オープンバンキングとは、サードパーティーの金融サービスプロバイダーが銀行やその他の金融機関の顧客データにアクセスできるようにするための取り組みを指します。ユーザーは、自分の情報にアクセスできるユーザーを管理できますが、データをサードパーティーと共有する際に同意を行う必要があります。アプリケーション・プログラミング・インターフェイス (API) を介してアクセスされるこの共有データは、金融業界に大きなイノベーションと企業間競争をもたらし、フィンテックや新しい金融サービスの市場参入を促進してきました。世界全体におけるオープンバンキング決済の総取引額は、2023 年時点で 570 億ドルであり、2027 年には 3,300 億ドルを超えることが見込まれています。

安全かつ合法的なオープンバンキングは、企業間で共有される機密性の高い財務データを保護するセキュリティ基盤の上に構築されています。以下では、オープンバンキングの仕組みや顧客データを安全に保つ対策 (API セキュリティ、本人確認・防御対策など) について解説します。

この記事の内容

• オープンバンキングの用途
  
• オープンバンキングの仕組み
  
• オープンバンキングのセキュリティ上の課題
  
• API がオープンバンキングで果たす役割
  
• オープンバンキングにおける API セキュリティ
  
• リスクベースのセキュリティ戦略
  
• ゼロトラストポリシーの導入
  
• 脆弱性の特定と保護
  

オープンバンキングの用途

オープンバンキングは、データ共有を促進し、個人・企業向けの金融サービスを向上させてきました。ここでは、オープンバンキングによって実現した金融ツールや機能をいくつかご紹介します。

• 予算管理・貯蓄アプリ:オープンバンキングの登場により、ユーザーの銀行口座から情報を集約し、この包括的なビューに基づいて予算管理や貯蓄に関する助言を提供するサードパーティーアプリの作成が可能になりました。

• 与信・融資判断力の向上:貸し手は、オープンバンキングを通じてより多くの財務データに素早くアクセスして分析することが可能になり、これが与信判断や融資承認の時短化へとつながっています。

• 銀行サービスのカスタマイズ:金融機関は、オープンバンキングを通じて取得したデータで、個々の顧客のニーズを満たすパーソナライズされた商品やサービス (例: 独自金利) を提供できます。

• 口座振替:オープンバンキング API を使用すれば、クレジットカードなどの従来の決済システムを介することなく銀行口座から直接支払うことが可能になり、おまけに取引手数料も抑えることができます。

• 不正検知の向上:金融機関やサービスプロバイダーは、リアルタイムのデータにアクセスすることで不正利用検出機能を改善し、不正取引のリスクを抑制しています。

• キャッシュフロー管理:企業はオープンバンキングソリューションを使用することで、さまざまな口座データを 1 つのプラットフォームへと集約してキャッシュフローを効率的に把握できます。

• マーケットインサイト:企業は、オープンバンキングによって利用可能になった銀行データを分析して、顧客行動、市場動向、経済状況に関するインサイトを得られるようになります。

オープンバンキングの仕組み

オープンバンキングでは、API を介することで、銀行と認定されたサードパーティープロバイダー間の財務データの共有が実現しています。データ共有に関しては、さまざまな規制枠組みの下で顧客の同意が必要になります。この項目では、オープンバンキングの仕組みについてご紹介します。

• API 開発:銀行は、サードパーティープロバイダーが金融データにアクセスできるようにするための、標準化された API を開発または導入します。この API は、データ通信を処理する安全なゲートウェイとして機能します。

• 顧客の同意:サードパーティープロバイダーが顧客の財務データにアクセスする場合、顧客による明示的な同意が必要になります。通常、同意は十分な情報を提供した上で、安全なインターフェイスを通じて明示的に行うことが法律で義務付けられています。

• データアクセス:同意が下りると、サードパーティプロバイダーは API を使用して、銀行に顧客の財務データへのアクセスを要求します。API により、これらのリクエストは安全かつ標準化された方法で処理されます。

• 認証と承認:銀行は顧客の本人確認を行うとともに、サードパーティプロバイダーがデータにアクセスする権限を持っているかどうかを確認します。このプロセスでは多くの場合、銀行ポータルへのログインや追加のセキュリティチェックといった認証手順が要求されます。

