OpenID Foundation、新しいFIDOとShared Signalsのホワイトペーパーを称賛

OpenID Foundationは、FIDO認証とShared Signals Framework（SSF）が企業のセキュリティ課題に対処するためにどのように連携するかを検証した、FIDOアライアンスによる新しいホワイトペーパーの発表を歓迎します。

私たちは、FIDO Enterprise Deployment Working Groupが、OpenID関連仕様と整合性を持たせるために払った多大な努力を認識しており、このホワイトペーパーの更新版や実装者向けガイドについて協力する機会を歓迎します。この取り組みは、それぞれの仕様が進化するにつれて発展していくものであり、このFIDOレポートからの具体的な専門家のガイダンスは、業界での採用を加速し、これらの補完的なセキュリティ標準のメリットを実現する助けとなるでしょう。

単なる認証を超えて：継続的セキュリティ評価

多くの企業のアイデンティティおよびアクセス管理システムは独立して運用されており、プラットフォーム間での可視性が制限されています。FIDOプロトコルは、この課題の一部を解決するために、公的鍵暗号を使用した強力なフィッシング耐性認証を提供し、パスワード認証の脆弱性を排除します。しかし、認証は最初のステップに過ぎません。組織は、ユーザーがログインした後のセッション状況や新たに発生するセキュリティリスクについて、継続的な可視性を確保する必要があります。

ここでSSF（Shared Signals Framework）が役立ちます。SSFは、異なるシステムやベンダー間でアイデンティティとセキュリティイベントを安全かつリアルタイムで共有することを可能にします。これらのイベントには、リスクシグナル、認証情報の漏洩通知、セッションの取り消しが含まれます。FIDO認証をSSFのプロトコル（Continuous Access Evaluation Protocol（CAEP）およびRisk Incident Sharing and Coordination（RISC））と統合することで、組織はユーザーセッションライフサイクル全体を通じて、タイムリーで情報に裏付けられた意思決定を行うことができます。

実用的な活用例

本ホワイトペーパーでは、オンボーディングや役割変更から、オフボーディング、アカウント復旧に至るまで、ユーザーライフサイクル全体にわたる実用的な活用例を説明しています。組織は、共有シグナルを使用して、侵害されたアカウントを自動的に無効化したり、より高いセキュリティが必要な場合にステップアップ認証を強化したり、セッション監視の改善によってフェデレーションログインを向上させることができます。SSFは、セキュリティイベントのための共通言語を作り出し、異なるシステムが情報を共有し、組織の壁を越えた対応を可能にします。

業界での採用とテストリソース

「セキュリティは最初のログインだけで終わりません。このホワイトペーパーは、FIDOとShared Signalsが包括的なセキュリティ戦略において補完関係を持つ存在としてどのように機能するかを示しています。FIDOは安全に入口の"ドア"を開ける役割を果たし、SSFはセッション全体を通して適切なアクセスレベルを維持できるようにします。この組み合わせにより、企業が今日の巧妙なアイデンティティベース攻撃に対抗するために必要な"ゼロスタンディング特権[i]"アーキテクチャが実現します。」（OpenID Foundation Shared Signals Working Group 共同議長 Atul Tulshibagwale氏）

 FIDOのホワイトペーパー編集者であり、OpenID Foundation Shared Signals Working GroupのコントリビューターでもあるApoorva Deshpande氏は次のように述べています。「FIDOは入口における強力でフィッシング耐性のある認証のための"ゴールドスタンダード"を提供してきました。OpenID Shared Signals Frameworkは、継続的かつリアルタイムなシグナルによってセッション全体を保護します。この強力な組み合わせにより、多様なシステムが連携して動作し、対応を自動化し、リスクが検知された際には即座にアクセスを取り消すことができます。これにより、将来に向けた真に協調的でシグナル駆動型のセキュリティアーキテクチャが構築されます。」

