IDエコシステム発展のためOpenID FoundationとCloud Signature Consortiumがパートナーに

OpenID Foundationは、Cloud Signature Consortium（CSC）との新たに協力関係を結んだことを発表できることを喜ばしく思います。これは、デジタル資格情報およびクラウドベースの署名の標準化において重要な前進を示しています。

OpenID Foundationは、安全で相互運用可能かつプライバシーを保護するアイデンティティ標準を作成するグローバルコミュニティを主導しており、一方でCloud Signature Consortiumは、ウェブおよびモバイルアプリケーションをサポートし、世界中の厳しい電子署名規制に準拠するクラウドベースのデジタル署名の標準を構築しています。

このパートナーシップは、EUデジタルIDウォレット（EUDIウォレット）プロジェクトのような重要な取り組みを支援するための統一された相互運用可能な標準規格の作成のため、2つのリーダー組織が結びついたものです。

デジタルアイデンティティの基盤強化

デジタルアイデンティティソリューションが官民両方のセクターの運営においてますます中心的になるにつれ、その導入を成功させるためには、一貫性があり相互運用可能な標準規格が不可欠になっています。

OpenID FoundationのDigital Credentials Protocols (DCP) Working Group とCSC技術委員会とのこの協力は、クラウドベースのデジタル署名と資格情報提示（Credential presentation）プロトコルがシームレスな連携を強化します。

このパートナーシップは、欧州各国の政府がEUDIウォレット構想を進めている中で特に時宜を得たものです。この構想は、デジタルアイデンティティの検証と電子署名に対して、堅牢で標準化されたアプローチを必要とします。技術仕様を整合させることにより、次世代アイデンティティソリューションのためのより強固な基盤が作られています。

分断を避け、影響を最大化する

競合する標準を並行して開発するのではなく、両組織は協調した開発の価値を認識しました。この協力は、技術的な重複を防ぎつつ、資格情報の発行や検証からクラウド環境での安全な電子署名に至るまで、デジタルアイデンティティのユースケースを包括的にカバーすることを保証します。 

「OpenIDファウンデーションの認証情報提示プロトコルとCSCのクラウド署名標準との相乗効果は、デジタルアイデンティティエコシステムに強力な可能性を生み出します」と、CSC技術委員会の議長であるLuigi Rizzo氏は述べています。 

 「このパートナーシップにより、EUDIウォレットや同様の取り組みを実施する組織は、シームレスに連携する成熟した相互運用可能な標準規格を利用できるようになるでしょう。」 

業界にとっての意味

この協力によって開発された両仕様は、政府の法律、規制、および民間セクターのポリシーにより無料で参照可能になります。 

 このオープンなアプローチは、ユーザー、企業、政府のすべてに役立つ真にグローバルなデジタルインフラを確立するという共通のビジョンをサポートします。 

このパートナーシップは、アイデンティティ分野における標準仕様開発の新しいモデルを提示するものであり、組織の境界を越えて相互運用性とユーザーエクスペリエンスを優先します。 

 2つの組織がこれらの重要な仕様に協力して取り組むことで、より接続性が高く安全なデジタルの未来に向けた技術的基盤を構築しています。 

デジタルウォレットの実装、資格情報管理システム、または電子署名ソリューションに取り組むアイデンティティの専門家にとって、この協力は、標準規格が競合するのではなく協調して機能する、成熟しつつあるエコシステムを示唆しています。 

 その結果、最も厳しい規制要件を満たしながらグローバルに拡張できる、より堅牢で相互運用可能なソリューションが生まれるでしょう。 

CSCについて

Cloud Signature Consortiumは、クラウドにおける高い安全性と法規制に準拠したデジタル署名の標準化を推進することに尽力する、産業界、政府、学術機関からなるグローバルなグループです。 

 EUのeIDASの厳格な要件に着想を得て、私たちの共通の技術仕様は、ソリューションの相互運用性を容易にし、電子署名規制への準拠を合理化し、世界中でクラウドベースのデジタル署名を統一的に採用するための市場をオープンにします。