• _データ共有: _認証とオーソリが成功すると、銀行は API を介して要求されたデータをサードパーティープロバイダーと共有します。データには、口座残高、取引履歴、決済指示に関する情報などが含まれます。

• データ使用量:サードパーティプロバイダーは、上記のデータを使用して顧客にサービスを提供します。具体的には、財務管理、パーソナライズされた財務アドバイス、シンプルな融資プロセス、決済サービスなどがこれに該当します。

• 継続的な同意とセキュリティ:顧客は、いつでも自らの同意を管理または撤回できます。銀行やサードパーティプロバイダーは、データを保護し、プライバシーを確保するために、厳格なセキュリティ対策を施す必要があります。

• 規制枠組み:オープンバンキングは、政府機関の規制下にあり、国内法によって、セキュリティ基準、顧客の同意手続き、オープンバンキングで共有できるデータの種類が規定されています。規制当局は、銀行やサードパーティープロバイダーがオープンバンキングの規制に準拠していることを確認するため、継続的な監視を実施しています。

オープンバンキングのセキュリティ上の課題

オープンバンキングでは、機密性の高い財務データの漏えいリスクが増大します。そのため、データを不正アクセスから保護するための高度なセキュリティ対策が必要になります。オープンバンキングがもたらすセキュリティ上の課題には、高度なテクノロジー、適切に設計されたセキュリティプロセス、継続的な監視を組み合わせて対処する必要があります。この項目では、オープンバンキングにおけるセキュリティ上の主な課題をご紹介します。

データプライバシーと同意

顧客の財務データは、本人が明確に同意した場合にのみアクセスが許可され、またいつでもそのアクセスを取り消すことができるようにしなければなりません。

解決策

• 同意を管理するための最先端のシステムを導入する。
  
• データを管理するための簡単なオプションを顧客に提供する。
  
• 一般データ保護規則 (GDPR) などの厳格なプライバシー法の遵守を徹底する。
  

API アクセス

API はデータにアクセスするための玄関口であり、不正アクセスや攻撃から保護するための十分な対策が必要です。

解決策

• OAuth 2.0 などの最新の認証方法を導入する。
  
• 相互 TLS 認証などの手段を用いて API のセキュリティを強化する。
  
• 使用状況を監視して異常なアクティビティを防止・検出する。
  

サードパーティーリスク

サードパーティーサービスは、セキュリティレベルがそれぞれ異なります。

解決策

• すべての外部プロバイダーのセキュリティ対策を徹底的に評価する。
  
• サードパーティープロバイダーを継続的に監視する。
  
• セキュリティ基準に厳格であることを主張する。
  

データの暗号化と整合性

データは、傍受された場合に改ざんされたり読み取られたりしないよう、暗号化を施す必要があります。

解決策

• データの保存時および転送時に強力な暗号化技術を適用する。
  
• デジタル署名などの技術を利用してデータの完全性を定期的に確認する。
  

不正利用の検出

データへのアクセス回数が増えると、未知の不正利用被害に遭う可能性もあります。

解決策

• 高度な機械学習を活用して不正利用を発見する。
  
• 不審な行動を監視し、迅速に対応するシステムを設定する。
  

法規制の遵守

規制の内容は地域によって異なり、時間の経過とともに変化する可能性があるため、データの処理方法にも影響が出ます。

解決策

• 新しい法律に迅速に適応できるコンプライアンス戦略を構築する。
  
• チームが最新の要件を常に把握できる仕組みを整える。
  

ID とアクセスの管理

ユーザーに対しては、個々に認証を要求し、データアクセスを慎重に管理する必要があります。

解決策

• 強力な本人確認システムと多要素認証 (MFA) システムを実装する。
  
• 緻密なアクセス制御を設定する。
  

レジリエンスとインシデントへの対応

問題が発生した場合でも、サービスは滞りなく提供されなければなりません。セキュリティ侵害があった場合、被害を最小限に抑えるために迅速に対処する必要があります。

解決策

• インシデント対応計画を策定し、定期的に見直す。
  
• バックアップシステムを整備する。
  
• 定期的にセキュリティ訓練を実施する。
  

API がオープンバンキングで果たす役割

API はオープンバンキングのバックボーンであり、アプリやサービスが銀行と連携し、金融データにアクセスするための安全で標準化された手段を提供します。API が果たす役割として、以下のようなものが挙げられます。

