サードパーティ製APIを使用すると、顧客による金融機関との関わり方が大きく変わります。
しかし、大量のAPIコールが発生すると、従来の環境ではコストの増大に加えて、セキュリティ上の問題も発生します。さらに、電子決済サービスに関する欧州PSD2指令(決済サービス指令2)のような厳しい規制への対応はますます困難になっています。
グローバル オープン バンキングの成長機会をつかむ
オープン バンキングはAPIイノベーションに適しています。成功のための8つの必須事項をご紹介します。
確かに、高いセキュリティ効果がなければオープン バンキングを利用することはできませんが、多くの銀行や金融サービス機関は、現行のセキュリティ ソリューションがオープン バンキングに伴うリスクの増加に対応できるかどうか疑問に思っています。この懸念は、2020年にBFSI企業の関係者を対象に行われた調査で浮き彫りになりました。「APIとの統合前に考慮すべき最も重要な4つの要素」を尋ねたところ、「セキュリティ」(71.0%)が上位にランクインしました。2
API攻撃の増加とオープン バンキング セキュリティへの影響
金融サービスのデータは、サイバー攻撃者が最も狙っているデータの1つです。Gartner社は、2022年までに、企業のWebアプリケーションを狙った攻撃手段としてAPIの不正利用が最も多くなり、それがデータ漏洩につながると予測しています。そのため、イノベーションを妨げることなくAPIを保護し、アプリケーションとその内部のデータを保護することがこれまで以上に重要になっています。
APIを適切に保護する方法
F5 Labsが行った調査により、APIはサイバー攻撃の影響を受けやすいことが明らかになりました。OWASPは「安全なAPIがなければ、迅速なイノベーションは不可能である」という考えを持っているため、APIの脆弱性トップ10リストを用意しています。最も頻繁に発生する問題は、APIエンドポイントの前で認証がまったく行われないことであり、次いで不適切な認証、不適切な承認となっています。
O’Reilly MediaのEブック『Web Application Security』
F5に関するこのO’ReillyメディアのEブックには、データ侵害による数百万の損害を防ぐ実用的なセキュリティのヒントと、開発チームやセキュリティ チームがすぐに使えるアドバイスが掲載されています。
セキュリティに根ざしたオープン バンキングの規制上の課題
米国では、まだオープン バンキング分野での規制的介入を受けていませんが、世界の他の地域ではすでにこのような取り組みが行われています。欧州では、EUにより決済サービス指令第2版(PSD2)が施行され、銀行は顧客の同意を得た上で、データを迅速、安全、確実にサードパーティ プロバイダに提供するための仕組み(通常はAPI)を構築することが求められています。英国、カナダ、香港、日本、メキシコ、オーストラリアなどの国々でも、同様にオープン バンキングの標準化が進んでいます。規制上の課題に対応するには、高額な罰金が科される可能性のあるコンプライアンス リスクを軽減するための投資が必要です。
Twimbitのオープン バンキング成熟度マトリクスは、規制への取り組みと市場への取り組みという2つの異なる基準で、主要22カ国の相対的な位置を示しています。
Twimbitによるグローバル オープン バンキング インフォグラフィック シリーズ
Twimbitは、F5の協力のもと、オープン バンキングの仕組みやそれがもたらすビジネス チャンス、世界の主な参入企業、規制上の課題など、オープン バンキングのトレンドを紹介しています。
オープン バンキングへのその他の攻撃手法 - OFXとスクリーン スクレイピング
オープン バンキングにおいて早急な対応が必要な脅威の標的は、標準APIだけではありません。これまで、消費者データにアクセスする必要がある第三者や金融アグリゲータは、以下の2つのメカニズムを利用してきました。
- OFX(オープンな金融取引)は当初、消費者向け金融アプリケーション(MS Money、Intuit QuickBooksなど)とユーザーの金融機関を結び付けるために構築されました。
- スクリーン スクレイピングとは、消費者が銀行の認証情報を第三者に提供し、その第三者が金融サービスのWebチャネルにログインしてその情報をスクレイピングすることです。
OFXは、敵対者によって、大規模なクレデンシャル スタッフィング/アカウント検証や、買収を行うためのチャネルとして直接または金融アグリゲータを介して利用される可能性があります。
金融サービス機関では、パスワード ログインのセキュリティ インシデントの割合が46%と最も高くなっています。このうち、モバイル アプリケーションのAPIに対しては5%、オープンな金融取引(OFX)のインターフェイスに対しては4%と報告されています。3
FinTech data aggregators are part of a new and exciting frontier in financial services. They lead to better overall experiences for consumers, and even strengthen value propositions through synergies for legacy organizations and FinTechs alike.
