OIDFがOpenID for Verifiable Presentationsのセキュリティ分析結果を受領
OpenID Foundationは、Digital Credentials API(DC API)上で使用されるOpenID for Verifiable Presentations(OpenID4VP)の包括的なセキュリティ分析が完了したことを発表できることを喜ばしく思います。これは、OpenID4VPとDC APIを組み合わせた初めてのセキュリティ分析であり、仕様が7月に最終版となる前に潜在的なセキュリティ脆弱性を検出し、軽減することが可能となりました。
この分析は、シュトゥットガルト大学情報セキュリティ研究所の研究者によって、実績のあるWeb Infrastructure Model(WIM)手法を用いて実施されました。この手法は、OIDFプロトコルの厳密で数学的なセキュリティモデリングの実績に基づいており、研究者とOIDFワーキンググループ間の双方向のやり取りを通じて、プロトコルが期待されるセキュリティ特性を充足することを保証しています。なお、この手法はOpenID Connect、FAPI 1.0、FAPI 2.0、OAuth 2.0など、他のOpenID Foundation標準の分析にも適用されてきたものです。
このアプローチはこれまで、いくつかの仕様群に影響を与えた最近の責任ある開示のように、潜在的な攻撃ベクターをプロアクティブに特定し軽減してきました。
この研究の範囲の一環として、シュトゥットガルト大学は、Digital Credentials APIと組み合わせたOpenID4VP仕様の形式モデルを提示し、関連するセキュリティ特性を特定して形式化し、それらのセキュリティ特性に対する形式的な証明を成功裏に完了しました。
これらの証明は、数学的な仮定と形式モデリングの範囲内でプロトコルのセキュリティを確認するものです。重要な点として、検証プロセス中に新たな脆弱性は特定されませんでした。
分析の範囲と目的
主な目的は、DC API上でOpenID4VPを使用することで、「クレームの偽造不可能性」という基本的なセキュリティ保証を提供できることを示すことでした。簡単に言えば、攻撃者が正当な発行者からのものであるかのように見せかけた偽のクレームを、検証者に受け入れさせることができないことを証明するという意味です。
この分析は、プロトコルレベルのセキュリティに焦点を当てたアプローチを採用しており、クロスサイトスクリプティングや暗号実装の脆弱性などの攻撃ベクターは意図的に除外されています。これらはプロトコル仕様の範囲外であり、他のセキュリティ対策によって対処するものです。
厳格な手法
WIM分析は、網羅性を担保するシステマチックな3段階のプロセスに従います。まず、研究者は仕様で明示的に禁止されていない、可能性のあるすべてのプロトコル実行をカバーする詳細な数学的モデルを作成します。このモデルは、さまざまな信頼関係を持つ任意の数の参加者を考慮し、すべての可能なやり取りのパターンで、複数のプロトコルを同時並行で何度も実行することを想定しています。
次に、仕様に記載された目標に基づいて、正確なセキュリティ特性を定式化します。最後に、これらのセキュリティ特性が可能性のあるすべてのプロトコル実行シナリオで成り立つことを示す数学的証明を提供します。
セキュリティ対策継続へのコミット
この作業は、OpenID Foundationが2023年10月に完了した「OpenID for Verifiable Credentials」に関する最初の包括的なセキュリティ分析に続くもので、これらの重要な仕様に対する信頼性を高めることを目的としています 。
以前の調査も同じくWIM手法を使用しました
Digital Credentials Protocols ワーキンググループ (DCP WG)は、OpenID4VP+DC APIに関するこのセキュリティレポートを受け入れ、学術研究者と標準開発者の間の協力的なアプローチを継続しています。過去の分析で実証されたように、DCP WGは関連するフィードバックを現在の仕様バージョンに組み込み、実装者のための堅牢なセキュリティ基盤を確保しています。
このレポートの完全版は、実装者や広範なコミュニティによるレビューのために、DCP WGのホームページでこちらから入手できます
専門家の見解
シュトゥットガルト大学の学術研究チームは次のように述べています。
「OpenID Foundationとのもう一つの実り多い協力に感謝し、影響力の高い標準の分析における今後の共同作業を楽しみにしています」
また、OpenID FoundationのDCP WGの共同議長であるKristina Yasuda氏は次のように述べています。
「プロアクティブなセキュリティ分析は、潜在的なギャップが実装者やエンドユーザーに影響を与える前に特定するために重要です。学術研究者と密接に協力することで、厳密な形式モデルで仕様を検証し、プロトコルのセキュリティ保証を強化し、OpenID4VPとDC APIがエコシステムが頼りにする信頼と確実性の提供を確保できます」
OAuth Security Workshopの創設者であるDaniel Fett氏は次のように述べています。「OpenID Foundationがウェブプロトコルの形式分析を標準ツールとして採用するのを見ることは素晴らしいことです。通常の専門家レビューを超えて、形式分析は隠れた脆弱性を発見し、根本的な仮定に挑戦する効果的な手段であることが繰り返し証明されています」
OpenID Foundation Chairmanの崎村 夏彦氏は、「仕様が最終版に近づく段階でセキュリティ分析を行うことを標準的な進め方として確立することは不可欠だ」と述べています。
現在の導入状況と今後の展望:「mDL Day『Voices of the Future』パネル」
2025年7月14日、OpenID FoundationのエグゼクティブディレクターであるGail Hodges氏は、Federal Mobile Driver's License (mDL) Industry Day | GSAで開催された「未来の声」パネルディスカッションのモデレーターを務めました。このパネルには、米国の5つの州のリーダーと米国自動車管理者協会(American Association of Motor Vehicle Administrators (AAMVA))の代表が参加し、それぞれの州でモバイル運転免許証(Mobile Driver's License (mDL))導入が推進されるユースケースや「幸福」について議論しました。
