2022 年 3 月に開催された「FIN/SUM 2022」にて、弊社は Authlete 導入企業のキーパーソンを招きパネルディスカッションを行いました。オープン API 強化の目的、Authlete 導入の効果、また Financial-grade API (FAPI) / Client Initiated Backchannel Authentication (CIBA) を活用した今後のユースケースや展望について、以下の各社から意見を伺いました。
2021 年 5 月末にサービスを開始した「みんなの銀行」。スマートフォンに慣れ親しんだデジタルネイティブ世代をターゲットに、これからの時代にふさわしい新たな価値を生み出すデジタルバンクを目指しています。みんなの銀行では、スマホで完結できるデジタルバンキング(B2C 事業)に加えて、現在、B2B2X 事業向けの API 基盤における FAPI の実装・展開を進めており、非金融のお客様と提携先とをつないで、世の中により便利なサービスを提供することを目指しています。(参考: 導入事例)
SBI セキュリティ・ソリューションズと NEC の合弁会社である SBI デジトラストは、金融庁が公表したガイドラインが示すフィンテック等の活用による高度化支援や本人確認、次世代認証等の金融機関向けソリューションを展開しています。 このソリューションの中核となるのが、システムのオープン API 化とアイデンティティです。同社が提供する金融機関向け認証認可サービス「Trust Idiom」は、API 認可の実装手段として Authlete を採用しています。 Authlete により、利便性の向上と強固な安全・セキュリティの保証の両立を実現しています。(参考: ニュースリリース)
伊藤忠テクノソリューションズ(以下、 CTC)は約 1 万人のエンジニアを抱えるシステムインテグレーターです。「オープン API」への注目が高まる中、第三者からの不正アクセスや情報漏洩・改竄などのリスクも高まる傾向にあり、利便性を維持しつつ強固なセキュリティ対策を目的とした仕組みが必要となっています。このニーズに応えるため、 CTC では、FAPI に準拠した API ゲートウェイサービス「C-FAPI」を提供しています。C-FAPI は FAPI を用いてユーザー企業の API セキュリティをスピーディに進化させる API 連携ソリューションです。認可バックエンドのコンポーネントとして Authlete を採用しています。(参考: C-FAPI ソリューション)
ゼロバンク・デザインファクトリー 取締役 CIO / みんなの銀行 執行役員 CIO 宮本昌明氏は、オープン API を強化する理由として「従来の銀行という形にとらわれず、さまざまなサービスをシンプルにつなぐため」と述べます。
「従来の銀行システムでも、API の公開が推進されており、参照系に関しては外部システムと接続できる状態になりつつあります。しかし、その使いにくさもあって、十分に利用されているとは言えません。一方、海外を見渡すと、銀行の API を活用した便利なサービスがたくさんあります。みんなの銀行ではさまざまなバンキングサービスを提供しますが、銀行という形にとらわれず、必ずしも前面に出ずに、提携先企業さまとシンプルにつながってお金が流れるような世界を実現するための便利なしくみを提供したいと考えています。こうした背景からオープン API の強化を図っています。」
ゼロバンク・デザインファクトリー株式会社 取締役 CIO /株式会社みんなの銀行 執行役員 CIO宮本昌明氏
CTC 金融ビジネス企画部 部長代行 C-FAPI Business Lead 植月修氏は「オープン API に対するニーズが高い」と指摘します。
「昨今、金融業界以外のお客様の API 公開も進みつつあります。そこでの要件は、高度なもので、金融サービスと同レベルと言っても良いかもしれません。たとえば、ある人材派遣会社様では、派遣者への柔軟な給与支払いのためのアプリを開発されています。ここでもお金が動くので、ある意味金融サービスと変わらない要件が求められています。」
伊藤忠テクノソリューションズ株式会社 金融ビジネス企画部 部長代行 C-FAPI Business Lead植月修氏
では、SBI グループではどのような観点でオープン API の強化を目指しているのでしょうか。 SBI デジタルアセットホールディングス 代表取締役社長 / SBI デジトラスト 代表取締役社長 フェルナンド ルイス バスケス カオ氏は次のように語りました。
「SBI グループは地域金融機関(地銀)含めてさまざまな金融機関と関わっています。その中で、各機関が保有するお金の流動性が意外に低いと認識しています。そこで、流動性を高めるため、新規事業や新しい決済アプリケーションを作りたいのですが、資金力のある大手の銀行とは違い、地銀は予算も限られており、また、社内に開発体制がないという理由などから、なかなか進まないのが現状です。」
こうした背景から、SBI グループでは次世代の勘定系システムの開発に取り組んでおり、その中で大きな役割を果たすのがまさに API のレイヤーであるとフェルナンド氏は主張します。
「セキュリティを確保して、新しい勘定系とその周辺にあるツールを API として揃えた共通基盤に、SBI グループの投資先の銀行のみならず地銀・第二地銀にも参画していただきたいと思います。そうすれば、いずれはメガバンクにも対抗できるのではないかと考えています。」
SBI デジタルアセットホールディングス株式会社 代表取締役社長 /SBI デジトラスト株式会社 代表取締役社長フェルナンド ルイス バスケス カオ氏