But they also introduce security vulnerabilities as API use rises in FinServ, which can negatively impact application performance.
Providing third parties with credentials for screen scraping exposes those credentials to the security posture of that third party. These mechanisms do not provide the consumer with fine-grained consent and control over what information the third party has access to, leaving billions of transactions at risk and the increased potential to lead to extremely costly security breaches
FDX APIのセキュリティを確保することで、オープン バンキングのデータを保護する
銀行は、オープンAPIを利用することでフィンテックと提携し、新たなより良いデジタル体験を構築できます。
このような取り組みにより、セキュリティ上の問題も発生します。このLightboardレッスンでは、適切なソリューションによってオープン バンキングの取り組みにセキュリティと効率性を提供する方法について説明します。
ビデオを見る
オープン バンキングとAPIセキュリティの説明
最善かつ信頼できるオープン バンキング セキュリティ ソリューション
APIにとって、APIゲートウェイのセキュリティだけではほぼ無力です。高性能APIゲートウェイを含むF5の総合的なAPIセントリックのセキュリティ ソリューションは、APIゲートウェイだけでは実現できないAPIのセキュリティを提供します。たとえば、当社のWAFソリューションは、OpenAPI/Swaggerファイルの取り込みをサポートし、高精度のAPIセキュリティ制御を可能にします。さらに、F5のセキュリティ ソリューションは、EUのPSD2のコンプライアンス要件であるサードパーティ プロバイダのトラフィックを認証し、APIによる不正行為や不正使用、OFXやスクリーン スクレイピングに関連することが多いその他の不正なボット トラフィックを軽減します。
F5のオープン バンキング セキュリティの特徴
インフラに関係なく、オープン バンキング セキュリティを第一に考える
F5のオープン バンキング セキュリティ ソリューションは、アーキテクチャの環境設定がどのようなものであっても、APIとそれらをホストするためのインフラを効果的に保護できます。クラウドホスティングやオンプレミスのインフラなど、単一環境の制約に縛られることはありません。当社のオープン バンキング ソリューションは、将来に向けて拡張することができ、あらゆる財務要件に合わせて安全なAPIサービスをサポートするように設計されています。
セキュアな環境で顧客価値を高めるオープン バンキングのアプローチ
口座開設者に新たな機会を創出する方法を模索する中で、African Bankはオープン バンキングに注目していましたが、セキュリティや常時利用可能なインターフェイスに関する課題に直面していました。そこで、マイクロサービス型のアーキテクチャの構築に重点を置くことで、顧客が求めるものを最善の方法で提供できるようになりました。API駆動型のオープン バンキングのアプローチは、収益の増加と顧客の付加価値の向上につながりました。
詳しくは
African Bankの顧客事例をご覧ください
欧州の多くの国々と同様に、ギリシャのある企業もPSD2の新しい要件への対応に迫られていました。コンプライアンス違反が発覚すると多額の罰金が科せられることになります。同社はF5のソリューションを検討しました。F5 BIG-IP APM(アクセス ポリシー マネージャー)を使用すると、アプリを変更することなく、OpenBank APIにアクセスする前にTPP(サードパーティ プロバイダ)を認証することができ、後の処理のためにQWAC(正規のWebサイト認証証明書)をアプリに転送できます。
Pylones Hellas社がF5のAPMソリューションを活用し新たなPSD2指令に対応
仕組みをご覧になりますか?
オープン バンキングAPIを保護しL7DoS攻撃を防ぐために、NGINX App Protectがどのように使用されているのかをご覧ください。
[1] Allied Market Research、「Global Open Banking Market Expected to Reach $43,152 Million by 2026」
[2] Postman、「2020 State of the API Report」
[3] F5 Labs、「2021年版アプリケーション プロテクション レポート:身代金と回収について」
関連資料
無料でお試しください
データ センター、クラウド、アーキテクチャにわたる業界トップのセキュリティによって、アプリケーションやAPIを場所を問わず保護します。無料トライアルの開始については、当社にお問い合わせください。
ありがとうございます
リクエストを受け取りました。近日中にご連絡させていただきます。
オープン バンキング
オープン バンキングは、世界中の人々の銀行取引に革命を起こしつつあります。しかし、それと同時に、金融サービスは新たなセキュリティ脅威とパフォーマンス問題に直面しています。
GRCと不正行為の管理
アプリケーションの保護とコンプライアンスの順守は、オンラインにおいて信頼される存在となるために不可欠です。ここで問題となるのが、高度な犯罪組織にとって、金融機関が、最も利益性の高い標的の1つであることです。