IIWレポートからみるID業界で話題のMCP

Transcript

1. IIWレポートからみるID業界で話題のMCP 2025/06/20 富士榮 尚寛 OpenIDファウンデーションジャパン代表理事 OpenID Foundation eKYC and Identity

   Assurance WG共同議長

2. 自己紹介 デジタルアイデンティティ分野で約20年の経験を持ち、大手自動車製造業のグローバルID基盤に関するコンサルティ ング～PMなどを歴任。 2018年よりOpenIDファウンデーション・ジャパンの理事に就任、KYC WGを設立。2020年1月より米国OpenID FoundationにてeKYC and Identity Assurance Working

   Groupの設立および共同議長に就任。2021年6月 よりOpenIDファウンデーション・ジャパンの代表理事に就任。 某CTCで研究部門の責任者を務める。某大学様とは複数分野で共同研究中（トラスト、AI） 各種役割 OpenIDファウンデーション・ジャパン代表理事/KYC WG発起人 米OpenID Foundation/eKYC&Identity Assurance WG共同議長 日本ネットワークセキュリティ協会/デジタルアイデンティティWG, ISOリエゾン デジタル庁/Trusted Web関連プロジェクト構成員 某大学で研究員とか客員教員とか 富士榮 尚寛（ふじえ なおひろ） Copyright © 2025, Naohiro Fujie, All Rights Reserved 2
3. None

4. IIW recapとAI Agent その他、気になる動き 本日のお話し 4 Copyright © 2025, Naohiro

   Fujie, All Rights Reserved

5. 毎年4月と10月にマウンテンビューのコンピューター歴史博 物館で開催されるアンカンファレンス（40回目！） ここ最近はVC周りが多かったが、今回はMCP/AI Agent 関係が多かった 前日にはOpenID Foundation Workshopも開催。MIT研究者 と共同で進めているAI+Identity のWhitepaperについて言及あり

   IIW（Internet Identity Workshop） recap 5 Copyright © 2025, Naohiro Fujie, All Rights Reserved

6. 「デジタルアイデンティティのすべて」 原題：Learning Digital Identity 日本語版がオライリーより出版 （2024年12月） OpenIDファウンデーションジャパン の有志で翻訳 著者はIIWの主催者の一人、 Phil

   Windley（→） ついでに宣伝 6 Copyright © 2025, Naohiro Fujie, All Rights Reserved

7. IIWでは色々とMCP関連の議論が行われたが、先行して 以下のリソースが世に出ていたので、こちらを前提に議論 が進んだ MCP Specification 2025-03-26（認可の部分） https://modelcontextprotocol.io/specification/2025-03- 26/basic/authorization Aaron/OktaのBlog https://aaronparecki.com/2025/04/03/15/oauth-for-model-context-

   protocol IIWの話に行く前に 7 Copyright © 2025, Naohiro Fujie, All Rights Reserved

8. 認可はあくまでオプションとしての位置付け 対応する場合は以下の標準のサブセットを利用 OAuth 2.1 IETF DRAFT OAuth 2.0 Authorization Server

   Metadata (RFC8414) OAuth 2.0 Dynamic Client Registration Protocol (RFC7591) 利用するGrant Type エージェントを利用するのが人間の場合はcode flow エージェントを利用するのが人間ではない場合はclient credentials flow MCPサーバが認可サーバを兼ねるような実装を想定しているが、 外部の認可サーバへの委任するケースも想定 MCP Specification 2025-03-26のポイント 8 Copyright © 2025, Naohiro Fujie, All Rights Reserved

9. MCP仕様にOAuthをよりよく適用する方法を提案 MCPサーバを認可サーバとリソースサーバの役割に分離する MCPクライアントから認可サーバのディスカバリにRFC8414（認 可サーバメタデータ）ではなくRFC9728（保護リソースメタデー タ）を利用する UIを持たないMCP認可サーバへの考慮として外部IdPとのID 連携を利用する MCPクライアントを事前にMCPサーバに登録しておけないので 動的クライアント登録を利用する AaronのBlogのポイント