 OpenID Foundationは、組織がFIDOおよびShared Signalsの各仕様を実装することを推奨します。この取り組みを支援するため、Shared Signals向けのオープンソースのドラフトテストスイートが無償で公開されており、実装の妥当性検証に役立てることができます。ユーザーはテスト計画を作成する際、SSFのテストプランにアクセスするために「show early version tests（初期版テストを表示）」を有効化する必要がある点に留意してください。

 OpenID Foundationの認証チームのThomas Darimont氏は次のように付け加えています。「OpenID Conformance テストスイートの一部であるShared Signals Frameworkのテストは、実装者がSSFの送信側・受信側の相互運用性を検証し、革新を持って統合を強化できるよう設計されています。SSFの上に構築している皆さまには、これらのテストを早期かつ頻繁に活用いただき、フィードバックを共有していただくことを奨励します。そうすることで、エコシステムを共に継続的に改善していけます。」

 仕様に関するフィードバックは、実装者の方々からOpenID Foundationの認証チーム宛てにお寄せください：certification@oidf.org

 年内には、OpenID FoundationはShared Signalsの仕様に対する自己認定を、実装者が利用できるように提供開始する予定です。手数料は手頃で、会員には割引が適用されます。開発者はテストに準拠する形で実装を構築し、その適合性を実証し、他者にコンフォーマンスを示すことができるようになります。

FIDO AuthenticateにおけるShared Signalsのデモンストレーション

今週のFIDO Authenticateにおいて、参加者はShared Signalsの実際の動作を確認しました。このデモンストレーションに関する詳細は、別途共有される予定です。本デモは、過去2年間で4回目となるShared Signalsの相互運用性実証の一環です。

[i] ユーザーやシステムに、永続的な特権（Standing Privilege）を与えないという考え方・これを実現したもの

OpenID Foundationは西バルカン諸国のデジタルID計画を称賛

第6回西バルカン・デジタルサミットにおける相互運用可能なデジタルIDウォレットとトラストサービスの実現に関する共同声明

西バルカン諸国政府は、10月1日と2日に開催された第6回西バルカン・デジタルサミットに、地域の専門家、閣僚、欧州連合代表、世界銀行、OpenID Foundationをはじめとする世界中の専門家を招きました。このイベントの主要な成果は、西バルカン6カ国が西バルカン6カ国の相互運用可能なデジタルIDウォレットとトラストサービスの実現に関して、「地域的に相互運用可能なデジタルアイデンティティウォレットの実装、トラストサービスの整合、規制および技術的能力の強化に合意することで、西バルカン6カ国は、EU eIDAS 2.0基準に沿って、市民と企業のための安全でシームレスなデジタルアクセスの推進に取り組むことを約束する」という共同声明に合意しました。

OpenID Foundationは、共同声明と、西バルカン6カ国が相互運用性をお互いの間および欧州との間で優先的に追求し、EU eIDAS 2.0基準に整合するという先見性を称賛します。また、EU eIDAS 2.0が、オープンOpenID Foundationの国際標準（OpenID for Verifiable Presentation 1.0、OpenID for Verifiable Credential Issuance 1.0、High Assurance Interoperability Profile 1.0を含む）を参照していること、さらにETSI、ISO/IEC、FIDO、W3C、IETF、Cloud Signature Consortiumなどの他の標準化団体の基準も参照していることは特筆すべきといえるでしょう。

OpenID FoundationのVice ChairであるDima Postnikov氏は、「デジタルウォレット - 安全で効率的なソリューションによる公共サービスの推進」をテーマとしたメインステージパネルに参加しました。

このパネルは、NextsenseのCEOであるVasko Kronevski氏がモデレーターを務め、Dima氏は以下の専門家とともに登壇しました：

• Tech5 CEOのMachiel van der Harst氏
• RCC（地域協力評議会）のDigital Connectivityシニアエキスパート、Vojislav Popovic氏
• 中央欧州自由貿易協定（CEFTA）のSEED+プロジェクトマネージャー、 Edna Katadza氏
• Open Wallet Foundationの創設者兼エグゼクティブディレクター、Ruth Puente氏
• VISAの政府向けソリューション地域リーダー、Svyatoslav Senyuta氏
• 世界銀行のシニアデジタル開発スペシャリスト、Christopher Tullis氏

