APIセキュリティとは?金融業界にとって重要な理由を解説
APIセキュリティとは?金融業界にとって重要な理由を解説
APIはソフトウェアやWebアプリケーションに登録した情報を利用し、外部サービスと連携させる仕組みです。利便性が高く、さまざまなWebサービスで利用されており、金融業界でもAPIを利用したサービス提供がスタートしています。一方で、APIは多数のサービスと連携する関係上、不正アクセスなどに対する脆弱性をはらむ仕組みです。そのため、APIをサービスで利活用する場合、十分なセキュリティ対策が必要です。
この記事ではAPIセキュリティが金融業界にとって重要になった理由や、APIセキュリティが必要な理由、金融業界向けのAPIセキュリティについて解説します。
目次
1. APIセキュリティとは
APIセキュリティは、APIを不正アクセスなどのサイバー攻撃から守るためのシステムです。APIはソフトウェア同士の連携を容易にする利便性の高い仕組みであるものの、特有の脆弱性を持ちます。適切なAPIセキュリティは、不正アクセスやデータ改ざんを防ぐのに欠かせません。
以下では、APIセキュリティの前提知識として、APIの概要や重要性を詳しく解説します。
1-1. そもそもAPIとは
APIは「Application Programming Interface」の略称です。インターフェースは「境界」「接点」を表す言葉です。パソコンやスマートフォンなどのソフトやWebアプリケーション(以下アプリ)同士の機能に接点を持たせ、外部サービスと連携させる仕組みとなっています。
本来、あるアプリで特定の機能を利用するためには、自力での機能開発が必要です。APIを使うと、都度自分たちで機能を開発せずに、自分たちのアプリにはない機能を利用できます。
たとえば、ECサイトでクレジットカード決済を行う仕組みは身近なAPIの活用例の1つです。決済機能のないECサイトでもクレジットカードが利用できるのは、APIでECサイトとクレジットカード決済機能を連携させているためです。
1-2. 金融業界でAPIが重要な理由
オープンAPIの登場により、金融業界でAPIの重要性が増しています。一方で、顧客の重要情報を守るためのAPIセキュリティが欠かせないものとなっている現状があります。
オープンAPIとは、自社のAPIを公開することで事業者間のデータ連携を行う仕組みです。金融機関では、銀行のシステムを外部の事業者に連携させ、電子決済を代行させる際にオープンAPIを活用しています。
ITのサービス提供者のうち、APIなどを用いて金融とITを融合させたサービスを提供する企業が「フィンテック(FinTech)企業」です。フィンテック企業はオープンAPIの活用によって、口座情報や振り込み指示など利便性の高い機能を多くのユーザーに提供します。
従来のデータ連携では、ユーザーがログインIDやパスワードを事業者に預け、金融機関にログインする必要がありました。一方、オープンAPIでは事業者に個人情報を預けずに、ユーザーが直接金融機関のシステムにアクセスでき、事業者からの情報漏洩のリスクを低下させられます。
2018年の銀行法改正で、事業者がオープンAPIで金融機関のシステムに接続するためには登録が必要になりました。それに伴ってオープンAPIの信頼性が高まり、オープンAPIの活躍の場はますます広がっています。
顧客の利便性を高められるオープンAPIですが、APIがサイバー攻撃のターゲットとなった場合、顧客の金融情報への不正アクセスが可能になります。口座情報の改ざんなどの出来事が起きた場合、その金融機関の信用は致命的に損なわれてしまうでしょう。
2. APIセキュリティが必要な理由
APIは利便性が高い一方で、セキュリティ対策が不十分な場合、サイバー攻撃のターゲットとなる脆弱性を持つ点がデメリットです。ここでは、APIセキュリティが必要な理由として、APIの脆弱性を例にとって解説します。
2-1. 個人情報や機密データを窃取・改ざんされる
APIに不正アクセスすれば、ユーザーの個人情報や機密データにアクセスし、改ざんできます。個人情報の漏えいや改ざんが起こると、事業者はユーザーからの信頼を失うでしょう。
特に金融機関に接続するAPIの場合、口座の情報に不正アクセスされると、不正出金など直接的に金銭的被害に遭う可能性が高まります。また、デバイスやアプリ上の認証情報を窃取されると、なりすましによる不正ログインやアカウントの不正利用なども発生する恐れもあります。
2-2. 複数のサービスと連携する仕組みが悪用されやすい
