idbok

Appearance

OpenID Foundation Shared Signals WG 活動レポート (2025年11月)

執筆日: 2026-04-24(遡及執筆)

1. 概要

Shared Signals WG(SSWG)は、セッションや資格情報・デバイスコンプライアンス等のセキュリティ状態変化を相互運用可能な形でリアルタイムに伝達するための仕様群を策定する OpenID Foundation のワーキンググループである。対象仕様は Shared Signals Framework (SSF) 1.0 および Continuous Access Evaluation Profile (CAEP) 1.0(いずれも 2025 年に Final Specification 化済み)を中心に、Risk Incident Sharing and Coordination (RISC) プロファイル、CAEP Interoperability Profile などで構成される。議長は Atul Tulshibagwale(SGNL)。定例コールは毎週火曜 13:00–14:00 US/Eastern で開催される。

2025 年 11 月は、前月 10 月に Authenticate 2025(2025-10-13〜15、Carlsbad)で実施された SSF/CAEP インターオプイベントの余韻を受けつつ、次期版(vFuture)に向けた Issue 提起と優先度付けが本格化した月である。WG は 11 月 4 日・11 日・18 日の 3 週に定例コールを開催し、11 月 25 日は米国サンクスギビングのためキャンセルとなった。新規 Issue は 5 件(#301, #303, #304, #305, #306)提起され、11 月 18 日のコールでは GitHub Issue に P0/P1/P2 ラベルを付与して JWKS ベース受信者認証受信者向け Well-Known 設定(Issue #298)を P0 として位置づけた。

加えて、OIDF 公式の SSF Transmitter 認定試験(openid-ssf-transmitter-*)の整備が進行中であり、Thomas Darimont(OIDF)による conformance テストの追加・修正と、参加実装者への再テスト依頼がこの月の重要なアクションアイテムとなった。

2. 公開された仕様・ドラフト改訂

2025 年 11 月中に SSWG から 新規に公開された Final Specification / Implementer's Draft / 投票通知は無かった。SSF 1.0・CAEP 1.0 の Final Specification はいずれも 2025 年中盤に承認済みであり、11 月はこれらを土台とする vFuture(次期改訂)に向けた論点整理フェーズ にあたる。vFuture 対象の変更は現時点で Editor's Draft にはまとめられておらず、GitHub Issue 単位での議論の積み上げ段階である。

GitHub リポジトリ openid/sharedsignals への 2025 年 11 月中の Pull Request のマージは確認できなかった(merge 検索 is:pr merged:2025-11-01..2025-11-30 の結果は 0 件)。

一方、周辺仕様としては以下が進行していた:

  • SSF Transmitter Conformance テスト: Thomas Darimont が push delivery 時の Authorization ヘッダ取り扱いに関するテストを改修(新規テスト openid-ssf-transmitter-push-no-auth の挙動を巡り Issue #301 が提起)
  • CAEP Interoperability Profile: 2025 年の SSF 認定試験の基盤となる仕様として運用中。Final/ドラフト番号の変動は 11 月中は確認されず

3. ミーティングと議論

WG は 11 月に以下のとおり定例コールを開催した。議事録はいずれも github.com/openid/sharedsignals/wiki の該当ページにて公開されている。

日付状況議題概要
2025-11-04開催JWKS ベース認証、conformance テスト更新、Steady State 課題
2025-11-11開催Interop イベント、新機能、用語、Externally Managed Stream
2025-11-18開催vFuture Issue 一覧の優先度付け、Conformance テスト準備
2025-11-25キャンセル米国サンクスギビング祝日のため

11 月 4 日コール

出席者 8 名(SGNL / Omnissa / OIDF / RSA / Google / Disney / Jamf)。議事録(WG-Meeting-2025-11-04)によれば、議論の中心は以下 3 点:

  • JWKS ベース受信者認証の探索: Tushar Raibhandare(Google)が、OAuth を使用した受信者認証のセットアップ複雑性を指摘し、JWKS を用いた代替手段の可能性を提起した。Tushar は「OAuth as a standard...has complexities」(クライアント ID・スコープ・管理者ロール等)を挙げ、JWKS ベースであれば「受信者 URL の指定以外の設定が不要」になる可能性を示唆した。この提案は後に 11 月 18 日のコールで P0 優先事項として正式に位置づけられる。
  • Conformance テストの Authorization ヘッダ対応: Thomas Darimont(OIDF)が、push delivery 時の Authorization ヘッダ値が適切にリプレイされることを確認する新規テストの状況を報告した。これに関連して会議後に Issue #301 が提起される。
  • Steady State 課題: Ashish Kedia(Google)が、「イベントが状態変化のみを伝達する」という SSF の設計に由来する初期状態同期問題を提起した。具体例として「デバイスが非準拠状態のまま変化がなかった場合、新しく追加された受信者にはその状態が伝わらない」ケースを挙げ、ストリーム確立時に既存状態をどう同期するかが論点となった。

ロードマップ候補として discoverability, bidirectional handshake, authorization methods, steady-state 同期, on-demand signals vs change-only events の 5 領域が整理された。

11 月 11 日コール

出席者 9 名(SGNL / RSA / Cisco / Jamf / Google / Sailpoint / OIDF)。同コールでは 4 つの論点が議論された:

  • Interop イベント: 次回の相互運用イベントを RSAC・IIW・Identiverse などのカンファレンスで開催する可能性を探索。Ashish Kedia は「working group 参加者の範囲を超えて、実装者や IdP パートナーへの認知を広げる必要がある」と発言し、WG 外のコミュニティへの働きかけを提案した。
  • 新機能の議論プロセス: 新機能提案を GitHub Issue から始めるか PR から始めるかを議論し、Atul は「we don't expect the files to change」として PR ベースで始めることを推奨した。
  • 用語の合意形成(Issue #305 を後日起案): SSF 自体が定義する「ビルトインイベント」(Verification Event, Stream Updated Event 等)の総称を決める議論。候補として standard events, foundational events, core events, basic events, admin events, infrastructure events, built-in events, stream events の 8 案が挙がり、最終的に "core events" が暫定合意として優勢となった。Stefan Duernberger(Cisco)が「SSF infrastructure events」という代案も提示したが、CAEP 等のドメイン固有プロファイルの用語(例: "CAEP events")との対比で「core events」が選ばれた。この用語選定は後日 Issue #305 で正式議論として継続される。
  • Externally Managed Streams: Thomas Darimont が「ストリームのライフサイクル管理を別コンポーネントに委譲した軽量受信者」が仕様要件を満たせるかを提起した。Google は顧客向け UX 調査を実施中で、「顧客にとって受信者作成プロセスがやや難しい」との予備結果を報告し、ストリームを transmitter 側で事前作成する仕組みの提案検討を示唆した。

このコールの直後、Thomas Darimont と Ashish Kedia により 4 件の新規 Issue(#303, #304, #305, #306)が一斉に提起された(11 月 11 日付)。

11 月 18 日コール

出席者 8 名(SGNL / Apple / Okta / Google / Disney / Omnissa / OIDF / Jamf)。主議題は vFuture Issue 一覧の優先度付けConformance テスト準備の最終調整

  • P0/P1/P2 ラベルによる優先度付け: Sean Miller(RSA)と Atul が GitHub に p0p2 ラベルを追加し、vFuture Issue にラベル付与を開始。Atul は "The prioritization will help us to come up with a roadmap" として優先度ラベルを今後のロードマップ策定の土台と位置づけた。P0 として 2 件 が特定された:
    1. JWKS ベース受信者認証Issue #299、traib-google = Tushar Raibhandare が 10 月 7 日に提起した OAuth 代替策)— Sean Miller が P0 指定
    2. 受信者向け Well-Known 設定Issue #298、"receiver capability" と呼称、送信者が企業ネットワーク内の受信者能力を発見可能にする仕様)— Ashish Kedia が P0 指定、後に Google パートナーの自動採用にも資すると説明。Well-Known 設定の議論では、マルチテナント環境での受信者発見とテナント情報の露出に関するセキュリティ懸念も挙げられた。
  • Conformance テスト準備: SSF Transmitter 認定試験をデモ環境から公式認定環境へ公開する最終段階にあり、参加実装者に再テスト・バグ報告を依頼。最初の合格実装者向けのプレスリリース計画も確認された。認定範囲は CAEP Interop 仕様に限定される。
  • アクションアイテム: (1) 実装者は test suite を再実行しバグ報告、(2) Joseph が test requirements をレビュー・承認、(3) WG が test sufficiency を確認、(4) Thomas が公式 certification 環境にテストを公開、(5) 最初の合格実装者向けプレスリリース準備、(6) Ashish が Issue #298 にコメント。

