この記事のポイント
- FIDO AllianceがAgentic Authentication Technical Working Groupを新設し、GoogleはAP2、MastercardはVerifiable Intentを寄贈しました。エージェント認証はパスキーと同じ標準化トラックに乗りました。
- Visa、Amex、PayPal、Stripe、Adyen、Cloudflare、Microsoft、Oktaが参画し、決済巨人・IDプレーヤー・クラウドインフラが揃った構成は、業界統合フェーズの号砲を意味します。
- 4月28日のUCP評議会拡大と並行する動きであり、EC事業者は2026年下期にFIDO仕様準拠の認証実装を計画に組み込む必要があります。
エージェント認証がパスキーと同じトラックに乗った日
The FIDO Alliance today announced initiatives to develop interoperable standards for agentic interactions and commerce.
www.businesswire.com2026年4月28日、FIDO AllianceがAgentic Authentication Technical Working Groupの発足を発表しました。同時に、GoogleがAgent Payments Protocol(AP2)を、MastercardがVerifiable IntentフレームワークをFIDOへ寄贈することも明らかにされています。AP2はこれまでGoogle主導でCloudflare、Coinbase、Salesforceらが参加してきた仕様ですが、ここで中立的な標準化団体の手に渡ったことになります。
この発表が業界に与える衝撃は、単に「ワーキンググループが1つ増えた」という話ではありません。FIDO Allianceはパスワードレス認証の世界標準であるWebAuthn・パスキーを生み出した組織であり、その同じ団体がエージェント認証を引き受けたという事実は、AIエージェントが行う取引が「パスキーと同じレベルで標準化される対象」になったことを意味します。本稿ではこの再編が具体的に何を解こうとしているのか、参画企業の構成が示すシグナル、そしてEC事業者が次に取るべき一手までを整理します。
なぜ既存の認証モデルでは足りないのか
今日の認証・認可モデルは、人間が直接サービスにアクセスすることを前提に設計されています。ユーザーがブラウザでログインし、自分の指でクリックして決済を完了する——この流れの中でWebAuthnやOAuthが機能してきました。
ところがAIエージェントが代理で動く世界では、前提が崩れます。エージェントはユーザーの代わりにアカウントへサインインし、商品を選び、決済まで実行します。その瞬間、サービス側は本質的な問いに答えられなくなります。「いま操作しているのは本当に正規のエージェントか」「そのエージェントは本当にユーザーから委任されたか」「許可された範囲・金額・期間を超えていないか」——FIDO Allianceがリリース文の中でVerifiable User Instructions、Agent Authentication、Trusted Delegation for Commerceの3つを掲げたのは、この問いに対する直接的な答えです。
リリース文の中で引用されたMcKinseyの試算では、エージェンティックコマースは2030年までに世界で5兆ドル規模に達するとされています。仮にこの数字の半分でも実現するなら、認証の空白を放置したまま市場は拡大できません。Riskifiedが先日公表した「代理購買トラフィックの55%が誤って拒否されている」というデータが業界に突きつけた課題は、まさにこの認証空白の経済的コストでした。今回のFIDOの動きは、その課題への明確な業界応答です。
寄贈された2つの仕様 — AP2とVerifiable Intent
新設されたPayments Technical Working GroupはMastercardとVisaが共同議長を務め、初期のテクニカル貢献として2つの仕様が乗っています。
Googleが寄贈したAgent Payments Protocol(AP2)は、エージェントによる決済を「セキュアな委任・検証可能な認可・信頼できる取引実行」という3層モデルで定義する仕様です。詳細はAP2(Agent Payments Protocol)の解説記事で取り上げていますが、要点はユーザーが事前に「何を、いくらまで、どの条件で買ってよいか」を暗号学的に署名された形でエージェントに委任し、加盟店・カード会社・PSPがそれを検証できる構造を持つ点にあります。
Mastercardが寄贈したVerifiable Intentは、これと連携して動くフレームワークです。Mastercardの最高デジタル責任者Pablo Fourez氏のコメントが端的にまとめています。「エージェント主導のコマースが拡大するには、ユーザーの意図が明示的・検証可能・信頼可能でなければならない」——Verifiable Intentが提供するのは、決済エコシステム全体が共有できる「ユーザー意図の記録」です。AP2が決済プロトコルそのものを定義するのに対し、Verifiable Intentはその上に乗る「意図の証明レイヤー」として機能します。
GoogleのStavan Parikh氏(VP/GM, Payments)の発言も重要です。「AP2を信頼ある業界団体に寄贈することで、プロトコルがオープンで、プラットフォーム非依存で、コミュニティ主導であり続けることを保証する」——これはAP2の所有権の放棄宣言です。GoogleがA2AをLinux Foundationに寄贈した2025年6月の判断と完全に同じ路線で、「AIエージェントの配線規格は特定ベンダーが囲い込むものではない」という業界合意を再確認するシグナルになっています。
参画企業の構成が示すシグナル
