More Related Content Similar to オープン API と Authlete のソリューション (20) More from Tatsuo Kudo (16) オープン API と Authlete のソリューション3. • API セキュリティの
“B2D” (Business-to-Developer)
SaaS プロバイダー
Who is Authlete?
3
2015/09 🔵 Authlete 社設立
2016/09 🔵 Authlete UK 設立
2016/11 🔵 FINOLAB に入居
2017/03 🔵 FIBC 2017 大賞受賞
2017/05 🔵 Level39 に入居
2017/05 🔵 資金調達(シード)
2017/07 🔵 OpenID Certification 取得
2017/09 🔵 Tech in Asia Tokyo 2017 決勝
2018/02 🔵 資金調達(プレシリーズA)
2018/04 🔵 Draper Nexus B2B Summit 2018 にて IBM 賞受賞
2018/07 🔵 Japan/UK Open Banking and APIs Summit 2018 開催
2018/07 🔵 Financial-grade API (FAPI) サポート
2018/08 🔵 Open Banking Security Profile テスト合格
2019/01 🔵 『OAuth 徹底入門』 監修
2019/02 🔵 CIBA サポート
2019/04 🔵 OpenID FAPI Certification 取得
5. API / Web APIとは
• API
(Application Programming Interface)
– あるソフトウェアが別のソフトウェアに
対して公開する、入出力のための仕組み
• WebAPI
– インターネット標準(HTTP,TLSなど)
を活用してネットワーク越しにデータや
機能を提供するAPI
– 近年はそのWebAPIを“API”と呼ぶ機会
が多くなっている
5
Source: https://www.ibm.com/developerworks/jp/webservices/library/ws-restful/index.html
Source: https://docs.oracle.com/cd/E19651-01/817-5548-10/agj2eres.html
6. 「API / Web API」から「オープンAPI」へ
• APIをサードパーティへ積極的に提供
• 同業他社とインターフェースを共有
して市場を広げ、裏側のサービス品
質を高めて差別化
→ コスト削減・品質向上
• 「思ってもみなかったような新たな
サービス」が生まれる余地
→ イノベーション
6
Source: http://ascii.jp/elem/000/000/312/312546/index.html
Source: https://sec.ipa.go.jp/users/events/events_tokyo_20170310-5.pdf
20. OAuth / OpenID Connect 仕様策定者、金融機関、サードパーティ
(Fintech事業者)、セキュリティ研究者、ソリューションベンダー等が集まり、
金融APIが満たすべきセキュリティ水準のためのOAuth 2.0適用を標準化
金融APIにOAuthをどう使うか
20
• APIセキュリティの要である “OAuth 2.0” は仕様の解釈のブレや実装の不備を生みやすい
→ 不正アクセス発生の原因となることが少なくない
• 従来はAPIを提供する各事業者(金融機関など)がOAuth 2.0適用にかかるセキュリティ対策を行っていた
→ 事業者ごとの独自仕様が乱立してしまっている
• 加えてその「セキュリティ対策」の水準が各社各様である
→ 過剰・冗長なケースや、逆に対策としては有意ではないケースもある
→ 結果的に、API提供事業者が「オープン標準ではない独自仕様」かつ「不十分なセキュリティ対策」をサード
パーティ(API利用事業者)に押し付ける構図になり、サードパーティによるAPI活用の阻害要因になっている
APIセキュリティの課題
Financial-grade API (FAPI)
21. 21
• CIBA Client Initiated Backchannel Authentication
– OpenID Foundation 傘下のWGにて策定中の新たなオープン仕様
より良い顧客体験 の提供とセキュリティ強化へ
23. 23
• 英国:UK Open Banking
https://www.openbanking.org.uk/
• 米国: Financial Data Exchange
https://openid.net/2019/04/02/financial-data-exchange-openid-foundation-take-step-towards-global-standard-for-financial-
data-sharing/
• オーストラリア:Australian Consumer Data Right (CDR)
https://github.com/ConsumerDataStandardsAustralia/infosec
• スロバキア:Slovak Banking API Standard
https://www.sbaonline.sk/Content/files/projects/slovak-banking-api-standard-1_1.pdf
• ハンガリー:MKB Bank (ハンガリー)
https://portal.sandbox.mkb.hu/api-documentation/account-info-1.0
• ニュージーランド:Payments NZ API standards
https://paymentsdirection.atlassian.net/wiki/spaces/PaymentsNZAPIStandards/overview
海外: 複数がFAPIを採用済。さらに各所が検討中
24. 24
• 英国における「銀行API」の共通仕様
– 2018年1月開始
– 英国の競争・市場庁(Competition & Markets
Authority、CMA)が設立した団体が主導
– 大手9行は義務化により、それ以外の銀行は
自発的に採用
– 2019年5月末時点で、サードパーティ事業者
83社、銀行49行が参加
• 参照系・更新系ともに、FAPI Part 2 のセ
キュリティプロファイルを採用
UK Open Banking
Source: https://www.openbanking.org.uk/about-us/news/open-banking-may-highlights/,
https://www.w3.org/2018/Talks/cm-openbank-20181022.pptx
Version 3 Technical Specifications
Introduction
Open Data APIs
• ATM info
• Branch info
• Product info
• Personal Current Accounts
• Business Current Accounts
• SME Lending
• SME Credit Cards
Read / Write APIs
• Account & Transaction Info (‘read’)
• Payment Initiation (‘write’)
• CBPII (‘funds check’)
• Event (‘notifications’)
New in Version 3, launched Sept 2018:
• Covers Redirect and Decoupled Flows
• All payment accounts (incl. credit cards,
wallets, pre-paid)
• Domestic and international payments
• Multi-currency
• Single Immediate, Scheduled, File
Payments
• Confirmation of Funds
Security Profile
• FAPI Profile (redirect)
• CIBA Profile (decoupled)
• Dynamic Client Management
(onboarding)
• Based on OAuth2 and OIDC
• MTLS
• JWS
© Open Banking Limited 2018 3
28. 28
• AuthleteはOpenID
Foundation (OIDF) の
「FAPI 認定プログラム」
開始と同時に認定を取得
• OIDFはこのAuthleteの
設定を「今後認定取得を
行うベンダー向けの参考
情報」として紹介
FAPI 認定を最速取得
Source: https://openid.net/certif ication/, https://openid.net/certification/fapi_op_testing/
31. まとめ
• オープンAPI
– 国内外の様々な分野で活用が進行中
– 金融/Fintech分野ではOAuth/OpenID Connectを
拡張した “Financial-gradeAPI (FAPI)” と “CIBA”
に注目
• Authlete
– FAPI/CIBAにも対応可能なOAuth/OIDC基盤を
シンプルかつセキュアに実現するAPIサービス
31