロファイル (draft 04) および International Government Assurance Profile (iGov) Use Cases は 11月中に新版公開なし。11月12日コール agenda では「次ステップ (next steps for the iGov OpenID Connect profile)」として、OAuth 2.0 プロファイルの WG レビュー発出後の作業の中軸に位置付けるべく議題化された。

投票・パブリックレビュー

11月中、iGov WG として開始されたパブリックレビューや会員投票 (Notice of Vote) は openid.net 上に掲載されていない。OAuth 2.0 プロファイルの WGLC1 発出は翌々月 (2025年1月31日) であり、11月時点ではあくまで「WG レビュー開始前の最終編集を片付ける」工程にとどまる。

3. ミーティングと議論

2024-11-12 火曜日 WG コール

エディターの Tom Clancy が 11月11日 18:32 UTC に 「Reminder: iGov WG call Nov 12」 を ML へ投稿し、翌 11月12日 (火) 8:00 PT 開催の WG コール (Zoom: Meeting ID 945 3137 0713, Passcode: 160334) を告知した。投稿者表記はエディター陣 (Tom Clancy / Kelley Burgin) 連名である。

告知された agenda は、OAuth 2.0 プロファイルの WG レビュー開始前の片付けに絞り込まれた 2 点であった。

  • OAuth 2.0 プロファイルの WG レビュー開始前の最終編集 (any final edits prior to initiating Working Group Review for the iGov OAuth 2.0 profile)
  • iGov OpenID Connect プロファイルの次ステップ (next steps for the iGov OpenID Connect profile, chair approval pending)

11月12日コールの議事録は non-public であり、参加者リスト・個別発言・投票結果等の詳細は公開チャネルからは確認できない。ただし、11月11日告知投稿には前回コールでの到達点 (Security/Privacy Considerations 節の構造採択 + Global Requirements 節への再編成 + Bitbucket リポジトリへのマージ完了) と、John Bradley が IIW (10月28日 OIDF Workshop) で WG update を実施したことが明記されており、11月12日コール時点で WG メンバー間に共有されていた前提状況は公開チャネルからも追跡可能である。

11月12日コール告知投稿の文面に氏名・立場が明示されているのは以下 3 名である。

  • Tom Clancy (MITRE, OAuth 2.0 プロファイル共同エディター): 告知投稿の起案者。「any final edits」「next steps for OpenID Connect profile」の議題化を主導
  • Kelley Burgin (MITRE, OAuth 2.0 プロファイル共同エディター): 告知投稿の連名エディター。前月 (10月18日) の PR#36 / PR#37 レビュー要請の起案者
  • John Bradley (Yubico, iGov WG チェア): 10月28日 OIDF Workshop で iGov WG update を実施 (告知中で言及)

11月のその他のミーティング

iGov WG の通常コール cadence は約 4 週間に 1 回 (火曜日 8am PT) であり、11月12日コール以外に同月内で追加の定例コールは予定されていない。実際、ML アーカイブ上も 11月12日コール以降の公開投稿は存在せず、12月7日 (12月10日コール告知) まで沈黙が続いている。

4. メーリングリストの主要スレッド

openid-specs-igov ML の 2024年11月分は、親インデックス (https://lists.openid.net/pipermail/openid-specs-igov/) を確認した結果、Week-of-Mon-20241111 のみが公開アーカイブに存在し、Week-of-Mon-20241104 / Week-of-Mon-20241118 / Week-of-Mon-20241125 の各週はインデックスにエントリ自体がなく公開投稿ゼロである。投稿総数は 1 件 (Tom Clancy による 11月12日コール告知) のみで、これに対する公開返信も ML アーカイブには記録されていない。

実質的な議論は WG コール内および Slack 上で行われており、ML はあくまでコール告知の公開チャネルとして機能していた。WG レビュー開始 (WGLC1) はまだ発出されておらず、Foundation 会員全体に向けた公開アナウンスを伴う ML 投稿が発生する段階ではなかったことも、11月の ML 静穏ぶりに整合する。

