金融分野のTPPsとAPIのオープン化：セキュリティ上の留意点

Size: px

Start display at page:

Download "金融分野のTPPsとAPIのオープン化：セキュリティ上の留意点"

えつまくだら
5 years ago
Views:

1 金融分野の TPPs と API のオープン化 : セキュリティ上の留意点 FinTech フォーラム資料 2016 年 11 月 8 日日本銀行金融研究所情報技術研究センター中村啓佑 TPPs(Third Party Providers) 本発表に示されている意見は発表者個人に属し日本銀行の公式見解を示すものではありません

情報技術研究センター (CITECS) について日本銀行金融研究所では金融業界が情報化社会において直面する新たな課題に適切に対処していくことをサポートするために 2005 年 4 月に設立主に 1 国際標準化の推進 2 金融業界内の情報共有体制の整備 3 新しい情報セキュリティ技術の研究開発といった役割を担う最近の主な研究テーマ

2 情報技術研究センター (CITECS) について日本銀行金融研究所では金融業界が情報化社会において直面する新たな課題に適切に対処していくことをサポートするために 2005 年 4 月に設立主に 1 国際標準化の推進 2 金融業界内の情報共有体制の整備 3 新しい情報セキュリティ技術の研究開発といった役割を担う最近の主な研究テーマ FIDOの活用と安全性上の留意点生体認証システムのセキュリティスマートフォンを用いた取引認証第 17 回情報セキュリティシンポジウム (2016 年 3 月 2 日開催 ) 研究成果は金融研究所ディスカッションペーパーとして公表するほか情報セキュリティシンポジウムにおいても発表 (URL: 1

3 アジェンダ API とは TPPs サービスとそのアクセス / 認証方式における API のオープン化と標準化の API を活用したサービスのリスクと対策 ( 参考 ) 本発表の内容は以下の論文に基づいています中村啓佑金融分野の TPPs と API のオープン化 : セキュリティ上の留意点日本銀行金融研究所ディスカッションペーパーシリーズ No J 年 2

API とは API(Application Programming Interface) は特定のプログラムを別のプログラムによって動作させるための技術仕様 API の例例 1: インターネットを介し Web ブラウザに提供される API 商店が所在地をウェブサイトで公開する際に Google Maps API を用いるケース例 2: から TPPs に提供される API 顧客が

4 API とは API(Application Programming Interface) は特定のプログラムを別のプログラムによって動作させるための技術仕様 API の例例 1: インターネットを介し Web ブラウザに提供される API 商店が所在地をウェブサイトで公開する際に Google Maps API を用いるケース例 2: から TPPs に提供される API 顧客が TPPs から提供された専用アプリを用いて API を介してにアクセスするケース口座情報決済処理 API TPPs = Third Party Providers 顧客オープン API の形態 (*) API の形態提供対象 European Banking Association パブリック API 不特定多数 European Banking Association WG on Electronic Alternative Payments Understanding the Business Relevance of Open APIs and Open Banking for Banks を基に作成アクウェインタンス API 資格を有する法人個人対象メンバー API パートナー API プライベート API 規範性のあるコミュニティ個別契約締結先会社内部 3

種類に大別されるサービス毎の組合せ TPPs サービスアクセス方式認証方式口座情報サービス (Account Information Service) 決済指図伝達サービス (Payment

5 TPPs サービスのアクセス方式と認証方式 TPPs は個々のよりも利用者の金融取引にかかる情報を多く保有するケースがある専用アプリの場合 A A が保有するデータのみを基にサービス ( 情報 ) を提供利用者 TPPs 専用アプリの場合 A 複数のが保有するデータ等を基にサービス ( 情報 ) を提供 B TPPs 利用者 C へのアクセス方式と認証方式は 2 種類に大別されるサービス毎の組合せ TPPs サービスアクセス方式認証方式口座情報サービス (Account Information Service) 決済指図伝達サービス (Payment Initiation Service) ウェブスクレイピング方式レガシー認証 ( 本人認証 ) API 方式トークン認証 ( 本人認証 + 認可 ) API 方式トークン認証 ( 本人認証 + 認可 ) 4

6 ウェブスクレイピング方式と API 方式ウェブスクレイピング方式 A さんの口座情報残高 100 万円 a.html <html> <head> <body> A さんの口座情報残高 100 万円 <html> <head> <body> A さんの口座情報残高 100 万円抽出 TPPs 利用者 A API 方式 API A さんの残高はいくらですか? 100 万円です TPPs 利用者 A 5

