idbok

Appearance

OpenID Foundation iGov WG 活動レポート (2025年2月)

執筆日: 2026-05-18。本記事は 2025年2月 の活動を遡及的にまとめたものです。

1. 概要

iGov (International Government Assurance) WG は、公共部門サービスへの認証・属性情報共有を国際的に標準化するため、OAuth 2.0 および OpenID Connect のセキュリティ・プライバシープロファイルを開発する OpenID Foundation のワーキンググループです。チェア: John Bradley (Yubico)。OAuth 2.0 プロファイルの共同エディターは Kelley Burgin と Tom Clancy (いずれも MITRE Corporation)。WG は約 4 週間ごとに火曜日 8am PT に Zoom コールを開催している。

2025年2月は、1月31日 (UTC) にエディターの Tom Clancy が発出した WGLC (Working Group Last Call) のレビュー期間が WG コールを挟みながら進行し、2月8日にエディターから「draft-05 は Implementer's Draft 化に進める段階に達していない」との総括が示され、追補版 draft-06 が 2月28日付で openid.net に公開された月であった。

WGLC1 は、iGov OAuth 2.0 プロファイル draft-05 を Implementer's Draft に昇格させるための WG コンセンサスを求めるもので、回答期限は 2月6日 (金) EOB PST、Foundation-Wide Review (45 日) と投票 (2 週間) を 3月17日〜31日に想定するという比較的タイトなスケジュールが提示されていた。しかし、Aaron Parecki (Okta, Director of Identity Standards) から提出された詳細な技術コメントによって複数の矛盾・未定義用語・参照漏れが指摘され、エディター陣は (i) Aaron コメントの軽微修正を WGLC-aaron-1 ブランチで吸収し PR にまとめる、(ii) 「client type の再構造化」(Issue #56) と「RFC 9068 ベースの JWT アクセストークン採択」(Issue #57) という大型論点を別途 WG として判断する、(iii) これらが片付いた段階で draft-06 を公開し WGLC2 を回す、という三段階方針を 2月8日に確定させた。

2月4日 (火) には定例 WG コールが Zoom (Meeting ID 945 3137 0713) で開催され、agenda には WGLC ステータス・Foundation-Wide Review 準備・blog post 草稿・OpenID publishing 要件などが含まれた。議事録は non-public のため個別議論の詳細は再構成できないが、コール直後の 2月8日に Tom Clancy がポストした「WGLC result and next steps」によって、WG として draft-05 を「未成熟」と判断した経緯が ML 上で明示的に共有された。月末 2月28日には openid-igov-oauth2-1_0-06 が公開され、本文ですでに「Confidential Clients / Public Clients」の 2 分類が採用されている。これは Issue #56 の再構造化提案が draft-06 の段階で実装に反映されたことを意味する。

ML 投稿は 2月3日〜2月8日に集中する 6 件 + 月末週ゼロという分布であり、2月10日週から 2月24日週までは公開アーカイブにエントリ自体が存在しない (= 公開投稿ゼロ)。それでも 6 件の投稿はいずれも実質的な技術判断・運営判断に直結する内容であり、iGov WG にとって 2月は「WGLC1 を発端に Implementer's Draft 化が一時的に足踏みし、構造改修と修正反映を経て draft-06 を再出力する」という意思決定が完結した月であった。

2. 公開された仕様・ドラフト改訂

iGov Profile for OAuth 2.0 — WGLC1 対象 draft-05 と追補版 draft-06 公開 (2025-02-28)

WGLC1 の対象は openid.net 上の draft-05 (openid-igov-oauth2-1_0-05.html) であり、2月の WG 活動はこのバージョンに対する WG レビューと、その帰結として 2月28日付で公開された openid-igov-oauth2-1_0-06 (Editor's Draft) を中心に進んだ。

draft-05 (2024年公開) で導入された主要な技術変更は、後の draft-09 (Appendix C - Document History) において以下のとおりまとめられている。

  • BCP (Best Current Practice) ベースの脅威緩和の更新と FAPI との整合
  • 暗号スイートと sender-constrained token の要件を FAPI と調和
  • 認証コンテキスト要件および RFC 9470 ベースの step-up 認証サポートを追加
  • RFC 6973 を参照する Privacy Considerations 節を追加
  • エンタープライズデプロイメント向けの選択肢拡大 (特に RFC 8705 mTLS with PKI)