国家主権と相互運用性のバランスを取る

OIDFがデジタルアイデンティの未来に関するクリティカルな議論をリード

IGF 2025では、発展途上国および後発開発途上国が包括的なデジタルトランスフォーメーションを達成するための道筋を探っています。

先日、ノルウェーのリレストレムで開催されたInternet Governance Forum（IGF）2025では、発展途上国および後発開発途上国（DLDCs）が直面する最も緊急の課題の1つとして、how can digital identity interoperability be balanced with national sovereignty?（デジタルアイデンティティの相互運用性を国家主権とどのように調和させるか）というテーマで議論を行いました。

 このワークショップは、AfICTA、the Sustainable and Interoperable Digital Identity (SIDI) Hub、ノルウェー税務局、およびノルウェーデジタル庁が共同で主催し、アフリカ、アジア、ヨーロッパから政策立案者、技術専門家、市民社会関係者を招集して、今日の主権の真の意味と、それを尊重するデジタルアイデンティティシステムをどう設計するかについて議論しました。

 この議論を主導し、貢献する中で、OpenID Foundationは包括的なデジタルアイデンティティソリューションをグローバルに推進することへの取り組みを紹介しました。

グローバルな原則から各地での実践へ

このワークショップは、OpenID Foundationの事務局長であり、SIDI Hubの共同オーガナイザーでもあるGail Hodges氏が司会を務めました。彼女は、データ、インフラ、政策における国家の自主性を強化しながら、国境を越えて機能するデジタルアイデンティティシステムの重要性を強調して議論を開始しました。

 これを補完する形で、OpenIDファウンデーション・ジャパン代表理事である富士榮 尚寛氏が、OID4VCI/VPのような国際標準仕様を用いた日本の業界を横断する教育資格連携の経験から、重要な技術的知見を提供しました。また、富士榮氏は、Apple IDのウォレット機能でマイナンバーカードを利用可能にした日本の最近の取り組みや、欧州連合およびアジア諸国との二国間関係についても言及しました。富士榮氏の貢献は、ナレッジトランスファー、国際標準仕様の実装、二国間関係における日本のアプローチが、相互運用可能なデジタルアイデンティティシステムを導入しようとするアフリカ諸国にとって再現可能なモデルを提供できることを示しました。

 同様に、ノルウェー政府のデジタル担当ディレクターであるTor Alvik氏は、ノルディックおよびバルト諸国がNobidアライアンスに参加して国境を越えたデジタルアイデンティティを推進する中で得た知見や、デジタルアイデンティティのアーリーアダプターとして直面した課題について詳しく説明しました。彼らの現実的な地域でのアプローチと学びは、同様の目標を達成しようとするアフリカの仲間たちにとっても価値あるものとなるでしょう。

誰も取り残されない社会の基盤としてのデジタルアイデンティティ

 このセッションでは、専門家パネルの議論から浮かび上がったいくつかの基本原則が強調されました：

誰も取り残されない社会（包摂性）の基盤としてのデジタルアイデンティティ

このセッションでは、専門家パネルの議論から浮かび上がったいくつかの基本原則が強調されました：

デジタルアイデンティティは包括性への入り口

デジタルアイデンティティが認識されなければ、個人はデジタル上で「見えない存在」となり、経済的にも疎外され、銀行、教育、医療、移動といった基本的なサービスにアクセスすることができません。ナイジェリアの出生時に発行される国民識別番号（NIN）のような早期登録戦略を実施している国々は、長期的な包摂性を確保し、アフリカのデジタル格差を埋めるための堅牢な住民登録システムがどのように構築できるかを示しています。

デジタルアイデンティティの成功は国や地域によって平等ではありません。そのため、ナイジェリアやSIDI Hubのような先進国・地域、先進的なマルチステークホルダープロジェクトからのベストプラクティスを共有することが、すべての法域とその住民に利益をもたらすためのギャップを埋める助けとなります。

国境を越えた相互運用性は地域経済統合に不可欠

国内、地域、または世界的なデジタルアイデンティティの相互運用性は、自然に実現できるものではありません。持続可能で拡張可能な成果を実現するためには、法域内および法域を超えたステークホルダーによる一貫性のある集中した努力が必要です。

