サードパーティ API の使用により、顧客と金融機関のやり取りの方法に革命が起こっています。
しかし、生成される膨大な量の API 呼び出しは、従来の環境でのコスト増加に加えて、セキュリティ上の問題を引き起こす可能性があります。 さらに、電子決済サービスに関する欧州の PSD2 (決済サービス指令 2) 指令などの厳格な規制への準拠を確保することは、日々ますます困難になっています。
グローバルオープンバンキングの成長機会を活用する
オープンバンキングは API イノベーションに最適です。 成功するための最も重要な 8 つの必須事項を学びます。
高いセキュリティ効果がなければオープン バンキングは実現できないことは間違いありませんが、多くの銀行や金融サービス組織は、現在のセキュリティ ソリューションがオープン バンキングに伴うリスクの増大に対応できるかどうか疑問に思っています。 この懸念は、2020年にBFSI企業の役員を対象に実施された調査で強調されました。 「API との統合前に考慮すべき最も重要な 4 つの要素」をランク付けするよう求められたとき、セキュリティ (71.0%) がほぼトップに位置付けられました。2
API 攻撃の増加とオープン バンキングのセキュリティへの影響
金融サービスのデータは、サイバー攻撃者にとって最も狙われているデータの 1 つです。 ガートナーは、2022 年までに API の悪用がエンタープライズ Web アプリケーションに対する最も頻繁な攻撃ベクトルとなり、データ侵害につながると予測しています。 そのため、イノベーションを阻害することなく、API を保護し、アプリケーションとその中のデータを保護することがこれまで以上に重要になっています。
API を適切に保護するにはどうすればよいですか?
F5 Labs が実施した調査によると、API はサイバー攻撃に対して非常に脆弱であることがわかっています。 OWASP には API の脆弱性トップ 10 リストもあります。その理由は、OWASP の言葉を借りれば、「安全な API がなければ、迅速なイノベーションは不可能である」からです。 最も頻繁に発生する問題は、API エンドポイントの前での認証の完全な欠如であり、次に認証の破損と承認の破損が続きます。
O'Reilly Media Webapplicationセキュリティ eBook
F5 から提供されたこの O’Reilly Media の電子書籍には、データ侵害から企業を数百万ドルも救う実用的なセキュリティのヒントと、開発チームとセキュリティ チームがすぐに使用できるアドバイスが掲載されています。
オープンバンキングの規制上の課題はセキュリティに起因する
米国ではオープンバンキングの分野で規制介入がまだ行われていないが、世界の他の地域ではすでにそのような取り組みが実施されている。 欧州では、EU が第 2 次決済サービス指令 (PSD2) を制定しており、銀行は顧客の同意を得て、サードパーティ プロバイダーにデータを迅速かつ安全かつ確実に提供するためのメカニズム (最も一般的には API) を作成することが義務付けられています。 英国、カナダ、香港、日本、メキシコ、オーストラリアなどの他の国々も同様にオープンバンキング標準の導入を進めています。 規制上の課題に準拠するには、高額な罰金につながる可能性のあるコンプライアンス リスクを軽減するための投資が必要です。
Twimbit のオープン バンキング成熟度マトリックスは、規制イニシアチブと市場イニシアチブという 2 つの異なる基準に基づいて、22 の主要国の相対的な位置をマッピングします。
Twimbit によるグローバル オープン バンキング インフォグラフィック シリーズ
Twimbit は F5 の協力を得て、オープン バンキングの世界、その仕組み、利用可能な機会、世界の主要プレーヤー、規制上の課題などについて調査しました。
オープンバンキングにストレスを与えるその他の攻撃ベクトル - OFXとスクリーンスクレイピング
オープン バンキングにおいて緊急の対応が必要な脅威は標準 API だけではありません。 従来、消費者データへのアクセスを必要とする第三者や金融アグリゲータは、次の 2 つのメカニズムを活用してきました。
- OFX (Open Financial eXchange) は、当初は消費者向け金融アプリケーション (MS Money、Intuit QuickBooks など) をユーザーの金融機関に接続するために構築されました。
- スクリーン スクレイピングでは、消費者が銀行の認証情報を第三者に提供し、第三者が金融サービス Web チャネルにログインしてその情報をスクレイピングします。
OFX は、敵対者が直接または金融アグリゲータ経由で大規模な認証情報の盗用/アカウント検証と乗っ取りを行うためのチャネルとして利用される可能性があります。
金融サービス組織では、パスワード ログイン セキュリティ インシデントの発生率が 46% と最も高くなっています。 これらを内訳すると、 5% はモバイル アプリの API に対するものであり、 4% は Open Financial Exchange (OFX) インターフェースに対するものでした。3
FinTech データ アグリゲータは、金融サービスにおける新しいエキサイティングな領域の一部です。 これらは、消費者の全体的な体験の向上につながり、さらに、従来の組織と FinTech の両方にとっての相乗効果を通じて価値提案を強化します。
しかし、FinServ での API の使用が増えると、セキュリティ上の脆弱性も生じ、アプリケーションのパフォーマンスに悪影響を与える可能性があります。