11 月 25 日コールのキャンセル

Mike Leszcz(OIDF スタッフ)が 11 月 20 日 21:36 UTC にキャンセル通知をメーリングリストに投稿した。理由は米国サンクスギビング祝日。

4. メーリングリストの主要スレッド

openid-specs-risc メーリングリストの 2025 年 11 月分は 週次アーカイブのみ公開 されており、月次インデックスは提供されていない。3 週分のアーカイブから抽出した主要スレッドは以下のとおり。

スレッド題名(URL)投稿者日付内容
Call notes (2025-11-04)Atul Tulshibagwale2025-11-04 19:06 UTC11 月 4 日コール議事録共有。JWKS 認証・Steady State 課題・Issue #301 提起
Meeting notes (2025-11-11)Atul Tulshibagwale11 月 11 日週11 月 11 日コール議事録共有。Core events 用語合意、Externally Managed Stream
Call notes (2025-11-18)Atul Tulshibagwale11 月 18〜19 日11 月 18 日コール議事録共有。P0/P1/P2 優先度付け、Conformance テスト準備
Canceled event: OpenID Shared Signals Working Group WeeklyMike Leszcz2025-11-20 21:36 UTC11 月 25 日コールのキャンセル通知。サンクスギビング祝日のため

これら 4 件の人間発信スレッド以外は、すべて github at oidf.org 発信の自動通知(新規 Issue 通知、Issue クローズ通知、Issue コメント通知)であった。技術議論は議事録共有メールと GitHub Issue 内で並行して行われ、ML 上で純粋に議論スレッドとして展開された事例は 11 月には確認されなかった。

なお、11 月 17 日週には Issue #236, #210, #214, #131, #85 がクローズされた旨の自動通知が集中して流れた。これは古い Issue の整理を実施した形跡であり、11 月 18 日コールの P0/P1/P2 ラベル付けに向けた下準備と推測される。

5. GitHub 上の議論

2025 年 11 月中に新規提起された Issue は以下 5 件(いずれも 11 月末時点で Open、vFuture ラベル付き)。

Issue投稿者日付内容
#301 — Support for authorization header when no push auth definedthomasdarimont2025-11-04Stream Configuration に push auth が未定義にもかかわらず transmitter が Authorization ヘッダを付けて送信した場合、receiver 側の挙動が仕様で規定されていない曖昧さ。新規 conformance テスト openid-ssf-transmitter-push-no-auth で顕在化
#303 — Batch / Bulk State Syncashish12942025-11-11Steady State 課題を正式に Issue 化。初期状態の一括同期メカニズムを議論
#304 — Mechanism for Transmitter to pre-create stream asynchronouslyashish12942025-11-11受信者にとってストリーム作成の手順が複雑との UX 調査結果を踏まえ、transmitter 側で事前作成する方式を提案
#305 — Find collective term for built-in SSF eventsthomasdarimont2025-11-11Verification Event / Stream Updated Event 等のビルトインイベントの総称として 8 案から "core events" を暫定採用する議論
#306 — Align Stream Update Event and Verification event in spec outlinethomasdarimont2025-11-11SSF 仕様本文内の記述構造を、Stream Update Event と Verification Event で整合させる改善提案

論点のハイライト

Issue #301(Authorization ヘッダの曖昧性)

Stream Configuration で push auth が空のときに transmitter が Authorization ヘッダを付けてきた場合、receiver は (a) 拒否すべきか、(b) 無視すべきか、(c) 受け入れてよいか、仕様は明示していない。これは実装間の互換性問題を生む可能性があり、conformance テスト openid-ssf-transmitter-push-no-auth が「transmitter は送らない」を前提に書かれたことで顕在化した。単なる conformance test の実装詳細ではなく、仕様本体への加筆が必要との認識が 11 月 4 日コールで共有された。

Issue #298(受信者 Well-Known の P0 化)