デジタルウォレット、相互運用性、サイバーセキュリティは、このパネルディスカッションの主要テーマであり、サミット期間中の他の多くのプレゼンテーションや議論でも中心的な話題となりました。OpenID FoundationのVice ChairであるDima Postnikov氏は、ステージ上で次のように述べました。「単独で取り組まないでください。協力し合い、業界と連携することで、機能的に優れ、安全で相互運用可能なデジタルトラストインフラを提供できます。」

Executive DirectorのGail Hodges氏は次のように述べました。「OpenID Foundationは、西バルカン諸国、および世界銀行やEUなどのパートナーが、この野心的だが極めて重要な域内デジタルアイデンティティ・ウォレットプログラムを実現する取り組みを支援する準備ができています。OpenID Foundationは、バルカン諸国だけでなく、他の標準化団体や非営利団体とも協力し、西バルカンの政策が基盤となる標準や適合性ツールを通じて実現できるよう取り組み続けます。」

各国と標準化団体の双方向の協力により、すべての国とその住民および企業が、安全でプライバシーを保護し、相互運用可能でスケーラブルなデジタルアイデンティティソリューションから等しく恩恵を受けることができます。各種の仕様の他に、OpenID Foundationは、Ecosystem Support Community Groupなど、エコシステムの専門家が集う安全な場も提供しています。このコミュニティグループは、政府やエコシステムの意思決定者がベストプラクティスを共有し、エコシステムと実装、ロードマップを継続的に進化させるために設計されています。

サミットを主催し、OpenID Foundationに参加の機会を与えてくださった北マケドニアデジタル変革省と Minister Stefan Andonovski大臣、そして世界銀行のGoran Vranic氏とStela Mocan氏、北マケドニアデジタル変革省のBojana Naumoska氏に、OpenID Foundationをこの素晴らしいイベントに招待していただいたことに感謝いたします。

AIエージェントのアイデンティティに関する課題に取り組む新ホワイトペーパー

OpenID Foundationは10月6日、AIエージェントを導入する組織が直面する最も差し迫った課題の一つ――適切なガバナンスと説明責任を維持しながら、これらの自律型システムをどのように安全に認証・認可するか――に取り組む重要な新しいホワイトペーパーを公開しました。

「Identity Management for Agentic AI: The new frontier of authorization, authentication, and security for an AI agent world」は、OpenID FoundationのArtificial Intelligence Identity Management Community Groupが、AIシステムにおいて増大するアイデンティティ管理の課題に対処するため、世界中の専門家が協力して調査・編纂したものです。

なぜホワイトペーパーが重要か

このホワイトペーパーは、以下の3つの主要な対象者にとって、差し迫った影響がある数多くの重要な課題を明らかにしています。

• 開発者とアーキテクト AIエージェントシステムを開発する開発者やアーキテクトは、権限の委譲やエージェント固有のアイデンティティといった新たなモデルに備えつつ、既存の標準をどのようにレバレッジするかを理解する必要があります。この研究は、すぐに実践できるベストプラクティスと、将来を見据えたシステム構築のためのロードマップの両方を提供します。
• 標準化団体 標準化団体は、エージェントのアイデンティティと権限委譲に関する新しい概念を形式化したプロトコルの開発を加速させなければなりません。これにより、将来のシステムが断片的な独自ソリューションではなく、相互運用可能な基盤の上に構築されることが保証されます。この研究は、新しい標準が最も緊急に必要とされている特定の領域を明確に示しています。
• 企業 企業は、自社のアイデンティティ・アクセス管理（IAM）インフラ内でエージェントを主要な構成要素として扱い始め、適切なライフサイクル管理、ガバナンスポリシー、説明責任の仕組みを確立する必要があります。この研究は、これらの組織的な変更が深刻な問題となる前に行うためのフレームワークを提供します。