米国でデジタルアイデンティティの実現に取り組む州政府関係者
パネリストには、mDLの発行と普及の最前線にいる州の関係者が含まれていました(敬称略):
- Christine Nizer - メリーランド州運輸省自動車管理局長官および知事付高速道路安全代表
- Ajay Gupta -カリフォルニア州自動車管理局デジタル変革最高責任者
- Brett Young -ジョージア州運転免許サービス局イノベーション・技術担当次長
- Lori Daigle -米国自動車管理者協会アイデンティティ管理アウトリーチ・教育プログラムマネージャー
- Ashley Hall -バージニア州自動車管理局上級プロジェクトマネージャー
- David Knigge -アリゾナ州運輸省自動車部門モダナイゼーションディレクター
米国では、州がデジタル身分証明書の発行において中心的な役割を果たしています。これらの州は、州住民に優れたユーザー体験を提供することの最先端にあり、堅牢なデジタルアイデンティティ・インフラの力を理解しています。
納得性の高い活用事例と今後の展望
州およびAAMVAのパネリストたちは、mDL/mIDの発行者として、最前線での経験を語りました。彼らは、旅行時にTSA(運輸保安庁)のチェックポイントでmDL提示するだけに留まらない、すでに地域社会で広まっている幅広い活用事例を共有しました。
- 州のウェブサイトや給付金にアクセスするためのログインおよびステップアップ認証としての利用。
- Skippie (特定のプログラム名)
- モバイル運転免許証確認による警察官と住民の時間節約(通常15〜20分かかる検問が5分に短縮される。手続きが早く終わることで、住民も警察官も速やかに道路に戻れ、事故などの危険にさらされる時間が減り、命を守れる可能性が高まる)。
- イベント会場での利用 (例:メリーランド州のメリーウェザー・ポスト・パビリオン、mDLを導入したロサンゼルスの最初のアリーナ数か所、2028年ロサンゼルスオリンピックでの利用見込み)。
- NIST NCCoEのモバイル運転免許証プロジェクトとその第一段階で実証された銀行口座開設のような金融サービスでの活用
パネリストたちは全体的に、mDL(モバイル運転免許証)の受け入れが加速する見通しに楽観的でした。小売業者、政府機関、そして一般市民がこの技術に徐々に慣れ、日常生活で経験するにつれて、幅広い用途での普及も加速すると考えています。
ある講演者は次のように述べました:「私たちは『幸福』を目にしています - 住民たちがmDLを使用する見通しに喜びを感じているのです。」この「幸福」の一部は、アプリの評価で測ることができます。例えば、カリフォルニア州自動車局(CA DMV)のウォレットアプリは、Appleのアプリストアで4.8/5の星(8万5千人のユーザー)を獲得しています。
米国の州で進む具体的な導入と発行
パネリストたちは、mDLの勢いは本物ので、この技術は「すでにここにある」もので、いま採用が急速に拡大していると強調しました。
- これまでに500万件以上のmDLが発行済み(AAMVA)
- 2025年7月時点で、米国18州が標準に準拠したモバイル運転免許証を発行。年内にさらに多くの州で開始が見込まれる
- 米国住民の40%が、mDLを提供する州に居住
- TSAは主要な250超の空港でmDLの対応を有効化。今後さらに拡大予定
OpenID FoundationのエグゼクティブディレクターであるGail Hodges氏は次のように述べました。「こちらの専門家パネリストは、各州でモバイル運転免許証を安全に発行するための現場の最前線で働いており、この新技術が州民、そしてすべてのアメリカ人にとって確実に機能するよう取り組んでいます。OpenID Foundationは、これらのパネリストのような市場をリードする発行者や思想的リーダーと協働できることを嬉しく思います。また、OpenID Foundationのグローバルなオープン標準が、セキュリティ、相互運用性、そして国内・グローバル双方のスケールに関する彼らの厳格な要件を満たすことを確実にしていきます。」
市場の背景:この取り組みの緊急性
モデレーターとしてのGail氏の冒頭発言は、世界コミュニティが直面するリスクの重大さを示しました。
- マイクロソフトのセキュリティ部門グローバル責任者であるVasu Jakkal氏によると、世界のサイバー犯罪産業規模は9.2兆ドルに達します。「これは世界にどれほどのコストを強いているのでしょうか?」これはGDP第3位の国に相当し、どの国よりも急速に成長しています。
- 米国会計検査院(GAO)の推計によると、2018年から2022年のデータに基づく米国連邦政府の詐欺による年間損失は2,330億から5,210億ドルです。「連邦政府のどの分野も詐欺から免れていません...この問題の規模を考えると、政府全体でのアプローチが必要です。」
- 米国の金融機関は2,120億ドル相当の疑わしい活動を報告しました。これは、米国金融犯罪取締ネットワーク(FINCEN)が行った、アイデンティティに関連した疑わしい活動または我々のアイデンティティ・インフラの脆弱性に関連した金融犯罪の分析したものです。
モバイル運転免許証を含むデジタルアイデンティティ・インフラが、こうした持続的で拡大する攻撃を軽減し、米国の住民と企業をより良く保護する上で重要な役割を果たせる、という希望があります。
パネリストについて
Christine Nizer氏は、2015年8月にメリーランド州運輸省自動車管理局(MVA)長および知事付高速道路安全代表に任命されました。それ以前は、MVA副局長および中央業務・安全プログラム担当副局長として8年以上勤務しました。また、メリーランド州公共サービス委員会、メリーランド州議会、国土安全保障局でも管理職を歴任しました。
Ashley Hall氏は、バージニア州自動車管理局(DMV)のシニアプロジェクトマネージャーであり、州の先進的なMobile IDプロジェクトを主導しています。DMVで20年以上のプロジェクト管理経験とPMP資格を持ち、Mobile Service Unitsの開発から写真なしIDカード(Photoless Identification Cards)の導入まで、幅広い革新的な取り組みを監督してきました。