 アフリカ大陸自由貿易圏（AfCFTA）がその潜在能力を最大限に発揮するためには、国境を越えたシームレスな本人確認によって、人・モノ・サービスの自由な移動を可能にしなければなりません。したがって、デジタルアイデンティティシステムはAfCFTAのデジタル貿易の手順に組み込まれる必要がありますし、地域全体に広げていく設計図をつくるにあたっては各国の成功事例を取り入れるべきです。これらの知見は、アフリカ内のECOWASプロジェクトや、アフリカ外のノルディックおよびバルト諸国のNobidプロジェクト、EUデジタルアイデンティティウォレット、日本の二国間関係などから得ることができます。

相互運用可能な枠組みの中で国家主権を維持する必要がある

各国は、自国民のデータを管理するために、強力なデータ保護法、堅牢な信頼フレームワーク、および規制の整合性を必要とします。このバランスを取るためには、持続的な政治的意志、制度的な取り組み、そしてアフリカ諸国間のデジタル化の準備状況の違いを認識した上での個別対応が求められます。

 SIDI Hubのような取り組みは、各法域が自国の政策とグローバルなベストプラクティスと比較してギャップを特定するのと助けます。政策と技術スタックに対する慎重かつ一貫したアプローチを通じて、アフリカを含むすべての法域が国内の主権を守るという目標を達成し、アフリカ全体や国際的な貿易において各国が持つ目標や願望を実現することができます。

 地域モデルとグローバルな教訓

AfICTAのDr. Jimson Olufuye博士は、アフリカが国連グローバルデジタルコンパクトの形成において戦略的な役割を果たすことを強調し、主権と包摂性の原則がAfCFTAの枠組みの下でのデジタルアイデンティティの展開において中心的であるべきだと述べました。

ベナンの経済・財務省のDr. Kossi Amessinou博士は、「C'est Moi」イニシアティブを紹介しました。これは、政府が発行する身分証明書で、市民に無料で提供されるもので、政策目標と包括性の目標の両方に貢献しながら、ECOWAS地域内での相互運用性を維持する国家主導の革新の具体例です。

ナイジェリアの国家身分証明書機関（NIMC）のAbisoye Coker局長は、同国の統合されたNINCと、国内、地域、グローバルレベルでのデジタルIDの相互運用性に向けた取り組みを詳述し、SIDI Hubの信頼フレームワークマッピングのようなイニシアティブの重要性を強調しました。

ノルウェー政府行政・電子政府庁のSubject DirectorであるTor Alvik氏は、バルト諸国およびスカンジナビア地域におけるデジタルIDの地域協力から得られた教訓を共有し、北欧からの視点を提供しました。これには、法的独立性を維持しつつ、共通インフラの協力を可能にする信頼に基づく成功モデルも含まれています。

SIDI Hubがもたらす世界的なインパクト

Secure Identity AllianceのDebora Comparin氏は、45以上の国々と協力して、持続可能で、オープンかつ相互運用可能なデジタルアイデンティティのソリューションを共同開発するというSIDI Hubのミッションの概要を説明しました。難民の身元確認、デジタル教育資格、銀行口座開設などのユースケースにおけるSIDI Hubの取り組みは、国家主権を設計段階で組み込みながら、実践的な実装が大陸を超えて展開できることを示しています。

Debora氏は、これまでに達成された成果（ここで紹介）と今後の計画について強調しました。これには、アフリカカップ/オリンピックの「チャンピオンユースケース」のためのデジタルアイデンティティ相互運用性参照アーキテクチャ、およびデジタルアイデンティティ信頼フレームワークマッピングを拡大するためのツールが含まれています。

今後に向けた実践アプローチ

ワークショップでは、進展を加速させるための具体的なステップが特定されました。

• ナイジェリアやその隣国など、高度なシステムを持つ国々の間で地域的な相互運用性のパイロットプロジェクトを推進し、国境を越えた機能性に関する実践的な考察を提供し、実装上のギャップを特定することが重要であること。すべての登壇者は、国や地域がこのような実践的な行動を取ることの価値を認識していました。

