idbok

Appearance

OpenID Foundation IPSIE WG 活動レポート (2025年10月)

執筆日: 2026-04-25(遡及執筆)

1. 概要

IPSIE WG(Interoperability Profile for Secure Identity in the Enterprise Working Group)は、企業エンタープライズ環境における SSO・ユーザーライフサイクル管理・エンタイトルメント・リスクシグナル共有・ログアウト・トークン失効などの問題領域を横断的にカバーする相互運用プロファイルを策定する目的で2024年10月に発足した OpenID Foundation のワーキンググループである。共同議長は Aaron Parecki(Okta)と Dick Hardt(Hellō)の2名。仕様ソースは GitHub の openid/ipsie で管理されている。

2025年10月の IPSIE WG は、月初の10月7日定例コールを1回だけ開催し、その後の10月14日・21日の定例コールを一括キャンセル、10月28日コールで再集合という変則運用の月であった。10月7日コールでは「基礎仕様(セッション、ライフサイクル)を仕上げきれていない」という内省的な議論が展開され、続く3週間のブランクを利用して各メンバーが個別ワーク(OpenID SL1・SCIM AL1・SAML プロファイル)を進める方針が合意された。10月28日コールのアジェンダには IETF 124 参加調整や 「共有アタッカーモデルの定義」 といった具体的トピックが並び、WG がフィッシング・トークン盗難への防御策を仕様内でどう明文化するかという方向性の議論へ入った。

GitHub 活動としては、10月7日コールで合意された Security Controls リスト(SL1〜SL3 / AL1〜AL3 レベル別)が PR #117 として提出 された(実際のマージは2026年2月5日にずれ込む)。Issue 新規起票は10月中ゼロであった。

2. 公開された仕様・ドラフト改訂

IPSIE WG は発足後1年目にあたるため、公開ドラフトの版番号は依然として安定化していない。2025年10月中に openid.net/specs 配下へ公開された IPSIE 系の新規ドラフトは確認できなかった。

仕様作業の中心は GitHub リポジトリ openid/ipsie 内での Markdown 原稿編集であり、10月は以下の新規成果物が提出された:

  • PR #117 "add security controls list from 2025-10-07 meeting": 10月7日コールで議論された Security Controls を SL1/SL2/SL3 のセキュリティレベル別・AL1〜AL3 のアカウントライフサイクルレベル別に整理したリストを追加するプルリクエスト。author: aaronpk、authored 2025-10-07、merged 2026-02-05。10月時点ではオープン状態のまま WG 内レビューを受ける段階にあった。

リストされた主要な Security Controls(PR 内容から抜粋):

  • SL1: ID サービスが Application のセッション寿命を制御(session_expiry クレーム)、amr および auth_time クレームによる認証方法の通知、最終対話的認証以降の最大許容時間の指定、password grant の拒否、PKCE 付き authorization code フローの必須化
  • SL2: Application が最低限要求する認証方法を指定可能、Application による非要求フェデレーションアサーションの拒否、ID サービスによる Application セッション強制終了
  • SL3: Application → ID サービス方向のセッション状態変化通知、ID サービス → Application 方向のアカウント/デバイス姿勢変化通知
  • AL1〜AL3: アカウントライフサイクル管理(アカウントの作成・停止、グループマッピング、ロール公開)

これらは10月7日コールでメンバーが意見を出し合った結果を Aaron Parecki が事後にリスト化したもので、IPSIE が目指す「相互運用プロファイル」の具体的チェックリスト化第一歩に相当する。

3. ミーティングと議論

IPSIE WG は火曜日午前9時(太平洋時間)に定例コールを週次開催している。10月の開催状況は以下のとおり:

日付コール状態
2025-10-07 (火)定例開催。議事サマリを Aaron Parecki が ML に投稿
2025-10-14 (火)定例中止。Authenticate/IIW 等の対外イベントと重なるため
2025-10-21 (火)定例中止。IIW 41 週の真っただ中(10月21〜23日)のため
2025-10-28 (火)定例開催。Aaron Parecki が事前アジェンダを ML に投稿

3.1 2025-10-07 定例コール

参加者: Aaron Parecki、Dick Hardt、Shannon Roddy、Travis Tripp、Karl McGuinness、Bjorn Helm、Buster Doney。

主要議論(議事サマリより抜粋):

  • 基礎仕様の未完了問題: Karl McGuinness が「基礎(セッション、ライフサイクル)を仕上げきれていない。ただ仕上げる必要がある」("we're struggling to get the basics out (sessions, lifecycles), we need to just get it done") と WG 全体の足踏み状況を指摘。
  • AI とアイデンティティ: 現行のセキュリティレベル定義が、エージェント(AI)がユーザーの代理で動作するケースと独立して動作するケースの区別、および ID サービスが果たす監査可能性の役割をカバーできているかという論点が提起された。
  • リソース制約: Aaron Parecki が「週1時間のコールでは良い議論ができるが、残りの週の時間でも各自がこれに取り組む必要がある」("we have good conversations for the 1 hour a week we meet, but we need to collectively spend more time on this during the rest of the week") と述べ、WG のサイクルタイムがボトルネックになっていることを認識共有。
  • 価値提案のギャップ: Bjorn Helm が「現行フレームワークは機能のリストであって、価値提案になっていない」("a list of features, not a value proposition") と指摘。ベンダーが採用動機を持てる形に整理し直す必要性が論じられた。

決定事項:

  • 10月14日・21日コールの一括キャンセル(Authenticate / IIW / その他イベントと衝突)
  • 3週間のブランク中、各メンバーが OpenID SL1 プロファイル・SCIM AL1 プロファイル・SAML プロファイルの自主ワークを進めること
  • Karl McGuinness が Shannon Roddy と SAML プロファイル開発で協業すること