これらの主要な対象者は、AIエージェント展開の未来に備えるため、今すぐ行動を起こさなければなりません。このホワイトペーパーは、現在のAIエージェントを安全に保護できるようにするための不可欠なリソースを提供すると同時に、これらの自律型システムがさらに普及するにつれて生じるであろう、基本的な認証、認可、アイデンティティの問題に対処するための戦略的な指針も示しています。

既存のフレームワークが対応できるのは現在のシンプルなエージェントのみ

朗報なのは、現在の認証・認可標準は、今日のAIエージェントのユースケースの多くをすでに保護できる能力を持っているということです。エージェントが明確に定義された境界内で動作する場合――例えば、社内ツールにアクセスする企業向けアシスタントや、個人向けサービスを管理する消費者向けエージェントなど――既存のインフラでは効果的に機能します。

現代の認証フレームワークは、エージェントが単一組織のシステム内で動作したり、個々のユーザーが自分のデータにアクセスするのを支援したりするシナリオにおいて、堅牢な基盤を提供します。これらのプロトコルは、数十億の認証フローで実証されてきており、エージェントが単純明快で予測可能な環境で同期的な操作を行う場合には、強固なセキュリティを提供します。

Model Context Protocol（MCP）は、AIモデルを外部データソースやツールに接続するための主要な標準として普及してきました。その採用の拡大は、エージェントがリソースとやり取りするための専用フレームワークが必要であるという業界の認識を示しています。現在エージェントを実装している組織に対して、この研究は「関心事の分離」アプローチを推奨しています。つまり、各システムにカスタムセキュリティを組み込むのではなく、専用の認証サーバーを使用してセキュリティ判断を処理するということです。

企業インフラは、ある程度まではすでにエージェント対応済みです。既存のシングルサインオン（SSO）システムやユーザー管理ツールは、今日のAIエージェントをサポートしながら、IT管理者にエージェントの権限に対する一元的な制御を提供できます。これにより、組織はゼロからではなく、既存のアイデンティティインフラを活用できます。

しかし、一見すると堅牢に見えるこの基盤も、エージェントがより高い自律性で動作し始めると、深刻なほころびが露わになります。現在の手法がうまく機能しているのは、今日のエージェントが比較的シンプルで、単一の信頼ドメイン内で動き、予測可能なパターンに従い、頻繁な人の監督を必要としているからに過ぎません。AIシステムが真の自律性へと進化するにつれ、これらと同じフレームワークでは本質的に新しい課題への対処に苦労するようになります。

自律性の転換点は、多くの人が考えるより速く近づいています。限られた数の内部APIを呼び出す単一のエージェントであれば、セキュリティ上の課題はまだ管理可能です。しかし、サブエージェントを派生させ、組織の境界を越えて活動し、日々何千もの意思決定を行う高度に自律的なエージェントのビジョンは、アイデンティティと認可の根本的な再考を要求します。今日のエージェントを守っているフレームワークは、再帰的な委任チェーン、ドメインをまたぐ信頼の伝播、そして自律システムが要求する規模の認可判断を前提として設計されていません。

これにより差し迫った課題が生じています。すなわち、組織は現行のベストプラクティスを用いて現在のエージェント実装を保護すると同時に、自律性の向上がもたらすより複雑な認可課題に備えなければなりません。堅牢で相互運用可能な標準を確立する機会はまさに今であり、独自ソリューションがエコシステムを分断し、後から対処するにははるかにコストがかかるセキュリティの隙間を生み出してしまう前に取り組む必要があります。

