フィンテックは消費者と犯罪組織の間で人気が高まっている

消費者は今年、推定「8,430億～8,590億ドル」をデジタル経済に注入する準備をしており、これはホリデーシーズンの売上高がわずか4,164億ドルだった2002年の2倍以上だ。

最終的に、これらすべては金融サービス機関を経由することになります。 支払いが Apple Pay、Venmo、PayPal、デビット カードのいずれを介して処理される場合でも、金融サービス機関のアカウントが常に関与します。  

当然のことながら、これは悪意のある人物による、特にフィンテック企業を通じてのアカウントへのアクセスの試みにつながります。 Zelle ユーザーやRobinhood カスタマー サービス従業員が経験したような詐欺によるものであれ、クレデンシャル スタッフィングやブルート フォースによる直接的なものであれ、攻撃は、攻撃を続行する者に思わぬ利益をもたらす可能性があります。

今日耳にする侵入の成功例のほとんどは、金融サービス機関のユーザー インターフェイス (Web アプリ、テキスト メッセージ、電子メール) に対して直接実行されています。 したがって、デジタル金融エコシステムを推進する爆発的な API の増加が及ぼす潜在的な影響、および犯罪組織が利益の大きい攻撃ベクトルとして急速に認識している関連するサードパーティのリスクの影響を考慮することは憂慮すべきことです。

APIは犯罪組織にとってますます魅力的になっている

今日の消費者は、休日の散財に資金を提供するための、ますます多様化する決済エコシステムを利用できます。

• 今年のホリデーシーズンには、Z世代の買い物客の3人に2人以上が、Instagram、WhatsApp、ライブストリームなどの非伝統的なチャネルで買い物をする予定です。 
• 2021年6月のNPD調査によると、消費者の50％以上がInstagramまたはFacebook経由で購入したことがあると回答しています。 消費者の 15% は、製品を発見したり製品について学んだりするソーシャル メディア プラットフォームとして TikTok を挙げました。 （ソース： 2021年ホリデーショッピングのEコマース統計とトレンド
  

活気ある支払いエコシステムは、デジタル金融取引を促進するために API の使用に依存しています。 標準化は、消費者のせっかちな性質に対応するための高速で安全な取引のニーズと、デジタル ビジネスの適応力と成長力をサポートします。 現在主流の標準は FDX (Financial Data Exchange) であり、2021 年 9 月現在、オープンな金融データ共有のために FDX API を使用している消費者アカウントは 2,200 万件に上ります。 特に、これにより API 呼び出しの量が大幅に増加し、月間 20 億回弱にまで急増しました。 （ソース： フィンエクストラ

F5のCTOオフィスから最近発表されたレポート「継続的なAPIの拡散： 「API 主導型経済における課題と機会」では、API の急速な増加と、それがもたらすガバナンスとセキュリティのリスクについて言及しています。 

デジタル決済からエンターテインメントサービスまであらゆるものを動かし、強力なマーケットプレイスを実現するAPIの数は現在約2億に上ることがわかった。 2030年までにその数は17億に達する可能性がある。

F5 Labs の調査結果によると、API セキュリティ インシデントの数は毎年増加しており、その多くは FinTech などのサードパーティに関連しています。金融機関は、差し迫った規制措置や競争力の可能性以外にも、多くのことを心配しています。

デジタル経済を守る

API のセキュリティを確保し、消費者と企業を詐欺から保護することは、あらゆる業界のデジタル企業にとって、特に金融サービス業界の企業にとってますます重要な焦点となっています。

さらに： 「複数のアプリケーションに取り組んでいるさまざまな開発チームでは、異なるツールセットを使用することがよくあります。 つまり、従来のセキュリティ チームは、セキュリティを強化するための集中管理ポイントを所有していない可能性があります。 これには、API 開発および管理プロセスに適切なコントロールを組み込むための標準的なツール セットが必要です。」(出典: F5 CTO セキュリティ Renuka Nadkarni、オープン バンキングでデータを守るために FDX API を保護する

F5 オープン バンキング ソリューションガイドでは、オープン バンキング向けの F5 ソリューションに対する包括的なアプローチを提供します。 さらに、ナドカルニ氏は「FDX は、消費者のアカウント情報とサービスの完全性に対する脅威とリスクから保護するために実装する必要がある制御に関する包括的なアドバイスを公開している」と指摘しています。 これらのコントロールには以下が含まれます。

• ソフトウェア セキュリティ - OWASP トップ 10 およびその他のソフトウェアの脆弱性の制御 - Web アプリケーション ファイアウォール (WAF)の導入を含む
• ネットワークとシステムのセキュリティ
• 運用セキュリティ
• 物理的なセキュリティ
• 事業継続と災害復旧
• サプライヤーのセキュリティ
• 認証情報の詰め込みに対する制御を含む authN/authZ の設計パターン
• API ゲートウェイに組み込まれた API セキュリティ制御を含む、セキュア ゲートウェイ アーキテクチャ (SGA) のパターン

最後に、デジタルがデフォルトの経済においては、転送中であろうと保存中であろうと、金融データを保護することがますます重要になっていることに留意することが重要です。 確かに企業にとって詐欺のリスクはかなり大きいですが、消費者にとってのリスクはさらに大きくなります。