AuthZENが、ガートナーIAMサミットでエンタープライズ対応の準備状況を説明

2年にわたる検討を経て、AuthZENワーキンググループは、今月テキサス州グレープバインで開催されたGartner Identity & Access Management Summit において重要な節目に到達しました。エンタープライズの実務家は、実装に向けた明確な準備ができていることを示しました。

AuthZENのメインセッションには約100名が参加し、そこでの質問は市場の成熟度に関する重要な変化を示していました。標準ベースの認可が機能するかどうかを問うのではなく、参加者は自社環境での実装の具体を理解したいと考えていました。これは、AuthZENの成果物が概念から実用的な技術へ移行したことを明確に示しています。

仕様から実装へ

中核となるプレゼンテーションには、OpenID FoundationのAuthZENワーキンググループ共同議長であるOmri Gazitt氏（Aserto共同創業者兼CEO）、David Brossard氏（Axiomatics CTO）、Alex Olivier氏（Cerbos共同創業者兼CPO）に加え、ガートナーのVPアナリストであるHoman Farahmand氏が登壇しました。各登壇者は、節目の背景、ビジネスケース、技術アーキテクチャ、相互運用性といった観点をそれぞれ担当しました。

Omri氏は次のように述べました。「AuthZENは、認可において最も重要な問い――『このユーザーは、このリソースに対して、このアクションを実行できますか？』――を、どのように問い合わせるかを標準化することに焦点を当てています。初めて、アーキテクチャや思想に関係なく、あらゆる認可システムが容易に実装できる仕様ができました。」

同氏は続けて、「RBAC、ABAC、ReBACの各システムが、同じ認可クエリに同じ方法で答えられるようになり、真のソフトウェア相互運用性が可能になります」と述べました。主要なEコマース企業や保険会社からの質問は、実運用での展開に焦点が当たっていました。具体的には、トランザクショントークンや新興標準との統合、トークン拡張（エンリッチメント）の方法、既存のIDプロバイダとの互換性などでした。質問の具体性は、一般的な関心ではなく、真剣な技術評価が進んでいることを示していました。

Alex氏は次のように述べました。「この相互運用（interop）のタイミングは、まさに最適でした。」

同氏はさらに、「仕様が1.0に近づくにつれ、会場の議論は理論から離れ、大小さまざまな企業が、標準ベースのきめ細かな認可を本番環境でどのように設計し、展開しているのか、という点へ移っていきました」と述べました。

ベンダー参加が示す成熟度

5回のハンズオン相互運用セッションでは、複数ベンダーにわたる動作する実装が示され、仕様が異なるシステム間で実用的な相互運用性を提供できることが実証されました。

デモは、基本的な能力に焦点を当てていました。すなわち、ユーザーが認証した際に、アイデンティティシステムが最新の認可ポリシーを確認して適切なアクセスを判断できるようにし、既存のアイデンティティ基盤の上に動的なアクセス制御を構築できる、という点です。デモには8つの実装者が参加し、IDプロバイダとしてEmpowerID、Gluu、Curity、Thalesが、ポリシー判定プラットフォームとしてAxiomatics、EmpowerID、Cerbos、SGNL、WSO2、Topazが参加しました。

さらに、より広い相互運用プログラムには、9つのポリシー判定ポイント（PDP）と9つのIDプロバイダが参加しました。

より広いセキュリティアーキテクチャとの統合

会期中、Shared Signals Frameworkワーキンググループ共同議長のAtul Tulshibagwale氏が、ガートナーのアナリストであるErik Wahlström氏とともに、Shared Signals、CAEP、AuthZEN、トランザクショントークンなどの各標準が、現代的なセキュリティアーキテクチャをどのように可能にするかを説明しました。

アトゥル氏（SGNL CTO、OpenID Foundationのコーポレートボードメンバー）は次のように述べました。「アイデンティティ標準は、ばらばらなクラウドサービス、独自アプリ、多様なデバイス、そしてAIエージェントが連携し、グローバル企業を安全に守るために協調動作する唯一の方法です。」

