金融分野のTPPsとAPIのオープン化:セキュリティ上の留意点

Similar documents
金融分野のTPPsとAPIのオープン化:セキュリティ上の留意点

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

FUJITSU Cloud Service K5 認証サービス サービス仕様書

CA Federation ご紹介資料

これだけは知ってほしいVoIPセキュリティの基礎

平成15年6月19日

利用いただけます 利用登録後は都度振込取引時にワンタイムパスワード入力画面が表示さ れますので スマートフォンのトークンに表示される 6 桁のワンタイムパスワードを入力し てください ( ご利用方法の詳細は下記 5~7 をご覧ください ) (5) トークンの利用単位お客さまの運用に合わせて以下のよう

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

Microsoft Word - Gmail-mailsoft_ docx

今後の認証基盤で必要となる 関連技術の動向 株式会社オージス総研テミストラクトソリューション部八幡孝 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved.

7 ページからの操作手順 (2 ご利用開始の手順 ) で登録したメールアドレス宛に メール通知パスワードが送信されます メール通知パスワードを確認ください ➎ トークン発行 が表示されます [ ワンタイムパスワード申請内容選択へ ] ボタンを押します 登録した携帯電話にメールが送信されます ワンタイ

ファーストバンクアプリサービス

intra-mart Accel Platform

intra-mart Accel Platform — OAuth認証モジュール 仕様書   初版  

FUJITSU Cloud Service for OSS 「ログ監査サービス」 ご紹介資料

<4D F736F F D20838F E F815B83688B40945C82B B E646F6378>

UCSセキュリティ資料_Ver3.5

PowerPoint Presentation

<ちば興銀コスモスWEBサービス・ワンタイムパスワード利用マニュアル>

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言 あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来し それらに対するサイバーセキュリティの確保は 安心安全な国民生活や 社会経済活動確保の観点から極めて重要な課題

LINE WORKS 管理者トレーニング 4. セキュリティ管理 Ver 年 6 月版

FUJITSU Cloud Service for OSS 「認証サービス」ご紹介資料

鳥取信用金庫 ~ ソフトウェアトークンによるワンタイムパスワードご利用の手引き ~ 目次 ( クリックすると目的の場所にジャンプします ) ワンタイムパスワードとは ソフトウェアトークンについて ワンタイムパスワード利用開始までの流れ 1 ソフトウェアトークンのダウンロード 2 ワンタイムパスワード

ek-Bridge Ver.2.0 リリースについて

HULFT Series 製品における Javaの脆弱性(CVE )に対する報告

スマートフォンアプリでの診断給付年金請求手続き 利用ガイド

ログを活用したActive Directoryに対する攻撃の検知と対策

パソコン画面イメージ 既に トークン発行 ボタンをクリックされ スマートフォン等に 専用アプリのダウンロード (P3) は終了しているが 初回のワンタイムパスワード認証 (P7) を行っていない場合は トークン発行の省略 ボタンが表示されますので これをクリックしてください この場合は 次の画面で

目次 1. はじめに ) 目的 ) TRUMP1 での課題 登録施設におけるデータ管理の負担 登録から中央データベースに反映されるまでのタイムラグ ) TRUMP2 での変更 オンラインデータ管理の実現 定期

FIDO技術のさらなる広がり

9. システム設定 9-1 ネットワーク設定 itmはインターネットを経由して遠隔地から操作を行ったり 異常が発生したときに電子メールで連絡を受け取ることが可能です これらの機能を利用するにはiTM 本体のネットワーク設定が必要になります 設定の手順を説明します 1. メニューリスト画面のシステム設

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

IPsec徹底入門

西武インターネットバンキング

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

<4D F736F F F696E74202D20288DB791D B836792B28DB88C8B89CA288CF68A4A94C529288A5497AA94C E93785F72312E >

<4D F736F F D FC8E448FEE95F1837C815B835E838B C8F92E88B608F912E646F63>

紀陽インターネット FB ワンタイムパスワードご利用マニュアル ( ソフトウェアトークン編 ) 平成 27 年 6 月 第 1 版 株式会社紀陽銀行 操作のお問い合わせ ご利用時間 :00~17:00 ( 銀行窓口休業日は休止 )