10 月に Ashish Kedia(Google)が提起していた本 Issue は 11 月 18 日コールで P0 優先度に引き上げられた。現仕様では transmitter にのみ well-known 設定メタデータがあり、受信者側には対称的な discovery 機構がない。このため以下 2 つの問題が発生する:

  1. 発見ギャップ: transmitter が新規 receiver を発見し自動的に連携開始することが困難
  2. 検証困難: stream 作成リクエストが正当な receiver 由来であることを公開メタデータのみで検証できない

提案されている受信者 well-known 項目は (a) 認証プロトコルと公開鍵、(b) transmitter が新規 stream 設定を POST するエンドポイント URL、(c) pull 操作や stream 管理のために transmitter が受信者を代理で認証するためのクレデンシャル。これにより transmitter 主導の stream 事前作成(#304 と連動)が可能になる。

Issue #305("core events" 用語合意の継続議論)

11 月 11 日コールで 8 案から "core events" が選好されたが、Issue 化後のコメント欄ではさらなる代案と懸念が議論された。"SSF events" という素直な候補は CAEP events(CAEP プロファイル定義イベント)との同音異義になり得るため避けられ、仕様非規範的な導入項として "core events" を定義し Verification Event / Stream Updated Event を例示する方針が固まりつつある。

クローズされた古い Issue

11 月 17 日には Issue #236, #210, #214, #131, #85 がクローズされた。これらは 2021〜2022 年に提起されていた古いトピックであり、SSF 1.0 Final 完了に伴い不要となった項目の整理と見られる(例: #85 は 2022 年の CAEP 初期議論に由来する古い提案)。11 月 18 日コールで vFuture への優先度付けを行う前提として、Open 状態にある Issue 一覧のクリーンアップ が実施された格好である。

6. 関連イベント

OIDF 2026 Community Representatives 選挙の準備(11 月末)

OIDF は 2026 年度の Community Representatives 理事選挙に関連する準備を 11 月中に進めていた(正式な候補受付開始は 12 月 8 日)。Shared Signals WG の実装者コミュニティからも立候補・投票が想定される時期にあたる。

IETF 124 Montreal(2025-11-01〜07)との関係

IETF 124 Montreal では SECDISPATCH / SAAG ML にて Multi-SET Push draft(複数 Security Event Token を一括 push する drafts-campbell-secdispatch-multi-set-push 系)が議題に上がり、11 月 4 日コールのアクションアイテムとして「Multi-SET Push draft のレビューと saag@ietf.org へのフィードバック送付」が記録された。SSWG は IETF SecEvent / SAAG との継続的な連携を維持しており、11 月 4 日コールのこのアクションはその一環である。

次回 interop イベントの模索

11 月 11 日コールで Atul が RSAC・IIW・Identiverse などを候補として挙げ、Interop イベントの次回開催先を探索するフェーズに入った。11 月末時点で具体的な日程・会場は未決定であり、interested parties に個別メールで連絡する呼びかけが行われていた。

7. 今後の予定(2025 年 11 月末時点の視点)

11 月末時点で、SSWG コミュニティが注視していた次月以降の動きは以下のとおり:

  • Conformance テスト正式公開: SSF Transmitter 認定試験をデモ環境から公式認定環境へ移行。最初の合格実装者向けプレスリリースは 12 月以降を予定
  • vFuture Issue の P0 項目の設計議論: JWKS ベース受信者認証(Issue #299)および受信者 Well-Known 設定(Issue #298)と、関連する stream 事前作成(Issue #304)の設計詳細化。12 月以降の定例コールで継続議論
  • Issue #301(Authorization ヘッダ曖昧性)の仕様改訂提案: conformance テストとの整合を取るため、Errata または vFuture への加筆
  • Issue #305 の合意形成: "core events" 用語の最終採択と仕様本文への反映
  • OIDF 2026 Community Representatives 選挙: 12 月 8 日に候補受付開始、Mike Jones および George Fletcher の任期満了に伴う 2 議席が対象(12 月 29 日〜2026 年 1 月 12 日に投票実施)
  • 次回定例コール: 12 月 2 日(隔週ではなく毎週開催のため、次は 12 月 2 日の火曜)

8. 参考情報源