Ashley氏はVirginia Techで文学士号、Virginia Commonwealth Universityで行政学修士号を取得しています。2022年以降、AAMVA共同モバイル運転免許証小委員会のメンバーとして、デジタルアイデンティティの国家標準やベストプラクティスの策定にも貢献しています。
バージニア州のMobile IDは現在ソフトローンチ段階にあり、今夏中に本格展開が予定されています。展開時には、TSAチェックポイント、バージニアDMVサービス、バージニアABCストア、バージニア州警察および地元警察、特定のカジノの5つの主要なユースケースが含まれ、州内の住民に安全で便利なデジタルIDを提供します。
Ajay Gupta氏は、2020年2月に最高デジタルトランスフォーメーション責任者に任命されました。Gupta氏は、DMVを現代的な組織に変革するためのビジネスおよび技術改革を主導しています。2019年からはDMVディレクターの特別顧問も務めています。
州政府に加わる前は、KPMGのマネージングディレクターとして、州各部門向けのレガシー変革、技術革新、マネージドサービスの提供をリードしました。Gupta氏は27年以上の公共部門経験を持ち、CGI Inc.、Visionary Integration Professional Inc.、Deloitte LLP、Tata Consulting Servicesでカリフォルニア、テキサス、ハワイの州部門に従事しました。
Gupta氏はDelhi College of Engineeringで電気工学の学士号、UC Davisでマーケティングおよび情報技術のMBAを取得しています。また、PMP、CSPO、Cloud Practitioner、Enterprise Architectの資格も保有しています。
ジョージア州ドライバーサービス局のイノベーション・技術担当副局長補佐であるBrett Young氏は、2001年から同局に勤務し、さまざまな役割を歴任しています。現在は、情報技術、イノベーション&戦略、プログラム管理部門を統括しています。
以前はプログラム管理室長のディレクターも務めました。規制プログラムの管理、運営プロセスや手順の策定、ドライバープログラムのビジョン確立、運転免許発行システムの継続的改善などに携わりました。また、近代化プロジェクトやカード製造調達、ジョージア州のライセンスを3つのデジタルウォレットに導入するなどの実績もあります。
Brett氏は現在、AAMVAカードデザイン標準小委員会のメンバーであり、以前はAAMVA自動運転車ベストプラクティスワーキンググループにも所属していました。
Knigge氏は、テクノロジー分野で40年以上の経験を持ち、経営層からコンサルタント、ITプロジェクト実行まで幅広い役割を担ってきました。過去20年以上は主に自動車業界で、特にDMVビジネスに専念しています。
現在、Knigge氏はアリゾナ州自動車部門(Arizona Department of Transportation, Motor Vehicle Division(AZ MVD))の自動車モダナイゼーション部長として、IT組織を率い、技術支援を担当しています。AZ MVDは、社内開発の最新クラウドベースソリューションを全面展開し、コアシステム、ポータル、IDソリューションなどを備えています。
AZ MVDの開発技術には、mDL/デジタルID機能やAIを活用した多くの機能が含まれています。
Lori Daigle氏は、2023年11月にAAMVA Identity Management Teamにプログラムスペシャリストとして加わりました。現在は、mDLエコシステムに焦点を当て、Relying Partyへのアウトリーチとエンゲージメント強化に取り組むプログラムマネージャー(アウトリーチ・教育担当)を務めています。
Lori氏は、Identiverse Conference(2024)、International Association of Police Chiefs Mid-Year Conference(2024)、UL Payment Summit(2024)、Identity and Access Forum(2024)、Mortgage Brokers Association Conference(2024)、Identity and Payments Summit(2025)、Fime Innovation Days(2025)、および複数のAAMVA地域会議で発表経験があります。また、Secure Technology AllianceのJumpstart mDLワーキンググループにも積極的に参加しています。
現職以前は、コロラド州自動車管理局(DMV)で約9年間勤務し、運転免許部門のディレクターを務めました。さらに、Northern Colorado AIDS ProjectとAlliance for Suicide Preventionという2つの非営利団体の代表も歴任し、サウスカロライナ州サマービルのPinewood Preparatory Schoolで高校のマーケティング、マネジメント、心理学を教え、「Teacher of the Year」にも選ばれました。
Authenticate 2025でのShared Signals相互運用イベント:参加者募集
OpenID Foundationは、Authenticate 2025において、間もなく最終版となるShared Signals Framework(SSF)仕様に基づいた初の相互運用性テストイベントを開催することを発表しました。
このイベントでは、OIDFプロセス文書に従い、会員が8月末までに「最終版」として投票した後の最終仕様に基づく相互運用性を実証します。このテストは、OpenID Foundationのオープンソーステストの最終段階として機能し、認定プログラムプロセスに基づき、実装者の自己認証が可能となる前段階となります。
実世界でのビジネス価値を示す
SSF相互運用性イベントでは、参加者がCAEP、RISC、またはSCIMイベントを活用して製品で実際のユースケースを示し、ビジネス価値を提供することができます。これまでに開催された3つのGartner IAMサミットでの相互運用性テストでは、参加者がSSFを使用してセキュリティを大幅に向上させる様子を目の当たりにし、大きな反響を呼びました。