   9 Copyright © 2025, Naohiro Fujie, All Rights Reserved

10. https://modelcontextprotocol.io/specification/202 5-06-18/changelog Classify MCP servers as OAuth Resource Servers, adding

    protected resource metadata to discover the corresponding Authorization server. (PR #338) • A protected MCP server acts as an OAuth 2.1 resource server, capable of accepting and responding to protected resource requests using access tokens. • An MCP client acts as an OAuth 2.1 client, making protected resource requests on behalf of a resource owner. サポートする標準にProtected Resource Metadataが明記 • OAuth 2.0 Protected Resource Metadata (RFC9728) と思ったらMCP Specが6/18に更新 10 Copyright © 2025, Naohiro Fujie, All Rights Reserved

11. AI AgentがAPIにアクセスする際の認可に関する議論 OAuthのような既存のフレームワークを当てはめるための正 しい方法について（AaronのBlogの発展） 誰がOAuth Clientなのか。AI Agent？MCP Server？ リソースは何なのか。API？MCP Server？

    Agent to Agentのユースケースの場合はどうするのか？ Agentへの問い合わせ時のコンテキストをどのように判定 し扱うのか？ IIWでのAI Agentに関する議論Overview 11 Copyright © 2025, Naohiro Fujie, All Rights Reserved

12. AI Agent≒Browser（User-Agent）とする例 12 Copyright © 2025, Naohiro Fujie, All Rights

    Reserved

13. AI Agent≒Browser（User-Agent）とする例 13 Copyright © 2025, Naohiro Fujie, All Rights

    Reserved BrowserとAI Agentは同じ 役割で良いの か？ MCP Clientか ら見るとAI Agentはクラ イアント？ MCP Server がアクセスす るAPIから見 るとMCP Serverはクラ イアント？ MCP Clientか ら見るとAI Agentはクラ イアント？ 他のAI Agent がAI Agentに アクセスする Agent to Agentのシナ リオは？ AI Agentと MCP Clientを 提供するプレ イヤーは同 一・別々？ MCP Clientと MCP Server の提供するプ レイヤーは同 一・別々？

14. 誰のAgentを誰がどうやって使うのか？ 誰のAgent：自分のAgent、他人のAgent 誰が使うか：自分、他人、他人のAgent どうやって使うか：明示的な問合せや指示、能動的な提案を受ける AI Agentに関するパターンと前提 14 Copyright © 2025,

    Naohiro Fujie, All Rights Reserved 利用先 1st party agent 3rd party agent 利 用 元 1st party Ex. ChatGPT 現在の議論の中心はこちら MCPの議論もこちらが中心 コンテキストに応じた返答はできるのか？ 3rd partyの意図・意思の反映はできるの か？ 1st party agent 自律的な強化学習？ UI抜きの包括同意 自律的なコミュニケーション？ コンテキストに応じた返答はできるのか？ むしろ他の部分の方が 気になってしまうが 答えはまだない

15. コミュニケーションのパターンを細分化してみる 15 Copyright © 2025, Naohiro Fujie, All Rights Reserved

    ターゲット 人 エージェント 自分 他人 自分 他人 ソース 人 自分 自問自答 問い合わせ パーソナルアシスタント。 ChatGPTなど 自動応答 他人 問い合わせ 自問自答 自動応答 パーソナルアシスタント。 ChatGPTなど エージェント 自分 能動的な提案 自律的な問い合わせ 自律的な強化学修 自律的な問い合わせ 他人 自律的な問い合わせ 能動的な提案 自律的な問い合わせ 自律的な強化学修 現在の議論の対象はごく一部。今後の検討対象は多岐に渡ることがわかる。

16. Delegated Authority / On Behalf Ofに関する議論 2月のOSW（OAuth Security Workshop）@レイキャビクでDADE CGの

    Dean Saxe、eKYC&IDA WGのMark Haine、George Fletcherが中心に議 論開始 IIW、EICでも継続的に議論 シナリオは異なるが本質は同じ DADE（Death and the Digital Estate）：死後、リソースへのアクセスを委譲 eKYC&IDA：法人と個人の関係性の定義（Authority Claims） AI Agent：エンティティの代理となるAgentへの権限を委譲 誰かに何かを頼む 16 Copyright © 2025, Naohiro Fujie, All Rights Reserved
17. None