• 国際標準を取り込んだ国家政策および実装は、国家主権の尊重、信頼フレームワークのマッピング、地域・グローバルなアイデンティティプロトコルとの互換性を確保しつつ、国内・地域・グローバルでの相互運用性の迅速な実現すること

• 地域間または法域、さらにグローバルにわたるトラストフレームワークのマッピングは、人や貿易の国境を越えた移動に不可欠。SIDI Hubが10の管轄区域の信頼フレームワークを調査し、共通の価値観や特徴にマッピングする取り組みは、既存のデジタルアイデンティティ実装の整合だけでなく、次にくる法域

域が自国の政策をマッピングし、ギャップを特定し、現在のベストプラクティスに基づいてそれらを改善するのに役立つこと

• 公共と民間の協力による市民キャンペーンを組み合わせることで信頼が築かれ、交通割引、医療アクセス、金融サービスなどの実用的な応用を通じて現実的な価値が示されること

標準化リーダーシップによる前進の維持

セッションの締めくくりとして、SIDI Hubの今後の活動、特にオープンスタンダードの推進、相互運用性を実現するリファレンスアーキテクチャの策定、信頼フレームワークのマッピング、マルチステークホルダーの連携に対する強い支持が示されした。OpenID Foundationが調整役および技術面で貢献していることは、標準化団体がグローバルなデジタルIDの普及と相互運用性の進展に大きな役割を果たせることを証明しています。

デジタルアイデンティティシステムが国境を越えた貿易、教育、金融包摂の基盤インフラとなる中で、IGF 2025で示された協働アプローチは、相互運用性と主権が両立することを保証するための設計を提供します。

適切な標準、ガバナンス、パートナーシップにより、発展途上国や最貧国も、世界とつながりながらも地域で管理できるデジタルアイデンティティシステムを形成できます。

SIDI Hubとノルウェー、日本、アフリカのパートナーとの間で、アフリカ自由貿易圏の導入に向けた進展の摩擦点を共同で解決する方法を見つけるための作業が進行中です。

このワークショップの成果は、アフリカおよびそれ以外の地域での政策と技術の実装に反映され、包括的なデジタル変革に必要な標準開発と国際協力を促進する上でOpenID Foundationが重要な役割を果たし続けるでしょう。

このブログ記事は、近日中に完全な報告書とともに更新予定です。

AIのアイデンティティ管理について話し合いましょう

共同議長：Atul Tulshibagwale（SGNL）、Tobin South（WorkOSおよびスタンフォード）、Jeff Lombardo（AWS）

先日終了したIdentiverseカンファレンスにおいて、AWSのJeff Lombardo氏の提案により、参加者の数名がAIに関連するさまざまなセキュリティ提案について議論するために集まりました。

これまで、AIとアイデンティティのコミュニティは、個別に発展してきました。このような断絶は、プライバシー、セキュリティ、相互運用性に関する既知の落とし穴を繰り返すリスクがあり、安全で信頼できるAIの展開を加速できるはずの重要な標準の採用を遅らせる可能性があります。既存の標準は、特に権限の委譲、エージェント認証、エージェント間の認可の伝播と委任、およびエージェントの発見とガバナンスに関して、AIエージェントの新たなニーズを部分的にしかカバーしていません。

私たちは、急速に変化する状況に関して議論するための適切なフォーラムが必要であることを認識しました。そこでは、OAuth 2.0のような既存の標準がAIコミュニティの検討を加速するのに役立ち、どのユースケースが重要なパスであるか、そしてAIとアイデンティティ管理が交わる新しい領域において現在のデファクトスタンダードと各種標準のギャップを埋める方法について話し合うことができます。

OpenID Foundationコミュニティグループを作るというアイデアは、単一の標準化団体で主導権を握るという意図ではなく、すでに行われている会話を持ち寄り、それらをさらに進展させる議論をどこでするかを整理するための信頼性の高いオープンなフォーラムとして生まれました。そのため、これらの会話から生まれる議論と成果物は、AIとアイデンティティのフォーラムにおいて、またデファクトスタンダードの取り組みやOIDFなどのオープン標準化団体内で進展している、共有ロードマップと成果物につながるべきであることが合意されました。

