iGov WG 2025 年 9 月活動レポート
執筆日: 2026 年 4 月 25 日
1. 概要
OpenID Foundation の International Government Assurance Profile (iGov) WG は、政府系および高保証ユースケース向けの OpenID Connect / OAuth 2.0 プロファイルを策定するワーキンググループである。チェアは John Bradley(Yubico)が務めており、4 週間ごとの定例会(火曜 8 時 PT)と Bitbucket Cloud 上のリポジトリで作業を進めている。
2025 年 9 月の iGov WG は、メーリングリスト(ML)への投稿がゼロという極めて静粛な月であった一方、仕様面では実質的に最大級のマイルストーンに位置付けられる Draft 08 が公開されたことが確認できる。Draft 08 では RFC 9470(OAuth 2.0 Step Up Authentication Challenge Protocol)への対応が新たに組み込まれ、FAPI 整合のための public client サポート削除など、構造的な再編が行われた。
本レポートでは、ML 公開アーカイブ・公式仕様ドキュメントの履歴・WG 公式ページから読み取れる範囲で、当月の活動をまとめる。
2. 当月の主な動き
2.1 ML アクティビティ:完全な空白
iGov WG の ML(openid-specs-igov)公開アーカイブは週次(Week-of-Mon 形式)で構成されており、2025 年中の投稿実績は以下の通り、極めて散発的である。
- 2025 年 1 月 6 日週、1 月 27 日週、2 月 3 日週、3 月 3 日週、3 月 31 日週、4 月 28 日週、5 月 26 日週
- その後、6 月から 9 月まで投稿ゼロ
- 次の投稿は 10 月 6 日週(Mike Leszcz による Notes & Recordings Policy 通知)
すなわち 2025 年 9 月は、ML のアーカイブ上は 1 件も投稿がない月 である。これは iGov WG の議論が ML ではなく定例会(議事録は非公開)と Bitbucket Issue を主軸に行われていることの帰結であり、5 月以降の沈黙が 9 月までそのまま継続した形となる。
2.2 Draft 08 の公開:最大の出来事
ML が静粛である一方、仕様面では大きな前進があった。OpenID iGov Profile 1.0 の Draft 08 が当月頃に公開され、Draft 09(2025 年 12 月 18 日公開)の document history に Draft 08 で導入された変更点が以下のように記録されている。
- リソースサーバ向けに認証コンテキスト(authentication context)およびステップアップ認証の要件を新設
- Protected Resource / Resource Server 向けに JWKS-URI を安全に discover または宣言するための方式を追加
- ドキュメント全体を再構成し、可読性とフローを改善
- FAPI 整合のため、public client サポートを廃止
- 認可サーバ/クライアント/Protected Resource にまたがる要件の再配分
この一連の変更は単なる文言調整ではなく、iGov プロファイルが FAPI に近い高保証プロファイルとして再定位された ことを意味する。とりわけ public client サポートの削除は、政府系ユースケースにおいてもクライアント認証を必須とする方向への明確な舵切りであり、Draft 07 までと比較した場合に互換性に影響しうる変更である。
2.3 RFC 9470(Step Up Authentication)への対応
Draft 08 で取り込まれたステップアップ認証関連の仕様は、Draft 09 の Section 2.5 にも引き継がれており、以下の要素が中心である。
acr_values:クライアントが要求しうる認証コンテキストクラス参照を空白区切りで指定max_age:最後の認証からの最大経過時間insufficient_user_authentication:必要な認証強度が満たされていない場合のエラーコード
Protected Resource は、必要な acr_values と max_age を伴う insufficient_user_authentication エラーを返すことで、クライアントに認証強度の引き上げを促せる。これは政府系ユースケース(高い保証レベルを要求するアクセス)と特に親和性が高く、iGov プロファイルが RFC 9470 の主要な実装ターゲットの 1 つに位置付けられたことを示す。
なお、Draft 09 で行われた暗号アジリティ強化(RS256 要件の削除、ポスト量子ガイダンスの追加)は Draft 08 時点では未着手であり、この観点では Draft 08 はあくまで「ステップアップ認証 + FAPI 整合」を主軸とするリリースである。
3. 議論されなかった/観測できなかった事項
iGov WG の運営上の特性として、以下の情報源が 公開状態にない/観測できない 点を改めて記録しておく。
- 定例会の議事録は非公開(
openid.net/wg/igov/にも掲載されない運用) - Bitbucket Cloud の Issue / Pull Request は SPA で構成されており、外部からは内容を機械的に取得できない
- ML への投稿は 6 月以降ゼロのまま
このため、Draft 08 を取りまとめるにあたって行われたであろう Issue / PR レベルの議論は、現時点で外部から再構成することができない。Draft 09 の history の記述から逆算した「何が変わったか」レベルの追跡に留まるのが、当月の限界である。
4. 開催されたミーティング
iGov WG は 4 週間ごとの火曜 8 時 PT に定例会を開催することになっている。9 月分について以下の点が確認できる。
- ML 上にミーティング案内・告知・議事録の投稿はゼロ
- 公式ページ(
openid.net/wg/igov/)に過去議事録は掲示されていない
したがって、9 月にミーティングが実施されたか否か、また実施された場合の詳細は 公開情報からは確認できない。Draft 08 公開のタイミングからすれば内部での合意形成は当月かその直前に行われていた可能性が高いが、これは推測の域を出ない。
5. 来月(10 月)に向けて
10 月 6 日週には、Mike Leszcz から OpenID Foundation 全体の Notes & Recordings Policy に関する通知が iGov WG ML にも投函されており、9 月の沈黙を破る形になっている。Draft 08 の公開を受けた WGLC(Working Group Last Call)プロセスやコメント受付については、10 月以降の活動の中で読み解いていく必要がある。
また、iGov リポジトリは現時点で Bitbucket Cloud にホストされているが、Atlassian が 2026 年 8 月 20 日に Bitbucket Cloud Issues / Wiki を削除する旨を 2026 年 3 月にアナウンスしている。これに伴い、iGov を含む Bitbucket 上のリポジトリ群は GitHub への移行が 2026 年 3 月以降の課題として位置付けられている。