このセッションは、エンタープライズのセキュリティチームにとって実務的な問い――これらの仕様はどのように連携して動くのか――に答えるものでした。ここでは、個別の解決策を単独で実装するのではなく、複数の標準が効果的に相互運用する包括的なセキュリティ枠組みを組織が構築していることが示されました。参加者の多さと好意的な反応は、こうした統合パターンの理解に対する明確な関心を示していました。

市場の準備状況を示す指標

AuthZENワーキンググループへの参加方法を尋ねる参加者の数も、前向きなシグナルになりました。多くの方が今後の開発に貢献したい意向を示し、単なる傍観ではない、エンタープライズ側のコミットメントの高まりを示唆していました。

AuthZEN 1.0仕様の投票は1月上旬に終了予定であり、2年にわたる開発プロセスによって、完全な仕様、複数実装者による相互運用テストの成功、そしてエンタープライズの関心の実証という、実装に向けた基盤が確立されました。

ある参加者は、業界が「AuthZENが全体の中でどこに位置づくのかについての認知と理解」を深めており、さらに「Shared Signals、AuthZEN、トランザクショントークンといった新しい仕様が、より良いセキュリティアーキテクチャにどう貢献できるか」へのコミュニティの関心が高まっている、と述べました。ガートナーサミットでの反応は、仕様が完成に近づく中で、組織が評価と実装計画を開始する準備ができていることを示唆しています。

ガートナーのサミット公式推奨は、AuthZENのデモが実務で示したことを裏付けました。ガートナーは「2025 Executive Summary of the Identity & Access Management Summit」において、顧客は「ベンダーロックインを減らし、相互運用性を高めるために、AuthZENのような標準を採用すべきです」と述べました。

デイビッド氏は次のように付け加えました。「標準は、お客様が外部化された認可（externalized authorization）を採用する決定を下すうえで、推進力になってきました。」

同氏はさらに、「20年前のXACML初期から、今日のAuthZENやALFAのような現代的標準へと、強い進化を私たちは見てきました。これは、お客様がより効率的に安全性を維持するのに役立っています」と述べました。

ロードマップ

AuthZENワーキンググループは、2026年に向けた主要領域として次を挙げています。Shared Signals Frameworkなど追加標準との統合、HL7やOpen Bankingのような業界別標準との統合、APIゲートウェイ、IDプロバイダ、MCPベースのAIアーキテクチャとの統合に対応するためのプロファイル策定です。

AIに関してデイビッド氏は次のように述べています。「Model Context Protocol（MCP）ワーキンググループが提示している設計案は、AuthZENが可能にするNISTゼロトラストやABACアーキテクチャと非常に整合しています。その結果、MCPベースのAIフローを保護するためにAuthZEN APIを適用するのは容易となります。」

「OpenID for Verifiable CredentialsのためのOpenID」自己認定は2026年2月に開始

OpenID Foundationは、実装者が2026年2月26日から、OpenID for Verifiable Presentations（OpenID4VP）1.0、OpenID for Verifiable Credential Issuance（OpenID4VCI）1.0、およびHigh Assurance Interoperability Profile（HAIP）1.0の実装について、OpenID Foundationの適合性試験プラットフォームを通じて自己認定を開始できるようになることを発表できることを、うれしく思います。

OpenID for Verifiable Credential仕様を採用した38の法域のいずれかで、ウォレット、発行者、そして／または検証者システムを開発している組織は、無料のオープンソース試験を使い始められます。OpenID Foundationの試験はすべて、実装者の都合に応じて、ローカルでもOpenID Foundationのサーバー経由でも実行できます。

これらの試験により、開発者はいつでもプログラムの完成度を高め、デバッグできます。多くの開発者は、公開APIを通じて、試験を継続的インテグレーション（CI）パイプラインに組み込むことを選んでいます。自己認定プログラムが開始されると、実装者は（義務ではないものの）自己認定ログをOpenID Foundationに提出してレビューを受ける追加オプションも利用できます。その後、OpenID Foundationは結果をOpenID.net/certificationで公開します。