これらの構造的な現代化を経た draft-05 が「Implementer's Draft 化に向けた最初の WGLC」の対象となった。2月8日時点でエディター陣が draft-05 を未成熟と総括した点は、draft-09 の Document History が -06-07 を「Addressed comments from WGLC request Jan 31, 2025」とまとめて記述していることと整合し、draft-06 (2/28 公開) と draft-07 (4/26 公開) が WGLC1 コメント対応の二段階吸収版であったとみなせる。

draft-06 の本文を確認すると、Section 2.1 で OAuth クライアントを「Confidential Clients (web アプリ等、サーバ側で credential を保護できるもの)」と「Public Clients (ネイティブアプリやブラウザ実行型クライアント等、credential を安全に保持できないもの)」の 2 分類で定義する形式が採用されており、draft-05 にあった「Full Client / Native Client / Direct Access Client」の 3 分類は姿を消している。これは Issue #56 で 2月初旬に WG コメント要求が出ていた「client type の現代化」が、draft-06 段階で実装に取り込まれたことを示す。

投票・パブリックレビュー

2月中、iGov WG として開始されたパブリックレビューや会員投票 (Notice of Vote) は openid.net 上に掲載されていない。WGLC1 の段階で「45 日のパブリックレビュー + 2 週間投票を 3/17〜3/31 に想定」という工程設計が示されたが、2月8日に Implementer's Draft 化見送りが決定したため、Notice of Vote 発出には至らなかった。

iGov Profile for OpenID Connect 1.0 / iGov Use Cases

OpenID Connect プロファイル (draft 04) および International Government Assurance Profile (iGov) Use Cases は 2月中に新版公開なし。WGLC1 の対象は OAuth 2.0 プロファイル単体である。

3. ミーティングと議論

2025-02-04 火曜日 WG コール

エディターの Tom Clancy が 2月3日 20:55 UTC に 「iGov reminder: tomorrow Feb 4 WG meeting and WGLC for iGov OAuth 2.0 profile」 を ML へ投稿し、翌 2月4日 (火) 11:00 ET / 8:00 PT 開催の WG コール (Zoom: Meeting ID 945 3137 0713, Passcode: 160334) を告知した。

エディター陣がドラフト agenda として提示した議題は以下のとおり。

  1. OAuth 2.0 WGLC ステータス
    • WGLC が 2月6日 (木) EOB PST に締切となること
    • レビュー対象は editors draft (Bitbucket 上の openid.bitbucket.io/iGov/openid-igov-oauth2-1_0.html)
  2. Foundation-Wide Review への準備
    • WGLC 完了後の 45 日パブリックレビュー + 2 週間投票という工程設計
    • 告知 blog post 内容のレビュー、OpenID publishing 要件 (XML フォーマット・boilerplate) の確認
  3. Any Other Business

スライドはエディター (Tom / Kelley) に直接要求すれば共有される、と告知文に明記されている。

WG コールに対しては、コアメンバーの Bjorn Hjelm (Verizon) が同日 21:11 UTC に 出席不可の連絡 を ML に返信している (出張による不参加)。それ以外の事前出欠表明は ML には残されていない。

iGov WG の議事録は non-public であるため、2月4日コール内での個別議論内容、参加者リスト、決定事項等の詳細は公開チャネルからは確認できない。ただし agenda の 1 項目 (WGLC ステータス) は、ML 上の WGLC スレッド (§4 参照) で 2月8日までに反映され、エディターの最終総括として公開された。すなわち 2月4日コールは、その直後の 2月8日にエディター陣が WGLC1 不採択の判断を ML で告知するに至る合議の場として機能した蓋然性が高い。

2月のその他のミーティング

iGov WG の通常コール cadence は約 4 週間に 1 回 (火曜日 8am PT) であり、2月4日コール以降に同月内で追加の定例コールは予定されていない。次回コールは 4 週後の 3月4日 (火) に開催され (実際に開催)、そこで WGLC2 の発出可否が議論されることになる。

4. メーリングリストの主要スレッド

openid-specs-igov ML の 2025年2月分は、親インデックス (https://lists.openid.net/pipermail/openid-specs-igov/) を確認した結果、Week-of-Mon-20250203 の 1 週のみが公開アーカイブに存在する。Week-of-Mon-20250210 / Week-of-Mon-20250217 / Week-of-Mon-20250224 の各週はインデックスにエントリ自体がなく、これらの週の公開投稿はゼロである。WGLC1 起点となった 000331 (Tom Clancy, 2025-01-31 01:27 UTC) および 000332 (John Bradley, 2025-02-01 14:27 UTC) は Week-of-Mon-20250127 週に格納されており、本月 2月の文脈を理解する上で 1月31日週も合わせて参照する必要がある。

iGov WG は元来トラフィックの少ない ML であるが、2月の 6 件はいずれも WGLC1 を巡る実質議論であり、技術的に重要なスレッドが集中した期間であった。以下、特に重要な 3 本を抽出する。

Action required: WGLC - Seeking WG consensus on iGov OAuth 2.0 profile readiness to begin Implementers Draft review process - 2025-01-31 開始 (本体), 2025-02-01 / 02-03 へ継続