7 トークン認証 (OpenID Connect のフロー ) 利用者がから認可コードを受領して TPPs に渡し TPPs はそのコードを用いてトークンを取得しから情報を取得またはに決済指図等を伝達する OpenID Connect のほか代表的なトークン認証の方式として SAML (Security Assertion Markup Language) が存在する利用者 1TPPs にアクセス TPPs OpenID Connect ウェブサイト間の信頼関係に関係なく ID 連携を実現可能 SAML 相互に信頼関係を結んだウェブサイト間でのみ ID 連携が可能 2 にアクセス先を振り向け 3 との認証 4TPPsの認可 5 認可コードを送信 OpenID Connect は OAuth2.0 の機能を拡張し更に認証を付加したプロトコル 6 認可コードを TPPs に送信 7 認可コードをに送信 8 トークンを送信 9 トークンをもとに入手したいデータへのアクセスや決済指図等の伝達を実施 6

8 主なアクセス / 認証方式の組合せにおける比較アクセス / 認証方式 TPPs 対応負担認可によるアクセス制御対応負担取得可能なデータ利用者 ( 組合せ 1) ウェブスクレイピング方式 + レガシー認証不要不可 ( 組合せ 2 に比べて ) 重いウェブサイトの URL やレイアウトの変更の都度プログラム等の変更が必要利用者の ID パスワード等を管理する必要ウェブサイト上で提供されているものに限られる認可によるアクセス制御ができない ID パスワード等を TPPs に登録することによる不安が存在する可能性 ( 組合せ 2) API 方式 + トークン認証必要 API を介した外部からのアクセスを可能とするように情報システムの更改が必要可能および利用者が認めたデータのみにアクセスを制御可能 ( 組合せ 1 に比べて ) 軽い API の変更の都度プログラム等の変更が必要変更頻度はウェブサイトよりも API の方が低いため対応負担は API の方が軽い利用者のトークン管理が不要 ( ただし利用者のトークンを保有するサービスの場合その管理が必要 ) 利用者の同意が得られればウェブサイト上で提供されないものも可能トークンを TPPs に預ける場合でも認可によるアクセス制御が可能であるため組合せ 1 ほど不安感が高くない可能性 7

9 における API のオープン化と標準化オープン化のメリット :TPPs の新規参入の促進や金融サービスの品質向上等 API を公開しているの例フィドールバンク ( 独 ) ビルバオビスカヤアルヘンタリアバンク ( 西 ) クレディアグリコルバンク ( 仏 ) 等標準化の検討状況組織 The Open Banking Working Group( 英 ) Open Bank Project( 独 ) ISO/TC68 ( 金融サービス ) 状況 EU 加盟国による PSD2 の実施に先んじて API のオープン化を推進英国のや TPPs の競争力を強化することが目的金融サービスに活用できる API の雛形を作成し国内の銀行に対して提供 SC2( セキュリティ分科委員会 ) と SC7( コア銀行業務分科委員会 ) に TPPs にかかるスタディグループを設置し 2016 年 9 月から検討を開始再編が検討されているなか新しく設置することが検討されている分科委員会の検討項目の候補に API の標準化が挙げられている API のオープン化に関する標準化の留意点 API のプログラムを標準化するとプログラムの脆弱性が発見された場合に多くのが影響を受ける可能性標準化する対象はそれ自体が脆弱性とならないものとした方が望ましいデータ記述言語アーキテクチャスタイル関数名リターン値等 8

想定するモデル TPPs サービスの基本的なシステムのモデルを想定し脅威やリスクそれらに対する対応策や論点等を考察する TPPs 利用者のエンティティから構成されるモデルを想定各エンティティはインターネットを経由して接続 ( または通信 ) されている攻撃者は上記エンティティ以外を想定ただしや

10 想定するモデル TPPs サービスの基本的なシステムのモデルを想定し脅威やリスクそれらに対する対応策や論点等を考察する TPPs 利用者のエンティティから構成されるモデルを想定各エンティティはインターネットを経由して接続 ( または通信 ) されている攻撃者は上記エンティティ以外を想定ただしや TPPs の内部者の一部と結託する場合も想定 TPPs 利用者金融取引にかかるデータ (TPPs 専用アプリが取得可能なデータ ) (A) (B) 利用者が TPPs 専用アプリを利用することで保存されるデータ (C) (B) (B) (D) TPPs 専用アプリ (TPPs を介してデータを受信等 ) 攻撃者 9

