OpenID Foundation ハイブリッドワークショップ（Cisco開催、2025年10月20日（月））参加登録受付中

OpenID Foundationは、2025年秋のInternet Identity Workshop（IIW）直前の2025年10月20日（月）に、ハイブリッド形式のワークショップを開催します。（OIDFメンバー向けの割引コードは現在準備中です。準備ができ次第ご案内します！）

このハイブリッドイベントは、米国カリフォルニア州サンノゼのCisco Santana Rowオフィスでの対面参加と、オンライン参加の両方が可能で、世界中からご参加いただけます。

イベント詳細

• 日時：2025年10月20日（月）※日本時間：2025年10月21日（火）
• 時間：12:30～15:45（PDT）※日本時間：午前4:30 〜 午前7:45
• 場所：Cisco, Santana Row | SJC34, 3098 Olsen Drive, San Jose, California, 95128, United States
• 会場：SJC34-1-トレーニングルーム
• バーチャル参加：登録者には開催日が近づきましたらオンライン参加方法をメールでご案内します

このミーティングは、コミュニティの専門家同士が交流し、最新のOIDF仕様やコミュニティグループの進捗を共有・協力できる絶好の機会です。IIW直前の開催となるため、今後の取り組みを調整し、本番ワークショップに向けて貴重な知見を得るチャンスです。

アジェンダの主な内容

• OIDFの最新情報と2025年の今後の予定
• ワーキンググループのアップデート
• 新たなデジタルIDトレンドに関する議論
• AIアイデンティティ管理やデジタル遺産と死に関する最新ホワイトペーパーの深掘り

参加するメリット

• 業界をリードする専門家と交流できる
• ファウンデーションの活動に関与し、未来を形作る
• IIWに向けた関連ディスカッションで事前準備ができる

サンノゼでの現地参加でも、バーチャル参加でも、デジタルアイデンティティ標準の次なるフェーズを共に創る皆さまのご参加をお待ちしています。 

ご注意

• 登録者全員に、ワークショップ前にバーチャル参加用リンクをお送りします
• 本イベントは昼食後の開催で、現地参加者には飲み物と軽食をご用意します
• 現地参加者およびIIW参加メンバーには、Mountain Viewでのイブニングドリンクにもご招待予定です（詳細は追ってご案内します）
• ファウンデーションの「Note Well Statement」はこちらでご確認いただけます。ワークショップ運営の指針となっています

詳細なアジェンダは近日中に公開予定です。今すぐご登録いただき、参加を確定してください！

Eventbriteからご登録をお願いします。

皆さまのご参加を心よりお待ちしております！

SSF/CAEPとSTIX/TAXIIのセキュリティ領域における働きの違い

Shared Signals Framework WG Contributor, Apoorva Deshpande, Okta

サイバーセキュリティの領域には、組織がセキュリティ情報を共有して活用する方法に、役割は異なる極めて重要な二つのフレームワークがあります。それは、Continuous Access Evaluation Protocol（CAEP）を含むShared Signals Framework（SSF）と、Structured Threat Information eXpression（STIX）を伝送するために構築されたTrusted Automated eXchange of Indicator Information（TAXII）プロトコルです。

どちらもセキュリティ体制の強化を目的としていますが、基本的な設計思想の違いにより適した利用シーンが分かれます。SSF/CAEPは継続的認証とリアルタイム応答が求められる高速な領域で優れている一方、STIX/TAXIIは包括的な脅威インテリジェンス共有と詳細な調査のための標準です。

根本的な違いは、想定する目的と基盤となるアーキテクチャにあります。CAEPを備えたSSFは、継続的かつ動的なアクセス判断を可能にするために、セキュリティイベントをリアルタイムで通信するよう設計されています。これに対して、TAXIIプロトコル上で伝送されるSTIXは、広範な状況を記述するための豊富で詳細な言語を提供し、綿密な分析や調査を目的としています。