3.2 2025-10-28 定例コール

Aaron Parecki が ML で配布したアジェンダ(同日に2回配信、微修正を含む):

  1. Community Events: 過去イベント報告(Authenticate、IIW 41)および近接イベント(IETF 124、2025年11月1〜7日モントリオール)
  2. Call Schedule: 11月・12月の定例コール日程の確認
  3. Work Updates: 10月7日以降の3週間で進んだ個別ワーク(SL1 / SCIM AL1 / SAML プロファイル)のレビュー
  4. Security Focus: "How IPSIE can mitigate attacks: defining a shared attacker model" — フィッシング攻撃・トークン盗難を想定した共有アタッカーモデルの定義。SSO、プロビジョニング/デプロビジョニング、継続的セッションセキュリティ、強固な監査可能性などの緩和策を含む
  5. AOB(Any Other Business)

このアジェンダから、10月後半の WG が「個別技術要素の列挙」から「攻撃モデルに基づく体系化」へ議論の焦点を移しつつあったことが読み取れる。

4. メーリングリストの主要スレッド

openid-specs-ipsie ML のアーカイブは週次インデックス形式で提供されており、2025年10月に関わる週の公開状況は以下のとおり:

アーカイブ週投稿数内容
Week-of-Mon-202509291Weekly github digest(自動配信ボット)
Week-of-Mon-20251006210-07 Meeting Summary(Aaron Parecki)、Notes & Recordings Policy(Mike Leszcz)
Week-of-Mon-202510130インデックス生成なし
Week-of-Mon-202510200インデックス生成なし
Week-of-Mon-20251027210-28 アジェンダ(Aaron Parecki、2回配信)

4.1 "2025-10-07 Meeting Summary"(Aaron Parecki, 10月7日)

10月7日コールの議事サマリ。§3.1 で詳述した議論・決定事項を公開 ML に記録した投稿。メンバー参加の有無・WG の自己認識(基礎仕様未完了、価値提案ギャップ)が率直に共有されている点で、後続議論の出発点として重要。

4.2 "New OpenID Foundation Notes & Recordings Policy"(Mike Leszcz, 10月9日)

OIDF 事務局からの横断アナウンス。IPSIE 固有の技術議論ではないが、10月以降の全 WG における議事録・録音公開運用の基礎情報として参照される。

4.3 "Proposed agenda for 2025-10-28 IPSIE WG"(Aaron Parecki, 10月28日)

10月28日コールのアジェンダ事前配布。2回配信されており、2回目は初回の微修正版と推測される(件名同一)。§3.2 のとおり「共有アタッカーモデルの定義」を中心議題として据える内容で、IPSIE が攻撃モデルベースの体系化へ向かう転換点の予告となった。

5. GitHub 上の議論

openid/ipsie リポジトリの2025年10月の活動:

  • コミット: 1件(main ブランチ)
    • f3dfc76 "add security controls list from 2025-10-07 meeting"(author: aaronpk、authored 2025-10-07)
  • プルリクエスト: 1件(新規作成)
    • PR #117 "add security controls list from 2025-10-07 meeting"(author: aaronpk、created 2025-10-07、merged 2026-02-05)。マージまでに4カ月近くを要しており、WG 内で Security Controls のレベル分けに関する継続議論があったことを示唆する
  • Issue 新規起票: 0件(10月中)

10月の GitHub 活動は量的には少ないが、PR #117 の内容(SL1〜SL3、AL1〜AL3 のレベル別 Security Controls)は WG の目的そのものである「相互運用プロファイル」の骨格をなす成果物であり、質的には極めて重要な一歩であった。

6. 関連イベント

Authenticate 2025(10月上旬)

FIDO Alliance 主催の Authenticate Conference。10月7日コールで「Past: Reports back from Authenticate」として振り返りの対象になっており、複数の WG メンバーが参加していたと見られる。同イベントでは Passkey・FIDO2 の企業展開事例が多数議論されるため、IPSIE の SSO / セッション領域と論点が接続する。

IIW 41(2025年10月21〜23日)

カリフォルニア州 Mountain View の Computer History Museum で開催。10月21日コールのキャンセル理由としても明示されており、IPSIE メンバーが会期中に現地参加していた。IIW のアンカンファレンス形式で SSO / ライフサイクル管理関連の非公式セッションが持たれた可能性が高いが、iiw.idcommons.org 上の公式セッション記録では IPSIE 固有のセッションは確認できなかった。

OIDF Cisco Workshops(2025年10月20日)

OIDF と Cisco の共催ワークショップ。他 WG(eKYC-IDA、DCP 等)アジェンダにも言及されるエコシステム横断イベント。

IETF 124 Montreal(2025年11月1〜7日)予告

10月28日コールのアジェンダで「Upcoming: IETF 124」として予告された。OAuth WG/JOSE WG の議論が IPSIE の SSO / トークン扱い領域と関連するため、一部メンバーが参加準備を進めていた。

7. 今後の予定(2025年10月末時点の視点)

  • 共有アタッカーモデルの定義: 10月28日コールで議題化された最重要課題。フィッシング・トークン盗難を含む攻撃シナリオをモデル化し、SL1〜SL3 の緩和策と紐付ける作業
  • 個別プロファイル(SL1 / SCIM AL1 / SAML)の自主ワーク継続: 10月7日に分担が決まった3つのプロファイルの原稿化
  • PR #117 の WG 内レビュー継続: Security Controls リストのレベル分けと文言に関する合意形成
  • IETF 124 Montreal 参加(2025年11月1〜7日): OAuth / JOSE 側の議論を IPSIE に反映
  • 11月以降の定例コールサイクル再開

8. 参考情報源