FAPIとは|金融機関にとって重要な理由やセキュリティを解説
近年、金融業界はオープンバンキングによって大きな変革を迎えています。オープンバンキングは、金融機関が顧客のデータを安全に第三者と共有することで、より多様で革新的なサービスを提供することを可能にする考え方です。この動きに伴い、金融機関が提供するAPIへのアクセスが拡大される中で、高いセキュリティ要件が求められるようになりました。
そこで、金融業界の高いセキュリティ要件を満たすための新しいAPIのセキュリティ標準として開発されたのがFAPIです。当記事では、FAPIについて分かりやすく解説します。
目次
1. FAPIとは
FAPI(Financial-grade API)は、銀行や金融機関のような高いセキュリティ要件を持つ環境のために設計された、オープンAPIのセキュリティ標準です。OpenID Foundationが策定を進めている仕様となります。
特にオンライン金融取引の安全性を高めることを目的としており、不正アクセスやデータの流出のリスクを最小限に抑えるためのものです。
API認可のフレームワークとしては、OAuth2.0が知られています。OAuth2.0をベースとしながら、金融機関のニーズに合わせて強化されたセキュリティ要件を取り入れたのがFAPIです。FAPIは、OAuth2.0の認可フローをより堅牢にし、攻撃からの保護を高めるための追加の仕様や要件を提供します。
特に、 イギリスはオープンバンキングの先駆けとして知られています。銀行は第三者プロバイダー(TPP)として認定された企業に対して、顧客の同意のもとで口座情報などを提供することが義務付けられました。このオープンバンキングにおいて、FAPIが使用されています。
1-1. そもそもAPIとは
API(Application Programming Interface)とはソフトウェアやアプリケーション間で情報をやり取りするための仕組みやインターフェースのことを指します。APIを使用すれば、プログラムやアプリケーションを、ほかのプログラムやサービスと連携させることが可能です。
たとえば、Webサイトやアプリケーションでは、新規アカウントを作成する代わりに、FacebookやGoogleなどのアカウントでログインが可能です。これは、APIを使用して認証情報を共有することにより実現されています。
1-2. FAPIと関連深いOAuth2.0とは
OAuth2.0は、ユーザーのログイン情報やリソースへのアクセス権をサードパーティーのアプリケーションに安全に委譲するためのオープンな認可フレームワークです。簡単に言えば、ユーザーの同意のもとで、1つのサービス(例:ソーシャルメディアサイト)が持つ情報や機能を、別のアプリケーションが利用できるようにする仕組みです。
たとえば、家計簿アプリで金融機関と連携する際には、外部サイトの金融機関で認証を行ったのち、リダイレクトして家計簿アプリに戻ると、金融機関にある資産のデータが取得できます。
つまり、家計簿アプリで金融機関のログイン情報を入力することなく、データの取得ができます。アプリ側で、外部アプリのログイン情報を入力する手法をとると、情報漏洩のリスクやアプリ側が多くのアクセス権限を持つリスクが生まれます。そこで、OAuth2.0を利用し、発行されたアクセストークンで認証を行う仕組みが使われています。
FAPIは、OAuth2.0のセキュリティプロファイルであり、安全なAPI認可と利用を実現する役割を果たしています。
1-3. FAPIのセキュリティ
FAPIに準拠することで、金融機関レベルのような高いセキュリティ基準を満たせます。具体的には、以下のようなリスクを軽減できます。
FAPIに準拠することで得られるセキュリティの利点は多岐にわたります。まず、クライアント認証用に強化されたセキュリティ手段を採用しているため、不正なアクセスを防ぎやすくなります。また、リクエストやレスポンスの内容を署名・暗号化することにより、データの機密性や完全性が保護されます。
2. 金融業界でFAPIが重要な理由
金融業界において、FAPIの重要性が増している背景には、オープンAPIへの対応の必要性や、セキュリティ上の課題解決などがあります。以下では、FAPIへの準拠が推奨されている理由について紹介します。
2-1. オープンAPIへの対応が求められている
オープンAPIは、外部の開発者やビジネスパートナーが金融機関のサービスやデータにアクセスできるように公開されるAPIのことを指します。オープンAPIの導入により、金融サービスのイノベーションや新たなビジネスモデルの創出が期待されています。
しかし、こうしたオープンAPIの導入とともに、セキュリティ上の懸念も浮上しています。金融データは極めて機密性が高く、不正アクセスやデータ漏洩のリスクが生じると、消費者の財産やプライバシーが脅かされます。
FAPIは、オープンAPIを提供する上での高いセキュリティ基準を定めており、金融機関がオープンAPIを安全かつ効果的に提供するためのガイドラインを提供しています。FAPIに準拠することで、金融機関はオープンAPIを提供しつつ、データの機密性や完全性も確保できます。
2-2. より高度なセキュリティが必要になっている
近年、サイバーセキュリティの脅威は急速に進化しており、金融機関を狙った高度なサイバー攻撃が増加しています。
特に、ID・パスワードやアクセストークンなどの認証情報が抜き取られると、API連携しているほかのサービスへのアクセスも可能となります。悪意ある第三者がなりすましによる認証を行えば、金銭的な被害も予想できるため、APIセキュリティを堅牢にすることは非常に重要です。したがって、OAuth2.0やFAPIなどが注目されています。
3. 金融機関がFAPIを導入するメリット
FAPIに対応することで、公開しているAPIに対しての攻撃から守り、口座情報や情報の漏洩や改ざんのリスクを減らせます。最後に、金融機関がFAPIを導入するメリットを紹介します。
3-1. 高レベルのセキュリティを担保できる
OAuth2.0を使用して正しく、かつ高度なセキュリティを担保するというのは、形式の証明が難しく、容易なことではありません。
一方で、FAPIの場合は形式検証が行われており、FAPIで定められた仕組みを使っている限りは、基本的にセキュリティホールがないと証明されています。
3-2. 標準化により開発コストを低減できる
OAuth2.0の仕様化には、大きなコストがかかります。OAuth2.0の仕様に対する理解や、必要であれば新しい拡張仕様の策定も必要です。また、アクセストークンを守るためには、OAuth2.0の枠組みとはまた別の仕組みを使う必要があります。
FAPIを採用することで、銀行・金融機関ごとに異なるセキュリティプロトコルやAPIを開発するのではなく、FAPIという共通のフレームワークを基に開発を進められます。設計・開発・運用に費やすコストを減らせる点は大きなメリットと言えるでしょう。
まとめ
FAPIに準拠した仕様は、金融業界の高いセキュリティ要件を満たすように設計されており、オンラインでの金融取引やデータの安全性が大幅に向上します。そのため、金融機関や金融関連業界でのAPIの利用や開発においては、FAPIの導入が強く推奨されています。
C-FAPIは、FAPI を用いてAPIのセキュリティを大幅に強化できるAPI連携ソリューションです。C-FAPIであれば、独自の開発も不要であり、高セキュリティのAPI公開がすぐに可能となっています。
CTCのC-FAPIについて詳しくはこちら
