OIDF、ユタ州の「州公認デジタルID」RFIにコメントを提出

OpenID Foundationは、ユタ州の州公認デジタルID（SEDI）プログラムに関する情報提供依頼（RFI #AE26-1）に対するコメントを提出しました。この提出は、セキュリティ、プライバシー、相互運用性を優先するデジタルIDフレームワークを各国政府が策定するのを支援するというOpenID Foundationの継続的な取り組みを反映するものです。 

OpenID Foundationのエグゼクティブ・ディレクターであるGail Hodges氏は次のように述べています。「OpenID Foundationは、ユタ州がプライバシーとデジタルIDの双方におけるソートリーダーであると認識しており、個人の保護を確保するための同州の積極的な取り組みを称賛します。ユタ州のアプローチは、人々が望む場所で自らのアイデンティティを主張できるようにするという私たちの長年のビジョン、そして同意に基づくプライバシー保護を可能にする仕様の開発と強く整合しています。私たちは、州公認デジタルIDのRFIに対してコメントを提供できることを光栄に思います。私たちの見解が、金融分野やウォレット提供者といった産業との強固な関与を育みつつ、住民のセキュリティ、プライバシー、自律性というユタ州の目標の実現に資することを願っています。」 

 SpruceIDの創業者兼CEOであるWayne Changは次のように付け加えました。「デジタルの世界における自由を確保するため、憲法上の権利の精神に則ったアプローチをユタ州が採るのを目にして、私たちは大変嬉しく思います。これは、ウェブ全体で人々が自分のデータをコントロールできるようにするという私たちの使命、そしてOpenID FoundationによるVerifiable digital credentialsのプロトコルに関する取り組みと合致しており、より非中央集権型でプライバシーが保護されたデジタルなやり取りを可能にします。」

より広い取り組みの一部

ユタ州が進めているデューデリジェンスは、現在デジタルIDプログラムを開発中の60超の国々が抱える懸念と広く類似する課題に対処しています。本ブログでユタ州のRFIに対する我々のコメントを共有することで、他の法域が実証済みの相互運用パターンから知見を獲得し、よくある落とし穴を回避できることを願っています。

過去1年にわたり、OpenID Foundationは、欧州委員会、オーストラリア政府、ニュージーランド、英国政府、日本政府、そしてNISTを含む各所に同様のガイダンスを提供してきました。これは、デジタルIDシステムを開発する法域に対する技術リソースとして、また公民双方のソートリーダーが集い、開発における相互運用性を確保するための重要な「セーフスペース」として、継続的な役割を果たしていることを反映しています。

主要な提言

OpenID Foundationが提出したコメントでは、いくつかの技術的考慮事項を強調しました。 

• 実証済み標準: OpenID4VP、OpenID4VCI、HAIPなど既に本番導入されている仕様の採用を推奨し、広範な互換性を確保するためにISO/IEC 18013-5/-7と組み合わせることを提案します。 
• 金融分野の相互運用性: NIST NCCoEの相互運用パターンに整合させることで、ユタ州の住民は、連邦規制下の金融機関で州発行クレデンシャルをより迅速に利用できるようになります。米国州発行クレデンシャルを米国のCIPおよびKYC規則に適合させるための重要な作業はeKYC and IDAワーキンググループが主導しており、その詳細レポートは米国内の発行体だけでなく、グローバルな金融相互運用の目標にも拡張可能です。 
• オープンなテストツール: OpenID Foundationのオープンソース適合テスト群は、実装者が無償でコンフォーマンスを達成できるよう支援し、セキュリティと相互運用性を維持しながら障壁を低減します。 
• プライバシー・バイ・デザイン: 選択的開示とリンク不可能性を支援するアプローチを強調し、検証を可能にしつつ個人のプライバシーを保護します。 

対話の継続

OpenID Foundationのリーダーは、10月21〜22日のInternet Identity Workshopに参加したユタ代表団と会うことができて喜ばしく思います。同州がデジタルアイデンティティへの取り組みを洗練していく中で、今後の対話継続を歓迎します。他の法域との連携と同様、我々は提言の十分な理解を確保し、OpenID Foundationの仕様を実装する政府および民間の実装者に対して継続的な技術支援を提供することにコミットしています。 