これらの標準を救急外来（ER）に例えて考えてみましょう：

• SSF/CAEPは、患者からのリアルタイムの心電図信号のようなものです。「心拍数が低下している」といった即座で具体的な通知を送信し、アラーム音、コードブルー、除細動器の使用といった緊急対応を要求します。
• STIX/TAXIIは、患者の詳細なカルテと調査用ライブラリのようなものです。患者が誰であるか、検査結果、遺伝的背景（指標と脆弱性）について、豊富な履歴的・予測的な分析を提供します。資料室にあるキャンペーン（一連の攻撃行動）とTTP（Tactics（戦術）, Techniques（技術）, and Procedures（手順）情報には、疾病と基礎疾患に関する研究データが収蔵されています。医師は、この情報を用いて根本原因を診断し、治療計画を策定します。

SSF/CAEP：アクティブセッションの番人

SSF/CAEPの中核は、標準化されたセキュリティイベントを送信するために汎用的なWebhookを使用したリアルタイム、イベント駆動型、パブリッシュ・サブスクライブモデルで動作します。SSFは、送信者と受信者がCAEPイベントの形でデータを交換する方法を定めています。そして、受信者へのプッシュ機能や、ポーリングメカニズムによるデータ交換を可能にします。つまり、重要なイベントが発生した際、送信者（アイデンティティプロバイダー、モバイルデバイス管理システムなど）は、そうした更新情報の受信をサブスクライブしている受信者（アプリケーション、VPNゲートウェイなど）に対して、即座にシグナルを発行できるということです。これにより、オープンな標準を使用して真の相互運用性を実現し、顧客の環境内の様々なシステム/ベンダー間のセキュリティサイロを橋渡しすることができます。セキュリティイベント共有システムは、いずれかのシステムによって検出されたリスクや脅威から顧客のアイデンティティを保護するのに役立ちます。

 SSFとCAEPは、OpenID FoundationのShared Signals Working Groupにて検討が進められている別々の仕様であり、現在積極的に開発が進められています。

継続的認証の判定にどう寄与しているのか：

このイベント駆動型の性質により、SSF/CAEPは継続的認証とアクセス制御において非常に有用なものとなっています。SSF/CAEPはセッション開始時の一回限りの認証チェックではなく、継続的で動的なリスク評価を可能にします。初期認証後もアクセスの継続的な評価を行うことで、「決して信頼せず、常に検証せよ」というゼロトラストの原則を実現します。実際の動作は以下の通りです：

• セッション無効化： 例えば、ユーザーの認証情報が漏洩し、脅威インテリジェンスシステムによって検出された場合、そのシステムは直ちにsession-revokedイベントを発行できます。ユーザーがログインしているすべてのアプリケーションがこのシグナルを受信し、ほぼリアルタイムでセッションを終了させ、更なる不正アクセスを防止できます。
• 認証情報変更： ユーザーがパスワードや多要素認証（MFA）方式を変更した際、credential-changeイベントが送信されます。機密性の高いアプリケーションは、重要な操作を許可する前に、ユーザーに再認証を求めたり、利用可能な機能を制限したりできます。
• デバイス準拠性変更： ユーザーのデバイスが突然セキュリティ/コンプライアンスポリシーに非準拠となった場合（例：マルウェアの検出、セキュリティ設定の無効化など）、CAEPイベントがトリガーされ、問題が修復されるまでそのデバイスからのアクセスを制限またはブロックできます。
• リスクと保証レベルの変更： 新しい異常な場所からのログインなど、ユーザーのリスクプロファイルに突然の変化があった場合、アクセス権限を動的に調整するイベントがトリガーされます。例えば、より低い信頼レベルに移行され、機密度の高いデータへのアクセスが制限される場合があります。 

SSF/CAEPの働き：リアルタイム執行の推進

SSF/CAEPイベントは、ログファイル内でじっくりと分析されることを意図したものではありません。これらは迅速に自動化されたアクションを実行するトリガーとなるよう設計された、優先度が高い一方で揮発性のあるシグナルです。取り込めば、これらのイベントはIAMインフラをリアルタイムに支える原動力となります。

