idbok

Appearance

OpenID Foundation Shared Signals WG 活動レポート (2025年10月)

執筆日: 2026-04-25(遡及執筆)

1. 概要

Shared Signals WG(旧称 RISC WG)は、ゼロトラスト・継続的アクセス評価のための非同期信号共有プロトコルを策定する OpenID Foundation のワーキンググループである。共同議長は Mike Kiser(SailPoint)、Sean O'Dell、Atul Tulshibagwale(SGNL)の3名。主要成果物は以下の3仕様で、いずれも GitHub の openid/sharedsignals で管理されている:

  • Shared Signals Framework (SSF): 送信者(Transmitter)と受信者(Receiver)間の非同期通信 API 基盤
  • Continuous Access Evaluation Profile (CAEP): ゼロトラストにおけるステータス変化通知プロファイル
  • Risk Incident Sharing and Coordination (RISC) Profile: クレデンシャル詰め込み・アカウント乗っ取り対策プロファイル

SSF と CAEP は 2025年9月2日に Final Specification として承認 されたばかりで、10月は Final 公開直後の最初の月にあたる。RISC は Implementer's Draft 段階を継続。

2025年10月の Shared Signals WG は、Final 公開直後の interop(相互運用性テスト)フィードバックを取り込みつつ、後続バージョン(vFuture)に向けた実装者発の改良提案が多数 Issue 化 された活発な月であった。10月7日コールでは Identifier 一致性問題・Multi-Push 提案・RSA からのスポンサーシップ等が議論され、10月14日コールでは push stream config の authorization_header を conformance テストへ取り込む合意がなされた。10月21日コールは IIW 41 と衝突するため中止された。

GitHub 側では10月7日コール前後で Issue 4件(#296 は10月3日起票、#297〜#299 は10月7日起票)が動き、いずれも SSF v1 Final が現実の実装でぶつかった具体的論点を vFuture へ繰り上げる動きとなった。

2. 公開された仕様・ドラフト改訂

2025年10月中に新規ドラフト改訂は確認できなかった。仕様ステータス(10月末時点)は以下のとおり:

仕様ステータス
Shared Signals Framework (SSF)Final(2025-09-02 承認)
Continuous Access Evaluation Profile (CAEP)Final(2025-09-02 承認)
Risk Incident Sharing and Coordination (RISC) ProfileImplementer's Draft

10月の仕様作業は Final 公開済みの SSF / CAEP に対する Errata 候補・vFuture 機能候補の Issue 化が中心となった(§5 で詳述)。

3. ミーティングと議論

Shared Signals WG は火曜日 1pm-2pm EDT(10am-11am PDT)に定例コールを開催している(2025年10月の運用は事実上週次)。10月の開催状況:

日付コール状態
2025-10-07 (火)定例開催。8名参加、Identifier 一致性論点中心
2025-10-14 (火)定例開催。4名参加、authorization_header conformance 取り込み合意
2025-10-21 (火)定例中止。Atul Tulshibagwale が「No meeting today」を ML に投稿
2025-10-28 (火)定例公開記録から開催状況は確認できなかった

3.1 2025-10-07 定例コール(議事録 HackMD より)

参加者: Sean O'Dell(Disney)、Yair Sarig(Omnissa)、Apoorva Deshpande(Okta)、Vatsal Gupta、Thomas Darimont(OIDF)、Kenn Chong(RSA)、Tushar Raibhandare(Google)、George Fletcher(Independent)。

主要議論:

  • Identity Exchange(Issue #297 関連): 送信者と受信者間の Identifier 一致性問題。エイリアス・デバイス ID・メールアドレス管理の課題が論じられた。George Fletcher は「他の identifier を主 identifier として使うのは UX を悪化させる」("using another identifier as a primary identifier in your system leads to a bad experience") と指摘。WG はガイダンスは提供すべきだが規範的ではない方向、オプショナルなルックアップ機能や設定強化で相互運用性を高める方向を検討した。
  • Interop & Certification: Yair Sarig が統合テスト中に タイムスタンプの単位不整合(秒 vs ミリ秒)を発見したと報告。Thomas Darimont が開発環境のエラーハンドリングを強化したことをアナウンス。
  • IETF Multi-Push 提案: Apoorva Deshpande が IETF 側で Multiple SETs(Security Event Tokens)を1チャネルで配送する提案が出ていることを共有。SecEvents WG が閉じた今、コミュニティからのフィードバック収集が必要との認識が共有された。
  • RSA パートナーシップ: Kenn Chong から、来年(2026年)に向けて RSA が Shared Signals Framework パートナーシップへの資金支援を行う旨が告知された。