11 主な脅威とリスク (A) 脅威 : オープン API を介した通信路を利用した攻撃 ( ネットワーク機器の脆弱性の悪用マルウェア感染 DDoS 攻撃等 ) (A) リスク : データ流出改ざん不正な金融取引の指図サービス停止金融取引にかかるデータ (TPPs 専用アプリが取得可能なデータ ) (A) API (B) TPPs 利用者が TPPs 専用アプリを利用することで保存されるデータ (B) (C) 攻撃者 (B) (D) 脅威 : 利用者のモバイル端末への攻撃 ( 盗取なりすましマルウェア感染 TPPs 専用アプリの改変等 ) (D) リスク : データ流出改ざん不正な金融取引の指図 (D) 利用者 TPPs 専用アプリ (TPPs を介してデータを受信等 ) (C) 脅威 : インターネットに開放している通信路を利用した攻撃 ( ネットワーク機器の脆弱性の悪用マルウェア感染 DDoS 攻撃等 ) (C) リスク : データ流出改ざん不正な金融取引の指図サービス停止 (B) 脅威 : 通信路上での攻撃 (B) リスク : データの盗聴改ざん 10

12 (1) 主な対策内部にアクセス可能な通信路に対する対策が必要 1 データ流出改ざんリスクへの対策これまでと同様の対策が有効であるほかトークンを TPPs に保存する場合トークンを盗取する攻撃を迅速に検知したり速やかに失効したりする仕組みの導入等が有効 2 不正な金融取引の指図のリスクへの対策上述のデータ流出改ざんリスクへの対策で用いる対策のほか取引認証を用いることも有効 3 サービス停止への対策不正な通信による DDoS 攻撃への対策に加え正規通信の頻度増加に伴う対策を行う必要メンバー API 等である場合はと TPPs 間の通信に VPN ネットワークを用いることも有効 (2)TPPs 基本的にはにおける上記 1~3 と同様の対策が必要 TPPs が行うべき対策はが行うべき対策に劣るものではなく第三者による情報セキュリティ監査等を定期的に受けることも検討に値する TPPs 専用アプリ自体や入出力が改変される状況を想定しそうした状況を検知回避可能とするように検討する (3) 利用者モバイル端末および起動時や TPPs 専用アプリの使用時に求められる認証にかかる情報 (ID パスワード生体情報等 ) を適切に管理 TPPs 専用アプリ等の脆弱性に対応したパッチを速やかに適用 11

13 リスク対策における重要な論点 1TPPs におけるセキュリティ対策の適切な実施をどう担保するのかは金融情報システムセンターの定める等コンピュータシステムの安全対策基準に則ってセキュリティ対策を実施し第三者による監査を受ける体制を整備している TPPs も対策のための一定の基準やモニタリング体制の必要性を検討することが重要 2 利用者へのセキュリティ対策の啓発をどう進めていくのか TPPs はと密に連携しサービス利用時のリスクの所在インパクト講じているセキュリティ対策等に関して利用者が理解できるように説明する必要 3 様々なリスクが顕在化した際の責任をと TPPs との間でどのように分担するかその他 ( セキュリティ対策を講じたことによる副作用は今次分析の範囲外 ) 利用者の利便性の考慮は必要セキュリティ対策を過度に実施するとスループットの低下や利用者に複雑な処理を強いるなど利便性の低下が生じる可能性がある利便性低下が利用者の許容範囲を超えないようセキュリティ対策は利便性とバランスを取りながら行う必要 12

14 おわりに API のオープン化によりの内部にアクセス可能な通信路を設定することになるこの通信路に対する対策が必要 API の標準化を行う場合その対象はそれ自体が脆弱性とならないもの ( 例えばデータ記述言語アーキテクチャスタイル関数名リターン値等 ) とした方が望ましい TPPs におけるセキュリティ対策の適切な実施の担保 ( モニタリング等 ) 利用者へのセキュリティ対策の啓発と TPPs との間における責任分担等をどうするかを意識しつつ API をどこまでオープン化すれば良いかを検討する必要 13

金融分野のTPPsとAPIのオープン化：セキュリティ上の留意点

金融分野のTPPsとAPIのオープン化：セキュリティ上の留意点 TPPs API FinTech TPPsThird Party Providers APIApplication Programming Interface TPPs API TPPs TPPs API TPPs TPPs API API APIFinTechTPPs... E-mail: keisuke.nakamura@boj.or.jp //2017.7 83 1. FinTech 1 2013