消費者と犯罪組織の間で人気が高まるフィンテック

消費者は、デジタル経済に推定で「8,430億～8,590億ドルを費やすことが見込まれています。これは、ホリデー シーズンの総売上高が4,164億ドルにとどまった2002年の2倍以上にあたります。」

最終的には、すべて金融機関を経由することになります。Apple PayやVenmo、PayPalやデビット カードでの決済であっても、必ず金融機関の口座が関わってきます。

これは当然、悪意のある攻撃者が、特にフィンテックを介して、それらのアカウントにアクセスしようとすることにつながります。Zelleのユーザーが経験したようなものやRobinhoodのカスタマ サービス社員が経験したようなもの、クレデンシャル スタッフィングやブルート フォースによる直接的なものなど、どのような詐欺によるものであれ、攻撃は、その試みを続ける者に予定外の利益をもたらす可能性があります。

今日、私たちが耳にする侵害事件の多くは、Webアプリケーション、テキスト メッセージ、メールなど、金融機関のユーザー インターフェースに対して直接実行されています。そのため、デジタル金融のエコシステムを支えるAPIの爆発的な普及がもたらす潜在的な影響と、犯罪組織がもうけの出る攻撃ベクトルとすぐに認識している関連するサードパーティのリスクの意味を考慮すると、悩ましいものがあります。

犯罪組織にとってAPIはますます魅力的なものになっている

今日、消費者は、ホリデー シーズンの贅沢な買い物をするために、ますます多様な決済手段を利用しています。

• Z世代の買い物客の3人に2人以上が、今年のホリデー シーズンは、Instagram、WhatsApp、ライブストリームなどの今までとは違うチャネルで買い物をする予定です
• NPDの2021年6月の調査によると、50%以上の消費者がInstagramやFacebookを介して買い物をしたことがあると答えています。また、15%の消費者が、商品を見つけたり知ったりするソーシャル メディアとしてTikTokを挙げています。（出典：2021 Holiday Shopping Ecommerce Stats & Trends）

繁栄している決済エコシステムは、デジタル金融取引を効率化するAPIの使用に依存しています。標準化は、消費者の性急な特性やデジタル ビジネスの適応力と成長力に対応するための高速で安全な取引のニーズに応えます。現在の代表的な規格はFDX（Financial Data Exchange）で、2021年9月時点で2,200万の消費者アカウントがFDX APIを利用してオープンな金融データ共有を実現しています。注目すべき点は、この結果APIコールの量が大幅に増加し、月に20億回弱にまで急増していることです。（出典：FinExtra）

F5のOffice of the CTOが最近発表したレポート、「継続的なAPIスプロール：API駆動型の経済における課題と商機」では、APIの急速な普及と、それがもたらすガバナンスやセキュリティのリスクについて述べています。

その結果、デジタル決済からエンターテインメント サービスまでのあらゆるものを支え、強力なマーケットプレイスを実現するAPIは、現時点で約2億個あることがわかりました。2030年には、その数は17億に達する可能性があります。

APIのセキュリティ インシデントの数は年々増加しており、その多くはフィンテックなどのサードパーティに関連するものであることを示すF5 Labsの調査の結果と合わせて考えると、金融機関は差し迫った規制措置や競争力の可能性よりも多くのことを心配しなければなりません。

デジタル経済を守るために

APIのセキュリティを確保し、消費者や企業を不正行為から守ることは、あらゆる業界のデジタル企業にとってますます重要な課題となっていますが、とりわけ金融サービス業界の企業にとっては重要です。

さらに、「複数のアプリケーションを開発している複数の開発チームは、しばしば異なるツールセットを使用しています。つまり、従来のセキュリティ チームは、セキュリティを強化するための一元化された管理ポイントを持たない可能性があるのです。このため、APIの開発および管理のプロセスに適切なコントロールを組み込むための標準的なツール セットが必要となります。」（出典：F5セキュリティ担当CTO Renuka Nadkarni、FDX APIのセキュリティを確保することで、オープン バンキングのデータを保護する）

F5オープン バンキング ソリューションガイドは、オープン バンキングのためのF5ソリューションへの包括的なアプローチを提供しています。さらにNadkarniは、「FDXは、消費者の口座情報やサービスの完全性に対する脅威やリスクから保護するために実施すべき制御について、包括的なアドバイスを発表しています」と述べています。これらの制御は以下のとおりです。

• ソフトウェアのセキュリティ：OWASP Top 10やその他のソフトウェアの脆弱性を制御する。Web Application Firewall（WAF）
• ネットワークとシステムのセキュリティ
• 運用面でのセキュリティ
• 物理的セキュリティ
• 事業継続および災害復旧
• サプライヤのセキュリティ
• authN / authZの設計パターン。クレデンシャル スタッフィング
• セキュア ゲートウェイ アーキテクチャ（SGA）のパターン。APIゲートウェイに組み込まれたAPIセキュリティ制御

最後に、デジタル アズ デフォルトの経済においては、機内にいようが休んでいようが、財務データを守ることがますます重要になっていることに留意する必要があります。企業にとっての不正行為のリスクは確かに大きいものですが、消費者にとってのリスクはさらに大きいものです。