• アクセス制御エンジンへの直接投入： CAEPイベントは、アイデンティティプロバイダー（IdP）、ゼロトラストネットワークアクセス（ZTNA）ソリューション、API、ビジネスにクリティカルなアプリケーションなど、アクセスを許可または拒否するシステムに直接ストリーミングできます。これにより、session-revokedイベントがネットワーク全体でユーザーのセッションを即座に終了させることが可能になります 。
• リスク計算インフラストラクチャへの投入： これらのシグナルは、ユーザーの信頼スコアを動的に調整するためにリスクエンジンに送り込むことができます。例えば、device-compliance-changeイベントは、アイデンティティのリスクプロファイルを即座に上昇させ、問題が解決されるまで機密データへのアクセスを自動的に制限できます 。

STIX/TAXII：脅威調査のためのアーキビスト

SSF/CAEPの即時性、セッション重視の性質とは対照的に、STIX/TAXIIは包括的な脅威インテリジェンス共有のための堅牢なフレームワークとして機能し、オブジェクト間の相互関係を作り出すSTIXの「Domain」、「Cyber」、「Relationship」オブジェクトタイプのモデルを持っています。TAXIIは伝送メカニズムであり、脅威データがどのように交換されるかを定義し、STIXはそのデータを構造化するために使用される言語です 。

STIXとTAXIIは、OASIS Cyber Threat Intelligence Technical Committee（CTI TC）によって管理される、独立しつつも補完関係にある標準です。この非営利コンソーシアムは、グローバル情報社会のためのオープン標準の開発、収束、採用を推進しています 。

どのように調査に寄与しているのか：

STIXは、サイバー攻撃の「誰が、何を、いつ、どこで、どのように」を記述するための豊富で詳細な表現力を持ちます 。これには以下が含まれます：

• 脅威アクター： 敵となるグループの詳細なプロファイル（動機、能力、典型的な標的を含む）
• キャンペーン： 時間をかけて組み立てられた悪意のある活動に関する情報
• 侵害指標（IoCs）： 悪意のあるIPアドレス、ファイルハッシュ、ドメイン名など、侵害を特定できる特定のアーティファクト
• 戦術、技術、手順（TTPs）： 攻撃者が使う方法に関する記述（しばしばMITRE ATT&CKなどのフレームワークにマッピングされる）
• マルウェア： 悪意のあるソフトウェアの詳細な分析
• 脆弱性： 攻撃者によって悪用されるソフトウェアの弱点に関する情報
• 関係性： すべてを結び付けるオブジェクト（例：脅威アクターAPT29がSolarWindsキャンペーンでマルウェアSUNBURSTを使用）

STIXには、他の標準やカスタムイベントからの追加情報を収容するための「拡張」という概念もあります。振る舞い指標（Indicators of Behavior：IoB）と協調的且つ自動化された対処行動およびオペレーション（Collaborative Automated Course of Action and Operations：CACAO）は、拡張を使用してSTIXバンドル内に適合し、アクションプレイブック、修復アクションをbase64文字列として埋め込み、関連する侵入やキャンペーンに関するより多くの情報を含めます 。

このインテリジェンス中心のモデルにより、STIX/TAXIIはセキュリティオペレーションセンター（SOC）、脅威ハンター、インシデント対応者にとって非常に価値のあるものとなっています。TAXIIは、クライアントとサーバーがSTIXデータを交換するためにどのように通信するかを定義します。ハブアンドスポークモデル（一つの中央リポジトリ）やピアツーピアモデル（複数のグループが相互に共有）など、様々な共有モデルをサポートしています ：

