オープン バンキングの可能性を広げよう

競合他社に打ち勝ち、保護する

世界のオープン バンキングの市場規模は、2026年までに約500%増加して430億ドルに達し、複合年平均成長率は24.4%を記録すると予測されています。1

急速に進化するオープン バンキングの動きに遅れをとっていませんか?フィンテック企業は市場投入までの時間を短縮し、顧客が求めるイノベーションを推進しています。

サードパーティ製APIを使用すると、顧客による金融機関との関わり方が大きく変わります。

しかし、大量のAPIコールが発生すると、従来の環境ではコストの増大に加えて、セキュリティ上の問題も発生します。さらに、電子決済サービスに関する欧州PSD2指令(決済サービス指令2)のような厳しい規制への対応はますます困難になっています。

グローバル オープン バンキングの成長機会をつかむ

オープン バンキングはAPIイノベーションに適しています。成功のための8つの必須事項をご紹介します。

Return To Hub ›

確かに、高いセキュリティ効果がなければオープン バンキングを利用することはできませんが、多くの銀行や金融サービス機関は、現行のセキュリティ ソリューションがオープン バンキングに伴うリスクの増加に対応できるかどうか疑問に思っています。この懸念は、2020年にBFSI企業の関係者を対象に行われた調査で浮き彫りになりました。「APIとの統合前に考慮すべき最も重要な4つの要素」を尋ねたところ、「セキュリティ」(71.0%)が上位にランクインしました。2

API攻撃の増加とオープン バンキング セキュリティへの影響

金融サービスのデータは、サイバー攻撃者が最も狙っているデータの1つです。Gartner社は、2022年までに、企業のWebアプリケーションを狙った攻撃手段としてAPIの不正利用が最も多くなり、それがデータ漏洩につながると予測しています。そのため、イノベーションを妨げることなくAPIを保護し、アプリケーションとその内部のデータを保護することがこれまで以上に重要になっています。

APIを適切に保護する方法

F5 Labsが行った調査により、APIはサイバー攻撃の影響を受けやすいことが明らかになりました。OWASPは「安全なAPIがなければ、迅速なイノベーションは不可能である」という考えを持っているため、APIの脆弱性トップ10リストを用意しています。最も頻繁に発生する問題は、APIエンドポイントの前で認証がまったく行われないことであり、次いで不適切な認証、不適切な承認となっています。

O’Reilly MediaのEブック『Web Application Security』

F5に関するこのO’ReillyメディアのEブックには、データ侵害による数百万の損害を防ぐ実用的なセキュリティのヒントと、開発チームやセキュリティ チームがすぐに使えるアドバイスが掲載されています。

セキュリティに根ざしたオープン バンキングの規制上の課題

米国では、まだオープン バンキング分野での規制的介入を受けていませんが、世界の他の地域ではすでにこのような取り組みが行われています。欧州では、EUにより決済サービス指令第2版(PSD2)が施行され、銀行は顧客の同意を得た上で、データを迅速、安全、確実にサードパーティ プロバイダに提供するための仕組み(通常はAPI)を構築することが求められています。英国、カナダ、香港、日本、メキシコ、オーストラリアなどの国々でも、同様にオープン バンキングの標準化が進んでいます。規制上の課題に対応するには、高額な罰金が科される可能性のあるコンプライアンス リスクを軽減するための投資が必要です。

Twimbitのオープン バンキング成熟度マトリクスは、規制への取り組みと市場への取り組みという2つの異なる基準で、主要22カ国の相対的な位置を示しています。

Twimbitによるグローバル オープン バンキング インフォグラフィック シリーズ

Twimbitは、F5の協力のもと、オープン バンキングの仕組みやそれがもたらすビジネス チャンス、世界の主な参入企業、規制上の課題など、オープン バンキングのトレンドを紹介しています。

Return To Hub ›

オープン バンキングへのその他の攻撃手法 - OFXとスクリーン スクレイピング

オープン バンキングにおいて早急な対応が必要な脅威の標的は、標準APIだけではありません。これまで、消費者データにアクセスする必要がある第三者や金融アグリゲータは、以下の2つのメカニズムを利用してきました。

  • OFX(オープンな金融取引)は当初、消費者向け金融アプリケーション(MS Money、Intuit QuickBooksなど)とユーザーの金融機関を結び付けるために構築されました。
  • スクリーン スクレイピングとは、消費者が銀行の認証情報を第三者に提供し、その第三者が金融サービスのWebチャネルにログインしてその情報をスクレイピングすることです。

OFXは、敵対者によって、大規模なクレデンシャル スタッフィング/アカウント検証や、買収を行うためのチャネルとして直接または金融アグリゲータを介して利用される可能性があります。

金融サービス機関では、パスワード ログインのセキュリティ インシデントの割合が46%と最も高くなっています。このうち、モバイル アプリケーションのAPIに対しては5%オープンな金融取引(OFX)のインターフェイスに対しては4%と報告されています。3

スクリーン スクレイピングのために認証情報を第三者に提供すると、その認証情報が第三者のセキュリティ環境に公開されます。このような仕組みでは、消費者には、第三者がアクセス可能な情報への詳細な同意や管理機能が提供されないため、何十億もの取引が危険にさらされ、膨大なコストのかかるセキュリティ侵害につながる可能性が高まります。