私たちは共に、アイデンティティ専門家の知見を活用しながら、既知の落とし穴を回避し、「安全な牧草地（危険や問題のない安全な場所）」への共有パスを見つけつつ、重要なパスとコンセンサスベースのロードマップの提供を加速し、AIコミュニティを支援することを願っています。

控えめに言っても、AIセキュリティに関する提案には何らかの形でアイデンティティに関わるものが膨大にあります。しかし、知的財産権の懸念を心配することなく、利害関係者がこれらの提案やアイデアを自由に議論できる場所は、これまで欠けていました - 今日まで。これを認識し、OpenID Foundation 理事会はOIDFコミュニティグループポリシーに従い、「Artificial Intelligence Identity Management」（AIIM）という名前のコミュニティグループの設立を承認しました。

コミュニティグループとは何か？

OpenID Foundationのワーキンググループ（WG）は、特定の領域の問題に取り組み、仕様書または一連の仕様書や文書の形で成果を提供します。一方、OpenID Foundationのコミュニティグループ（Communiti Group:CG）は、仕様書を作成するのではなく、安全に集まるための場を作ることを明確に目的としています。

エコシステムのギャップ、採用のギャップを特定できる議論を進めるため、または相互に合意されたCG憲章と参加同意書によって全ての議論と成果物が保護されているワーキンググループ間で活動するためです。標準におけるギャップが特定された場合、それらは関連するOIDF WGまたは連携パートナーの標準化団体に持ち込まれます。 

 参加同意書の要件があるため、参加者はOIDFの知的財産によって保護された成果物を自由に議論でき、その成果は全ての人に自由に利用可能となります。AIMコミュニティグループのウェブサイトはこちらで、毎週木曜日の太平洋時間午前9時の通話へのリンクと、新しいAIIM CGの参加同意書もこちらにあります。

AIIM CGの目的

「AIはインターネットの多くの側面に変革をもたらしている...」これがAIIM CGの憲章の冒頭です。 

この変革は、社会的交流、デジタル商取引、金融サービス、そしてより広範な人間とデジタルのインターフェースにまたがっています。しかし、AIシステムが急速に拡大するにつれて、重要な課題が浮上しています。AIとアイデンティティのコミュニティは大部分がサイロ化して発展しています。この断絶は、プライバシー、セキュリティ、相互運用性に関する既知の落とし穴を繰り返すリスクがあり、安全で信頼できるAIの展開を加速できるはずの重要な標準の採用を遅らせる可能性があります。 

私たちは以下のことに取り組みます：

• 現在標準で対応されていないが、対応が必要であり、アイデンティティコミュニティが注力すべき領域を特定する
• 用語に関するコンセンサスを得る
• 主要なプラットフォームベンダーを含む業界の利害関係者と関わる
• 信頼されたパートナー組織が参照したり、業務に活用したりできる「Agentic AIチャンピオンユースケース」を定義する
• アイデンティティに影響を与えるAIに関する政府規制を監視する
• そして、共同議長が作成に取り組むAIホワイトペーパーを作成する 

AIIM CGは、リスペクト、同意によるプライバシー、および相互運用性という中核原則の下で運営され、スケーラブルで包括的、かつ信頼できるAIソリューションをサポートすることを目指します。標準プロトコルを直接開発することはありませんが、OIDF内または連携パートナーシップを通じて将来の標準開発のための不可欠な基盤を築きます。 

AIIM CGの提案者

最初のIdentiverse会議の多くの有識者や、OIDFのAIとアイデンティティホワイトペーパーに取り組んでいる人々は、すでに自主的にこのCG形成を支援するために登録しています。これらの人々は個人の立場で参加や支持を表明しているのであって、その人が所属する会社や組織が公式に支援や関与を約束しているわけではありません。提案者には以下が含まれます（敬称略）：