自己認定の利点

デジタルクレデンシャルがパイロットプログラムから本番規模の展開へ移行するにつれ、実装の一貫性と品質の両方が、エコシステム成功のために不可欠です。

自己認定済み実装は、次の点で恩恵を受けます。

• 開発・試験リソースを節約しつつ、効率よくプログラムを適合させるためのツール群
• 同じ非営利団体（技術標準の拠点）が定期的に保守する包括的な肯定／否定テストにより、プロトコルレベルでのセキュリティ、相互運用性、運用上の問題のリスクを最小化
• 同一標準に基づく他実装との互換性（ローカル、地域、グローバル）
• 信頼される技術標準団体による独立した第三者レビュー（従来から同団体は自己認定を4,000件公開）
• 顧客・パートナー・規制当局に見える形で、グローバルなオープン標準、相互運用性、技術的卓越性への公的コミットメント
• OpenID Foundationの使命とビジョンを実現するために設計された、透明性のある非営利の価格設定（コミュニティが標準の利点を十分に得られるようにする）

クレデンシャル提示：OpenID4VP 1.0 + HAIP 1.0

オンラインでプレゼンテーションを行うテストはすでに、SD-JWTとmdocの両クレデンシャル形式をカバーしており、世界的に展開されている主要なVerifiable credential種別への対応を実装者が示せるようになっています。実装者は、これらの異なるクレデンシャル種別とセキュリティプロファイルにわたり、クレデンシャル要求、プレゼンテーションプロトコル、検証ワークフローを正しく扱えることを主張（アサート）できるようになります。

テストはこちらで使用可能です：OpenID for Verifiable Presentation 1.0 + HAIP 1.0

クレデンシャル発行：OpenID4VCI 1.0 + HAIP 1.0

現在のテストはSD-JWTクレデンシャルに焦点を当てており、mdoc対応は今後数週間以内のリリースを予定しています。

テストはこちらで使用可能です：OpenID for Verifiable Credential Issuance 1.0 + HAIP 1.0

成熟したテスト

OpenID for Verifiable CredentialファミリーのテストはOpenID.net上にあります。

これらは、Digital Credentials Protocols ワーキンググループの専門コントリビューターにより、2025年に11回の相互運用イベントを通じて検証されてきました。今後数か月で、網羅性を高めるための追加のポジティブ／ネガティブテストと、詳細な開発者ガイドが追加されます。テストは、世界各地のエコシステムが成熟するのに合わせて、今後何年にもわたり保守され続けます。過去の相互運用イベントの詳細は、OpenID Foundationのブログ投稿をご覧ください。

テストのローカライズ

テストは、EUDIWプログラム、カリフォルニアDMV、NIST NCCoE、英国およびスイス政府などの、ローカルまたは地域のエコシステム要件を支えるように設定／プロファイルできます。OpenID Foundationはすでに、OpenID for Verifiable Credentialファミリー仕様を採用したエコシステムの多くと協力し、ローカル／地域のニーズを支援しています。

2026年2月の自己認定開始の直後、OpenID Foundationは2026年第2四半期に認定（アクレディテーション）サービスも開始します（今年初めにOpenID Foundation理事会が発表）。現在、パイロット提携を開発中です。ローカルの運営主体や認定ラボの認定は、ローカル主権をさらに支え、OpenID Foundationの能力をより広い適合性制度へ統合することにもつながります。

自己認定と認定のどちらが特定のエコシステム／実装に適しているかにかかわらず、OpenID Foundationは、同財団仕様への適合性確立における「優れた基準」を提供します。ローカライズされたアプローチの相談に関心があるエコシステムは、certification@openid.net まで連絡し、選択肢を検討してください。

OpenID Foundationの目標は、各エコシステムとともに、専門知識と学びが拡大していくことを確実にすることです。

世界的なデプロイ計画と整合するタイミング

今年のOpenID for Verifiable Credentialファミリー仕様の展開と、2026年2月の自己認定開始は、世界各地の国・地域のデジタルウォレット展開ロードマップの多くと整合しています。

