News

金融グレードAPI構築ソリューションを強化

概要

株式会社 Authlete は、残高照会・ネット決済・仮想通貨取引など、高レベルのセキュリティが要求されるサービスを Web API として公開するためのアクセス認可機能を強化した、Authlete の新バージョンの提供を開始いたしました。併せて、OpenID Connect および FAPI 適合性認定の取得支援を目的としたコンサルティングサービスの提供も開始いたします。

詳細

弊社サービス Authlete は、Web API (以下、API)のセキュリティには欠かせない OAuth 2.0 および OpenID Connect(以下、OIDC) の実装をサポートするクラウド/オンプレミスサービスです。API エコノミーの拡大を背景に、銀行、証券、ヘルスケア、IoT などさまざまな分野での採用が増加しております。

Authlete 社は、OpenID Foundation が新たに策定中の仕様である FAPI (Financial-grade API)に対応した、Authlete 2.0 をこのたび新たにリリースいたしました。このバージョンアップにより、OAuth 2.0 や OIDC に加え、FAPIに関しても、数日~数カ月といった、通常の半分以下の期間での実装が可能となります。※1

FAPI は、金融サービスに求められるセキュリティ水準を目指し、OAuth 2.0 と OIDC をベースに策定が進められている、API アクセス認可の仕様です。これまで OAuth 2.0 や OIDC ではオプションとされていた、「アクセストークン送信元の認証」や「API クライアントによる認可リクエストへの署名」などの実装が必須となっています。サービス事業者はこの FAPI 仕様に準拠することで、アクセストークン自体の不正利用やリクエスト内容の改ざんを防ぐことが可能となり、金融機関での決済や送金APIの公開にも耐えうる、セキュアな API 公開環境を構築することができます。

<img src="/img/news/authlete2_fapi.png" class=“mx-auto d-block” style=“width: 100%; max-width: 760px;” alt=“financial-grade api overview” />

FAPI 仕様は今後、銀行 API におけるデファクトスタンダードになるものと考えられます。英国ではこの FAPI をベースとした共通の「銀行 API」の公開が本年 1 月から大手銀行 9 行に義務付けられており、現在(2018 年 7 月)には、それら大手以外の銀行を含む 21 行が対応を完了しています。*2 また日本やオーストラリアなど英国以外の地域においても採用の検討が進んでいます。さらに FAPI 仕様によって達成される API アクセス認可のセキュリティレベルは、金融機関に限らず、お客様の個人情報や情報のやり取りをよりセキュアに保護したい、というニーズをお持ちの企業においても利用が進むと想定されます。

この FAPI 対応は、弊社 Authlete サービスを直接ご利用のお客様だけでなく、弊社パートナー企業様の API 公開/ ID 管理ソリューションをお使いのお客様に対しても、随時適用される予定です。※3 詳細は弊社または弊社パートナー様にお問い合わせください。なお今後、さらにパートナー・エコシステムを拡充し、FAPI を含めた Authlete の適用シーンを拡大する予定です。

また、上記サービスのバージョンアップに併せ、OIDC および FAPI の適合性認定の取得を支援するコンサルティングサービスを開始いたします。OpenID Foundation の OpenID Certification / FAPI Certification は、公開するAPI がこれらのオープン仕様に準拠して動作していることを示す「認定書」となり、API を利用するパートナー企業や開発者に安心と信頼をもたらします。ただし関連仕様に関する専門知識が必要不可欠であることから、取得へのハードルは低くはありませんでした。今回本コンサルティングサービスをご提供することにより、従来よりいただいていたお客様からの要望にお応えすることができるようになります。

当社は今後も、弊社サービス Authlete を通じ、OAuth 2.0 / OIDC / FAPI の短期間での実装を可能にする事で、API エコノミーの拡大に貢献していきます。

※1 認可サーバ構築部分に関してのみ。

※2 例えば、https://www.openbanking.org.uk/about-us/news/uks-open-banking-launch-13-january-2018/

※3 例えば、NRIセキュアテクノロジーズ様「Uni-ID Libra」、日本ユニシス様「Resonatex」など。