スクリーンスクレイピング用の認証情報を第三者に提供すると、その認証情報が第三者のセキュリティ体制にさらされることになります。 これらのメカニズムでは、消費者は第三者がアクセスできる情報に対するきめ細かな同意や制御を得ることができず、何十億もの取引が危険にさらされ、非常に高額なセキュリティ侵害につながる可能性が高まっています。
オープンバンキングでデータを守るために FDX API を保護する
2022年にフィンテックデータアグリゲータが金融サービスに及ぼす主な影響
この電子書籍では、FinTech データ アグリゲータが金融サービスに提供する価値の増大と、それがもたらす関連する課題を軽減する方法について説明します。
オープン API により、銀行はフィンテックと提携して、新しい、より優れたデジタル エクスペリエンスを構築できるようになります。
この慣行はセキュリティ上の問題も生じます。 このライトボード レッスンでは、適切なソリューションがオープン バンキング イニシアチブにセキュリティと効率性をもたらす方法を学びます。
ビデオを見る
オープンバンキングとAPIセキュリティの説明
信頼できる最高のオープンバンキングセキュリティソリューション
API ゲートウェイのセキュリティだけでは、公開された API にはほとんど不十分です。 高性能 API ゲートウェイを含む F5 の総合的な API 中心のセキュリティ ソリューションは、API ゲートウェイだけでは実現できない API セキュリティの有効性を提供します。 たとえば、OpenAPI/Swagger ファイルの取り込みをサポートし、最も正確な API セキュリティ制御を可能にする WAF ソリューションなどがあります。 さらに、F5 のセキュリティ ソリューションは、EU の PSD2 のコンプライアンス要件であるサードパーティ プロバイダーのトラフィックを認証し、OFX やスクリーン スクレイピングに関連することが多い API 詐欺や不正使用、その他の不正なボット トラフィックを軽減します。
F5 オープンバンキング セキュリティのユニークな点は何ですか?
インフラに関係なくオープンバンキングのセキュリティを最優先
F5 のオープン バンキング セキュリティ ソリューションは、アーキテクチャの設定に関係なく、API とそれらをホストするために使用されるインフラストラクチャを効果的に保護できます。 クラウドホスト型でもオンプレミス インフラストラクチャでも、単一の環境の制約に縛られることはありません。 当社のオープン バンキング ソリューションは将来を見据えて拡張可能であり、あらゆる金融要件に対応する安全でスケーラブルな API サービスをサポートします。
オープンバンキングのアプローチは安全な環境で顧客価値を高めます
口座保有者に新たな機会を創出する方法を模索していたアフリカン バンクは、オープン バンキングを検討しましたが、セキュリティと常時利用可能なインターフェースの実現に関する課題に直面しました。 マイクロサービス型のアーキテクチャの構築に重点を置くことで、顧客の要望を最大限に満たすことができました。 API 主導のオープン バンキング アプローチにより、顧客の収益と付加価値がさらに高まりました。
詳細はこちら
アフリカンバンクの顧客事例
ヨーロッパの多くの企業と同様に、ギリシャの組織も新たな PSD2 要件に直面しており、違反が発覚すると多額の罰金が科せられることになります。 彼らは解決策を求めてF5に頼りました。 F5 BIG-IP APM (アクセス ポリシー マネージャー) を使用すると、組織は OpenBank API にアクセスする前に TPP (サードパーティ プロバイダー) を認証し、QWAC (認定 Web サイト認証証明書) をアプリに転送してさらに処理することができ、アプリに変更を加える必要はありません。
Pylones HellasはF5のAPMソリューションを活用し、新しいPSD2指令に対応しています。
どのように動作するか見てみませんか?
NGINX App Protect を使用して Open Banking API を保護し、L7DoS 攻撃を防ぐ方法をご覧ください。
[1] アライド・マーケット・リサーチ、「世界のオープンバンキング市場は2026年までに431億5,200万ドルに達すると予想」
[2] ポストマン、「 2020 API の現状レポート」
[3] F5 Labs、「 2021 アプリケーション保護レポート: 身代金と償還について
無料でお試しください
データ センター、クラウド、アーキテクチャにまたがる市場をリードするセキュリティにより、どこで実行されていてもアプリケーションと API を保護します。 無料トライアルの開始について詳しくは、お問い合わせください。
ありがとう
ご要望を承りました。 すぐにご連絡させていただきます。
オープンバンキング
オープンバンキングは、世界中の人々が銀行とやり取りする方法に革命をもたらしています。 しかし、金融サービスには新たなセキュリティ上の脅威やパフォーマンスの問題も生じています。
デジタルトランスフォーメーション
デジタル変革は、従来のスケーラビリティとパフォーマンスの制約を乗り越え、顧客が期待する優れたデジタル エクスペリエンスを提供するための鍵となります。
GRCと不正管理
アプリケーションを保護し、コンプライアンスを維持することは、信頼できるオンラインプレゼンスを維持するために不可欠です。 一つの課題は、金融機関が、高度な組織犯罪グループにとって最も利益の高いターゲットの一つであるということである。