次に、各社がなぜ Authlete を採用したのか、また採用した結果、どのような効果が得られたのかについて伺いました。
SBI デジトラストのフェルナンド氏は「CIBA によるカスタマーエクスペリエンスの向上」を導入効果として上げています。
「Authlete はスマートフォンを用いたスムーズなID連携、API 認可の仕様を定めた「CIBA」に対応しています。銀行にアクセスするアプリケーションとユーザー認証のアプリケーションが分かれていても、Authlete を API 認可基盤として組み込むことによって、アプリケーション間で自然な画面遷移を実現することができます。カスタマーエクスペリエンスの向上にもつながり、さまざまなお客さまに安心して使っていただけるサービスが提供できています。」
みんなの銀行の宮本氏も、Authlete の導入がカスタマーエクスペリエンスの向上につながることに同意しつつ、さらに次の点を導入理由として上げています。
「みんなの銀行のサービス運用基盤は、Google Cloud上にあります。 Authlete も同様にクラウド上にあり、非常に親和性が高いことが採用理由の一つです。また、B2B2X 事業向けの API 基盤の構築は、銀行設立当初からの構想です。当時 FAPI はまだドラフトレベルでしたが、すでに私の心の中では導入を決めていました。その FAPI のオプションを持っていた Authlete を採用するのは必然だったと言えます。さらに、Authlete はセキュリティに関する高度な専門知識を持つ方が多数いらっしゃいます。」
一方、システムインテグレータという立場から FAPI に注目し、Authlete の採用に至った CTC の植月氏は次のように述べました。
「CTC では、Authlete の採用を検討する前に、まずは FAPI に準拠するという方針を掲げました。対象システムに何らかの改ざん行為が発生することが想定される場合は、セキュリティ評価を行い、システムを設計する必要があります。そこをなんの拠り所もないまま進めてしまうと、リスク過少評価によって何もしないか、あるいは過大評価でやりすぎるか、どちらかに偏ることになります。これは望ましい姿ではありません。そこで、 CTC としては FAPI をベースラインにすることを決めました。しかし、API の世界は、変更・変化が目まぐるしく、我々が永遠にそれに追従し続けることは大変です。専任従事者を置いた場合、それはコストに反映されるので、誰がそのコストを負担するのかという問題にも直面します。そのような経済効率の観点も考慮して、Authlete の採用に至りました。」
各社は、今後、FAPI / CIBA をどのように活用していく予定なのか、その展望を伺いました。
植月氏は、**「当社サービスに対して、金融機関以外のお客様からのお問い合わせが最近増えています。たとえばプラットフォーム事業者さまでは、将来的に金融機能の拡充は必然であると考え、高いレベルの安全性、セキュリティは必要であるとおっしゃっています。非金融であっても、そのようにお考えのお客様は多数いらっしゃいます」**と最近のユーザーの状況について語りました。
続いて、フェルナンド氏は「標準化」の策定と遵守について意見を述べました。
「日本における標準化の取り組みは十分とはいえません。日本では、金融情報システムセンター(FISC)や全銀協からシステムの安全対策に関する各種ガイドラインが発行されています。しかしこれらは、欧州連合の Payments Services Directive 2 (欧州改正決済サービス指令、通称 PSD2)と比較して曖昧な部分があります。銀行と、銀行の API を使う事業者の双方が、セキュリティの水準を合わせる必要があります。この点は、任意ではなく、当局が積極的に監視、指導すべきではないでしょうか。」
宮本氏からも**「我々がセキュリティ基準を遵守していたとしても、直接の接続先の企業がその基準を守っているのか、さらにはその先につながる組織も守っているのか、どこまで我々がチェックすれば良いのかという点も気がかりです。銀行に接続する上で守らなければいけない基準はある程度示されるべきと考えます」と述べ、さらに、「接続に係るコストについても検討ポイントだと考えています。コストについては金融機関ごとに考え方が異なるとは思うのですが、さまざまな銀行の API を利用する側からすると、コスト構造が分かりやすくなっていると、API が使いやすくなります。コストの標準化、契約の標準化をセキュリティ基準の標準化とともに取り組んでいけるといいなと思います」**という意見が出ました。
フェルナンド氏は、さらに、**「PSD2 を定めたときのように、民間企業と当局が協力し、標準化作業にすぐに着手したいですね。現状は、我々、民間企業が既成事実を積み上げている感が否めず、ともすればいくつもの『標準』が乱立する懸念もあり、あまり良い状況ではありません。民間企業から当局へ標準化案を提案するという流れも良いと思います。また、当局にもきちんと規制をしてほしい、取締りを強化すべきです。民間企業側も規制を恐れず、技術を前面に、積極的に活動すべきです」**と訴えました。
以上、オープン API の強化、Authlete が提供する FAPI / CIBA の観点から 3 社の考えを語っていただきました。今後は、FAPI / CIBA のみならず、ビジネスレベルでの標準化も共通課題として取り上げられることでしょう。今後も、API エコシステムの拡大によるイノベーションの推進に向けて、大いに議論を重ねていきたいと思います。