セッションは、OpenID FoundationのCorporate Board MemberでありSGNLのCTOであるAtul Tulshibagwale氏が主導します。また、Atul氏は10月13日(月)にブレイクアウトセッションを行い、標準規格について説明し、相互運用性テストの結果を発表します。
Atul氏は次のように述べています。 「公開された最終仕様に準拠することを示すことは、この相互運用性テストが確立する重要なマイルストーンです。CAEPやSSFを使用してシステムを保護しようとする企業は、これらの相互運用可能な実装を信頼し、将来の製品が同じ仕様に準拠する必要があることに確信を持つことができます。」
OpenID FoundationのエグゼクティブディレクターであるGail Hodges氏は次のように述べています。 「Shared Signalsの仕様が公開レビューと投票プロセスを経て進展していること、Shared Signals Working Group(SSWG)が4回の相互運用性イベントを2つの大陸で実施したこと、そしてオープンソーステストを実証し、どの実装者でも同じグローバルなオープン標準に基づいて構築し、自己認定できるようになったことを嬉しく思います。FIDOの年次イベントで、Shared Signalsの相互運用性をデモンストレーションする機会をいただいたことに感謝しています。」
さらに、FIDOアライアンスのエグゼクティブディレクター兼CEOであるAndrew Shikiar氏は次のように述べています。 「Authenticateカンファレンスは、認証とデジタルアイデンティティの革新に関して、世界中の参加者が協力するための素晴らしい場であることが証明されています。OpenID FoundationのShared Signals Framework実装者が相互運用性テストを行い、CAEPを使用したレスポンシブなセッション管理を可能にするパスキーの強力な認証機能を補完する実装をデモンストレーションすることを歓迎します。」
参加のご案内
OpenID FoundationのSSWG(Shared Signals Working Group)は、SSF、CAEP、RISCの最終仕様案を実装する開発者の参加を募集しています。これまでのバージョンで相互運用性を実証してきた方々だけでなく、初めて実装を行う新規参加者も歓迎します。
新規および既存の多様な実装を考慮し、SSWGでは以下のルールを設けました。
- 適合性テスト
すべてのSSFトランスミッターを持つ参加者は、OpenID Foundationが提供する無料のオープンソース適合性テストに合格する必要があります
- イベントタイプ
トランスミッターとレシーバーは、SSF検証イベントタイプと、以下のいずれか1つ以上の追加イベントタイプをサポートする必要があります
- CAEPセッションの取り消し(session revoked)
- CAEP認証情報の変更(credentials changed)
- CAEPデバイスコンプライアンスの変更(device compliance change)
- 相互運用性テスト
参加者は、少なくとも1名の他の参加者とテストを実施し、「相互運用可能」ステータスを取得する必要があります。なお、トランスミッターは適合性テストに合格していなければ参加できません
実装のカテゴリ
相互運用性を実証した実装は以下のカテゴリに分類されます :
- 現在利用可能: 公開された文書があり、現在利用可能なソリューション
- 近日公開予定: 公開された文書があり、近い将来利用可能となるソリューション
- 開発中: 公開されておらず、まだ利用できないソリューション
デモンストレーション用のスロットは15枠あり、5枠ずつ3セッションに分けられます。これらは上記のカテゴリに基づき、OpenID Foundationのメンバーシップを持つ実装に優先的に割り当てられます
Shared Signalsについてさらに詳しく
Shared Signalsが重要な仕様である理由、そしてGartnerアナリスト、CISA、NISTなどがShared Signalsを公共および民間のエコシステム実装を保護するための重要なベストプラクティスとして参照している理由については、以下の記事をご覧ください:
- 「Shared Signals Framework: モダンなIAM(アイデンティティおよびアクセス管理)のブループリント - 第1部(全4部)」- OpenIDファウンデーション・ジャパン
- 「火のついたジャグリングを簡単に操るように:SCIMによるプロビジョニング(第2回)」- OpenIDファウンデーション・ジャパン
- 「Review of the Summer 2023 Microsoft Exchange Online Intrusion」- CISA Cybersafety Review Board Report
- NIST SP800-63-4(ドラフト版)
- AuthZEN & Shared Signals in the Gartner IAM 2025 Spotlight- OpenID Foundation
- Gartnerレポート「Hype Cycle for Digital Identity 2025」(注:Gartnerの購読または購入が必要です)
OpenID Foundation、新しいDigital Identity Issuance規格の相互運用性を実証
Gail Hodges, Executive Director OpenID Foundation
本日、OIDFは検証可能な資格証明書発行のためのOpenID for Verifiable Credential Issuance (OpenID4VCI)仕様が、世界各国の7つの発行者と5つのウォレットプロバイダーによるペアワイズテスト(実装同士を1対1(ペア)で組み合わせ、相互運用が正しく行えるかを確認するテスト方法)を通じて相互運用性を実証したことを誇りを感じつつ発表いたします。
この明確な相互運用性の証拠は、本仕様が60日間のパブリックレビュー期間を経る中で、重要かつタイムリーな成果となります。この期間の終了時には、OpenID Foundationのメンバーシップが投票を行い、OpenID Foundation プロセス文書に沿って本仕様を「最終版」仕様として選出することになります。