• 侵害後フォレンジクス： セキュリティインシデント後、調査担当者はSTIX形式のインテリジェンスを使用して攻撃の全容を理解し、攻撃者のTTPsを特定し、他のどのシステムがリスクにさらされているかを判断できます 
• 脅威ハンティング： セキュリティアナリストは、STIXレポートに記述されたIoCsとTTPsを自社ネットワーク内で能動的に捜索し、隠れた脅威を発見することが可能です
• セキュリティアラートの充実化： セキュリティツールがアラートを生成する際、STIXデータで充実化することで、アナリストに潜在的な脅威のより完全な姿を提供し、より情報に基づいた対応を可能にします 
• 戦略的脅威インテリジェンス： STIXデータで構造化された脅威インテリジェンスの長期的な傾向を分析することで、組織は脅威の状況をより良く把握し、セキュリティ投資と防御についてより戦略的な決定を下すことができます。 

STIX/TAXIIの運用：セキュリティ分析を強化する

CAEPイベントが即時行動のトリガーとなる一方で、TAXII/STIXフィードは、セキュリティ分析と脅威検知能力を大幅に高める深いコンテキストを提供します。

• SIEMプラットフォームへ：SIEMはTAXIIを用いて脅威インテリジェンスフィードを取り込み、外部ソースのコンテキストでセキュリティログを強化できます。これにより、表面上は軽微な内部アラートを、既知のグローバル脅威アクターのTTPsと相関させ、低レベルのイベントを即座に高優先度インシデントへとエスカレーションできます
• SOARおよび脅威インテリジェンスプラットフォーム（TIP）へ：セキュリティオーケストレーション／自動化／レスポンス（Security Orchestration, Automation, and Response：SOAR）プラットフォームに取り込まれると、STIXのインジケーターは自動的にプレイブックを起動できます。例えば、新たに判明した悪性のIPアドレスを、人手を介さず企業全体のファイアウォールブロックリストに追加するといった動作です

本質的に、SSF/CAEPとSTIX/TAXIIは競合関係ではなく、相互補完的な技術です。理想的なセキュリティアーキテクチャにおいては、アクティブなセッションを保護するための迅速かつ戦術的な意思決定にSSF/CAEPを、常に変化する脅威の状況を把握し防御するために必要な深く戦略的なインテリジェンスを提供するためにSTIX/TAXIIを、双方活用します。 

行動喚起

Shared Signalsワーキンググループは、これらの標準を橋渡しする可能性を実現するため、STIXおよびTAXIIの実装者と協働できることを楽しみにしています。OpenID Foundationは、OASIS、FS-ISAC、その他のパートナー各位と連携し、私たちのコミュニティが両アプローチの橋渡しによる利点を享受できるよう支援していきます。共に、組織やサイロをまたいで相互運用する、より安全なアイデンティティとセキュリティの基盤の採用を進めましょう。 

このビジョンを実現するには、これらの補完的な標準を相互運用させる実践的な方法を模索することが必要です。例えば、STIXメッセージをSSFインフラ上で伝送し、セキュリティイベントに即時のコンテキストを付与する、といった形です。逆に、CAEPイベントをTAXII上で提供し、さらなる分析のためのアイデンティティ関連アクションとして扱うこともできます。この相互運用性により、即時の強制力と分析的コンテキストが融合し、セキュリティ価値が高まります。これによって、あるエコシステムのアラートが別のエコシステムでのアクションに結びつき、障壁が取り払われ、応答性の高いセキュリティエコシステムが実現できるでしょう。

追加リソース

• OIDF 仕様と概要
• Shared Signals WG ホームページ: 
  https://openid.net/wg/sharedsignals/
• SS リソースガイド: 
  https://sharedsignals.guide/
• ブログシリーズ:
  https://openid.net/shared-signals-framework-the-blueprint-for-modern-iam-part-1-of-4/
  https://openid.net/juggling-with-fire-made-easier-provisioning-with-scim/
• STIX & TAXII 関連資料
• https://oasis-open.github.io/cti-documentation/
• https://www.cloudflare.com/learning/security/what-is-stix-and-taxii/