• Gail Hodges
• Atul Tulshibagwale
• George Fletcher
• Jeff Lombardo
• Tobin South
• Naveen CM
• Aaron Parecki
• Sean O'Dell
• Nancy Cam-Winget
• Mike Kiser
• Alexandre Babeanu

参加すべき理由

AIとアイデンティティに関するアイデアを議論するための安全な場所が必要なら、ここがその場所です。ここでの開発のペースは猛烈なため、多くのノイズが発生すると予想されます。共同議長として、私たちの仕事は、アイデンティティコミュニティにとって本当に重要なことに焦点を失わないようにすることです。リンクの参加同意書に署名して、AIIM CGに参加してください。 

毎週木曜日の太平洋時間午前9時に行われる定期的な週次通話への参加を皆様に歓迎します。詳細については、AIIMコミュニティグループのホームページをご覧ください。また、AIIM CGのメーリングリストに登録することもでき、貢献者である場合は、アイデアを議論するために投稿することができます。OpenID Slackにも、AIIM CG用のチャンネルがあります。 

素晴らしい議論を楽しみにしています！

ノルウェーの医療セキュリティを変革するFAPI 2.0

FAPI 2.0セキュリティプロファイルが、HelseIDサービスという新しいノルウェーの健康ネットワーク（Norwegian Health Network：NHN）で実装されました。
OpenID Foundationは、この安全な医療エコシステムにおける重要な成果を紹介できることを誇りに思います。また、OpenID Foundationは、NHNがOpenID Foundationのメンバーになることを決定したことを共有できることを大変嬉しく思います。

ノルウェーの保健・医療サービス省（the Ministry of Health and Care Services）が管轄するNHNは、e-ヘルス分野における国営のサービスプロバイダであり、医療・介護サービスがすべての地域で効果的に連携するための安全かつ適切なインフラを確保する責任を負っています。

これまで、金融サービス以外ではFAPIがこの規模で採用されたことはありませんでした。HelseIDの取り組みは、各参加者が独自に設定していたセキュリティ基準をやめ、全体で共通の基準を採用する方向に進んだ事例です。この取り組みは、FAPI 2.0プロファイルへの対応が必須の大規模なAPIセキュリティと標準化に取り組むあらゆる分野にとって、貴重な教訓を提供しています。

HelseIDとその重要性

HelseIDは、ノルウェーのすべての医療提供者（国内最大の病院から個人開業医のクリニック、薬局、歯科医院、自治体の保健サービスまで）を統合するNHNが運営する、中央集権型IAMプラットフォームです。国のe-ヘルスサービスを利用するにはNHNへの加入が必要で、誰もが医療サービスを利用できるようにしています。全機能に展開された場合、HelseIDはノルウェーの医療システム全体に対する安全なアクセスをサポートし、最大50,000の医療組織と約600万人のノルウェー国民が使用するソリューションのための、拡張性の高い認証基盤を提供することになります。

歴史的に、ノルウェーの医療セクター内のさまざまなプロジェクトは独自のセキュリティプロファイルを開発しており、要件の断片化とベンダーの重複作業による高コスト構造となっていましたた。HelseIDはこれらの異なるソリューションをFAPI 2.0プロファイル（堅牢なOAuth 2.0およびOpenID Connectベースの標準）に置き換えています。FAPI 2.0に統一することで、HelseIDは機密性、完全性、認証のレベルを高めるだけでなく、成熟したライブラリのエコシステム、適合性ツール、グローバルなベストプラクティスも活用しています。

独自プロファイルからFAPI 2.0を必須へ

この移行は、NHNが実装者とベンダーに課していた独自のセキュリティプロファイルの負担が持続的ではないことを認識したことから始まりました。そしてNHNは、様々な互換性のない実装を続けるのではなく、FAPI 2.0を全面的に採用することを選択しました。標準化が最終的に開発とメンテナンスを合理化し、セキュリティへの信頼を高め、多くの組織を統合する課題を軽減することを知っていたからです。この戦略的な転換には、内部ガイダンスの書き直し、NHNスタッフと外部の実装者の両方のトレーニング、HelseIDの特定のニーズに合わせたクライアントライブラリの開発など、大きな先行投資が必要でした。それにもかかわらず、NHNチームは標準化がコストを大幅に上回る長期的な利益をもたらすという信念を持ち続けました。

