idbok

Appearance

OpenID Foundation Shared Signals WG 活動レポート (2025年12月)

執筆日: 2026-04-22(遡及執筆)

本レポートは、OpenID Foundation の Shared Signals Working Group (WG) の 2025 年 12 月の活動を、公開された議事録・GitHub issues/PR・メーリングリストの記録に基づいて再構成したものです。

1. 概要

Shared Signals WG は、Security Event Tokens (SET / RFC 8417) を基盤とした Shared Signals Framework (SSF) および CAEP (Continuous Access Evaluation Profile) の標準化を担う Working Group である。2025 年 12 月は、認定試験(コンフォーマンステスト)のリリース準備が最大のテーマとなった月であった。

  • 2026 年 1 月に予定されていた Transmitter 向けコンフォーマンステストのリリースに向け、仕様とテスト環境の最終調整が集中的に行われた
  • CAEP Interoperability Profile の序文・規範的記述の整理 (PR #302, #245) が完了し、仕様品質が向上した
  • 認定の対象フロー(クライアントクレデンシャル vs 認可コード)と粒度(全認証方式の必須化を避けるか)について、Apple・各ベンダーの実装実態を踏まえた議論が行われた

定例 WG コールは毎週火曜 10:00 Pacific で開催されており、12 月は 3 回(2 日・9 日・16 日)実施された。

2. 公開された仕様・ドラフト改訂

PR #302 - CAEP Interop Profile 序文の更新(マージ: 2025-12-19)

  • 対象仕様: CAEP Interoperability Profile
  • 変更概要: 序文(Introduction)から規範的言語(normative language)を除去し、ハードコードされた日付メタデータを削除
  • 背景: RFC の慣行上、序文は informative(参考情報)であるべきところ、規範的記述が混入していた。レビューを通じてこの問題が指摘・修正された
  • コミット数: 7 件
  • レビュワー: appsdesh、tulshi(両名が承認)

PR #245 - Transmitter と AS の関係の明確化(マージ: 2025-12-19)

  • 対象仕様: CAEP Interoperability Profile Section 2.7.1
  • 変更概要: Transmitter と Authorization Server (AS) の関係に関する不明瞭な記述を整理
  • 経緯: Issue #203 に端を発し、long-running な議論を経てマージに至った(コミット数 9 件)
  • ラベル: spec:Interop, vFuture

PR #292 - 仕様参照を Final 版に更新(マージ: 2025-12-05)

  • 変更概要: ドラフト参照を Final 仕様への参照に更新し、文書全体を最新版に合わせてアラインした
  • コミット者: thomasdarimont

3. ミーティングと議論

2025-12-02 定例 WG コール

主要議題: Interop Spec の更新・2026 年ロードマップ・Google UX スタディ報告

2026 年ロードマップ: WG は 2026 年の優先事項として以下の 3 本柱を設定した:

  1. 認定(Certification) — コンフォーマンステストの正式リリースとベンダー認定の推進
  2. 仕様改訂(Specification Revisions) — SSF および CAEP の品質向上
  3. 採用促進(Adoption Enhancement) — ドキュメント整備、実装者支援

Interop Spec のスコープ決定: 「サブスコープを Interop Spec に含めるべきか」という論点について審議し、含めないとの合意に達した。また、Transmitter と Receiver の両方のコンフォーマンステストを優先する方針が確認され、Receiver テストには RISC Interop Specification が必要であることが確認された。

Google UX スタディ報告: Google が実施した UX 調査の結果が共有された。主な知見:

  • ユーザーが「signals(シグナル)」と「events(イベント)」を混同している
  • ユーザー向けドキュメントが不足
  • 新イベントのデフォルト有効/無効に関する疑問
  • 内部モニタリング用に Receiver を構築したいという需要
  • SSF プロバイダーの Discovery と相互運用性に関する混乱
  • 実装要件に関する懸念

この報告は、仕様書の記述改善と採用促進活動に向けた重要なフィードバックとして受け止められた(議事録 2025-12-02 より)。

2025-12-09 定例 WG コール

主要議題: Issue #308 — CAEP Interop Profile における OAuth フロー・認証方式の扱い

認定チームからの技術的な問い合わせ(Issue #308)を軸に、認定スコープの設計について踏み込んだ議論が行われた。

OAuth フローの取り扱い: Issue #308 では以下の論点が提起された:

  • Profile は Bearer トークンを必須とするのか、DPoP・mTLS などの代替も許容するのか
  • CISA が Bound Tokens を推奨している文脈での Bearer トークンのセキュリティ懸念
  • SSF 向け Authorization Code Flow の実装状況(コンフォーマンステストは未対応)

議論の結果、仕様上は Authorization Code Flow とクライアントクレデンシャル両方をサポートするが、コンフォーマンステストはクライアントクレデンシャルに限定するという方向で合意した。その背景として、Apple が Authorization Code Flow を使用している一方、ほとんどのベンダーはクライアントクレデンシャルを選好することが確認された。

認定粒度の方針: 認定の敷居を下げるため、全認証方式の対応を認定要件にしない方針が支持された。コンフォーマンステストは、イベントは最低 1 件サポートされていれば合格とする(全イベントを必須としない)方向が示された。