OpenID4VCI相互運用性プロジェクトの目的
このOpenID4VCI相互運用性プロジェクトには、以下の5つの目的がありました。
- OpenID4VCI仕様を「最終」仕様として採択する投票前に、その有効性を実証すること
- 相互運用性の結果や実装者からのフィードバックをDigital Credentials Protocols WG(作業部会)に提供すること
- ISO/IEC、W3C、ETSIなどの標準化団体パートナーに相互運用性の結果を提供すること
- 欧州委員会EUDI Walletプロジェクト、NIST NCCoE mDLプロジェクト、日本デジタル庁パイロットプロジェクトなど、各エコシステムやプロジェクトを支援するために選定された標準の進捗を政府パートナーに報告すること
- 発行者、ウォレット、ベンダーのグローバルコミュニティに対し、これらの仕様を使った実装を検証できる正確で実証済みのオープンソーステストを提供すること
技術的な相互運用性の目標を実証するため、以下の仕様がテストされました。
- OpenID for Verifiable Credential Issuance v16
- OpenID for Verifiable Credentials High Assurance Interoperability Profile Implementer's Draft 2.0
- ISO/IEC IS 18013-5:2021 モバイル運転免許証(mDL)および「mdoc」仕様
- ISO/IEC TS 18013-7:2024
- IETFのSD-JWT draft 17
ペアワイズテスト
相互運用イベントへの参加は、DCP ワーキンググループに貢献している人で、DCP WG貢献合意書に署名した者に限定されました。これは、相互運用性に関するフィードバックがOpenID4VCI仕様とテストの改善に確実に活用されるようにするためです。
ペアワイズ相互運用デモンストレーションは7月16日に実施され、5月から7月にかけて行われた一連の相互運用イベントの第3回目として、仕様に基づく実装の成熟度を高めることを目的としていました。7月16日のOpenID4VCI第3回相互運用イベントでは、参加者は90分間のリモート相互運用会議に参加し、その後8日間の期間でバグの修正を非同期で行いました。この期間中、テスト可能な59通りのIssuer/ Walletのペアのうち、47のペアワイズテストが実施されました。
これら47ペアの結果は以下のとおりです:
- 87%が正常に成功
- 11%が解決可能な問題により失敗
- 2%が明確な原因が特定できずに失敗
全体的に、実装者とDCP WGは、これらの結果にOpenID4VCI v16仕様やOIDFのOpenID4VCIオープンソーステストに関する重大な問題は含まれていないと判断しました。
なお、結果は仕様でサポートされる幅広いシナリオにわたって一貫しており、実装者は以下のようなOpenID4VCIの1つまたは複数の構成を実証しました:
- SD-JWTを使用したOpenID4VCI、カスタムURI開始、x5cヘッダー付きウォレット証明ベースのクライアント認証(「HAIPモード」として指定)
- SD-JWTを使用したOpenID4VCI、カスタムURI開始、private_key_jwtによるクライアントアサーションを使用したクライアント認証
- SD-JWTを使用したOpenID4VCI、カスタムURI開始、クライアント認証なし
- mdocを使用したOpenID4VCI、カスタムURI開始、クライアント認証なし
参加したグローバルエキスパート
世界中から主要な実装者が参加しました(発行者7社、ウォレット5社)。参加組織は以下の通りです。
- Bundesdruckerei GmbH
- Fikua
- MATTR
- Open Wallet Foundation(Android「Multipaz」)
- Lissi GmbH
- Meeco
- MyMahi Wallet
- OpenID Foundation(オープンソーステスト)
相互運用イベントに参加したすべてのチームに心から感謝します!
なぜこの実証が重要だったか
過去18ヶ月間で、デジタル資格情報は有望なプロトタイプから金融、医療、交通、政府サービスにおける本番パイロットへと進化しました。2024年10月と11月のカリフォルニア州DMVとOIDFハッカソンでは、幅広いユースケースが実証され、欧州では欧州デジタルIDウォレットの大規模パイロットの一環として11の主要ユースケースが進展しました。今年初めには、NIST NCCoEモバイル運転免許証(mDL)プロジェクトとの提携により、OpenID for Verifiable Presentationのための5月5日の相互運用イベントを実施し、ペアワイズおよびマルチウォレットテストを行いました。
最近の他の発表では、英国政府、スイス連邦、日本デジタル庁がデジタルアイデンティティプロジェクトにOpenID for Verifiable Credentialsを選択しています。他の法域もこれに続き、OpenID4VPとOpenID4VCIの使用を軸とする同様のリファレンスアーキテクチャを採用する準備が整っています。
このOpenID4VCIの相互運用イベントは、本仕様で実現可能となるはずの相互運用性を実際に検証する重要かつ緊急のテストとなりました。仕様および相互運用性が目指すところを達成することで、今後数ヶ月のうちに欧州デジタルIDウォレットや他の法域に合わせて拡大していく見通しです。ここに至るまでには、3つの重要な要素がありました。
- 連携とパートナーシップ
OIDFはW3C、ISO、IETF、ETSIなどの同様の標準化団体との長期的な連携とパートナーシップを組んでいます。これらの連携と継続的な技術的対話は、7月16日に実証された相互運用可能な標準の開発を支え、仕様を共に実証する準備ができた多数の最先端の実装者と並んで進められました。この相互運用性イベントの結果は、ISO/IEC 18013-7 WG10へのリエゾンステートメントを通じて共有され、このワーキンググループのオンラインプレゼンテーション仕様に関するデューデリジェンス、およびEUDIWに関連するW3CのDigital Credentials APIとETSIのTS 119 472に関する作業に情報を提供します。 - 適合性テスト