学認とOffice 365 の 認証連携

組織内CSIRTの役割とその範囲

Microsoft PowerPoint - A7_松岡(プレゼン用)jnsa-総会-IoTWG-2015.pptx

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

McAfee Application Control ご紹介

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

【日証協】マイナンバー利活用推進小委員会提出資料

ID 登録 ( お客さま情報入力 ) 画面がル編 ログイン 手順 3 お客さま情報 パスワードを入力 手順 4 ログイン ID の登録! ご確認ください 表示されます お客さま情報入力欄に 支店番号 口座番号 を入力します 次に 仮ログインパスワード入力欄に 仮ログインパスワード 仮確認用パスワード

不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム について 中ノ郷信用組合では インターネットバンキングのセキュリティを高めるため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム をご提供しております ( ご利用は

第5回_ネットワークの基本的な構成、ネットワークの脆弱性とリスク_pptx

2 0. 事前準備

PowerPoint プレゼンテーション

HTML5無料セミナ.key

Transcription:

金融分野の TPPs と API のオープン化 : セキュリティ上の留意点 FinTech フォーラム資料 2016 年 11 月 8 日 日本銀行金融研究所情報技術研究センター中村啓佑 TPPs(Third Party Providers) 本発表に示されている意見は 発表者個人に属し 日本銀行の公式見解を示すものではありません

情報技術研究センター (CITECS) について 日本銀行金融研究所では 金融業界が情報化社会において直面する新たな課題に適切に対処していくことをサポートするために 2005 年 4 月に設立 主に 1 国際標準化の推進 2 金融業界内の情報共有体制の整備 3 新しい情報セキュリティ技術の研究開発といった役割を担う 最近の主な研究テーマ FIDOの活用と安全性上の留意点 生体認証システムのセキュリティ スマートフォンを用いた取引認証 第 17 回情報セキュリティ シンポジウム (2016 年 3 月 2 日開催 ) 研究成果は 金融研究所ディスカッション ペーパーとして公表するほか 情報セキュリティ シンポジウムにおいても発表 (URL: http://www.imes.boj.or.jp/citecs/) 1

アジェンダ API とは TPPs サービスとそのアクセス / 認証方式 における API のオープン化と標準化 の API を活用したサービスのリスクと対策 ( 参考 ) 本発表の内容は 以下の論文に基づいています 中村啓佑 金融分野の TPPs と API のオープン化 : セキュリティ上の留意点 日本銀行金融研究所ディスカッション ペーパー シリーズ No. 2016-J-14 2016 年 http://www.imes.boj.or.jp/research/abstracts/japanese/16-j-14.html 2

API とは API(Application Programming Interface) は 特定のプログラムを別のプログラムによって動作させるための技術仕様 API の例 例 1: インターネットを介し Web ブラウザに提供される API 商店が所在地をウェブサイトで公開する際に Google Maps API を用いるケース 例 2: から TPPs に提供される API 顧客が TPPs から提供された専用アプリを用いて API を介してにアクセスするケース 口座情報 決済処理 API TPPs = Third Party Providers 顧客 オープン API の形態 (*) API の形態 提供対象 European Banking Association パブリック API 不特定多数 European Banking Association WG on Electronic Alternative Payments Understanding the Business Relevance of Open APIs and Open Banking for Banks を基に作成 アクウェインタンス API 資格を有する法人 個人 対象 メンバー API パートナー API プライベート API 規範性のあるコミュニティ 個別契約締結先 会社内部 3

TPPs サービスのアクセス方式と認証方式 TPPs は 個々のよりも利用者の金融取引にかかる情報を多く保有するケースがある 専用アプリの場合 A A が保有するデータのみを基にサービス ( 情報 ) を提供 利用者 TPPs 専用アプリの場合 A 複数のが保有するデータ等を基に サービス ( 情報 ) を提供 B TPPs 利用者 C へのアクセス方式と認証方式は 2 種類に大別される サービス毎の組合せ TPPs サービスアクセス方式認証方式 口座情報サービス (Account Information Service) 決済指図伝達サービス (Payment Initiation Service) ウェブ スクレイピング方式レガシー認証 ( 本人認証 ) API 方式トークン認証 ( 本人認証 + 認可 ) API 方式トークン認証 ( 本人認証 + 認可 ) 4