急激な変更が重要な医療サービスを混乱させる可能性があることから、NHNはFAPI 2.0を段階的に展開しています。一方ですべての新しいAPIは、FAPI2.0をサポートすることが要求されています。既存のサービスは、ベンダーが新機能をリリースしたり、非推奨通知に対応したりすることで、時間をかけて移行されます。重要なことに、NHNは厳格な「例外なし」のポリシーを採用しました。適用除外は許可されず、ベンダーには非準拠のサービスは将来、段階的に廃止すると通知されました。このアプローチにより、「ビッグバン」切り替えの混乱を避けながら、完全適用が確保され、実装者にとってセキュリティが最優先事項となりました。

セキュリティの拡張と自動適合性テストの効果

100のAPIとそれらにアクセスできる1800のクライアントを視野に入れ、NHNは困難な課題に直面していました。彼らはすべてのRPとアイデンティティプロバイダーがFAPI 2.0の厳密な要件に準拠していることを検証する必要がありました。これまで当たり前だった手動テストは時間がかかり、コストが高く、ネットワークの拡大に追いつくことができません。しかし、自動適合性テストツールの導入で、NHNのセキュリティ運用が変革されつつあります。

実装者とベンダーは合格/不合格の基準について即時にフィードバックを受け取り、開発サイクルを大幅に短縮します。NHN自身のチームもこのツールを使ってアイデンティティプロバイダーをテストし、問題を発見し、ソフトウェアプロバイダーやライブラリ保守担当と協力してコンプライアンスを向上させています。ネットワークが成長するにつれて、テストインフラはセキュリティ人員が比例的に増加することを排除しながら拡張する必要があります。この自動化されたアプローチは、完全なコンプライアンスへの道のりを加速するだけでなく、実装者がより高品質で相互運用可能なFAPI 2.0実装を構築できるようにします。

NHNの自動テストによる現在のアプローチはすでにその実装の品質を向上させていますが、重要なことに、さらに将来を見据えた計画もあります。OpenID FoundationとNHNチームの両組織が、公式な認定と自己認定に関する将来的な協力の可能性を積極的に探っています。NHNは、OpenID Foundationの適合性検証テストの採用を検討することで、グローバルなベストプラクティスに準拠しつつ、セキュリティフレームワークを強化し、コンプライアンスの負担をさらに軽減することを目指しています。

実世界でのセキュリティ向上と変革に対する「なるほど！」の瞬間

FAPI 2.0の価値に関しておそらく最も説得力のある証言は、NHN自身が行ったリスク評価から得られます。ある並行して進行していた医療サービスプロジェクトでは、チームはFAPI 2.0 DPoPオプションと補完的なセキュリティ対策や措置を実装する前に初期評価を行い、その後も評価を繰り返しました。

結果は顕著でした。トークン盗難の可能性と、いかなる侵害の潜在的影響も劇的に低下しました。DPoPにより、盗まれたトークンは完全に使用できなくなります。限られたサブセットへのアクセスを単に制限するのではなく、データへのアクセスを一切許可しません。この脅威の完全な無力化は変革に対する「なるほど！」の瞬間をもたらし、技術チームと組織のリーダーシップに対して、FAPI 2.0への投資が当初予想していたよりも価値があることを強力に示しました。

このような機密データを扱い、600万人の市民にサービスを提供するシステムでは、侵害の可能性と影響のわずかな減少でさえ、実世界での大きな利益に還元されます。

標準化の戦略的価値

独自セキュリティプロファイルは初期の利益をもたらすことができますが、規模が大きくなるとエコシステムを断片化しコストを増大させます。FAPI 2.0を基盤とすることで、NHNは実装コミュニティが既存のオープンソースや商用のクライアント/サーバーライブラリを活用できるようにし、新しい展開ごとに特別なコードを構築する必要性を回避しました。