Tom Clancy が 1月31日 01:27 UTC に発出した WGLC 本体スレッド (000331) と、それに連なる 2月期の返信群。WGLC は以下の構成で提示された。

  • レビュー対象: International Government Assurance Profile (iGov) for OAuth 2.0 — draft 05
  • 期限: 発出から 7 日後、すなわち 2月6日 (木) EOB PST まで
  • 完了後の工程: 45 日 Foundation-Wide Review (3月24日終了を想定) + 7 日前倒しで投票期間 (3月17日〜3月31日想定)
  • 要請事項: WG メンバーが現行 draft を Implementer's Draft 化に進めるべきかを表明すること

最初の返信は 2月1日付の John Bradley (議長, Yubico) で、内容は HTML 添付として記録されており本文プレーンテキストは ML アーカイブには残らないが、Bjorn Hjelm の 2月3日返信 (000334) では明示的に "I support starting the Implementer's Draft review for this draft." と賛成意見が示された。

これに対し、2月3日 23:49 UTC に Aaron Parecki (Okta, Director of Identity Standards) が極めて詳細な技術コメントを ML に提出 (000336)。Aaron の指摘は draft-05 の複数箇所に及び、主なものは以下のとおり。

  • 矛盾・曖昧さ
    • Section 2.1.2 のネイティブクライアント記述では PKCE が "OR" 接続で任意に読めるが、Section 2.5.1 では「すべてのクライアントが PKCE を MUST 使用」と規定されており矛盾している
    • Section 2.5.3 が認可コードグラントのクライアントに key pair を要求する一方、Section 2.1.2 はネイティブの public client を認証なしで許容しており不整合
    • "browser-embedded clients" / "web-based client" 等の用語が事前定義なしに登場
  • 記述不足
    • 暗号化トークン検証のための Protected Resource 公開鍵の発見方法に関するガイダンス欠落
    • スコープ要求に対するクライアント権限レベルの判定機構が不明確
    • public/confidential クライアント間でのリフレッシュトークン発行要件が不十分
  • 技術参照の更新
    • OAuth Security BCP は新たに発行された RFC 9700 へ参照を更新すべき
    • Section 2.5.2 の例に PKCE code_verifier パラメータが欠けている
    • JWT アクセストークンの最低要件に scope クレームを含めるべき
    • トークンイントロスペクションは RFC 7662、失効は RFC 7009 を参照すべき
  • 体裁
    • typo・見出しフォーマット誤り、節タイトルの分かりにくさ ("Connections with protected resources" 等)、認可エンドポイントとトークンエンドポイントの要件が混在した段落、長すぎる例文

Aaron は「実装フェーズに進む前に substantial revisions が必要」と結論付けた。本スレッドの応酬は、エディター陣にとって draft-05 を Implementer's Draft 化に進めるべきではないと判断する決定的な技術的根拠となった。

iGov OAuth 2.0 profile WGLC result and next steps - 2025-02-08 開始

エディター陣 (Kelley Burgin と Tom Clancy 連名) が 2月8日に ML へ投稿した WGLC1 結果の総括スレッド。本文は以下を明示した。

  • 結論: iGov OAuth 2.0 profile v 05 is not yet ready for advancing in the approval process
  • 軽微修正の取り込み方針: Aaron のコメントのうち straightforward なものは Bitbucket リポジトリ上の WGLC-aaron-1 ブランチで対応し、まとまったところで consolidated PR を出す
  • 大型論点 1 (Issue #56): 現行の "Full Client / Native Client / Direct Access Client" の三分類を、より現代的な "public clients" と "confidential clients" の二分類に置き換えるか
  • 大型論点 2 (Issue #57): アクセストークン形式について、現在 iGov 独自定義の JWT アクセストークン仕様を維持するか、それとも RFC 9068 (JWT Profile for OAuth 2.0 Access Tokens) を採択して「bearer tokens」を新標準で置き換えるか
  • 次のステップ: 上記論点が片付き次第、editors draft-06 を公開し、改めて WGLC を回す

Issue #56 と Issue #57 は Bitbucket 上の iGov リポジトリの issue 番号として ML 中で言及されている。本投稿は、エディター陣が WG に対して draft-05 を超える構造的判断を求めるための公開アナウンスとして機能した。

これに対し Aaron Parecki が同日付で短い返信 (000338) を寄せ、Issue #57 (RFC 9068) について「現在の iGov プロファイルは独自の JWT access token 仕様を持っており、RFC 9068 の要件と『ごくわずかに異なる』クレーム要件である」点を補足した。RFC 9068 を採用するか iGov 独自定義を維持するかが本質的な論点である、と整理を加えている。

iGov reminder: tomorrow Feb 4 WG meeting and WGLC for iGov OAuth 2.0 profile - 2025-02-03 開始

