APIはソフトウェアやWebアプリケーションに登録した情報を利用し、外部サービスと連携させる仕組みです。利便性が高く、さまざまなWebサービスで利用されており、金融業界でもAPIを利用したサービス提供がスタートしています。一方で、APIは多数のサービスと連携する関係上、不正アクセスなどに対する脆弱性をはらむ仕組みです。そのため、APIをサービスで利活用する場合、十分なセキュリティ対策が必要です。

この記事ではAPIセキュリティが金融業界にとって重要になった理由や、APIセキュリティが必要な理由、金融業界向けのAPIセキュリティについて解説します。

目次

1.　APIセキュリティとは

1-1.　そもそもAPIとは

1-2.　金融業界でAPIが重要な理由

2.　APIセキュリティが必要な理由

2-1.　個人情報や機密データを窃取・改ざんされる

2-2.　複数のサービスと連携する仕組みが悪用されやすい

2-3.　セキュリティ対策が不十分になりやすい

3.　金融業界がAPIセキュリティを対策する方法

3-1.　OAth2.0とF-APIの利用

3-2.　TLSを利用した通信経路の保護

3-3.　不正操作の検知・監査機能の向上

まとめ

1.　APIセキュリティとは

APIセキュリティは、APIを不正アクセスなどのサイバー攻撃から守るためのシステムです。APIはソフトウェア同士の連携を容易にする利便性の高い仕組みであるものの、特有の脆弱性を持ちます。適切なAPIセキュリティは、不正アクセスやデータ改ざんを防ぐのに欠かせません。

以下では、APIセキュリティの前提知識として、APIの概要や重要性を詳しく解説します。

1-1.　そもそもAPIとは

APIは「Application Programming Interface」の略称です。インターフェースは「境界」「接点」を表す言葉です。パソコンやスマートフォンなどのソフトやWebアプリケーション（以下アプリ）同士の機能に接点を持たせ、外部サービスと連携させる仕組みとなっています。

本来、あるアプリで特定の機能を利用するためには、自力での機能開発が必要です。APIを使うと、都度自分たちで機能を開発せずに、自分たちのアプリにはない機能を利用できます。

たとえば、ECサイトでクレジットカード決済を行う仕組みは身近なAPIの活用例の1つです。決済機能のないECサイトでもクレジットカードが利用できるのは、APIでECサイトとクレジットカード決済機能を連携させているためです。

1-2.　金融業界でAPIが重要な理由

オープンAPIの登場により、金融業界でAPIの重要性が増しています。一方で、顧客の重要情報を守るためのAPIセキュリティが欠かせないものとなっている現状があります。

オープンAPIとは、自社のAPIを公開することで事業者間のデータ連携を行う仕組みです。金融機関では、銀行のシステムを外部の事業者に連携させ、電子決済を代行させる際にオープンAPIを活用しています。

ITのサービス提供者のうち、APIなどを用いて金融とITを融合させたサービスを提供する企業が「フィンテック（FinTech）企業」です。フィンテック企業はオープンAPIの活用によって、口座情報や振り込み指示など利便性の高い機能を多くのユーザーに提供します。

従来のデータ連携では、ユーザーがログインIDやパスワードを事業者に預け、金融機関にログインする必要がありました。一方、オープンAPIでは事業者に個人情報を預けずに、ユーザーが直接金融機関のシステムにアクセスでき、事業者からの情報漏洩のリスクを低下させられます。

2018年の銀行法改正で、事業者がオープンAPIで金融機関のシステムに接続するためには登録が必要になりました。それに伴ってオープンAPIの信頼性が高まり、オープンAPIの活躍の場はますます広がっています。

出典：金融庁「電子決済等代行業を営むみなさまへ」

顧客の利便性を高められるオープンAPIですが、APIがサイバー攻撃のターゲットとなった場合、顧客の金融情報への不正アクセスが可能になります。口座情報の改ざんなどの出来事が起きた場合、その金融機関の信用は致命的に損なわれてしまうでしょう。

2.　APIセキュリティが必要な理由

APIは利便性が高い一方で、セキュリティ対策が不十分な場合、サイバー攻撃のターゲットとなる脆弱性を持つ点がデメリットです。ここでは、APIセキュリティが必要な理由として、APIの脆弱性を例にとって解説します。