ウェブ スクレイピング方式と API 方式 ウェブ スクレイピング方式 A さんの口座情報 残高 100 万円 a.html <html> <head> <body> A さんの口座情報残高 100 万円 <html> <head> <body> A さんの口座情報残高 100 万円 抽出 TPPs 利用者 A API 方式 API A さんの残高はいくらですか? 100 万円です TPPs 利用者 A 5

トークン認証 (OpenID Connect のフロー ) 利用者が から認可コードを受領して TPPs に渡し TPPs はそのコードを用いてトークンを取得し から情報を取得 またはに決済指図等を伝達する OpenID Connect のほか 代表的なトークン認証の方式として SAML (Security Assertion Markup Language) が存在する 利用者 1TPPs にアクセス TPPs OpenID Connect ウェブサイト間の信頼関係に関係なく ID 連携を実現可能 SAML 相互に信頼関係を結んだウェブサイト間でのみ ID 連携が可能 2 にアクセス先を振り向け 3 との認証 4TPPsの認可 5 認可コードを送信 OpenID Connect は OAuth2.0 の機能を拡張し 更に認証を付加したプロトコル 6 認可コードを TPPs に送信 7 認可コードをに送信 8 トークンを送信 9 トークンをもとに入手したいデータへのアクセスや決済指図等の伝達を実施 6

主なアクセス / 認証方式の組合せにおける比較 アクセス / 認証方式 TPPs 対応負担 認可によるアクセス制御 対応負担 取得可能なデータ 利用者 ( 組合せ 1) ウェブ スクレイピング方式 + レガシー認証 不要 不可 ( 組合せ 2 に比べて ) 重い ウェブサイトの URL やレイアウトの変更の都度プログラム等の変更が必要 利用者の ID パスワード等を管理する必要 ウェブサイト上で提供されているものに限られる 認可によるアクセス制御ができない ID パスワード等を TPPs に登録することによる不安が存在する可能性 ( 組合せ 2) API 方式 + トークン認証 必要 API を介した外部からのアクセスを可能とするように情報システムの更改が必要 可能 および利用者が認めたデータのみにアクセスを制御可能 ( 組合せ 1 に比べて ) 軽い API の変更の都度プログラム等の変更が必要 変更頻度はウェブサイトよりも API の方が低いため 対応負担は API の方が軽い 利用者のトークン管理が不要 ( ただし 利用者のトークンを保有するサービスの場合 その管理が必要 ) 利用者の同意が得られれば ウェブサイト上で提供されないものも可能 トークンを TPPs に預ける場合でも 認可によるアクセス制御が可能であるため 組合せ 1 ほど不安感が高くない可能性 7

における API のオープン化と標準化 オープン化のメリット :TPPs の新規参入の促進や金融サービスの品質向上等 API を公開しているの例フィドール バンク ( 独 ) ビルバオ ビスカヤ アルヘンタリア バンク ( 西 ) クレディ アグリコル バンク ( 仏 ) 等 標準化の検討状況 組織 The Open Banking Working Group( 英 ) Open Bank Project( 独 ) ISO/TC68 ( 金融サービス ) 状況 EU 加盟国による PSD2 の実施に先んじて API のオープン化を推進 英国のや TPPs の競争力を強化することが目的 金融サービスに活用できる API の雛形を作成し 国内の銀行に対して提供 SC2( セキュリティ分科委員会 ) と SC7( コア銀行業務分科委員会 ) に TPPs にかかるスタディ グループを設置し 2016 年 9 月から検討を開始 再編が検討されているなか 新しく設置することが検討されている分科委員会の検討項目の候補に API の標準化が挙げられている API のオープン化に関する標準化の留意点 API のプログラムを標準化すると プログラムの脆弱性が発見された場合に 多くのが影響を受ける可能性 標準化する対象は それ自体が脆弱性とならないものとした方が望ましい データ記述言語 アーキテクチャ スタイル 関数名 リターン値等 8

想定するモデル TPPs サービスの基本的なシステムのモデルを想定し 脅威やリスク それらに対する対応策や論点等を考察する TPPs 利用者 のエンティティから構成されるモデルを想定 各エンティティはインターネットを経由して接続 ( または 通信 ) されている 攻撃者は 上記エンティティ以外を想定 ただし や TPPs の内部者の一部と結託する場合も想定 TPPs 利用者 金融取引にかかるデータ (TPPs 専用アプリが取得可能なデータ ) (A) (B) 利用者が TPPs 専用アプリを利用することで保存されるデータ (C) (B) (B) (D) TPPs 専用アプリ (TPPs を介してデータを受信等 ) 攻撃者 9