OIDFは相互運用イベントの前後で使用するための仕様に沿ったオープンソーステストを開発しました。実装者は、相手とのテスト前に自分の実装を検証し、将来の実装者のためになるテストに関する重要なフィードバックを提供できました。仕様とオープンソーステストが最終化されると、実装者は自己認定を行うことができるようになります。自己認定やその他の適合性要件は、エコシステム内のすべての参加者がセキュリティと相互運用性に関する同じ高い基準を満たしていることを確保するために、エコシステムガバナンスの重要な要素となることが多いのです。
- グローバル参加のためのリモート相互運用
最後に、このイベントはリモート形式で開催されました。実装者は複数の欧州諸国、ニュージーランド、サンフランシスコなど世界各地に所在していました。ライブ相互運用イベントに参加していない一部の実装者でも、チームは翌週にわたってタイムゾーンを超えて接続し、問題を選別してギャップを埋めることができました。
実装者からのフィードバック
7月16日の相互運用イベントに関する実装者からのフィードバックは非常に前向きであり、私たちが転換点に差し掛かっていることを示しています。
MATTR社のOliver Terbu氏のコメント:
「OpenID4VCI Interop #3に貢献できたことを誇りに思いますし、このプロトコルが実際の運用に向けて成熟していくのを実感しています。OpenID4VCIは、多様なエコシステム間でのシンプルさと相互運用性に重点を置いており、拡張性と相互運用性のあるデジタル資格証明書発行の基盤となるものです。」
Meeco社のJan Vereecken氏のコメント:
「Meecoにとって、この相互運用イベントは他の参加者と共に自社実装をテストする貴重な機会でした。進化するOpenID4VCI標準に沿ってきた私たちの取り組みが検証され、安全で相互運用可能なデジタル証明書インフラの推進へのコミットメントが強化されました。このようなイベントはエコシステム全体を前進させるために不可欠だと思います。DCP WGがこの仕様の1.0バージョンを最終化する中、実装者からの実践的なフィードバックが全体のプロセスにとって非常に重要です。私たちもその流れに貢献できることを誇りに思います。」
Bundesdruckerei GmbHのMicha Kraus氏のコメント:
「この相互運用イベントは、IDウォレット分野における標準化され調和のとれたソリューションへの重要な一歩でした。標準化の積極的な推進者として、国際的なパートナーとの協力による進展を誇りに思います。私たちの目標は、将来的にユーザーが安心して利用できる安全・プライバシー重視・ユーザーフレンドリーなソリューションを形作ることです。今回のプロジェクトで得た経験は当社の幅広い専門知識をさらに広げ、ドイツの国家EUDIWの実装にも活かせます。」
Fikua社のOriol Canadés氏のコメント:
「OpenID4VCI Interop #2および#3への参加は、Fikuaにとって貴重なマイルストーンとなりました。多様なクライアント認証方式や証明書フォーマットにわたって発行者実装を検証できました。このような実践的な協働は標準の成熟と実運用への準備に不可欠です。相互運用性・セキュリティ・ユーザー中心設計を重視するエコシステムに貢献できることを誇りに思います。」
DCP WGおよびOIDFリーダーシップの声
OIDC4VCI仕様エディタおよびDigital Credentials Protocolワーキンググループの共同議長であるTorsten Lodderstedt氏は、実装者からのライブフィードバックに感謝の意を表しました。
「最終公開に向かう中で、これらの機能を実世界のシナリオで検証することは極めて重要です」と述べました。そして、仕様を初版からさらに進化させる新たな貢献者をワーキンググループに招待しました。
OpenID FoundationのエグゼクティブディレクターであるGail Hodges氏は次のように述べました。
「この相互運用イベントにより、OpenID for Verifiable Credential Issuanceを使用した検証可能な証明書発行が、プラットフォーム間、デバイス間、そして異なる証明書タイプにおいて機能することが実証されました。参加者、WGメンバー、共同議長は、基盤となる仕様とテストスイートが最終仕様としての認定を得て、今後数ヶ月間における実装者をサポートする確実な軌道にあることを確信しています。30以上の管轄区域がOpenID4VCIを選択し、デジタルIDウォレットへのデジタルID証明書発行をサポートするために展開していることを考えると、このタイミングは最適です。」
グローバルな採用に向けた次のステップ
OpenID4VP仕様は2025年9月中旬の最終公開に向けて順調に進んでおり、現在は2025年8月28日までの60日間のパブリックレビュー期間中です。投票は8月29日から9月12日(金)まで実施される予定です。
OpenID Foundationのオープンソーステストは、OIDFサーバーまたは実装者自身のサーバーで、すでに無料で自由に利用できます。
- OpenID for Verifiable Presentationsの適合性テストの実行方法
- OpenID for Verifiable Credential Issuanceの適合性テストの実行方法
今後数週間で、OpenID4VCIテストにはmdoc資格情報タイプが追加され、完全性を高めるために他のネガティブテストやポジティブテストも追加される予定です。現在、これらのテストはOpenID4VPやOpenID4VCIのDC API、HAIP、SD-JWTやmdoc、さまざまなDCQLクエリなど、相互運用性とセキュリティに必要な主要コンポーネントをカバーしています。9月末までに、OpenID FoundationはOpenID4VPおよびOpenID4VCIの自己認定を開始する予定です。OpenID ConnectやFAPI 1.0、FAPI 2.0と同様に、実装者はテストスイートに対する実装結果を提出するオプション(義務ではありません)があり、OIDFがそれらの結果を審査し、適正な手数料でオンライン公開します。OpenID Foundationはまた、エコシステムパートナーと密接に連携し、彼らの認証・適合性プログラムがOIDFテストの恩恵を受け、必要に応じてエコシステムの適合性プログラムの開発・提供においても協力しています。