 ユタ州への我々のコメント全文は、同様の取り組みを検討する他の関係者にも価値のある技術的視点として利用いただけます。私たちは、デジタルアイデンティティアーキテクチャに関するオープンで透明性のある議論が、エコシステム全体に利益をもたらし、相互運用的でプライバシーを保護する解決策の前進に資すると信じています。 

 デジタルアイデンティティフレームワークの議論に関心のある法域は、director@oidf.org までご連絡ください。また、誰でも無償で参加できる我々のワーキンググループおよびコミュニティグループへの直接参加も推奨します。特に、Digital Credentials Protocols WG、eKYC and IDA WG、Ecosystem Support Community Groupの活動は、ユタとその同じような区域に関連性が高いものです。

OIDF、GENIUS法案対応のための標準化ロードマップを提示

OpenID Foundation（OIDF）は、米国財務省がGENIUS法に基づき発表した「Innovative Methods to Detect Illicit Activity Involving Digital Assets（デジタル資産を巡る不正行為の検出に関する革新的手法）」のパブリックコメント要請（TREAS-DO-2025-0070-0001）に対し、包括的な回答を提出しました。

APIやデジタルアイデンティティ分野で豊富な知見を持つ技術標準化団体として、OIDFは、成熟し世界的に普及しているオープンな標準が、法執行能力とプライバシー保護のバランスを取りながらGENIUS法の目的達成にどう貢献できるかを示す機会を歓迎します。

回答では、金融サイバー犯罪の根本原因、すなわち不正な人物が金融システムへアクセスすること自体を防ぐことに重点を置いています。つまり事後的な追跡ではなく、事前の侵入防止に取り組むという方針です。OIDFの標準は、伝統的な金融およびデジタル資産の両方のエコシステムを守る安全性と相互運用性を備えたフレームワークを提供しています。

世界数十億人に信頼される実績

本回答書では、既にインターネット規模で稼働するシステムを保護しているOpenID Foundationの複数の仕様が強調されています。

• OpenID for Verifiable Credential Presentation (OpenID4VP)は、38の区域で採用されており、130万人の米国民がデジタルアイデンティティの検証に積極的に利用中
• FAPI 2.0は、既に世界中で数十億件に及ぶオープンバンキングおよびオープンデータ取引を保護
• Shared Signals Frameworkは、エコシステム間でのリアルタイムなリスクシグナル共有を実現可能に
• OpenID Connectは、世界中で1日あたり30億件を超えるログインを保護

OpenID Foundationの回答書は、ISO/IEC 29191に基づく部分的匿名性・部分的非連結性を有する認証の活用も提唱しています。本アプローチは、通常の取引時には個人識別情報を非公開に保ちながら、犯罪捜査時には適正手続きの下でFinCENなどの指定機関がユーザーを再識別することを可能にします。これらは、GENIUS法が目指すバランスを実現する標準規格です。

 より広範な関与

OpenID FoundationのエグゼクティブディレクターであるGail Hodges氏は次のように述べています。「本提出書は、デジタルアイデンティティおよび金融イノベーションに関する米国内外の政策立案者との、より広範な関与の一環です。米国は、急速に進化する金融セクターに向けて、安全で相互運用可能なアイデンティティ基盤を提供するために、賢明な政策が標準と適合性をいかに活用できるかを実証する上で、最適な立場にあります。」

 完全な書簡および関連資料は、以下からご覧いただけます:Letter OIDF comment on TREAS-DO-2025-0070-0001

トップ企業がSSFとCAEPの相互運用性を検証

2025年10月13日〜15日にカリフォルニア州カールスバッドで開催された Authenticate 2025 において、OpenID Foundation とホスティングパートナーの FIDO Alliance は、最終版として確定した Shared Signals Framework（SSF）および Continuous Access Evaluation Profile（CAEP）の実装者を集め、相互運用性のデモンストレーションを実施しました。

SSF と CAEP は、組織がプラットフォームをまたいでセキュリティシグナルやイベントを共有できるようにし、より迅速で連携したセキュリティ体制を可能にします。

今回の相互運用性イベントは重要なマイルストーンとなります。実装者が最終版の SSF と CAEP 仕様に基づき自らのソリューションを相互に検証したのはこれが初めてであり、異なるベンダーやプラットフォーム間でも、これらの標準が実務で連携可能であることを示しました。