アクションアイテム:

  • Tx/Rx の identifier 合意に関する仕様文言の追加
  • エイリアス形式のユースケースをデータセキュリティ観点と合わせて文書化

3.2 2025-10-14 定例コール(GitHub Wiki 議事録より)

参加者: Mike Kiser(SailPoint)、Stefan Duernberger(Cisco)、Jen Schreiber(Workday)、John Marchesini(Jamf)。

主要議論:

  • Authorization Header(push stream config): Mike Kiser が「interop テスト中に push stream configuration(仕様 6.1.1 節)に authorization_header という追加要素があることが判明した」と報告。WG は仕様文言は明確であり、conformance テストへ取り込むべきとの合意に達した。
  • Interop 未解決事項のクリーンアップ: John Marchesini(Jamf)が以前未解決だった interop 質問のいくつかを明確化した。

アクションアイテム:

  • Jen Schreiber と Mike Kiser が直近 interop で残った Issue を精査
  • Mike Kiser が Thomas Darimont に authorization_header の transmitter conformance テストへの追加を依頼

その他、Mike Kiser から「今後、コール議題は前日に公開する」というプロセス改善のアナウンスがあった。

3.3 2025-10-21 定例コール中止

10月21日 16:40:28 UTC、Atul Tulshibagwale が ML に「No meeting today」と投稿。続いて 17:45:26 UTC に Mike Leszcz から GoToMeeting 経由の正式キャンセル通知("Canceled event: OpenID Shared Signals Working Group Weekly @ Tue Oct 21, 2025 1pm - 2pm (EDT)")が配信された。明示的な理由は記載されていないが、IIW 41 の会期(10月21〜23日 Mountain View)と重なっており、参加者の対外イベント優先が背景と推測される。

4. メーリングリストの主要スレッド

openid-specs-risc ML のアーカイブは週次インデックス形式(Week-of-Mon-YYYYMMDD/)で提供されている。2025年10月の状況:

アーカイブ週投稿数主な内容
Week-of-Mon-2025100610GitHub Issue 通知(#296〜#299 の起票・コメント・クローズ)8件、Notes & Recordings Policy、10-07 議事録共有
Week-of-Mon-202510130週次インデックス生成なし
Week-of-Mon-20251020210-21 コール中止通知(Atul Tulshibagwale、Mike Leszcz)
Week-of-Mon-202510270週次インデックス生成なし

4.1 GitHub Issue 通知連投(10月7日)

10月7日コール直後、github at oidf.org ボット経由で Issue #296〜#299 の起票・コメント・クローズが連続8件配信された。特に注目すべきは Issue #298(Well Known Configuration for Receivers, p0)と Issue #299(JWKS based Auth for Receivers instead of OAuth, p1)で、いずれも SSF v1 Final で残された Receiver 側構成・認証フローの設計課題を後続版(vFuture)で解決する方向の提案である(§5 で詳述)。

4.2 "10-7 Working Group Meeting Notes"(Sean O'Dell, 10月7日)

Sean O'Dell から HackMD(@oidf-wg-sse/rJabG6G6ge)の議事録 URL を共有する短い投稿。本レポート §3.1 の元情報。

4.3 "New OpenID Foundation Notes & Recordings Policy"(Mike Leszcz, 10月9日)

OIDF 事務局からの WG 横断アナウンス。10月以降の全 WG での議事録・録音公開ポリシー改訂の周知。

4.4 "No meeting today" / "Canceled event"(Atul Tulshibagwale, Mike Leszcz, 10月21日)

§3.3 の通り、10月21日コールキャンセル通知。

5. GitHub 上の議論

openid/sharedsignals リポジトリの2025年10月の活動:

  • Issue 新規起票: 4件(#296 は10月3日、#297〜#299 は10月7日)
  • Issue クローズ: 1件(#296、10月7日コール中)
  • PR: 0件

10月7日前後に集中した Issue 群は、10月7日コールの interop フィードバックを反映した実装者発の改善提案であり、SSF v1 Final 直後の現実的な接合課題が WG に流れ込む 構図を示している。