業界の次のステップ

デジタルシステムにおける信頼、権限、説明責任の管理手法は、進歩しなければなりません。これは、基本的なログインシステムから、接続されたエージェントの複雑なネットワークを扱う、より高度なアイデンティティと権限モデルへと移行するということです。現在のフレームワークは今日のエージェントに対して安全な基盤を提供しています。しかし、大規模に安全かつ責任あるAIエージェント展開の基盤を確保するためには、OpenID Foundationの新しいホワイトペーパーで特定されたギャップに対して先手を打って対処しなければなりません。

ホワイトペーパーはこちらでご覧いただけます。

議論への参加

OpenID Foundationは、このホワイトペーパーに対する幅広いコミュニティからのフィードバックと意見を歓迎しています。読者は以下のいずれかを通じてご自身の見解を共有できます。

• コミュニティグループのリポジトリ
• Googleフォーム

すべてのフィードバックはArtificial Intelligence Identity Management Community Groupによってレビューされ、週次ミーティングで議論されます。これらのミーティングは参加に興味のある方全員に公開されています。ミーティングスケジュールと参加方法の詳細については、https://openid.net/calendar/ をご覧ください。

OIDF、『不正・詐欺防止に関する国家戦略』をサポート

本日、アスペン研究所金融セキュリティプログラムが、画期的な「不正・詐欺防止に関する国家戦略」を発表しました。

OpenID Foundationは、タスクフォースのメンバーとして参加できたことを嬉しく思います。80以上の分野を横断するパートナーと共に、この取り組みに貢献しました。これは、米国において政府、法執行機関、民間企業、市民社会のリーダーたちが、不正や詐欺の防止を目的とした戦略を策定するために、幅広く集結した初めての機会です。

OpenID Foundationは、アスペン報告書における厳密な分析、包括的なアプローチ、そして実行可能な提言を高く評価しています。提言には以下が含まれます:

• 政府、産業界、市民社会全体にわたるエコシステム全体での対応体制の確立
• 迅速な検知、より強力な執行、適切な責任保護を可能にする法的枠組みのモダナイズ
• データ共有、防御の強化、詐欺被害の削減のための業界間の連携改善 - 目標達成のための標準規格の活用を含む
• 被害者への効果的な支援の提供、これらの犯罪が引き起こす実害の認識
• 詐欺を単なる規制問題ではなく、国家安全保障と経済的脅威として扱うこと

OpenID FoundationのエグゼクティブディレクターであるGail Hodges氏は次のように述べています。「OpenID Foundationは、タスクフォースのメンバーとして参加できたことを嬉しく思っており、アスペン研究所が『不正・詐欺防止に関する国家戦略』の策定のために招集した専門家の幅広さに感銘を受けています。グローバルなオープン標準化団体として、この報告書が、Shared Signals 1.0、OpenID for Verifiable Presentation、OpenID for Verifiable Credential Issuance、OpenID for Identity Assuranceなど、政策をプロトコルレベルでも実現できる標準に関するタイムリーな政策とデューデリジェンスを促進することを期待しています。これらの標準は、一般市民、政府、民間セクターすべてに役立ちながら、不正を軽減するために必要なデジタルアイデンティティインフラストラクチャの提供において、意義のある役割を果たすことができます。」

Shared Signals 1.0 最終版

Shared Signalsは、プラットフォーム間でセキュリティインテリジェンスをリアルタイムに共有できるようにします。Apple、Google、CISCO、SailPoint、Oktaなどの主要実装企業が、すでにこれらの標準を導入しています。この技術はGartner Hype Cycleで注目され、CISAからも推奨されています。

勢いはさらに加速しています。Googleは最近、Shared Signalsを用いた新しいエンタープラットフォーム機能を発表し、OpenID Foundationは10月15日にカリフォルニア州カールスバッドで開催されるAuthenticateで、4回目の相互運用性セッションの実施に向けて準備を進めています。