OIDFがOpenID for Verifiable Presentationsのセキュリティ分析結果を受領

OpenID Foundationは、Digital Credentials API（DC API）上で使用されるOpenID for Verifiable Presentations（OpenID4VP）の包括的なセキュリティ分析が完了したことを発表できることを喜ばしく思います。これは、OpenID4VPとDC APIを組み合わせた初めてのセキュリティ分析であり、仕様が7月に最終版となる前に潜在的なセキュリティ脆弱性を検出し、軽減することが可能となりました。

この分析は、シュトゥットガルト大学情報セキュリティ研究所の研究者によって、実績のあるWeb Infrastructure Model（WIM）手法を用いて実施されました。この手法は、OIDFプロトコルの厳密で数学的なセキュリティモデリングの実績に基づいており、研究者とOIDFワーキンググループ間の双方向のやり取りを通じて、プロトコルが期待されるセキュリティ特性を充足することを保証しています。なお、この手法はOpenID Connect、FAPI 1.0、FAPI 2.0、OAuth 2.0など、他のOpenID Foundation標準の分析にも適用されてきたものです。

このアプローチはこれまで、いくつかの仕様群に影響を与えた最近の責任ある開示のように、潜在的な攻撃ベクターをプロアクティブに特定し軽減してきました。

この研究の範囲の一環として、シュトゥットガルト大学は、Digital Credentials APIと組み合わせたOpenID4VP仕様の形式モデルを提示し、関連するセキュリティ特性を特定して形式化し、それらのセキュリティ特性に対する形式的な証明を成功裏に完了しました。

これらの証明は、数学的な仮定と形式モデリングの範囲内でプロトコルのセキュリティを確認するものです。重要な点として、検証プロセス中に新たな脆弱性は特定されませんでした。

分析の範囲と目的

主な目的は、DC API上でOpenID4VPを使用することで、「クレームの偽造不可能性」という基本的なセキュリティ保証を提供できることを示すことでした。簡単に言えば、攻撃者が正当な発行者からのものであるかのように見せかけた偽のクレームを、検証者に受け入れさせることができないことを証明するという意味です。

この分析は、プロトコルレベルのセキュリティに焦点を当てたアプローチを採用しており、クロスサイトスクリプティングや暗号実装の脆弱性などの攻撃ベクターは意図的に除外されています。これらはプロトコル仕様の範囲外であり、他のセキュリティ対策によって対処するものです。

厳格な手法

WIM分析は、網羅性を担保するシステマチックな3段階のプロセスに従います。まず、研究者は仕様で明示的に禁止されていない、可能性のあるすべてのプロトコル実行をカバーする詳細な数学的モデルを作成します。このモデルは、さまざまな信頼関係を持つ任意の数の参加者を考慮し、すべての可能なやり取りのパターンで、複数のプロトコルを同時並行で何度も実行することを想定しています。

次に、仕様に記載された目標に基づいて、正確なセキュリティ特性を定式化します。最後に、これらのセキュリティ特性が可能性のあるすべてのプロトコル実行シナリオで成り立つことを示す数学的証明を提供します。

セキュリティ対策継続へのコミット

この作業は、OpenID Foundationが2023年10月に完了した「OpenID for Verifiable Credentials」に関する最初の包括的なセキュリティ分析に続くもので、これらの重要な仕様に対する信頼性を高めることを目的としています 。

以前の調査も同じくWIM手法を使用しました 

Digital Credentials Protocols ワーキンググループ (DCP WG)は、OpenID4VP+DC APIに関するこのセキュリティレポートを受け入れ、学術研究者と標準開発者の間の協力的なアプローチを継続しています。過去の分析で実証されたように、DCP WGは関連するフィードバックを現在の仕様バージョンに組み込み、実装者のための堅牢なセキュリティ基盤を確保しています。