８つのリーディング組織がテストを実施

相互運用性テストには以下の組織が参加しました。

• caep.dev
• Google
• IBM
• Jamf
• Okta
• Omnissa
• SailPoint
• SGNL

参加者は、会場内の専用ルームでライブデモを閲覧できました。現地では5つの実装チームが参加し、さらに3つのチームがリモートでテストに取り組みました。

相互運用性テストの結果

下表は相互運用性テストの結果を示しています。緑のチェックは、その機能（送信側［Transmitter］または受信側［Receiver］）について、実装がテスト基準を満たしたことを示します。SSF は「プッシュ」と「ポーリング」の両配送方式をサポートしています。チェックマーク横の注記は、どの配送方式でテストしたかを示します。注記がない場合は、両方式でテストに合格したことを意味します。

業界にとっての意味

今回の相互運用性イベントは、リアルタイムのセキュリティ連携が現実のものとなったことを示しました。8つの異なる組織の実装が相互に通信に成功した事実は、これらの標準が、業界が必要とするセキュリティのエコシステム形成が可能であることを証明しています。

エンタープライズのデバイス管理システムは、侵害されたデバイスについて接続済みのすべてのサービスへ即時に通知でき、IdP はクレデンシャルの脅威を即時にブロードキャストでき、サイバーセキュリティ基盤は脅威情報を組織横断・リアルタイムに共有できます。

企業はもう、幾度にもわたる再認証でUXを損なうか、陳腐化したログイン情報による大きなリスクを受け入れるかという不可能な二者択一に直面する必要はありません。

OpenID Foundation Shared Signals WG 共同座長 Atul Tulshibagwale氏は次のように述べています。「Authenticate 2025 は、この相互運用性イベントに最適な場でした。実装者が最終版の SSF と CAEP 仕様に対して自らのソリューションをテストしたのは今回が初めてです。数カ月前に策定された仕様で、8つのプロダクション準備済み実装が問題なく動作したのは、これら標準に対する業界の強い期待を表しています。」

FIDO Alliance への謝意

FIDO Alliance の多大な支援に深く感謝します。最適な場所の提供から、オープニング基調講演での本イベントの紹介、さらには複数のアジェンダ枠の確保まで、多大なご協力をいただきました。

FIDO Alliance CTO Nishant Kaushik 氏は次のように述べています。「現代のアイデンティティ起因の攻撃に対してより強靭な防御を築くには、初回ログインを超えて機能する、コンテキスト駆動かつ動的なセキュリティアーキテクチャが必要です。Authenticate 2025 における SSF の相互運用イベントの成功は、組織がユーザーの信頼度や権限を継続的に検証・適応させる、シームレスで標準に基づくソリューションを、業界が"今"提供できることを示す画期的な節目です。OpenID Foundation と協働し、より安全なデジタル環境に不可欠な強固な基盤を築き続けられることを誇りに思います。」

 OpenID Foundation エグゼクティブディレクター Gail Hodges 氏は次のように述べています。「Shared Signals の相互運用デモを FIDO Authenticate の中核に据えてくださったリエゾンパートナーの FIDO に、心より感謝いたします。」

 OpenID Foundation の Shared Signals Framework と CAEP 仕様の詳細は https://openid.net/wg/sharedsignals/ をご覧ください。

OpenID Foundation、新しいFIDOとShared Signalsのホワイトペーパーを称賛

OpenID Foundationは、FIDO認証とShared Signals Framework（SSF）が企業のセキュリティ課題に対処するためにどのように連携するかを検証した、FIDOアライアンスによる新しいホワイトペーパーの発表を歓迎します。

私たちは、FIDO Enterprise Deployment Working Groupが、OpenID関連仕様と整合性を持たせるために払った多大な努力を認識しており、このホワイトペーパーの更新版や実装者向けガイドについて協力する機会を歓迎します。この取り組みは、それぞれの仕様が進化するにつれて発展していくものであり、このFIDOレポートからの具体的な専門家のガイダンスは、業界での採用を加速し、これらの補完的なセキュリティ標準のメリットを実現する助けとなるでしょう。

単なる認証を超えて：継続的セキュリティ評価

多くの企業のアイデンティティおよびアクセス管理システムは独立して運用されており、プラットフォーム間での可視性が制限されています。FIDOプロトコルは、この課題の一部を解決するために、公的鍵暗号を使用した強力なフィッシング耐性認証を提供し、パスワード認証の脆弱性を排除します。しかし、認証は最初のステップに過ぎません。組織は、ユーザーがログインした後のセッション状況や新たに発生するセキュリティリスクについて、継続的な可視性を確保する必要があります。