OpenID Foundationの理事でありShared Signals WG共同議長のAtul Tulshibagwale氏もタスクフォースに参加しました。彼は次のように述べています。「オンラインの詐欺は、前例のない重大な規模に達しており、多くの人々や企業に深刻な影響を与えています。アスペン報告書の調査結果と提言は、不正行為者に対する私たちの共同防衛にとって極めて重要です。Shared Signalsフレームワークが、潜在的な不正活動に関する準リアルタイムの更新を伝達するオープン標準を提供することで、米国コミュニティに貢献できることを願っています。これにより、産業セクター全体、そして官民の垣根を越えたすべての参加者が、より賢明な意思決定を行えるようになります。」 

OpenID for Verifiable Presentation 1.0 最終版

この標準は、ISO/IEC SC17 18013-5のmdocクレデンシャルタイプを使用するモバイル運転免許証や、IETFのSD-JWTなどのデジタルクレデンシャルの安全な検証を可能にします。OpenID Foundationは、mDLsを「銀行口座開設」に利用するためのNISTのモバイル運転免許証に関するNCCoEプロジェクトと提携し、今年は、両仕様が最終仕様として承認される前に、OpenID for Verifiable Presentation(OpenID4VP)とOpenID for Verifiable Credential Issuance(OpenID4VCI)に関する8回の相互運用性イベントを共同開催しました。 

現在、OpenID Foundationは、米国の金融機関がモバイル運転免許証の使用をプロセスに採用・統合するにあたりCustomer Identification Program （顧客身元確認プログラム：CIP）やその他の米国金融規制要件への準拠を妨げている、NISTが特定したギャップ解消に積極的に取り組んでいます。

OpenID Foundationは、NIST、および米国金融エコシステム(独立系の銀行やアメリカ銀行協会など)を支援し、金融機関がモバイル運転免許証が「そのまま」CIP/KYC規制をどのように満たすかを理解できるよう努めています。また、発行機関、ウォレット、金融機関が協力してmDLsへの信頼性を高め、金融機関によるより迅速な採用を可能にする方法についても支援しています。

OpenID FoundationはNISTと協力して、NISTが特定したギャップを埋める方法に関する具体的な提案を作成しています。この提案により、米国の利害関係者の合意形成が加速し、NIST SP 800-63-4 Digital Identity GuidelinesとOpenID Foundation　eKYCおよびIDAワーキンググループ仕様の拡張で、一部のギャップを埋める方法を示されることが期待されています。

OpenID4VP標準は、すでにGoogle Wallet、Android、Amazon.com、Samsung Wallet、1Password、NIST NCCoEプロジェクト向けNIST、EU Digital Identity Wallet、スイス、英国、西バルカン6カ国、オープンソースコードサービスのマーケットプレース向けMOSIPに採用されており、カリフォルニア州車両管理局(DMV)によって実運用されています。2027年末までに、OpenID Foundationは37カ国でOpenID4VCが稼働すると見込んでいます。 

OpenID for Verifiable Credential Issuance 1.0 最終版

この標準は、公的機関または民間組織がデジタルクレデンシャルをデジタルウォレットに安全に発行することを可能にします。このOpenID4VCI仕様は、Google Wallet、Android、EUデジタルウォレット向けEU、スイス、英国、西バルカン6カ国、オープンソースマーケットプレース向けMOSIPなど、主要な公的・民間セクターのプラットフォームにすでに採用されており、カリフォルニア州車両管理局で実運用されています。 

グローバルな影響と将来の展開

High Assurance Interoperability Profile（HAIP）は今年後半に最終版となる予定です。このプロファイルは来年末までにヨーロッパのデジタルアイデンティティインフラの基盤となり、Google、Amazon、1Password、カリフォルニア州、および米国の多くの組織に採用される見込みです。

OpenID Foundationは、グローバルサウス全体での大規模展開を支援するため、11月に国際政府機関との重要な発表を準備しています。

OpenID Foundationは、80を超える分野横断的パートナーと共に、この画期的な戦略に貢献できたことを誇りに思います。現在、グローバル標準が確定し、世界的な採用が進む中、OpenID Foundationは戦略策定から実装段階へと移行しています。