さらに重要なことに、HelseIDはグローバルなOpenID Foundationコミュニティが共有しているセキュリティに関する情報を得られるという恩恵を受けています。これは、セクターに関係なく類似の実装で発見された脆弱性が開示され修正されることを意味し、危機が公になる前に潜在的なリスクについてNHNに警告します。責任ある開示プロセスに支えられたこの共有責任の仕組みにより、HelseIDのレジリエンスを強化し、あらゆる脅威の可能性を自前で発見しなければならなかったNHNの負担を軽減します。

コミュニティと能力の構築

セキュリティは一度きりのプロジェクトではなく、人、プロセス、テクノロジーを必要とする継続的な取り組みです。NHNはHelseIDを中心に活気あるコミュニティを育ててきました。専用のSlackチャンネルではリアルタイムサポートを提供し、ベンダーが質問をしたり、解決策を共有したり、互いに学び合うことを可能にしています。

学術的なパートナーシップにより、新しい才能と研究が取り入れられ、2人の修士課程の学生がライブラリ開発とドキュメンテーションに貢献し、NHNの能力を強化しています。特に女性のプロダクトオーナーや実装者など、多様な声を取り入れる協調的な取り組みにより、意思決定における幅広い代表性が確保されています。

さらに、NHNはすでにブラジルの銀行エコシステムと経験を共有するための会議を開催しており、ノルウェーの他の公共機関とも緊密に協力しています。これらの交流により、特にOpenID ConnectとOAuth2の使用など、セキュリティが統一された方法でアプローチされ、国境を越えてベストプラクティスが交換されることが保証されています。

NHNがOpenID Foundationに参加する決定は、コミュニティと能力を構築する取り組みのさらなる発展であり、ノルウェーのヘルスケアコミュニティにOpenID Foundationの国際コミュニティへのより大きなアクセスを提供します。これにより、NHNチームはそこから恩恵を受け、自らの経験の恩恵をOpenID Foundationのメンバーや貢献者に還元することができます - 本質的にはより大きなチームを構築することになります。

次の脆弱性への準備

2024年後半、OpenID Foundationに関わるセキュリティ研究者は、HelseIDのDPoP実装における潜在的リスクを示す理論的な脆弱性を発見しました。実際の悪用は発生しませんでしたが、NHNはこの機会を活用してプロセスを改善しました。問題を透明に伝え、クライアントと緩和策の変更を調整し、学んだ教訓を文書化することで、NHNはより緊急な将来の修正に必要な手順を実践しました。

このプロアクティブな姿勢は重要な真実を強調しています：エコシステムは迅速に対応する準備ができていなければなりません。HelseIDが標準化されたプロファイルに準拠しているため、協調的なアップグレードは可能なだけでなく、日常的な作業となります。

HelseIDから他のエコシステムへ - 教訓

HelseIDによるFAPI 2.0の全面的な採用は、堅牢でスケーラブルなAPIセキュリティを求めるあらゆるセクターにロードマップを提供します。成功の鍵には、成熟したコミュニティ支援のプロファイルの選択、明確で強制力のある指令を伴った段階的な移行計画、自動化された適合性テストへの投資、そしてステークホルダーの支持を確保するための具体的なセキュリティ向上の測定が含まれます。

サポートチャネル、学術パートナーシップ、セクター間の対話を通じて協力的なコミュニティを育成することも、継続的な改善に必要な能力と回復力を構築します。

この長い取り組みにおける最後の教訓は、潜在的な危機を集団学習の機会に変えるために、脆弱性と対応準備に関する透明性を受け入れることでした。

HelseIDの先駆者としての旅の結果は、熟考された計画、共有ツール、そしてオープンスタンダードへの揺るぎない取り組みにより、あらゆる規模のエコシステムが顕著なセキュリティ改善を達成できることを示しています。NHNによるFAPI 2.0の採用は、FAPI 2.0プロファイルが患者記録、緊急サービス、そして全国的な健康システムの隅々まで保護する準備ができていることを証明しています。

OpenID Foundationは、この功績に対してNHNを祝福し、他のエコシステムがどのセクターであれ、HelseIDの足跡に続いて、より強力で相互運用可能なAPIセキュリティに向かう道をサポートすることを楽しみにしています。