Tom Clancy による 2月4日 WG コールの開催リマインダ。§3 で詳述したとおり、コール agenda には WGLC ステータス・Foundation-Wide Review 準備・blog post 草稿・OpenID publishing 要件などが含まれた。本スレッドへの公開返信は Bjorn Hjelm の出席不可連絡 1 件のみであり、ML 上での agenda に対する事前の異論・追加要求は記録されていない。

5. リポジトリ上の議論

iGov WG の仕様リポジトリは 2025年2月時点で bitbucket.org/openid/igov にホストされており、GitHub の openid Organization 配下に iGov の公式リポジトリは存在しない。2月4日 WG コール agenda 中の「editors draft openid.bitbucket.io/iGov/openid-igov-oauth2-1_0.html をレビュー」という表記からも、本月の編集作業が引き続き Bitbucket 上で実施されていたことが確認できる。

2月8日の WGLC 結果スレッドで言及されたとおり、Aaron Parecki コメントの軽微修正は WGLC-aaron-1 ブランチ にコミットされる方針で進められた。また、2月8日以降の編集作業は Issue #56 (client type 再構造化) および Issue #57 (RFC 9068 採用) という Bitbucket 上の 2 つの issue にまとめられ、WG メンバーからの意見表明が求められた。

Bitbucket Cloud は SPA ベースで HTML レンダリングするため、外部から非認証で commit ログや issue コメント詳細を参照することはできない構造的制約があり、2月の commit 単位・issue コメント単位の議論を公開チャネルから直接的に再構成する手段はない。ただし、2月28日付で openid.net に openid-igov-oauth2-1_0-06 (Editor's Draft 06) が公開されたこと、および draft-06 本文の Section 2.1 でクライアント分類がすでに「Confidential Clients / Public Clients」の 2 分類に置き換わっていることから、Issue #56 の方針は draft-06 公開の段階で「2 分類への移行」として実装に反映された とみなせる。

一方の Issue #57 (RFC 9068 採用) の処遇は、後の draft-09 の Document History からは明示的な記述が読み取れず、2月時点で WG 内に集約された決着の有無は公開チャネルからは確認できない。本月の段階では「議論を始めたばかり」のステータスである。

GitHub への移行および XML から Markdown への変換は、2月時点ではコール agenda にも ML スレッドにも登場していない。これらが WG コール agenda に登場するのは 4月29日コール以降であり、公式に ML で告知されるのは 2026年3月になる。

6. 関連イベント

2025年2月中、iGov WG に直接関係する公開イベント (OpenID Foundation 主催 Workshop、ハンズオン、登壇等) は確認できなかった。OpenID Foundation の年次イベントカレンダーにおいて、本月前後の主要イベントは次々月 4月7日の OpenID Foundation Workshop (Google Sunnyvale 開催、IIW Spring 2025 の前日) および 4月8日〜10日の IIW XL であり、2月は WG 内部の WGLC レビュー作業に集中する月であった。

openid.net/tag/igov/ を確認したが、本月公開された iGov 関連の公式 blog post・アナウンスは確認できなかった。WGLC1 の段階では Foundation 全体への公開告知は行われておらず、WG 内に閉じた合議の月だったといえる。

7. 今後の予定 (2025年2月末時点の視点)

2025年2月末時点で予定されていた / 期待されていた主な動き:

  • draft-06 を起点とした WGLC2 (Working Group Last Call の 2 巡目) の準備。2月8日エディター総括では「Issue #56 / #57 が片付き次第、draft-06 を公開し、改めて WGLC を回す」と明記されており、2月28日付で draft-06 が公開された時点で WGLC2 発出の前提条件は (Issue #57 の決着次第) 整いつつあった
  • Issue #56 の決着。draft-06 で「Confidential / Public」二分類への移行は実装済みであり、WG 内での最終確認が残る
  • Issue #57 の決着。RFC 9068 を採択するか、iGov 独自の JWT アクセストークン仕様を維持するかの選択。Aaron Parecki が「クレーム要件がごく僅かに異なる」と論点整理したまま、WG としての方向性はまだ確定していない
  • Aaron コメントの軽微修正の取り込み完了。Bitbucket 上の WGLC-aaron-1 ブランチでまとまり次第、consolidated PR としてマージされる
  • Foundation-Wide Review (45 日) + 投票 (2 週間) の発出時期。WGLC1 段階では 3月17日〜3月31日投票という想定が共有されていたが、draft-05 不採択を受けてスケジュールは後ろ倒しになる
  • 次回 iGov WG コール (約 4 週後、3月4日 (火) 8am PT)

8. 参考情報源