APIにはエンドポイントが多いという特徴があります。ITにおけるエンドポイントとは、通信ネットワークに接続された機器のことです。パソコンやタブレット、スマホなどがエンドポイントにあたります。
APIでは、個人・企業問わず複数の機器がエンドポイントとなる点がサイバー攻撃に悪用されやすい原因の1つです。くわえて、サービスを提供するサーバーとエンドポイント間で双方向のデータのやり取りが行われるため、被害が広がりやすくなっています。
2-3. セキュリティ対策が不十分になりやすい
APIは従来のアプリとはデータの流れなどの仕組みが異なり、独自のセキュリティ対策が求められます。
従来のアプリに対するサイバー攻撃は、攻撃も対策もパターン化しやすく、セキュリティを強固にしやすい点がメリットです。一方、APIは各種サービスや連携によって仕様が異なり、脆弱性や攻撃方法もパターン化しにくく、対策が不十分になりやすいでしょう。
また、APIは基本的に、サービス提供者が公開することで機能を提供できます。しかし、APIを公開すると、攻撃者にもAPIの弱点やセキュリティの回避方法を知られ、セキュリティリスクが高まる点も課題の1つです。
3. 金融業界がAPIセキュリティを対策する方法
全国銀行協会は、金融業界がAPIを活用したサービスを提供するにあたり、APIの種類に応じた適切なセキュリティ要件を確保するよう求めています。
出典:一般社団法人 全国銀行協会「オープンAPIのあり方に関する検討会報告書 - オープン・イノベーションの活性化に向けて -」
APIを活用したサービスとあわせて、以下のような対策方法を導入するのが望ましいでしょう。
3-1. OAth2.0とF-APIの利用
OAth2.0とF-APIは、全国銀行協会においてAPIセキュリティの基準として推奨されています。
OAth2.0は認可フローを定義する仕組みの1つです。ITにおける認可とは、システムがユーザーのデータに対するアクセス権限を与える行為を指します。OAth2.0には、電子署名などの機能を駆使して不正な認可を防止し、不正アクセスやデータ改ざん、なりすましなどを防ぐ機能が搭載されています。
F-APIとは、金融業界での使用を想定したAPIの仕様です。F-APIでは、OAth2.0にくわえて生体認証などによるユーザー認証の強化やトークン(ユーザー本人を証明するデータ)の保護といった機能をAPI自体に盛り込むことで対策を行っています。
3-2. TLSを利用した通信経路の保護
TLSとは、「Transport Layer Security」の略称で、Web上のデータを暗号化する仕組みの1つです。OAth2.0やF-APIがアクセス制御による入口の対策とすると、TLSはデータの通信経路への対策となります。
データの暗号化とは、データを見ただけでは解読できない暗号状態にして情報の漏えいを防ぐ方法です。住所・氏名やクレジットカードの番号など、重要な情報のやり取りに使用され、OAth2.0やF-APIなどにも利用されています。
TLSは、一般的には「SSL/TLS」と表記されています。TLSはもともとあった「SSL」の脆弱性を改良した規格で、従来のSSLよりセキュリティレベルが高い仕組みです。SSLと表記されていても、実際はTLSを指している場合も少なくありません。
3-3. 不正操作の検知・監査機能の向上
不正操作の検知やデータの流れの監査機能を高めることで、エンドポイントでの不正を素早く発見できます。不正の早期発見は、不正アクセスによる被害の防止や抑制につながるでしょう。
近年はAI技術を活用したセキュリティ監視サービスの開発が進んでいます。人力で監視せずとも、AIがアクセスのあった時間帯やデータの流れから異常な操作を検出し、データ処理のペンディングなどの対策を自動的に行います。
まとめ
適切なAPIセキュリティの利用は、金融機関がオープンAPIを取り入れるにあたって必須となっています。APIの脆弱性をそのままにしている場合、金融機関に預けた個人情報や口座情報などに不正アクセスされ、情報流出や不正送金などが発生する可能性が高まります。
F-APIへの対応、TLSを利用した通信経路の保護、エンドポイント監視による不正操作の検知などはAPIセキュリティの要件です。金融機関向けのAPIセキュリティソリューションを導入すれば、利便性を保ちながらしっかりとしたセキュリティ保護を受けられるでしょう。
CTCが提供するC-FPIであれば、独自開発の必要なく、簡単に高セキュリティのAPIを公開できます。F-APIに対応したセキュリティ機能を提供するため、お客様の口座情報や金融機関のシステムを保護し、安心してDXを推進可能です。
貴社APIのセキュリティを大幅に強化するAPI連携ソリューション「C-FAPI」