• 安全なメッセンジャー:API は、使用しているアプリ (予算管理アプリなど) から銀行に情報 (口座残高、取引履歴など) のリクエストを送信し、銀行の応答をアプリに送り返します。これにより、銀行情報を安全に保ちながら、サードパーティーのアプリを通じてさまざまな金融サービスを利用できます。

• 権限の処理:新しい金融サービスやアプリを初めて使用するときに、API はアプリがユーザーの情報にアクセスできるかどうかを尋ねます。「はい」と答えると、アプリは必要なデータのみを取得するようになります。これにより、財務情報を閲覧できる対象を制限し、アプリが必要以上にデータにアクセスすることがなくなります。

• リアルタイムデータの提供:API を使用すると、アプリは銀行から直接、取引履歴や口座所有権などに関する最新のデータを取得できるようになります。これにより、予算管理や融資の自動承認など、さまざまなフィンテックサービスの開発が促進されます。

• 通信の標準化:さまざまな銀行やアプリで使用されているオープンバンキング API は、一定の標準に準拠するために「共通言語」を採用しています。この仕組みは、アプリやサービスがさまざまな銀行や金融機関とスムーズに連携することを可能にしています。

• セキュリティとプライバシーを維持:API は、データ転送時の暗号化などのセキュリティ対策を実施し、許可されたリクエストのみを処理します。また、不正アクセスの防止、プライバシーの確保、サイバー脅威からのデータ保護といったゲートキーパーとしての役割も同時に果たします。

オープンバンキングにおける API セキュリティ

オープンバンキングの API セキュリティを向上させるには、銀行、サードパーティープロバイダー、顧客間のやり取りを安全に保ち、データ完全性を維持できる多層的なシステムが不可欠です。以下の要素には、API によるセキュリティ対策が求められます。

認証および承認

認証プロトコルと承認プロトコルを導入し、正当なユーザーとサービスのみ API にアクセスできるようにします。

• OAuth 2.0:OAuth 2.0 は、認証情報の代わりにトークンを使用する認証方法です。トークンは、特定のリソースセットへのアクセス権を一定時間付与する目的で使用されるため、盗難リスクも軽減されます。

• OAuth:OAuth では、トークンを取得するためのメソッドがシナリオに応じて提供されます (アプリの認証コードやサーバー間通信用のクライアント資格情報など)。

暗号化

暗号化は、データをシステム間で移動させるとき (転送時)、および保存するとき (保存時) に保護目的で適用されます。最新の強力な暗号化プロトコルを導入することで、攻撃者による傍受を防止できます。

• TLS:TLS は、クライアントとサーバー間で交換されるデータを暗号化し、転送中のデータを保護する機能を果たします。

• AES:データベースエントリやその他のデータストアに適用される高度暗号標準 (AES) は、保存データを保護する目的で利用されます。

API ゲートウェイ

API ゲートウェイは、API へのトラフィックを管理・保護するためのシステムです。API ゲートウェイはリバースプロキシとして機能し、すべての API コールを受け入れ、それらを実行するために必要なサービスを集約して、適切な結果を返します。レート制限、IP ホワイトリスト、アクセス制御などもここで処理されます。ゲートウェイは、トラフィックパターンに関するインサイトを管理者に提供し、潜在的なセキュリティ脅威を警告するという役目も担っています。

安全な API 開発プラクティス

API には通常、安全な設計が施されています。開発者は、Open Web Application Security Project (OWASP) の API Security Top Ten (API セキュリティに関する注意喚起文書) を遵守することが求められます。

• 入力検証:入力検証を導入することで、SQL インジェクションやクロスサイトスクリプティング (XSS) 攻撃を防止できます。

• API トランザクションログ:API トランザクションを詳細に記録することで、監査への対応がスムーズになります。

• コードの定期レビュー:コードを定期的にレビューすることで、セキュリティ侵害につながる脆弱性を前もって特定します。

レート制限およびスロットリング

レート制限やスロットリングは、API の悪用を防止するために用いられる手法です。このプロセスでは、特定の期間内にユーザーまたはサービスが実行できるリクエストの数が制限されます。リクエスト数が制限を超えると、その後のリクエストは遅延またはブロックの対象となります。この調整は負荷管理の点で役立ち、トラフィックの多いシナリオや攻撃シナリオでもサービスを引き続き提供することを可能にします。