提案された認定バリアント(議論中):

  • SSF Transmitter (CAEP:Interop, Push デリバリー)
  • SSF Transmitter (CAEP:Interop, Pull デリバリー)
  • SSF Transmitter (CAEP:Interop, Push/Pull 両対応)

認定料金: メンバー $700、非メンバー $3,500(1 月リリース予定)(議事録 2025-12-09 より)。

2025-12-16 定例 WG コール

主要議題: 認定テスト最終確認

テスト環境の状況:

  • デモ環境に合意事項通りの更新が適用完了
  • 1.0 Transmitter テスト("alpha" ラベルなし)が参加者評価向けに公開
  • 週末までのフィードバック提出が依頼された

テスト実施報告:

  • Atul Tulshibagwale(caep.dev / SGNL): 2 実装のテストが成功。UI に関するフィードバックと、"replace" ストリーム機能に関する警告が出たが、警告は認定適格性に影響しないことが確認された
  • Mike Kiser: 近日中にテストを実施する予定と表明

ドキュメント整備:

  • テスト手順書の更新
  • 認定価格ページの更新
  • バウチャー申請プロセスの整備

アクションアイテム:

  • 全参加者: 認定テストに対して実装をテストする
  • 全参加者: テスト手順と価格オプションのレビュー
  • Mike Kiser: 認定テストの実施
  • Thomas Darimont / OIDF: 認定プロセスを通じて参加者を継続サポート

(議事録 2025-12-16 より)

4. メーリングリストの主要スレッド

注記: 2025 年 12 月のメーリングリストアーカイブ(https://lists.openid.net/pipermail/openid-specs-risc/2025-December/)はサーバーエラー(503)により取得不能であった。調査は試みたが対象月のスレッドを確認できなかったため、§3(議事録)および §5(GitHub)の情報で補完する。

5. GitHub 上の議論

openid/sharedsignals#312 - Clarification for subject matching criteria

  • 作成日: 2025-12-10
  • ラベル: p0(最高優先度)、spec:SSF
  • 問題提起: Complex Subject のマッチングロジックが過度に許容的で、未定義フィールドが存在する場合に、全く異なる 2 つの Subject が誤ってマッチしてしまう可能性がある
  • 提案: 誤マッチを防ぐため、Subject 間で少なくとも 1 フィールドが一致することを必須とする
  • 状態: オープン(12 月末時点)

この問題は、SSF 仕様の相互運用性に直結する重要な欠陥として P0 ラベルが付与されており、認定テストの開始前に解決が求められる位置づけであった。

  • 作成日: 2025-12-05
  • ラベル: certlaunchv1、spec:Interop
  • 問題提起: 認定チームが CAEP Interop Profile における Access Token の扱いについて技術的な疑問を提起。Bearer トークンのみを要求するか、DPoP/mTLS などのバインドトークンも許容するかが不明確
  • 状態: オープン(12 月末時点)。12-09 の WG コールで方向性が議論された(§3 参照)

openid/sharedsignals#302 - Update CAEP Interop Profile Intro

  • マージ日: 2025-12-19(コメント数: 23)
  • 関連 Issue: #307
  • 主要議論: 序文から規範的言語を除去することへの合意形成。レビュワーの一人はこのレビューを通じて「序文は non-normative であるべき」という RFC の慣行を学んだと述べており、知識共有の場としても機能した

openid/sharedsignals#245 - Clarify relationship between Transmitter and AS

  • マージ日: 2025-12-19(コメント数: 15)
  • 問題提起: CAEP Interop Profile Section 2.7.1 において、Transmitter が Authorization Server (AS) として機能するケースとそうでないケースの記述が不明瞭であることが Issue #203 で指摘されていた
  • 解決策: 関係性を明確に記述するよう該当セクションを改訂

12月に更新された長期 Open Issues

以下の issues は 12 月に何らかの活動(コメント・更新)があった注目 issues である:

  • #306 - Align Stream Update Event and Verification event in spec outline
  • #303 - Batch / Bulk State Sync(大規模イベント同期の仕組みの整備)
  • #299 - JWKS based Auth for Receivers instead of OAuth
  • #298 - Well Known Configuration for Receivers
  • #295 - Make event queueing explicit

6. 関連イベント

2025 年 12 月は OIDF 主催の大規模カンファレンスは確認されていない。WG の主要活動は、2026 年 1 月に予定されるコンフォーマンステスト正式リリースに向けた準備に集中していた。

7. 今後の予定(2025年12月末時点)

  • 2026年1月: Transmitter 向けコンフォーマンステストの正式リリース(認定料金: メンバー $700 / 非メンバー $3,500)
  • Receiver 向けコンフォーマンステスト: RISC Interop Specification を策定した上で着手予定
  • Issue #312(Subject マッチング): P0 として優先対処が必要
  • Issue #308(Access Token の扱い): 12-09 の議論を踏まえた仕様更新
  • UX スタディ知見の反映: Google の調査結果を受け、ドキュメント改善・用語整理へ

8. 参考情報源