欧州連合、英国、スイス、西バルカンなどの国・地域政府は、デジタルクレデンシャル基盤にOpenID仕様を採用することを表明している例の一部です。たとえばEU Digital Identity Wallet（EUDIW）構想は加盟国全体で拡大を続けており、2026年を通じて本番ローンチが計画されています。

これらの法域の多くでは、適合性（コンフォーマンス）がロードマップの中核であり、多くの場合、規制枠組みの一部でもあります（または将来的にそうなります）。多くのエコシステムは、参加者に対してOpenID Foundation標準への適合性を示すことを求める見込みです。

多くのエコシステムは、参加者にOpenID Foundation標準への適合性を示すことを期待するでしょう。OpenID Foundationは、自らの適合性テストとツールがローカルの規制枠組みを補完し、テスト層での分断（それが仕様のセキュリティ、相互運用性、運用規模の利点を損ない得る）を回避する助けとなる「優れた基準」を提供すると見込んでいます。

エコシステム協力の例として、OpenID Foundationは今週、12月11日のEUDIW Launchpad標準パネルで発表された、欧州委員会とETSIの協力の次段階を支援することを約束しました。また同日、OpenID Foundationが立ち上げたEUDIW Resource Hubも公開されました。

EUDIWコミュニティメンバーページ

OpenID FoundationによるEuropean Digital Identity Wallet（EUDIW）向けリソースハブ

私たちは、実装のデプロイとメンテナンスを支援するため、仕様、オープンソーステスト、適合性評価ツール、その他の資料を集約したリソースハブを提供できることを光栄に思います。

EIDAS 2.0 ARFでOIDFの仕様が選ばれています

EIDAS 2.0の Architecture Reference Framework（ARF）では、Credentialの発行と提示に関する３つの主要仕様が参照されています。

• OpenID for Verifiable Credential Issuance 1.0 Final
• OpenID for Verifiable Presentation 1.0 Final 
• High Assurance Interoperability Profile 1.0 draft 5 (2025年12月23日に最終化予定)

これら3つの仕様はDigital Credentials Protocols (DCP) ワーキンググループが開発・メンテナンスしています。これらの全体的な目標は、Issuer-Holder-VerifierモデルのユースケースのためにOpenID仕様を開発し、どのフォーマットのDigital Credentialでも発行と提示を可能にすることです。EUDIWは、立ち上げ時の資格情報形式として２つ、すなわちIETFのSD－JWTと、ISO/IEC 18013-5のmdocを選定しています。DCPワーキンググループの進捗を知りたかったりつながったりしたい場合は、メーリングリストに参加してください。

メーリングリストへの参加は無料で、会議議事録、仕様の更新情報、対面会議の詳細、仕様の安全性分析、そして仕様を検証する相互運用イベントの情報を受け取れます。DCPワーキンググループへの貢献は誰でも無料で可能ですが、Contribution agreementへの署名が必要です。会員になるかどうかは任意で、会員になると投票、自己認定の割引、資金の使途に関する意思表示が可能になります。

オープンソーステストが無料で利用可能

オープンソーステストは無料で入手できます。実装者は誰でも、今年これまでに実施された11回の相互運用イベントで検証済みの、無料のオープンソーステストを利用できます。テストはダウンロードしてローカルで実行することも、OpenID Foundationのサーバーから実行することもできます。

Tests for OpenID for Verifiable Presentation 1.0 + HAIP 1.0 (SD-JWTとmdoc含む)

Tests for OpenID for Verifiable Credential Issuance 1.0 + HAIP 1.0 (SD-JWT含む。 mdocは近日対応予定)

実装者が、関連するテストに合格したことを自己認定したい場合を除き、費用はかかりません。

自己認定は2026年2月提供開始予定

３仕様すべての現行ベータテストは改良され、2026年2月までに、またはそれ以前に、自己認定用として公開される予定です。これにより、実装者は仕様への適合を、OpenID Foundationのウェブサイト上で公表できるようになります。自己認定の価格は、仕様ごと・実装ごとに、会員は700ドル、非会員は3500ドルになる見込みです。 一部の実装については、手続きと費用を簡素化するため、自己認定の際に複数仕様をまとめて扱う（束ねる）よう紹介される場合もあります。実装者は、OIDFの認定ページで自己認定の詳細を確認できます。テストが最終化され開始準備が整った時点で、一般向けの告知が行われ、DCPワーキンググループの貢献者にも通知されます。