5.1 openid/sharedsignals#296 — Each signal shared between 2 partner should have unique identifier to establish chain-of-responsibility

  • author: ashish1294
  • 起票: 10月3日 / クローズ: 10月7日コール中
  • 内容: 送信者と受信者の間で共有される各シグナルに一意識別子を付与して、責任連鎖を確立すべきという提案。10月3日に起票され、10月7日コール中に議論されて同日クローズされた。

5.2 openid/sharedsignals#297 — Identity in SSF

  • author: traib-google(Google の Tushar Raibhandare)
  • ラベル: spec:SSF, vFuture
  • 状態: open
  • 内容: SSF における Identifier の扱い。10月7日コールで George Fletcher を含むメンバーが議論した Identifier 一致性問題(§3.1)の Issue 化。エイリアス・デバイス ID・メールアドレスといった複数 identifier の相互運用性指針が論点。

5.3 openid/sharedsignals#298 — Well Known Configuration for Receivers

  • author: ashish1294
  • ラベル: p0, spec:SSF, vFuture
  • 状態: open
  • 内容: 「Transmitter には well-known な設定メタデータが定義されているが、Receiver には等価のものが存在しない」という問題提起。Receiver 用 well-known 構成エンドポイントを新設し、Transmitter が Receiver の (1) discovery / configuration、(2) 検証用公開鍵、(3) stream 構成提出エンドポイント・クレデンシャルデータにアクセスできるようにする提案。p0(最高優先度)ラベル付与。

5.4 openid/sharedsignals#299 — JWKS based Auth for Receivers instead of OAuth

  • author: traib-google
  • ラベル: p1, spec:SSF, vFuture
  • 状態: open
  • 内容: Receiver 認証を OAuth から JWKS(JSON Web Key Set)検証ベースに変更する提案。引用「Admin configures the Transmitter jwks_uri (via .well-known) in the Receiver Admin Console. Admin configures the Receiver jwks_uri (via .well-known) in the Transmitter Admin Console. Trust is thus established.」。Issue #298 と密接に関連し、Stream Management 認証における OAuth トークン管理の負担軽減を狙う。「signing details need to be hashed out」と明記されており、技術仕様の詳細は今後詰める段階。

6. 関連イベント

IIW 41(2025年10月21〜23日)

カリフォルニア州 Mountain View の Computer History Museum で開催。10月21日コールキャンセルの背景と推測される。Shared Signals 関連の非公式セッションが持たれた可能性は高いが、iiw.idcommons.org 上の公式セッション記録では特定できなかった。

OIDF Cisco Workshops(2025年10月20日)

OIDF と Cisco の共催ワークショップ。Stefan Duernberger(Cisco)が10月14日コールに参加していたことから、Shared Signals WG 関係者の参加があった可能性が高い。

IETF Multi-Push 提案(10月7日コールで言及)

IETF 側で Multiple SETs を1チャネルで配送する提案が進行中であることが10月7日コールで共有された。SecEvents WG が閉じた現状、Shared Signals WG コミュニティが IETF 側の SET 関連動向を引き続き注視する必要があることが認識共有された。

IETF 124 Montreal(2025年11月1〜7日)予告

10月末時点で開催直前。OAuth WG / SecEvents 関連の議論が SSF・CAEP の周辺技術に影響するため、関心事として認識されていた。

7. 今後の予定(2025年10月末時点の視点)

  • vFuture 機能の整理: 10月7日に起票された Issue #297〜#299 の議論深化と、SSF v2 / CAEP v2 ロードマップへの反映
  • Conformance Suite 拡張: 10月14日コール合意の authorization_header サポート追加(Mike Kiser → Thomas Darimont)
  • Interop 残課題のクリーンアップ: Jen Schreiber と Mike Kiser による精査
  • Identifier ガイダンスの仕様文言化: 10月7日コールで合意された Tx/Rx identifier 合意の仕様反映
  • RSA スポンサーシップによる SSF パートナーシッププログラム(2026年)の準備
  • 定例コールの議題前日公開 プロセスの定着

10月時点の Shared Signals WG は、Final 達成直後のメンテナンス・コンフォーマンス・vFuture 議論が並行する移行期にあり、技術的活動量は OIDF 内でも上位に位置する WG であった。

8. 参考情報源