以下、11月の唯一の投稿について整理した上で、当月の文脈を補完する前後 2 件 (10月18日の PR レビュー要請、12月7日の次回コール告知) を補足する。

Reminder: iGov WG call Nov 12 - 2024-11-11 開始

Tom Clancy (エディター陣連名) による 11月12日 WG コールの開催リマインダ。前回コールの帰結 (Security/Privacy Considerations 節の構造案採択、Global Requirements 節への共通要件再編成、Bitbucket への変更マージ) を冒頭で要約し、John Bradley による IIW (10月28日 OIDF Workshop) での iGov WG update 実施を振り返った上で、11月12日コールの議題を「OAuth 2.0 プロファイルの WG レビュー開始前の最終編集」と「iGov OpenID Connect プロファイルの次ステップ」の 2 点に絞ったことを通知している。

本投稿の歴史的意味合いは、「iGov OAuth 2.0 プロファイルが Global Requirements 節への再編成および Security/Privacy Considerations 節の構造採択を 10月コールで確定させ、11月12日コール以降は WG レビュー (WGLC1) 発出前のクリーンアップ段階に入った」ことを公開チャネル上に記録した点にある。本スレッドへの公開返信は ML アーカイブには残されていない。

補足: 11月の文脈を構成する前後の ML 投稿

  • iGov OAuth 2.0 Profile PR review request (Burgin, 2024-10-18): 共同エディター Kelley Burgin による PR レビュー要請。「直前の WG コールでの議論を受けて、残る PR#36 / PR#37 が承認されれば iGov OAuth 2.0 プロファイルは WG レビューに進める」「11月1日までに 2 つの PR をレビューしてコメントしてほしい」「次回 iGov WG ミーティングは 11月12日」と通知。11月12日コール時点でこれら PR の処理が完了していたか否かは ML には明示されていないが、11月11日告知投稿が「前回コール後にマージ済み」と総括していることから、11月12日コール開催前にはおおむね消化されていたとみられる
  • Reminder: next iGov WG call Dec 10, 11ET/8PT (Clancy, 2024-12-07): 11月12日コールから 4 週後の次回コール告知。12月10日コール agenda には「PR#40 (step-up と authentication context の追加) の最終確認とマージ判断」「small-fixes ブランチに残る WG レビュー前最終 PR のクローズ」「OAuth 2.0 プロファイルの WG レビュー開始」が並んでおり、11月12日コール後に PR#40 や small-fixes ブランチが新たに用意された経緯を示唆する

これら前後の投稿を併せて読むと、11月12日コール時点での到達点と未完了タスクは以下のように整理できる。

  • 到達済み: Security/Privacy Considerations 節の構造採択、Global Requirements 節への共通要件再編成、PR#36 / PR#37 のレビュー消化、John の IIW での WG update
  • 11月12日コール内で処理: WG レビュー開始前の「最終編集」項目の洗い出し、OpenID Connect プロファイル次ステップの議論 (チェア承認次第)
  • 12月10日コール以降に持ち越し: step-up 認証 (RFC 9470) と authentication context の追加 (= 後の PR#40)、small-fixes ブランチに集約される細部修正 (= 後の PR#41)、OAuth 2.0 プロファイル WG レビューの正式発出 (= 2025年1月31日 WGLC1)

5. リポジトリ上の議論

iGov WG の仕様リポジトリは 2024年11月時点で bitbucket.org/openid/igov にホストされており、GitHub の openid Organization 配下に iGov の公式リポジトリは存在しない。Bitbucket Cloud は SPA ベースで HTML レンダリングするため、外部から非認証で commit ログや pull-request コメント詳細を参照することはできない構造的制約があり、11月の commit 単位・PR コメント単位の議論を公開チャネルから直接再構成する手段はない。

ただし、ML 投稿から読み取れる範囲で 11月時点の Bitbucket 上の状態は以下のとおりであった。

  • PR#36 / PR#37: 10月18日に Kelley Burgin が「11月1日までにレビューして承認すれば WG レビューに進める」最後の 2 つの PR として ML 上で指名した PR。11月11日告知投稿は前回コール後に Security/Privacy Considerations 採択と Global Requirements 再編成が「Bitbucket にマージ済み」と総括しているが、PR#36 / PR#37 のマージ完了がこの記述と完全に一致するかは ML 文面からは確定できない。少なくとも 11月12日コール開催時点で、これら PR をブロッカーとする状況ではなかったと読み取れる
  • Global Requirements 節の新設: クライアント / サーバー / 保護リソース プロファイル各節に分散していた共通要件を、これら 3 節に先行する Global Requirements 節へまとめる構造変更。11月12日コール開催前に Bitbucket リポジトリへマージ済み
  • Security and Privacy Considerations 節: 構造案を WG として採択し、本文編集 (Bitbucket への反映) が進行中。後の draft-05 における「RFC 6973 を参照する Privacy Considerations 節を追加」「BCP ベースの脅威緩和の更新と FAPI との整合」の前提となる
  • 未着手 (12月以降): step-up 認証 / authentication context (= 後の PR#40)、small-fixes ブランチに集約される最終修正群 (= 後の PR#41)