相互運用イベントのこれまでと今後

OpenID Foundationは、上記のDCPワーキンググループ仕様を検証するため、年に合計11回の相互運用イベントを実施しました。仕様を最終化へ進める前に、２つの主要節目として仕様が検証されています。

5月Interop：OpenID4VPの仕様とテストを最終版へ進める前に検証

7月Interop：OpenID4VCIの仕様とテストを最終版へ進める前に検証

2025年11月Interop：OpenID4VP 1.0＋HAIP 1.0、およびOpenID4VCI 1.0＋HAIP 1.0の仕様とテストを最終版へ進める前に検証

DCPワーキンググループでは、2026年1月末〜2月初旬に、OpenID4VP 1.1＋HAIP 1.1、およびOpenID4VCI 1.0＋HAIP 1.0について、Interactive Authorization Endpoint (IAE)などの新機能を含めて検証する相互運用の実施を検討しています。 これには1.0最終仕様との後方互換性を維持する意図があります。DCPワーキンググループの貢献者であれば誰でも相互運用イベントに参加できます。

日程と範囲が確定し次第、詳細はDCPワーキンググループ経由で配布されます。時間が進むとともに別のイベントが立ち上がる可能性もあります。例えば、OpenID Foundationは、2026年5月にフランスで予定される ISO／IEC SC17 WG10 会合に先立ち、同組織と再び相互運用イベントで協力する可能性があります。また、相互の関心に沿って仕様進展を進めつつ重複を避けるための、WG10 とDCPワーキンググループの共同ワーキンググループに関する告知も近日予定されています。 OpenID Foundationは、実装者による立ち上げに向けて準備を進める中、2026年後半の相互運用イベントについて、ETSIなど他組織を支援する可能性もあります。

OpenID4VP/4VCI/HAIP テスト要件について

歴史的に、OpenID Foundationではテスト要件仕様を書くことは標準的な慣行ではありませんでした。代わりに、仕様とテストを並行して作成し、テスト要件は暗黙にオープンソーステストの中へ組み込まれることが一般的でした。これは、ISO/IEC 18013-6 のようにテスト要件を用意することが多いISOとは異なります。 欧州委員会とETSIとの協議を踏まえ、DCPワーキンググループとOpenID Foundationの認定チームは、欧州委員会の適合性プログラムの期限に合わせ、2月末までにテスト要件のドラフト仕様を提供する意向です。OpenID Foundationは、テスト要件またはテストコードのレベルでの分断を避けるため、ETSIと連携してこの作業のスコープ設定を進めています。

この作業は、認定チームの支援のもと、DCPワーキンググループで進められます。テスト要件は、今後のテストツール（OpenID Foundationのもの、および各加盟国の適合性評価機関が将来的に提供するサービス）と整合することが見込まれます。

エコシステム支援コミュニティグループ

Ecosystem Support コミュニティグループは、オープンデータの新しいエコシステムがOpenID Foundation標準を実装し、プロファイル化していくのを支援することに専念しています。

このコミュニティグループは、エコシステム参加者のために「デジタルウォレットリファレンス技術アーキテクチャとベストプラクティス」文書を開発しています。これは、欧州地域や、OpenID4VP/4VCI/HAIPの他実装者と相互運用したい法域にとって有用になる見込みです。OpenID Foundationがまとめた現時点のデータによれば、38の法域が、自らのウォレットおよび検証可能資格情報プログラムに、OpenID4VP/4VCI/HAIP仕様を採用しています。

このコミュニティグループは、仕様策定そのものの外側にある、統治や展開に関する共通課題（例：どの仕様設定が最適か、ある市場に最適な設定は何か、どの普及戦術が最も効果的だったか）について、エコシステム設計者や意思決定者がベストプラクティスを共有し議論できる、軽量な支援を提供することを目指しています。参加するにはメーリングリストに参加してください。