定期セキュリティ監査とペネトレーションテスト

定期セキュリティ監査とペネトレーションテストにより、API インフラのセキュリティ体制が継続的に評価されるようになります。これらのプラクティスは、標準のセキュリティプロトコルの一部であり、業界標準やコンプライアンス要件を満たしている必要があります。定期監査とペネトレーションテストを実施して、API が悪用される前に脆弱性を特定します。

異常検知・対応システム

これらのシステムは、機械学習やその他の高度な分析を活用する形で API トラフィックパターンを監視し、標準から逸脱したアクティビティに自動的にフラグを立て、セキュリティ侵害が疑われる異常なアクティビティを検出して自動で対応します。多くの場合、潜在的な脅威を迅速に隔離して緩和するために、インシデント対応メカニズムと一体になっています。

リスクベースのセキュリティ戦略

リスクベースのセキュリティ戦略を実施するには、さまざまな脅威の可能性と潜在的な影響を考慮した上で、セキュリティの取り組みとリソースに優先順位を付ける必要があります。この戦略により、組織は新たな脅威に俊敏に対応し、セキュリティリソースを効率的に使用し、最も対策が必要な分野に集中することができます。セキュリティ予算が限られていたり、テクノロジーが急速に変化するような環境においては特に不可欠です。

この項目では、リスクベースのセキュリティ戦略の一般的な仕組みをご紹介します。

• リスクの評価:潜在的影響と発生可能性に基づいてリスクを特定および評価します。組織の資産をマッピングし、各資産が直面している脅威の特定、脆弱性の評価、それらの脅威の潜在的影響の評価をそれぞれ行います。これらは、脅威モデリングや脆弱性スキャンなどの手法を用いることで実施可能です。

• リスクの優先順位付け:特定したリスクを、早急に対処する必要があるリスク、監視可能なリスク、許容可能なリスクの順にランク付けします。重大度と発生可能性に基づいてリスクをランク付けすることで、影響が大きく、発生率の高いリスクが優先視され、早急に被害が軽減されます。

• リスクコントロールの導入:適切かつ費用対効果の高いリスクコントロールを実施して、最も優先度の高いリスクを管理・軽減します。リスクに応じて、さまざまなコントロール (予防、検出、是正など) を適用します。リスクコントロールには、技術ソリューション (ファイアウォールや暗号化など)、ポリシーと手順、トレーニングと意識向上プログラムが含まれる場合があります。

• セキュリティシステムの監視:リスク管理措置の有効性を継続的に監視します。このプロセスには、定期セキュリティ監査、侵入検知システムの利用、アクセスログやその他のセキュリティイベントの監視などが含まれます。

• 学習と改善:新種の脅威、組織の変化、継続監視から得た教訓に応じて対策を調整します。監視・レビューフェーズのフィードバックを参考にしながらセキュリティプラクティスを改善し、インシデントが発生して脆弱性が特定されたときに、リスク評価とコントロールを更新します。

ゼロトラストポリシーの導入

従来のセキュリティモデルは、組織のネットワーク内のすべてを信頼できる要素として想定していましたが、ゼロトラストポリシーでは必ずしもすべてに信頼が置かれるわけではありません。ゼロトラストでは、ネットワーク境界の内側か外側かにかかわらず、ネットワークリソースにアクセスしようとするすべてのユーザーに対して厳格な本人確認を要求します。この項目では、ゼロトラストポリシーが一般的にどのように実施されているかをご紹介します。

• 明示的な確認:すべてのアクセス要求は、リクエストの発信元やアクセスするリソースに関係なく、アクセスを許可する前に検証される必要があります。多要素認証、生体認証、行動分析を使用してユーザーを本人確認し、デバイスの正常性、位置情報、アクセス時間などの変動要素を考慮したコンテキスト認証を採用してください。