このレポートの完全版は、実装者や広範なコミュニティによるレビューのために、DCP WGのホームページでこちらから入手できます

専門家の見解

シュトゥットガルト大学の学術研究チームは次のように述べています。

「OpenID Foundationとのもう一つの実り多い協力に感謝し、影響力の高い標準の分析における今後の共同作業を楽しみにしています」

また、OpenID FoundationのDCP WGの共同議長であるKristina Yasuda氏は次のように述べています。

「プロアクティブなセキュリティ分析は、潜在的なギャップが実装者やエンドユーザーに影響を与える前に特定するために重要です。学術研究者と密接に協力することで、厳密な形式モデルで仕様を検証し、プロトコルのセキュリティ保証を強化し、OpenID4VPとDC APIがエコシステムが頼りにする信頼と確実性の提供を確保できます」

OAuth Security Workshopの創設者であるDaniel Fett氏は次のように述べています。「OpenID Foundationがウェブプロトコルの形式分析を標準ツールとして採用するのを見ることは素晴らしいことです。通常の専門家レビューを超えて、形式分析は隠れた脆弱性を発見し、根本的な仮定に挑戦する効果的な手段であることが繰り返し証明されています」

OpenID Foundation Chairmanの崎村 夏彦氏は、「仕様が最終版に近づく段階でセキュリティ分析を行うことを標準的な進め方として確立することは不可欠だ」と述べています。

現在の導入状況と今後の展望：「mDL Day『Voices of the Future』パネル」

2025年7月14日、OpenID FoundationのエグゼクティブディレクターであるGail Hodges氏は、Federal Mobile Driver's License (mDL) Industry Day | GSAで開催された「未来の声」パネルディスカッションのモデレーターを務めました。このパネルには、米国の5つの州のリーダーと米国自動車管理者協会（American Association of Motor Vehicle Administrators (AAMVA)）の代表が参加し、それぞれの州でモバイル運転免許証（Mobile Driver's License (mDL)）導入が推進されるユースケースや「幸福」について議論しました。

米国でデジタルアイデンティティの実現に取り組む州政府関係者

パネリストには、mDLの発行と普及の最前線にいる州の関係者が含まれていました（敬称略）：

• Christine Nizer - メリーランド州運輸省自動車管理局長官および知事付高速道路安全代表
• Ajay Gupta -カリフォルニア州自動車管理局デジタル変革最高責任者
• Brett Young -ジョージア州運転免許サービス局イノベーション・技術担当次長
• Lori Daigle -米国自動車管理者協会アイデンティティ管理アウトリーチ・教育プログラムマネージャー
• Ashley Hall -バージニア州自動車管理局上級プロジェクトマネージャー
• David Knigge -アリゾナ州運輸省自動車部門モダナイゼーションディレクター

米国では、州がデジタル身分証明書の発行において中心的な役割を果たしています。これらの州は、州住民に優れたユーザー体験を提供することの最先端にあり、堅牢なデジタルアイデンティティ・インフラの力を理解しています。

納得性の高い活用事例と今後の展望

州およびAAMVAのパネリストたちは、mDL/mIDの発行者として、最前線での経験を語りました。彼らは、旅行時にTSA（運輸保安庁）のチェックポイントでmDL提示するだけに留まらない、すでに地域社会で広まっている幅広い活用事例を共有しました。

• 州のウェブサイトや給付金にアクセスするためのログインおよびステップアップ認証としての利用。
• Skippie （特定のプログラム名）
• モバイル運転免許証確認による警察官と住民の時間節約（通常15〜20分かかる検問が5分に短縮される。手続きが早く終わることで、住民も警察官も速やかに道路に戻れ、事故などの危険にさらされる時間が減り、命を守れる可能性が高まる）。
• イベント会場での利用 （例：メリーランド州のメリーウェザー・ポスト・パビリオン、mDLを導入したロサンゼルスの最初のアリーナ数か所、2028年ロサンゼルスオリンピックでの利用見込み）。
• NIST NCCoEのモバイル運転免許証プロジェクトとその第一段階で実証された銀行口座開設のような金融サービスでの活用

パネリストたちは全体的に、mDL（モバイル運転免許証）の受け入れが加速する見通しに楽観的でした。小売業者、政府機関、そして一般市民がこの技術に徐々に慣れ、日常生活で経験するにつれて、幅広い用途での普及も加速すると考えています。