ここでSSF（Shared Signals Framework）が役立ちます。SSFは、異なるシステムやベンダー間でアイデンティティとセキュリティイベントを安全かつリアルタイムで共有することを可能にします。これらのイベントには、リスクシグナル、認証情報の漏洩通知、セッションの取り消しが含まれます。FIDO認証をSSFのプロトコル（Continuous Access Evaluation Protocol（CAEP）およびRisk Incident Sharing and Coordination（RISC））と統合することで、組織はユーザーセッションライフサイクル全体を通じて、タイムリーで情報に裏付けられた意思決定を行うことができます。

実用的な活用例

本ホワイトペーパーでは、オンボーディングや役割変更から、オフボーディング、アカウント復旧に至るまで、ユーザーライフサイクル全体にわたる実用的な活用例を説明しています。組織は、共有シグナルを使用して、侵害されたアカウントを自動的に無効化したり、より高いセキュリティが必要な場合にステップアップ認証を強化したり、セッション監視の改善によってフェデレーションログインを向上させることができます。SSFは、セキュリティイベントのための共通言語を作り出し、異なるシステムが情報を共有し、組織の壁を越えた対応を可能にします。

業界での採用とテストリソース

「セキュリティは最初のログインだけで終わりません。このホワイトペーパーは、FIDOとShared Signalsが包括的なセキュリティ戦略において補完関係を持つ存在としてどのように機能するかを示しています。FIDOは安全に入口の"ドア"を開ける役割を果たし、SSFはセッション全体を通して適切なアクセスレベルを維持できるようにします。この組み合わせにより、企業が今日の巧妙なアイデンティティベース攻撃に対抗するために必要な"ゼロスタンディング特権[i]"アーキテクチャが実現します。」（OpenID Foundation Shared Signals Working Group 共同議長 Atul Tulshibagwale氏）

 FIDOのホワイトペーパー編集者であり、OpenID Foundation Shared Signals Working GroupのコントリビューターでもあるApoorva Deshpande氏は次のように述べています。「FIDOは入口における強力でフィッシング耐性のある認証のための"ゴールドスタンダード"を提供してきました。OpenID Shared Signals Frameworkは、継続的かつリアルタイムなシグナルによってセッション全体を保護します。この強力な組み合わせにより、多様なシステムが連携して動作し、対応を自動化し、リスクが検知された際には即座にアクセスを取り消すことができます。これにより、将来に向けた真に協調的でシグナル駆動型のセキュリティアーキテクチャが構築されます。」

 OpenID Foundationは、組織がFIDOおよびShared Signalsの各仕様を実装することを推奨します。この取り組みを支援するため、Shared Signals向けのオープンソースのドラフトテストスイートが無償で公開されており、実装の妥当性検証に役立てることができます。ユーザーはテスト計画を作成する際、SSFのテストプランにアクセスするために「show early version tests（初期版テストを表示）」を有効化する必要がある点に留意してください。

 OpenID Foundationの認証チームのThomas Darimont氏は次のように付け加えています。「OpenID Conformance テストスイートの一部であるShared Signals Frameworkのテストは、実装者がSSFの送信側・受信側の相互運用性を検証し、革新を持って統合を強化できるよう設計されています。SSFの上に構築している皆さまには、これらのテストを早期かつ頻繁に活用いただき、フィードバックを共有していただくことを奨励します。そうすることで、エコシステムを共に継続的に改善していけます。」

 仕様に関するフィードバックは、実装者の方々からOpenID Foundationの認証チーム宛てにお寄せください：certification@oidf.org

 年内には、OpenID FoundationはShared Signalsの仕様に対する自己認定を、実装者が利用できるように提供開始する予定です。手数料は手頃で、会員には割引が適用されます。開発者はテストに準拠する形で実装を構築し、その適合性を実証し、他者にコンフォーマンスを示すことができるようになります。

FIDO AuthenticateにおけるShared Signalsのデモンストレーション

今週のFIDO Authenticateにおいて、参加者はShared Signalsの実際の動作を確認しました。このデモンストレーションに関する詳細は、別途共有される予定です。本デモは、過去2年間で4回目となるShared Signalsの相互運用性実証の一環です。

[i] ユーザーやシステムに、永続的な特権（Standing Privilege）を与えないという考え方・これを実現したもの