個人またはその法人（法的主体）は、Participation Agreementに署名する必要があります。

OIDF エグゼクティブ・ディレクターがG20 TechSprintで審査員を務める

OpenID Foundationは、2025年のG20 TechSprintへ参加したことを誇りに思います。これは、毎年開催されるグローバルなイニシアチブで、世界中の中央銀行や規制当局が直面する重要な課題に対処するためのイノベーターを集めています。

今年のイベントは、南アフリカ準備銀行 (SARB) と 国際決済銀行（Bank for International Settlements (BIS) ）Innovation Hubの協力により、G20議長国のもとで開催されました。スケーラブルなオープンファイナンスにおける信頼と完全性を焦点とし、30カ国以上から165チーム以上が参加しました。

15のファイナリストが選ばれ、3つの重要なプロブレムステートメントに対するソリューションを発表しました。

• 金融機関間での信頼を確立するための検証可能でプライバシーを保護するデジタルアイデンティティソリューション
• 安全で消費者が同意したデータ交換メカニズムを通じた、中小企業のアクセスを改善する信用データポータビリティ
• 即時決済システムの安全で包括的な採用を促進するための詐欺およびサイバーリスク軽減 

OpenID Foundationのエグゼクティブ・ディレクター Gail Hodges氏は、最初のプロブレムステートメントのエントリーを審査する独立した専門家パネルに招待されました。他の審査員には、ID4Africaのエグゼクティブ・チェアマンであるJoseph Atick氏と、インド準備銀行のエグゼクティブ・ディレクターであるShri P. Vasudevan氏がいました。

このプロブレムステートメントは、国内決済および国際決済の双方における最も差し迫った課題の一つに取り組むものでした。それは、検証可能性とプライバシー保護を両立するデジタルアイデンティティソリューションをいかに構築するか、という課題です。イノベーターたちには、国境を越えた信頼を確立し、ユーザーのプライバシーを保護し、異なる法域間で効果的に拡張できるソリューションの開発が求められました。

このカテゴリの優勝者、南アフリカのOwnapay SA (Proprietary) Limitedに祝意を表します。また、信用データポータビリティと詐欺・サイバーセキュリティリスク軽減の他の2つのプロブレムステートメントの優勝者であるシンガポールのSilence Laboratories Pte. Ltd.とイギリスのFNAおよびProtoにも祝意を表します。

各カテゴリの優勝者には最大30,000米ドルの賞金が授与されました 。

授賞式の完全な動画はこちらをご覧ください。G20 TechSprint 2025 Awards, 11 November -- Trust and integrity in scalable and open finance. - YouTube

デジタルアイデンティティ標準に関する基調講演

この年次グローバルイニシアチブでデジタルアイデンティティが重要な役割を果たしたのは初めてのことであり、それを記念してゲイル氏はデジタルアイデンティティ標準に関する基調講演を行いました。

彼女の講演では、世界的なサイバー犯罪の規模が1兆～10兆ドルと推定されていることが強調され、これらの脅威に対抗するために高信頼性のデジタルアイデンティティ資格情報の必要性が強調されました。またGail氏は、デジタルアイデンティティの展開が急速に進化していることや、非中央集権型、ウォレットベース、検証可能な資格情報モデルへの移行が進んでいることについて議論しました

彼女は、プライバシーへの懸念が先進国における非中央集権型モデルの採用を促進していることを指摘し、各市場が異なる利点に焦点を当て、旗振り役となるユースケースを推し進めるかもしれないと述べました。また、このモデルの採用を促進することの重要性と、TechSprintのようなイベントが開発とイノベーションを刺激する上で果たせる役割を強調しました。

「初めて開催されたG20デジタルアイデンティティTechSprintの審査員として招待されたことは、本当に光栄でした。世界のサイバー犯罪による被害額は1兆〜10兆ドルと推定されており、AIを活用した攻撃が世界中の現行のアイデンティティおよび本人確認インフラを脅かしています。こうした状況を踏まえ、米国政府がG20議長国として、経済的繁栄と技術革新という重点分野に沿って、デジタルアイデンティティを積極的に推進してくれることを願っています」とGail氏は述べました。