ある講演者は次のように述べました：「私たちは『幸福』を目にしています - 住民たちがmDLを使用する見通しに喜びを感じているのです。」この「幸福」の一部は、アプリの評価で測ることができます。例えば、カリフォルニア州自動車局（CA DMV）のウォレットアプリは、Appleのアプリストアで4.8/5の星（8万5千人のユーザー）を獲得しています。

米国の州で進む具体的な導入と発行

パネリストたちは、mDLの勢いは本物ので、この技術は「すでにここにある」もので、いま採用が急速に拡大していると強調しました。

• これまでに500万件以上のmDLが発行済み（AAMVA）
• 2025年7月時点で、米国18州が標準に準拠したモバイル運転免許証を発行。年内にさらに多くの州で開始が見込まれる
• 米国住民の40%が、mDLを提供する州に居住
• TSAは主要な250超の空港でmDLの対応を有効化。今後さらに拡大予定

OpenID FoundationのエグゼクティブディレクターであるGail Hodges氏は次のように述べました。「こちらの専門家パネリストは、各州でモバイル運転免許証を安全に発行するための現場の最前線で働いており、この新技術が州民、そしてすべてのアメリカ人にとって確実に機能するよう取り組んでいます。OpenID Foundationは、これらのパネリストのような市場をリードする発行者や思想的リーダーと協働できることを嬉しく思います。また、OpenID Foundationのグローバルなオープン標準が、セキュリティ、相互運用性、そして国内・グローバル双方のスケールに関する彼らの厳格な要件を満たすことを確実にしていきます。」

市場の背景：この取り組みの緊急性

モデレーターとしてのGail氏の冒頭発言は、世界コミュニティが直面するリスクの重大さを示しました。

• マイクロソフトのセキュリティ部門グローバル責任者であるVasu Jakkal氏によると、世界のサイバー犯罪産業規模は9.2兆ドルに達します。「これは世界にどれほどのコストを強いているのでしょうか？」これはGDP第3位の国に相当し、どの国よりも急速に成長しています。
• 米国会計検査院（GAO）の推計によると、2018年から2022年のデータに基づく米国連邦政府の詐欺による年間損失は2,330億から5,210億ドルです。「連邦政府のどの分野も詐欺から免れていません...この問題の規模を考えると、政府全体でのアプローチが必要です。」
• 米国の金融機関は2,120億ドル相当の疑わしい活動を報告しました。これは、米国金融犯罪取締ネットワーク（FINCEN）が行った、アイデンティティに関連した疑わしい活動または我々のアイデンティティ・インフラの脆弱性に関連した金融犯罪の分析したものです。

モバイル運転免許証を含むデジタルアイデンティティ・インフラが、こうした持続的で拡大する攻撃を軽減し、米国の住民と企業をより良く保護する上で重要な役割を果たせる、という希望があります。

パネリストについて

Christine Nizer氏は、2015年8月にメリーランド州運輸省自動車管理局（MVA）長および知事付高速道路安全代表に任命されました。それ以前は、MVA副局長および中央業務・安全プログラム担当副局長として8年以上勤務しました。また、メリーランド州公共サービス委員会、メリーランド州議会、国土安全保障局でも管理職を歴任しました。

Ashley Hall氏は、バージニア州自動車管理局（DMV）のシニアプロジェクトマネージャーであり、州の先進的なMobile IDプロジェクトを主導しています。DMVで20年以上のプロジェクト管理経験とPMP資格を持ち、Mobile Service Unitsの開発から写真なしIDカード（Photoless Identification Cards）の導入まで、幅広い革新的な取り組みを監督してきました。

Ashley氏はVirginia Techで文学士号、Virginia Commonwealth Universityで行政学修士号を取得しています。2022年以降、AAMVA共同モバイル運転免許証小委員会のメンバーとして、デジタルアイデンティティの国家標準やベストプラクティスの策定にも貢献しています。 