新ワーキンググループの議長・副議長・参画企業の顔ぶれを並べると、ここで起きていることの規模感が見えてきます。
Agentic Authentication Technical Working Groupの議長はCVS Health、Google、OpenAIから、副議長はAmazon、Google、Oktaから選ばれています。Payments Technical Working Groupの議長はMastercardとVisa。さらに参画する顔ぶれには、American Express、PayPal、Stripe、Adyen、Cloudflare、Microsoft、Oktaが名を連ねています。
この構成を読み解くと3つの軸が浮かび上がります。決済巨人(Visa、Mastercard、Amex、PayPal、Stripe、Adyen)、IDプレーヤー(Okta、Microsoft、Google)、クラウドインフラ(Cloudflare、Microsoft、Google)——この3本柱が同じテーブルに揃ったことは過去に例がありません。WebAuthnの初期にGoogle・Microsoft・Appleが揃ったときと同じ構造で、業界横断の標準化が成立する条件が整ったと見るべきでしょう。
CVS HealthとOpenAIが議長に入っている点も興味深いポイントです。CVSは「規制の厳しい医療領域でのエージェント認証」のユースケースを持ち込み、OpenAIは「エージェントを実装する側」の代表として議論に参加します。理論だけの仕様ではなく、実装と運用の両方から仕様が磨かれる体制です。
UCP評議会拡大との連動性
このタイミングで見逃せないのが、4月28日に発表されたUniversal Commerce Protocol(UCP)評議会の拡大です。Amazon、Meta、Microsoftらが評議会へ合流し、UCPはコマース層の事実上の標準として地位を固めつつあります。UCPの詳細はUniversal Commerce Protocolの解説で扱っていますが、ここで重要なのは2つの動きが並行して起きていることです。
UCPが「エージェントとEC事業者の間のコマース層」を担うのに対し、FIDOの新ワーキンググループが「エージェントとユーザー・サービスの間の認証層」を担います。この役割分担はエージェンティックAIプロトコル一覧でも整理しましたが、認証層の標準化はこれまでベンダー独自の方式が乱立していた領域です。FIDOがそこに公式に乗り出したことで、コマース層と認証層の両方が「中立団体が所有する標準」へ揃ったことになります。
業界統合フェーズの号砲、と表現できる構図です。これまでGoogle、Anthropic、OpenAI、Stripe、Visa、Mastercardといったプレーヤーがそれぞれ独自仕様を出してきましたが、4月最終週に同時並行で評議会への合流と標準化団体への寄贈が起きたのは偶然ではないでしょう。各社が「自社仕様で囲い込む段階」から「共通基盤で市場を拡大する段階」へ意図的に移行したと読むのが自然です。
EC事業者が備えるべき認証実装ロードマップ
この標準化の動きは、EC事業者にとって他人事ではありません。FIDO Allianceの仕様策定は通常、ドラフト公開から本番運用まで12〜18ヶ月のサイクルで進みます。今回のワーキンググループも「すでに作業を開始した」とリリース文に明記されているため、2026年下期から2027年前半には初期仕様が固まると想定すべきです。
事業者側で押さえるべきは3点あります。1点目はエージェントトラフィックの識別です。Riskifiedの55%拒否データが示す通り、現状は人間とエージェントが区別できないために誤拒否が起きています。FIDOが定義するAgent Authentication仕様が固まれば、加盟店は「これは正規のエージェントか」を技術的に判定できるようになります。
2点目は認可スコープの設計です。Verifiable User Instructionsの仕様は、ユーザーが「いつ・どこで・いくらまで・何回まで」エージェントに権限を委ねるかを明示的にコード化することを求めます。事業者は受け取った委任情報をどう解釈し、どこまで実行を許すかのポリシーを社内で先回りして整理しておく必要があります。
3点目は既存パスキー実装との連続性です。FIDOの強みは、エージェント認証を新規発明するのではなく、既存のWebAuthn・パスキーの基盤の上に積み上げる点にあります。すでにパスキーを導入済みの事業者は、その延長線上でエージェント認証へ移行できる可能性が高い設計です。逆にパスキー対応が遅れている事業者は、ここで二重の遅延を抱えることになります。
エージェントとIDの全体像についてはエージェンティックAI識別スタックの主要ベンダー解説もあわせてご覧ください。FIDO仕様が固まる前から、Okta、Microsoft、Auth0などが先行ソリューションを提供しています。
まとめ
FIDO AllianceによるAgentic Authentication Technical Working Groupの新設、AP2とVerifiable Intentの寄贈、そして決済・ID・クラウドインフラ各社の参画——4月28日に同時発表されたこの一連の動きは、エージェント認証が「実験段階」から「標準化フェーズ」へ移行したことを示します。
押さえておくべきは3点です。エージェント認証はパスキーと同じトラックに乗り、中立団体が所有する公開標準になったこと。UCP評議会拡大と並行する動きであり、コマース層と認証層の両方が業界統合フェーズに入ったこと。そして2026年下期から2027年前半に初期仕様が固まる前提で、事業者は今のうちにパスキー実装と認可ポリシーを整理しておく必要があること。
WebAuthnが定着するまでに要した時間を思い返すと、エージェント認証も同じ道を辿る可能性が高いでしょう。違うのは、その道のりが圧倒的に短いことです。AIエージェントが日常の購買を担う2027年は、もう手の届くところまで来ています。