• 最小限のアクセス権付与:タスクの実行に必要な最小限のレベルのアクセスをユーザーとデバイスに付与することで、各ユーザーがネットワークの機密領域にアクセスする機会を最小限に抑えます。厳格なアクセス制御ポリシーとロールを定期的に見直し、更新することで、アクセス権を管理することが可能です。

• セグメンテーション:ネットワークをセグメントに分割して、攻撃者によるネットワーク内のラテラルムーブメントを抑制します。これにより、機密データやシステムの周囲にマイクロセグメンテーションが作成され、攻撃者がアクセスした場合でもネットワーク内の移動が困難になります。

• 多層防御:攻撃者がリソースにアクセスすることを妨げる複数の防御レイヤーを実装します。ファイアウォール、侵入検知 / 侵入防止システム (IDS/IPS)、転送時および保存時のデータ暗号化を組み合わるのが効果的です。

• セキュリティの監視と維持:すべてのネットワークトラフィックとユーザーアクティビティを継続的に監視し、脅威をリアルタイムで検出して自動で対応します。セキュリティ情報およびイベント管理 (SIEM) システムを使用して、ログを分析し、異常な動作を関連付けます。機械学習は、標準から逸脱したパターンを特定するのに役立ちます。

• プロセスへのセキュリティ統合:IT プロジェクトや事業を運営する上で、セキュリティを初めから重要な考慮事項に位置づけておきます。すべての従業員に対して定期的にセキュリティ訓練を実施し、セキュリティをソフトウェア開発ライフサイクル (DevSecOps) に統合します。

脆弱性の特定と保護

脆弱性の特定と保護には、攻撃者が悪用する可能性のあるソフトウェアとハードウェアのセキュリティホールや弱点を体系的に発見、分類、対処することが含まれます。一般的な仕組みは次のとおりです。

• 脆弱性の特定:システム構成とインストール済みソフトウェアを既知の脆弱性データベースと比較する自動化ツールを用いて、定期的な脆弱性スキャンを実施します。エシカルハッカーが脆弱性の悪用を試みるペネトレーションテストも、システムの弱点に関するインサイトを得られる手段として有効です。

• 脆弱性評価:脆弱性を特定したら、悪用のしやすさ、悪用された場合の潜在的影響、システムの露出範囲などの要因に基づいて脆弱性のレベルを評価します。このプロセスは、もたらされるリスクの性質と重大度に応じて修復作業の優先順位を付けるのに役立ちます。

• パッチ管理:ソフトウェアベンダーは、脆弱性を修正するためのパッチまたはアップデートを提供しています。セキュリティパッチ、アップデート、修正プログラムをタイムリーに適用するための体系的なプロセスを導入して、修正プログラムが利用可能になり次第、脆弱性を確実に対処できるような仕組みを整えることは可能です。

• 構成管理:構成管理ツールを使用して、システムが安全に設定され、一貫性のある状態で維持されるようにします。定期的に構成を見直して改善することで、攻撃対象領域を最小限に抑え、構成ミスやデフォルト設定による脆弱性の発生を防ぎます。

• ゼロデイ脅威からの保護:既知の脆弱性シグネチャーのみに依存しない、行動ベースの検知システムなどの高度な脅威検知テクノロジーを採用します。これらの技術は、悪用と思しき異常な活動を特定・緩和し、未知の脆弱性やパッチが存在しない脆弱性を防御するのに 役立ちます。

• 教育と意識向上:フィッシング詐欺の認識、パスワードの安全な管理、定期的なソフトウェア更新の重要性の理解に重点を置いた、継続的なサイバーセキュリティトレーニングを全従業員に実施します。これにより、脆弱性を誘発または悪化させる可能性のあるヒューマンエラーを最小限に抑えることができます。

• 定期的な監査とコンプライアンスチェック:定期的なセキュリティ監査とコンプライアンスチェックを実施して、セキュリティポリシーの遵守状況を評価するとともに、セキュリティ態勢における欠陥を特定します。そうすることで、セキュリティ対策が確立された基準や規制を満たせるようになります。

• インシデント対応計画:セキュリティ侵害が発生したときに取るべき手順を概説するインシデント対応計画を策定し、定期的にこれをテストします。計画には、封じ込め、根絶、復旧、事故後分析などの手順を含めておく必要があります。