主な脅威とリスク (A) 脅威 : オープン API を介した通信路を利用した攻撃 ( ネットワーク機器の脆弱性の悪用 マルウェア感染 DDoS 攻撃等 ) (A) リスク : データ流出 改ざん 不正な金融取引の指図 サービス停止 金融取引にかかるデータ (TPPs 専用アプリが取得可能なデータ ) (A) API (B) TPPs 利用者が TPPs 専用アプリを利用することで保存されるデータ (B) (C) 攻撃者 (B) (D) 脅威 : 利用者のモバイル端末への攻撃 ( 盗取 なりすまし マルウェア感染 TPPs 専用アプリの改変等 ) (D) リスク : データ流出 改ざん 不正な金融取引の指図 (D) 利用者 TPPs 専用アプリ (TPPs を介してデータを受信等 ) (C) 脅威 : インターネットに開放している通信路を利用した攻撃 ( ネットワーク機器の脆弱性の悪用 マルウェア感染 DDoS 攻撃等 ) (C) リスク : データ流出 改ざん不正な金融取引の指図 サービス停止 (B) 脅威 : 通信路上での攻撃 (B) リスク : データの盗聴 改ざん 10

(1) 主な対策 内部にアクセス可能な通信路に対する対策が必要 1 データ流出 改ざんリスクへの対策 これまでと同様の対策が有効であるほか トークンを TPPs に保存する場合 トークンを盗取する攻撃を迅速に検知したり 速やかに失効したりする仕組みの導入等が有効 2 不正な金融取引の指図のリスクへの対策 上述の データ流出 改ざんリスクへの対策 で用いる対策のほか 取引認証を用いることも有効 3 サービス停止への対策 不正な通信による DDoS 攻撃への対策に加え 正規通信の頻度増加に伴う対策を行う必要 メンバー API 等である場合は と TPPs 間の通信に VPN ネットワークを用いることも有効 (2)TPPs 基本的には における上記 1~3 と同様の対策が必要 TPPs が行うべき対策は が行うべき対策に劣るものではなく 第三者による情報セキュリティ監査等を 定期的に受けることも検討に値する TPPs 専用アプリ自体や入出力が改変される状況を想定し そうした状況を検知 回避可能とするように検討する (3) 利用者 モバイル端末および 起動時や TPPs 専用アプリの使用時に求められる認証にかかる情報 (ID パスワード 生体情報等 ) を適切に管理 TPPs 専用アプリ等の脆弱性に対応したパッチを速やかに適用 11

リスク対策における重要な論点 1TPPs におけるセキュリティ対策の適切な実施をどう担保するのか は 金融情報システムセンターの定める 等コンピュータシステムの安全対策基準 に則ってセキュリティ対策を実施し 第三者による監査を受ける体制を整備している TPPs も 対策のための一定の基準やモニタリング体制の必要性を検討することが重要 2 利用者へのセキュリティ対策の啓発をどう進めていくのか TPPs は と密に連携し サービス利用時のリスクの所在 インパクト 講じているセキュリティ対策等に関して 利用者が理解できるように説明する必要 3 様々なリスクが顕在化した際の責任を と TPPs との間でどのように分担するか その他 ( セキュリティ対策を講じたことによる副作用は今次分析の範囲外 ) 利用者の利便性の考慮は必要 セキュリティ対策を過度に実施すると スループットの低下 や 利用者に複雑な処理を強いる など 利便性の低下が生じる可能性がある 利便性低下が利用者の許容範囲を超えないよう セキュリティ対策は利便性とバランスを取りながら行う必要 12

おわりに API のオープン化により の内部にアクセス可能な通信路を設定することになる この通信路に対する対策が必要 API の標準化を行う場合 その対象はそれ自体が脆弱性とならないもの ( 例えば データ記述言語 アーキテクチャ スタイル 関数名 リターン値等 ) とした方が望ましい TPPs におけるセキュリティ対策の適切な実施の担保 ( モニタリング等 ) 利用者へのセキュリティ対策の啓発 と TPPs との間における責任分担等をどうするかを意識しつつ API をどこまでオープン化すれば良いかを検討する必要 13

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック