Authlete は先進的なデジタルバンクの API セキュリティを支えています
ふくおかフィナンシャルグループ傘下の新銀行として設立された『みんなの銀行』 は、デジタル起点で発想しゼロベースで設計された、次世代のデジタルバンクです。口座開設から ATM 入出金、振込などすべてのサービスを、24 時間 365 日、スマートフォン上で完結できる、全国のデジタルネイティブ世代に向けた新しい銀行として、お金とのもっとシンプルでフレンドリーな関係の実現を目指しています。
目的
すべてをつなぐ API
みんなの銀行では、B2C 事業としてバンキングサービスを提供しており、 B2B2X 事業としての BaaS (Banking as a Service) も提供に向けて動き始めています。 どちらのサービスにおいても、API は必須の技術要素でした。
B2C事業(バンキングサービス)はスマホ完結のデジタルバンクであり、モバイルアプリからのリクエストを処理するバックエンド API が必要になります。
一方の B2B2X 事業(BaaS) においても、パートナー企業との連携を実現するのは API です。 さらには、サードパーティへの API 提供による「オープンバンキング」の実現も、視野に入れています。
オープン標準の採用
API の認証・認可の技術には、OAuth 2.0 / OpenID Connect (OIDC) を採用しました。 サービス基盤の技術要素については、一般的に使われている手法を選定することが基本方針であり、REST (Representational State Transfer) スタイルの API での認証・認可の技術としては、OAuth / OIDC が標準であると認識していたからです。
またオープン API 提供にあたっては、Financial-grade API (FAPI) が今後の業界標準になることを見込み、対応を進めています。
課題
金融サービスを支えるセキュリティ
みんなの銀行はすべてのサービスをデジタルチャネルを通じて提供しています。 そのため、技術要素としての API も、「デジタルサービスとしての銀行業」の要件に応える必要がありました。 具体的には、金融サービスに向けた API セキュリティの確立です。
そこでは、FAPI をはじめとする OAuth / OIDC 標準の進化に追随する必要がありました。それら最新の標準仕様の実装は、独自で対応するには相応の技術と時間が必要であり、それに適したサービスを利用するほうが現実的と考えました。
24 時間 365 日のサービス稼働
セキュリティ要件を満たすための方法として、他の API セキュリティソリューションの導入も検討に挙がりました。しかしながら、サービス運用基盤として選定していた Google Cloud との親和性を重視しました。
ほぼ 24 時間 365 日稼働できる環境を、Google Cloud の東京・大阪リージョンを用いて構築したにも関わらず、 API セキュリティの要となるソリューションが外部のリージョンや別のクラウドサービス事業者で稼働してしまうことは、 サービスの可用性の観点からは受け入れづらいものでした。
短期間でのサービスリリース
みんなの銀行のサービス基盤構築に許容された期間は、ゼロからのコアバンキングシステム開発としては、非常に短いものでした。 そのため API セキュリティ機能の実装も、短期間で行う必要がありました。
みんなの銀行 デジタルサービスマネジメントグループの稲倉直也氏は当時を振り返ります。
「構築開始から 2 年弱でのサービスインを実現するというスケジュールの下、 API セキュリティ機能は、預金や振込などの基本機能と共に、 最初の MVP (Minimum Viable Product) に含まれていました。 与えられた開発期間は約 7 ヶ月です。この中で、OAuth 2.0 をベースとする API 認可基盤と、 銀行としての勘定系システムを、同時に実装する必要がありました。」
株式会社みんなの銀行 デジタルサービスマネジメントグループ稲倉直也氏
なぜ Authlete?
サービス基盤との統合性
みんなの銀行は Authlete を採用しました。決め手となったのは、同行のデジタルバンキング基盤との統合性です。
ふくおかフィナンシャルグループのシステム子会社で、みんなの銀行のシステムを開発・運営しているゼロバンク・デザインファクトリーにおいて、テクニカルリードを務める家壽田雅史氏は、次のように話します。
「みんなの銀行のサービスは、基本的には Google Cloud を中核に据えて作っていくのが前提でした。 その上で、必要となるソリューションについては、Google Cloud との親和性が一番出るものを選定していきました。 その結果、API 管理基盤として Apigee を選定し、その Apigee との接続性から Authlete を採用しました。」
また、Authlete のクラウド版は Google Cloud を用いて提供されており、Authlete をマネージドサービスとして活用しつつ、みんなの銀行の他のサービスと同様に国内リージョンに収めることが可能である点も、運用負荷低減の観点から歓迎されました。
ゼロバンク・デザインファクトリー株式会社 テクニカルリード家壽田雅史氏
FAPI への準拠レベルの高さ
みんなの銀行では当初から FAPI 認定の取得を将来の目標にしていましたが、これを自身で実施することは期間・費用の面から容易ではありませんでした。また、取得後に維持し続けるためには相当の労力が必要となることも想定されました。
Authlete は選定当時から FAPI を業界に先駆けてサポートしていました。さらにそれが製品として正しく動作し、確実にテストされている、ということも、みんなの銀行が高く評価した点のひとつでした。
効果
基盤要件の充足
Authlete の採用により、当初の要件はすべて満たされました。 Authlete は DR 構成を備えたサービスとして、Google Cloud 国内リージョンにて稼働しています。 そして自行内での運用ではなく、マネージドな Authlete API を利用することにより、短期間でのサービス開発を実現しました。
技術力への信頼
Authlete を選定した結果、実は当初想定していなかった効果が、 API セキュリティの各種仕様を読み解く手間が軽減されたことであると、 家壽田氏は指摘しています。
「Authlete が提供しているガイダンスや記事は、非常に理解しやすいと感じています。 Authlete のこの API を叩くとこういうレスポンスで、ここがこうなっているんだ、というのが書かれていて、なるほどね、っていう。 実際に使うものをベースに書かれているので、技術者にとってすごく理解しやすく、大変助かっています。もしこれが無かったら、仕様を全部読み解いて、通信フローを自分たちで組まなくてはならなかったでしょう。」
世界水準のオープンバンキングへ
みんなの銀行では現在、BaaS 向け API 基盤における FAPI の実装・展開を進めています。 みんなの銀行 執行役員 CIO の宮本昌明氏は次のように語っています。
「そもそも、ゼロバンク・デザインファクトリーを設立したのが、将来を見据えた基盤をゼロから構築するためでした。 FAPI は今後、当然満たさなければならない規格になります。ゼロから作る段階で準備しておけば、後々楽になると考えています。」
株式会社みんなの銀行 執行役員 CIO宮本昌明氏
API セキュリティの中核を担うソリューションとして、 Authlete は引き続き、みんなの銀行の先進的なデジタルバンキングサービスの拡充に貢献していきます。