同時に、W3C、ISO/IEC、ETSI、FIDO、EMVCoなどの他の標準化団体との連携も継続されます。さらに、NIST NCCoEモバイル運転免許証(mDL)プロジェクトが「銀行口座開設」から政府サービスのユースケースへと移行し、日本の交通分野がパイロットプロセスを進める中、主要プロジェクトへの支援も続けられます。
「このOpenID4VCI相互運用性デモンストレーションは、これらの重要なウォレット仕様を最終化する長い道のりにおける極めて重要なマイルストーンです」とGail氏は締めくくりました。「この相互運用プロジェクトを成功に導いてくれたすべての実装者、観察者、標準化団体パートナーに感謝します。私たちは共に、ユーザーに力を与え、プライバシーを守り、実世界で価値をもたらす真にグローバルなデジタルIDエコシステムを構築しています。」
国連DPIデー:Elizabeth Garberが語る「安全保護装置としての標準」
OpenID Foundationの戦略およびマーケティングディレクターであるElizabeth Garber氏は、2025 DPI SafeguardsワーキンググループのメンバーとしてDPI(Digital Public Infrastructure:デジタル公共インフラ)デーに参加しました。このワーキンググループは、国連開発計画(UNDP)およびデジタル・新興技術局(Office for Digital and Emerging Technologies)の下で運営されています。
彼女は、安全で相互運用可能なアイデンティティ基盤を推進するSIDI Hubのようなマルチステークホルダーコミュニティでの豊富な経験を持ち、また「Human Centric Identity for Government Officials whitepaper」ホワイトペーパーの共同編集者としての役割を通じて、この重要な取り組みに貴重な知識をもたらしています。
Foundationは、彼女の意見が議論の場で投げかけられ、オープンスタンダードがグローバルなDPIの議論の重要な点であり続けていることに感謝しています。以下は、彼女がその日に語った内容です。
DPIにおける安全保護装置としての標準
Elizabeth Garber
標準は、私たちのデジタルの未来において重要な役割を果たしています。標準は単なる技術仕様ではありません。人々を保護し、イノベーションを可能にし、デジタルインフラが人類に貢献することを保証する必要不可欠な安全策なのです。
国連のオープンソースウィークの一環として、DPIデーは、DPIがいかにグローバルな課題に対処し、持続可能な開発目標を推進できるかを紹介しました。先月(2025年6月)にニューヨークの国連本部で開催されたこれらのイベントは、国連加盟国、技術者、パートナーが集まり、持続可能な発展のためのDPIに関する協力的なアクションを前に進めました。これは、OpenID Foundationが、私たちの共通のデジタル未来の根本になると考えている使命です。
DPIとは
世界銀行は、DPIを「公益のための基盤となるデジタルの構成要素」と定義しています。これには、デジタルアイデンティティ、即時決済、政府のデジタルサービス、戸籍インフラ、データ交換技術などが含まれます。これらのコアな例に加えて、DPIは地理空間ツールや、官民両方の分野で活用できる他の再利用可能なビルディングブロックを含みます。
ユニバーシティ・カレッジ・ロンドン(UCL)のKrisstina Rao氏が作成したDPIマップに美しくまとめられているように、世界各地のDPI導入の現状は、スケールの大きなデジタルインフラ構築における期待と課題の両方を示しています。ここで標準は不可欠な要素となります。
なぜDPIにおいて標準が重要なのか
ベンダーロックインの防止
ベンダーロックインは、持続可能なデジタル開発にとって普遍的な脅威です。世界経済フォーラムや世界銀行のID4D、OECDなどの主要な組織も、これをデジタルIDシステムにおける重要課題として一貫して指摘しています。
よくある方法として、ベンダーは独自技術を使ってシステムを導入し、政府の業務に深く入り込みます。ひとたびこれが定着すると、重要な公共サービスが事実上人質に取られた形となり、アップグレードや保守、統合に高額な費用を請求します。その結果、金銭的な浪費だけでなく、サービス品質の低下、データセキュリティの不十分さ、イノベーションの停滞といった問題が生じます。
OpenID Foundationが開発したようなオープンスタンダードは、実績ある解決策を提供します。政府がこうした堅牢で検証済みの標準をアーキテクチャ全体に導入すれば、デジタルインフラのコントロールを維持できます。ベンダーに責任を問うことができ、必要に応じてプロバイダーを切り替え、国民へのサービス提供を継続的に確保できます。
これは理論上の話ではありません。私たちは、オープンデータやデジタルIDの導入を支援した26のエコシステムにおいて、実際にこうした事例が各市場で起きているのを見てきました。
標準がエコシステムのセキュリティを強化する
国連DPI Safeguards Frameworkは、個人と社会を保護するためのセキュリティ管理を交渉の余地のないものとして正しく位置づけています。これらの必要不可欠な保護措置がなければ、デジタルシステムは悪用されやすくなり、個人ユーザーから経済全体に至るまで、すべての人に影響を与える連鎖的な被害を引き起こします。Cybersecurity Venturesの予測によると、2025年までにサイバー犯罪のコストは年間10.5兆ドルに達し、これは米国と中国に次ぐ世界第3位の経済規模に相当するとされており、その重要性はこれ以上ないほど高まっています。
この驚くべき数字は、単なる金銭的損失以上の意味を持ちます。これは、デジタルシステムへの信頼を損ない、経済成長を阻害するグローバル社会への実質的な「税金」なのです。影響は直接的な被害者をはるかに超えて広がり、サイバー犯罪の収益が武器密売、麻薬カルテル、人身売買ネットワークなどの違法産業に資金を提供し、世界中のコミュニティを不安定にさせる有害な循環を永続化させています。