FDX APIのセキュリティを確保することで、オープン バンキングのデータを保護する

Return To Hub ›

銀行は、オープンAPIを利用することでフィンテックと提携し、新たなより良いデジタル体験を構築できます。

このような取り組みにより、セキュリティ上の問題も発生します。このLightboardレッスンでは、適切なソリューションによってオープン バンキングの取り組みにセキュリティと効率性を提供する方法について説明します。

ビデオを見る
オープン バンキングとAPIセキュリティの説明

最善かつ信頼できるオープン バンキング セキュリティ ソリューション

APIにとって、APIゲートウェイのセキュリティだけではほぼ無力です。高性能APIゲートウェイを含むF5の総合的なAPIセントリックのセキュリティ ソリューションは、APIゲートウェイだけでは実現できないAPIのセキュリティを提供します。たとえば、当社のWAFソリューションは、OpenAPI/Swaggerファイルの取り込みをサポートし、高精度のAPIセキュリティ制御を可能にします。さらに、F5のセキュリティ ソリューションは、EUのPSD2のコンプライアンス要件であるサードパーティ プロバイダのトラフィックを認証し、APIによる不正行為や不正使用、OFXやスクリーン スクレイピングに関連することが多いその他の不正なボット トラフィックを軽減します。

インフラに関係なく、オープン バンキング セキュリティを第一に考える

F5のオープン バンキング セキュリティ ソリューションは、アーキテクチャの環境設定がどのようなものであっても、APIとそれらをホストするためのインフラを効果的に保護できます。クラウドホスティングやオンプレミスのインフラなど、単一環境の制約に縛られることはありません。当社のオープン バンキング ソリューションは、将来に向けて拡張することができ、あらゆる財務要件に合わせて安全なAPIサービスをサポートするように設計されています。

セキュアな環境で顧客価値を高めるオープン バンキングのアプローチ

口座開設者に新たな機会を創出する方法を模索する中で、African Bankはオープン バンキングに注目していましたが、セキュリティや常時利用可能なインターフェイスに関する課題に直面していました。そこで、マイクロサービス型のアーキテクチャの構築に重点を置くことで、顧客が求めるものを最善の方法で提供できるようになりました。API駆動型のオープン バンキングのアプローチは、収益の増加と顧客の付加価値の向上につながりました。

詳しくは
African Bankの顧客事例をご覧ください

F5によってオープン バンキング規制の課題に対処した組織

欧州の多くの国々と同様に、ギリシャのある企業もPSD2の新しい要件への対応に迫られていました。コンプライアンス違反が発覚すると多額の罰金が科せられることになります。同社はF5のソリューションを検討しました。F5 BIG-IP APM(アクセス ポリシー マネージャー)を使用すると、アプリを変更することなく、OpenBank APIにアクセスする前にTPP(サードパーティ プロバイダ)を認証することができ、後の処理のためにQWAC(正規のWebサイト認証証明書)をアプリに転送できます。

Pylones Hellas社がF5のAPMソリューションを活用し新たなPSD2指令に対応

Return To Hub ›
F5 ShapeのOFX保護により、不正なOFXトラフィックが大幅に削減されました。

仕組みをご覧になりますか?

オープン バンキングAPIを保護しL7DoS攻撃を防ぐために、NGINX App Protectがどのように使用されているのかをご覧ください。

Return To Hub ›

関連資料

 

【無料ダウンロード】金融機関に対する不正行為が急増。セーフティ ネットは整っているか?

ダウンロードはこちら ›

 

【無料ダウンロード】全17種Eブック集「DEFEND YOUR BUSINESS~アプリのセキュリティを第一に考える~」

ダウンロードはこちら ›

 

【無料ダウンロード】2021年のアプリケーション戦略の状況

ダウンロードはこちら ›

無料でお試しください

データ センター、クラウド、アーキテクチャにわたる業界トップのセキュリティによって、アプリケーションやAPIを場所を問わず保護します。無料トライアルの開始については、当社にお問い合わせください。

ありがとうございます

リクエストを受け取りました。近日中にご連絡させていただきます。

金融サービスが直面する今日の最重量課題を知る

金融サービスのセキュリティ

金融サービスには堅牢なセキュリティが不可欠です。それが、米国の銀行の上位15行がすべてF5ソリューションを採用している理由です。

オープン バンキング

オープン バンキングは、世界中の人々の銀行取引に革命を起こしつつあります。しかし、それと同時に、金融サービスは新たなセキュリティ脅威とパフォーマンス問題に直面しています。

デジタル変革

デジタル変革は、レガシーのスケーラビリティとパフォーマンス上の制約を乗り越え、顧客が期待する卓越したデジタル エクスペリエンスを提供する鍵となります。

GRCと不正行為の管理

アプリケーションの保護とコンプライアンスの順守は、オンラインにおいて信頼される存在となるために不可欠です。ここで問題となるのが、高度な犯罪組織にとって、金融機関が、最も利益性の高い標的の1つであることです。