オープンバンキングでデータを守るために FDX API を保護する

先日開催されたFDX Global Summit Spring 2021では、Cequence Security および Mastercard-Nudata の他のパネリストとともに、F5 を代表するパネリストとして参加しました。 私たちは、金融機関、アグリゲーター、セキュリティベンダーを集めて協力し、データ共有のための安全でオープンな銀行標準を定義する FDX API セキュリティワーキンググループの取り組みについて話し合いました。

Financial Data Exchange (FDX) は、相互運用可能な共通のデータ標準を作成するために FDX API (アプリケーション プログラミング インターフェイス) 標準の開発に重点を置いた非営利団体です。 これにより、消費者や企業は金融データに確実かつ安全にアクセスできるようになるため、米国とカナダにおけるオープンバンキングのベンチマークが確立されます。

オープン バンキングは、金融サービス業界におけるイノベーションとコラボレーションをさらに推進する素晴らしい機会を提供します。FinTech やその他の認定された第三者が、消費者の金融情報を活用してイノベーションを起こし、付加価値のあるサービスを提供できるようになります。 オープン バンキング標準により、消費者は、特定の金融消費者データ (残高、取引など) および機能 (支払いなど) への第三者による安全できめ細かいアクセスに同意し、許可できるようになります。 サードパーティやフィンテックが付加価値サービスを提供する可能性としては、次のようなものがあります。

• 複数の機関のアカウント/サービスを1か所に集約
• 支払い開始
• 金融商品の比較
• 金融機関がまだ提供していない銀行サービスを提供する
• 本人確認、信用サービス性評価など、財務データに基づいた意思決定や洞察を提供します。

F5 は、世界中の金融サービス顧客と緊密に連携して、オープン バンキング API の実装とセキュリティ保護に取り組んでいます。 F5 と Twimbit は協力して、オープン バンキングの世界的な動向に関する調査を発表しました。

消費者金融情報の本質的な価値

消費者の金融情報は、ダークネット市場で 35 米ドル (他の詐欺の運び屋アカウントとして利用できる低残高のアカウントの場合) から 150 米ドル以上 (残高が大きいアカウントの場合) で取引される商品です。 消費者の金融情報の取引価値が比較的低いのは、侵害されたアカウントや認証情報が大量に供給されているためです。 そのため、攻撃者は自動化 (API) を活用して、盗んだ何千ものアカウントを売買する活動を拡大しており、金融 API は保護すべき主要な脅威対象領域となっています。

攻撃者はオープンバンキングのAPIに注力

最近では、金融サービス分野を標的とするサイバー犯罪者が、アプリケーション プログラミング インターフェイス (API) への攻撃に重点を置くようになっています。 アプリケーションは、API を接続ポイントとして、ますます分散化および非中央集権化されるモデルへと移行しています。 F5 の最新の調査によると、API セキュリティ インシデントの数は毎年増加しており、過去 2 年間の API インシデントのほとんどは、ツールの無秩序な増加が原因となるセキュリティ成熟度の低さに関連していました。 複数のアプリケーションに取り組んでいるさまざまな開発チームでは、多くの場合、異なるツール セットが使用されます。 つまり、従来のセキュリティ チームは、セキュリティを強化するための集中管理ポイントを所有していない可能性があります。 これには、API 開発および管理プロセスに適切なコントロールを組み込むための標準的なツール セットが必要です。

進化—OFXとスクリーンスクレイピング

注意が必要な脅威の対象は API だけではありません。 従来、消費者データへのアクセスを必要とする第三者や金融アグリゲータは、次の 2 つのメカニズムを活用してきました。

• OFX (Open Financial eXchange) は、当初は消費者向け金融アプリケーション (MS Money、Intuit QuickBooks など) をユーザーの金融機関に接続するために構築されました。
• スクリーン スクレイピング - 消費者が銀行の認証情報を第三者に提供し、第三者が金融サービス Web チャネルにログインしてその情報をスクレイピングします。

OFX は、敵対者が大規模なクレデンシャル スタッフィング/アカウント検証および乗っ取りを行うためのチャネルとして利用される可能性があります (直接的にも金融アグリゲータ経由でも)。

• F5 は、OFX が、直接的にも金融アグリゲータ経由でも、大規模な認証情報の詰め込み/アカウント検証および乗っ取りを行うためのチャネルとして敵対者に利用されていることを定期的に確認しています。
• スクリーン スクレイピング用の認証情報を第三者に提供すると、その認証情報が第三者のセキュリティ体制にさらされることになります。
• これらのメカニズムでは、消費者に対して、第三者がアクセスできる情報に関するきめ細かな同意と制御が提供されないため、プライバシーの侵害につながります。

OFX は FDX に加わり、最終的には統一標準に統合され、セキュリティ制御を近代化し、過去のセキュリティ上の課題に対処する機会が生まれます。 スクリーンスクレイピングベースのアプローチは、金融機関にとって依然として課題となっています。

セキュリティ向上のための推奨事項

FDX は、消費者のアカウント情報とサービスの完全性に対する脅威とリスクから保護するために実装する必要がある制御に関する包括的なアドバイスを公開しました。 これらのコントロールには以下が含まれます。

• ソフトウェア セキュリティ - OWASP トップ 10 およびその他のソフトウェアの脆弱性の制御 - Web アプリケーション ファイアウォール (WAF)の導入を含む
• ネットワークとシステムのセキュリティ
• 運用セキュリティ
• 物理的なセキュリティ
• 事業継続と災害復旧
• サプライヤーのセキュリティ
• 認証情報の詰め込みに対する制御を含む authN/authZ の設計パターン
• API ゲートウェイに組み込まれた API セキュリティ制御を含む、セキュア ゲートウェイ アーキテクチャ (SGA) のパターン

最後に、 F5 オープン バンキング ソリューションガイドでは、オープン バンキング向けの F5 ソリューションに対する包括的なアプローチを提供します。