Bitbucket → GitHub への移行については、11月時点の ML 投稿ではまだ明示的に言及されていない (12月10日コール agenda で初めて「broad consensus around shifting iGov repo from Bitbucket to GitHub for next versions」として登場する)。

6. 関連イベント

Internet Identity Workshop (IIW) XXXIX および OpenID Foundation Hybrid Workshop (10月28-31日)

11月12日コール告知に振り返り言及されているとおり、10月29-31日に Mountain View の Computer History Museum で Internet Identity Workshop (IIW) XXXIX が開催された。その前日にあたる 10月28日には Microsoft Mountain View キャンパス (1045 La Avenida Street) にて OpenID Foundation Hybrid Workshop が開かれ、agenda 上「5 min WG Update – iGov」枠で John Bradley (iGov WG チェア) が WG update を実施した。

11月12日コール告知中で Tom Clancy がこの事実を「John delivered an iGov working group update at the OpenID Foundation's Internet Identity Workshop」と総括している点から、IIW / OIDF Workshop での発表内容そのものは 11月の iGov WG 内では新規議論の起点とはならず、あくまで「直前期に WG が外部へ進捗を提示済み」というステータス情報として参照されたと読み取れる。

NIST SP 800-217 fpd 公開 (11月14日)

11月14日、米国 NIST が Draft NIST SP 800-157r1 (Derived PIV Credentials) および SP 800-217 (PIV Federation)最終公開ドラフト (final public draft, fpd) を公開し、パブリックコメント期間を 2025年1月10日までに設定した。SP 800-217 fpd は「cross-domain and interagency use of derived PIV credentials using federation protocols」、すなわち PIV クレデンシャルに裏付けられた連邦政府機関間の Federation の技術要件を定めるもので、SP 800-63-4 第 2 公開ドラフトとの整合も明示されている。

iGov WG は政府機関向け OAuth 2.0 / OpenID Connect プロファイルの国際標準化を担うため、SP 800-217 fpd の動向は直接的な関心事項である。11月の ML 投稿には SP 800-217 fpd に対する iGov WG 個別のコメントは記録されていないが、翌月 (12月10日コール) agenda にはこのパブリックコメント期間 (期限 2025年1月10日) が iGov WG として共有・関心表明されるべき外部標準化動向として明示的に並んでおり、11月中旬の fpd 公開を iGov WG が捕捉していたことが裏付けられる。

openid.net の公式アナウンス

openid.net/news/ および openid.net/tag/igov/ を確認したが、11月中に iGov WG に関する OpenID Foundation 公式 blog post・アナウンスは確認できなかった。OAuth 2.0 プロファイルの WGLC 発出が翌々月 (2025年1月31日) であるため、Foundation 全体への公開告知 (Notice of Vote / Public Review 開始) を伴う動きは 11月時点ではまだ発生していない。

7. 今後の予定 (2024年11月末時点の視点)

2024年11月末時点で予定されていた / 期待されていた主な動き:

  • iGov OAuth 2.0 プロファイルの WG レビュー開始前最終編集の完了: 11月12日コール agenda で議題化された「any final edits prior to initiating Working Group Review」の消化。約 4 週後の次回コール (12月10日 (火)) で WG レビュー発出の判断を行う見通し
  • iGov OpenID Connect プロファイルの次ステップ着手: 11月12日コールで議論された方向性をベースに、チェア承認次第で具体的作業へ
  • NIST SP 800-217 fpd パブリックコメント (期限 2025年1月10日) への対応検討: 11月13日に NIST が公開した PIV Federation Guidelines 最終公開ドラフトに対する iGov WG として / メンバー個別の関心整理
  • 2025年初の WGLC1 発出: OAuth 2.0 プロファイルの WG レビュー (WGLC) を実際に発出する具体的タイミング (年明け早期)

8. 参考情報源