OpenID Foundationの標準を通じたセキュリティアプローチは、強力な相乗効果を生み出します。国内外のエコシステム全体でより多くの関係者が厳格なセキュリティ標準と適合性対策を採用するにつれて、すべてのデジタルインフラが指数関数的により堅牢になります。この集合的セキュリティモデルは、相互接続されたシステムは最も弱いリンクと同程度の強度しか持たないという原則に基づいて機能します。すべての参加者にわたってベースラインのセキュリティポジションを向上させることで、標準はエコシステム全体を強化します。
他のセキュリティベストプラクティスと併用することで、この包括的なアプローチは、企業に対しては業務の中断や評判被害から保護し、個人に対しては詐欺やID盗用による壊滅的影響から守ります。さらに重要なことに、ターゲットを強化し、攻撃の成功率を減らすことで、堅牢なセキュリティ標準はサイバー犯罪者の経済モデルを破綻させ、違法産業やテロ組織に流れる資金源を断ちます。
セクターと国境を越えた真の相互運用性の実現
標準の重要性がこれほど明確に現れる領域は、セクターと国境を越えた相互運用性の実現をおいて他にないでしょう。DPI Safeguards Frameworkで強調され、OECDのデジタルIDに関する原則で詳しく検討されているように、相互運用性は、ベンダーロックインの回避をはるかに超えて、社会に変革的な利益をもたらします。
この中核にあるのは、すべての人がどこにいても法の下で人として認識される基本的権利を認めるイギリス人権条約第6条です。これは単なる法的原則ではなく、他のすべての人権が依拠する基盤なのです。医療、教育、結婚、旅行...これらの必要不可欠な権利のそれぞれが、世界のどこにいても法の前で自分自身を唯一無二に識別する能力を必要とします。
標準は、この原則を理想から現実にします。標準は、セクターや国境を越えて私たちのアイデンティティの側面をシームレスに主張することを可能にする技術的な橋渡しを創出します。標準化されたプロトコルを通じて、ある国で発行されたIDは別の国で読み取られ、検証され、信頼されることができます。ある機関で取得した教育資格は、世界中の雇用者によって検証可能になります。医療記録は患者の移動に伴い、地理に関係なくケアの継続性を確保します。
この相互運用性は、IDの検証が必要不可欠なサービスへのアクセスを妨げるのではなく、促進することを保証します。標準がなければ、各システムは孤立して機能し、個人は異なる非互換プロセスを通じて自分のアイデンティティを繰り返し証明することを強いられ、彼らの資格情報は検証を必要とする人々にとって時として読み取り不可能で使用不可能なものとなります。これは、最も脆弱な人々に不平等に影響を与える障壁を生み出します。
DPI Safeguards Working Groupの活動を通じて、OpenID Foundationは、これらの相互運用性機能がDPI実装に最初から組み込まれることを期待しており、デジタルアイデンティティが排除するのではなく力を与える世界、そして第6条の約束が誰にとっても実際的な現実となる世界を創造することを目指しています。
DPIプログラムへの標準の組み込み
進化し続ける政策フレームとしての標準
これまでの経験で、特定の技術や標準を法律にハードコーディングすることは危険な硬直性を生み出すことが分かっています。なぜなら、技術は急速に進歩し、脅威の状況はさらに速く変化するからです。EUのArchitectural Reference Frameworkは、セキュリティと相互運用性を維持しながら適応できるガバナンス構造を示すより良いモデルを提供しています。
効果的なDPI実装のためには、詳細なアーキテクチャレビューが標準の利用可能性と成熟度の評価を伴わなければなりません。これらの評価は、エコシステムの目標と避けられないトレードオフを考慮する必要があります。例えば、不正防止の最適化に調整された技術は、間違った文脈で適用されたり、適切に実装・管理されなかったりした場合、意図しない監視や重大なプライバシーの懸念を引き起こす可能性があります。
認定と適合性要件
堅牢に設計された標準は、適切に実装された場合にのみ価値を提供します。OpenID Foundationは、実装者が適合性を検証できる無料のテストスイートを提供し、セキュリティと相互運用性へのアクセスを民主化しています。
OpenID Foundationのテストには、提携パートナー標準化団体の仕様の重要な要素が含まれることが多く、例えば、W3C Digital Credentials API、IETF SD-JWT、ISO/IEC SC17 18013-5 mdocのテストを含むOpenID for Verifiable Presentationの現在のOIDFテストなどがあります。これは、欧州委員会やこれらの標準を採用する他の機関の発行する法域の要件をサポートするテストスイートです。
安全で相互運用可能なシステムの提供にコミットしている政府、エコシステム、資金提供パートナーにとって、必須の適合性と認証要件は、調達プロセス、契約、エコシステムルールに最初から組み込まれるべきです。
標準化団体との連携とデジタル公共財のための標準の活用
政府は、公共部門のニーズと市民の利益が私たちのデジタルインフラの技術フレームワークに反映されるよう、国際標準化団体と積極的に関わるべきです。OpenID Foundationのような組織の活動に参加することで、貢献は無料、メンバーシップは簡単で任意であり、わずかなコスト(250ドル)で、多言語サポートが提供されます。ワーキンググループは多様な視点を歓迎します。また、政府は重要なユースケースと原則を標準の開発に直接組み込むことができます。
この取り組みを加速させるため、特にアフリカ諸国を支援するSIDI Hubのようなイニシアチブに向けて、OIDFは、主要な標準化団体とその重点分野や参加プロセスをマッピングしたリファレンスアーキテクチャを作っていくための実用的なリソースを作成します。この作業は、間もなく立ち上げ予定のEcosystem Community Groupによって、オープンデータとデジタルIDエコシステムを提供するための標準(OIDFなどからの)の階層化に関する自由に利用可能なリソースとして公開される予定です。後日発表されるこのグループ結成に関するブログ投稿にご期待ください。
私たちOpenID Foundationは、DPI Safeguards Working Groupとの継続的な取り組みを通じて、標準開発への持続的な関与と、政府や組織が標準に準拠した技術やサービスを適切に選び、真に包括的で安全かつ世界の公共の利益に資するDPIが構築できるよう引き続き取り組んでいきます。