バージニア州のMobile IDは現在ソフトローンチ段階にあり、今夏中に本格展開が予定されています。展開時には、TSAチェックポイント、バージニアDMVサービス、バージニアABCストア、バージニア州警察および地元警察、特定のカジノの5つの主要なユースケースが含まれ、州内の住民に安全で便利なデジタルIDを提供します。 

Ajay Gupta氏は、2020年2月に最高デジタルトランスフォーメーション責任者に任命されました。Gupta氏は、DMVを現代的な組織に変革するためのビジネスおよび技術改革を主導しています。2019年からはDMVディレクターの特別顧問も務めています。

州政府に加わる前は、KPMGのマネージングディレクターとして、州各部門向けのレガシー変革、技術革新、マネージドサービスの提供をリードしました。Gupta氏は27年以上の公共部門経験を持ち、CGI Inc.、Visionary Integration Professional Inc.、Deloitte LLP、Tata Consulting Servicesでカリフォルニア、テキサス、ハワイの州部門に従事しました。 

Gupta氏はDelhi College of Engineeringで電気工学の学士号、UC Davisでマーケティングおよび情報技術のMBAを取得しています。また、PMP、CSPO、Cloud Practitioner、Enterprise Architectの資格も保有しています。 

ジョージア州ドライバーサービス局のイノベーション・技術担当副局長補佐であるBrett Young氏は、2001年から同局に勤務し、さまざまな役割を歴任しています。現在は、情報技術、イノベーション＆戦略、プログラム管理部門を統括しています。

以前はプログラム管理室長のディレクターも務めました。規制プログラムの管理、運営プロセスや手順の策定、ドライバープログラムのビジョン確立、運転免許発行システムの継続的改善などに携わりました。また、近代化プロジェクトやカード製造調達、ジョージア州のライセンスを3つのデジタルウォレットに導入するなどの実績もあります。 

Brett氏は現在、AAMVAカードデザイン標準小委員会のメンバーであり、以前はAAMVA自動運転車ベストプラクティスワーキンググループにも所属していました。 

Knigge氏は、テクノロジー分野で40年以上の経験を持ち、経営層からコンサルタント、ITプロジェクト実行まで幅広い役割を担ってきました。過去20年以上は主に自動車業界で、特にDMVビジネスに専念しています。

現在、Knigge氏はアリゾナ州自動車部門（Arizona Department of Transportation, Motor Vehicle Division（AZ MVD））の自動車モダナイゼーション部長として、IT組織を率い、技術支援を担当しています。AZ MVDは、社内開発の最新クラウドベースソリューションを全面展開し、コアシステム、ポータル、IDソリューションなどを備えています。 

AZ MVDの開発技術には、mDL/デジタルID機能やAIを活用した多くの機能が含まれています。 

Lori Daigle氏は、2023年11月にAAMVA Identity Management Teamにプログラムスペシャリストとして加わりました。現在は、mDLエコシステムに焦点を当て、Relying Partyへのアウトリーチとエンゲージメント強化に取り組むプログラムマネージャー（アウトリーチ・教育担当）を務めています。

Lori氏は、Identiverse Conference（2024）、International Association of Police Chiefs Mid-Year Conference（2024）、UL Payment Summit（2024）、Identity and Access Forum（2024）、Mortgage Brokers Association Conference（2024）、Identity and Payments Summit（2025）、Fime Innovation Days（2025）、および複数のAAMVA地域会議で発表経験があります。また、Secure Technology AllianceのJumpstart mDLワーキンググループにも積極的に参加しています。 

現職以前は、コロラド州自動車管理局（DMV）で約9年間勤務し、運転免許部門のディレクターを務めました。さらに、Northern Colorado AIDS ProjectとAlliance for Suicide Preventionという2つの非営利団体の代表も歴任し、サウスカロライナ州サマービルのPinewood Preparatory Schoolで高校のマーケティング、マネジメント、心理学を教え、「Teacher of the Year」にも選ばれました。