18. Shared Account Medical Personal Assistants Parental Fiduciary Legal General Family

    Support AI Specific Delegated Authority / On Behalf Of 18 Copyright © 2025, Naohiro Fujie, All Rights Reserved

19. Digital Account Management Financial Digital Assets Digital Content and Intellectual

    Property Online Business Assets Digital Communication Personal Data Protection Virtual Presence Management Gaming and Virtual World Digital Service Management Delegated Authority / On Behalf Of 19 Copyright © 2025, Naohiro Fujie, All Rights Reserved DADE（Death and Digital Estate）コミュニティ グループの議論対象

20. OpenID Connect for Agents（OIDC-A）1.0の提案 https://subramanya.ai/2025/04/28/oidc-a-proposal/ AIIM CG爆誕！（2025/06/18） Artificial Intelligence Identity

    Management その他、気になる動き 20 Copyright © 2025, Naohiro Fujie, All Rights Reserved

21. 2025/04/28 提案 OpenID Connect Core 1.0を拡張、OAuth 2.0エコシス テム内でLLMベースのエージェントを表現、認証、認可する ためのフレームワークを提供。エージェントのIDの確立、エー ジェントのアテステーション検証、委任チェーンの表現、そし

    てエージェント属性に基づくきめ細かな認可を実現するた めの標準的なクレーム、エンドポイント、プロトコルを定義 エージェント情報を含むIDトークンを発行、RPが検証する OpenID Connect for Agents 21 Copyright © 2025, Naohiro Fujie, All Rights Reserved

22. エージェントのID、委任、および機能を表すための標準クレーム エージェントのアテステーションのメカニズムと形式（RFC9711 Entity Attestation Tokenを推奨） 委任チェーンを表現および検証するためのプロトコル エージェント機能とアテステーションをサポートするための検出メカ ニズム エージェント固有のユースケースに適した認可フレームワーク アテステーション検証と機能検出のためのエンドポイント

    OpenID Connectを拡張 22 Copyright © 2025, Naohiro Fujie, All Rights Reserved

23. エージェントのアイデンティティに関するクレーム agent_type, agent_mode, agent_version, agent_provider, agent_instance_id 委任と権限に関するクレーム delegator_sub, delegation_chain, delegation_purpose,

    delegation_constraints 能力、信頼とアテステーションに関するクレーム agent_capabilities, agent_trust_level, agent_attestation, agenct_context_id エージェントに対応した標準クレーム 23 Copyright © 2025, Naohiro Fujie, All Rights Reserved

24. { "iss": "https://auth.example.com", "sub": "agent_instance_789", "aud": "client_123", "exp": 1714435200, "iat":

    1714348800, "auth_time": 1714348800, "nonce": "n-0S6_WzA2Mj", "agent_type": "assistant", "agent_model": "gpt-4", "agent_version": "2025-03", "agent_provider": "openai.com", "agent_instance_id": "agent_instance_789", "delegator_sub": "user_456", "delegation_purpose": "Email management assistant", エージェント情報を含むIDトークンの例 24 Copyright © 2025, Naohiro Fujie, All Rights Reserved "agent_capabilities": ["email:read", "email:draft", "calendar:view"], "agent_trust_level": "verified", "agent_context_id": "conversation_123", "agent_attestation": { "format": "urn:ietf:params:oauth:token-type:eat", "token": "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9...", "timestamp": 1714348800 }, "delegation_chain": [ { "iss": "https://auth.example.com", "sub": "user_456", "aud": "agent_instance_789", "delegated_at": 1714348700, "scope": "email profile calendar" }

25. Internet Identity WorkshopでもMCPをはじめとするAI Agentと認可の話題で持ちきりだった 登場人物が既存のOAuthとは異なるが、シナリオを絞っ て適用を試みる活動が活発化している OAuthのみならずOpenID Connectの拡張に関する提 案も行われている OpenID

    Foundationに新たなコミュニティ・グループが組 成されて活動が開始されようとしている まとめ 25 Copyright © 2025, Naohiro Fujie, All Rights Reserved