BaaS APIと金融グレードのセキュリティ(中編)
こんにちは、ゼロバンク・デザインファクトリー (※)の山﨑です。前編では、BaaS(Banking as a Service)で第三者にAPI(Application Programming Interface)を公開するということを、銀行窓口とみんなの銀行アプリの銀行機能提供の流れを比較しながらご紹介し、「認証」と「認可」の組み合わせについてもお話しました。中編では、「認可」のフレームワークであるOAuthと、その拡張仕様であるFAPI(Financial-grade API)についてご説明していきます。
※ゼロバンク・デザインファクトリーは、ふくおかフィナンシャルグループの一員で、みんなの銀行のバンキングシステムを開発しています。
👇ぜひ前編もご覧ください!
海外と比較! 日本企業によるAPI公開の動き
日本以外の国では、企業のAPI公開はどのくらい進んでいるのでしょうか? 上の図は、総務省が公表している企業向け国際アンケート結果のうちの「APIの認知・公開状況」についてのグラフですが、これによると、日本の企業でAPIを「既に公開している」のはわずか5.0%だそうです。
「既に公開している(5.0%)」「公開について検討している(5.4%)」「今後公開することを計画している(4.8%)」を合わせても日本は15.2%で、米国(45.2%)、英国(67.4%)、ドイツ(62.2%)に比べると非常に低い水準なのが分かります。
国内で比較! 金融事業者とそれ以外の事業者によるAPI公開の動き
では、日本の金融業界に注目してみると、API公開はどのくらい進んでいるのでしょうか? 上の図は、総務省が公表している「国内金融事業者とそれ以外の事業者のAPI認知・公開状況の比較」についてのグラフですが、国内金融事業者でAPIを「既に公開している(7.3%)」「今後公開することを検討している(7.3%)」「公開について検討している(10.9%)」を合わせると25.5%なのに対し、金融以外の事業者の割合は13.9%と約2倍となっていることから、国内に限って言えば高い水準になっているのが分かります。
背景にはFinTech事業者の台頭と銀行法の改正が
高度なセキュリティを求められる銀行を始めとする金融事業者が、それ以外の事業者に比べてAPI公開(又は計画・検討)する動きが先行しているのは、なぜでしょうか?
総務省が公表している白書には、金融庁による「平成28事務年度 金融レポート」内の図「金融機関のAPI公開が求められる背景」を引用した説明がありますが(上の図)、その背景には、全世界的なFinTech事業者の台頭があります。
FinTechサービスはユーザーの利便性を飛躍的に向上させるとして期待される一方で、FinTech企業と金融機関の連携には、利用者保護の観点やオープン・イノベーションの促進の面で課題があったため、2017年5月に「銀行法の一部を改正する法律」(改正銀行法)が成立しました。これにより銀行等はオープンAPI(銀行がAPIを公開すること)に係る体制整備に努めることとなり、APIを公開(又は計画・検討)する動きが進んでいったのでした。
API仕様の開発標準と、より高いセキュリティを担保するOAuthの拡張仕様「FAPI」
このオープンAPIに係る体制整備の流れから、全国銀行協会を事務局とした「オープンAPIのあり方に関する検討会」が設置され、2017年6月、API仕様の開発原則・開発標準・電文仕様標準も策定されました。
開発標準では、APIのアーキテクチャは「REST」、データの表現は「JSON」、認可は「OAuth 2.0(以下、OAuth)」への準拠が推奨されていますが、さらに、OAuthについてはより高いセキュリティ要件に対応するため、OAuthの拡張仕様として「FAPI」への準拠の検討についても、全国銀行協会が公開する報告書内で望ましいと言及されています(下の図)。
APIの利用者(電子決済等代行業者のようなフィンテック事業者)からすると、各銀行で提供されるAPIの仕様がバラバラではなく同じ(全く同じでなくてもベースが同じ)であった方が使いやすいため、APIの提供者は(特別な理由がない限り)、この策定された開発標準の方針に則ったAPIの仕様とする方が望ましいとされています。
特に、開発標準の「認可」の部分についてはセキュリティ面で非常に重要な役割を担うため、全国銀行協会の報告書(上の図)で言及のある通り、金融業界標準といえるOAuthを採用し、さらに銀行が求めるセキュリティレベルに強化された「FAPI」を導入することは、必然となってきていると言えます。
後編に続く
今回は、海外と日本におけるAPI公開の動きや、API仕様の開発標準策定の成り立ち、開発標準の一つである認可のOAuth、FAPIの概念についてお話しました。後編では、OAuthの実際のフローやその脆弱性、FAPIの拡張仕様について具体的にご紹介していきます。
👇後編へ続く