ディスカッションペーパーシリーズ(日本語版) 2024-J-15

オープンAPIのセキュリティ:認可処理における脆弱性と対策の高度化

宇根正志

オープンAPIは、APIの提供者が外部の組織への使用に供するために公開したAPIを指す。金融分野では、金融機関が電子決済等代行業者などのフィンテック事業者に対して顧客の口座情報を提供するケースなどで活用されている。金融機関は、顧客がフィンテック事業者に対して口座情報の提供を認可したことを確認し、フィンテック事業者と連携して情報を安全に提供することが求められる。こうした認可の処理フローの標準仕様としてOAuth 2.0が広く採用されている。もっとも、OAuth 2.0の要求事項を十分に満たしていない実装例が少なからず存在していることが、学術研究の成果として最近発表されている。このようなサービスには脆弱性が存在し、それが悪用されると情報漏洩などのリスクにつながる可能性があるため、OAuth 2.0を実装する際に脆弱性を極力排除する必要がある。その方法として、OAuth 2.0のセキュリティ・プロファイルであるFAPI 2.0を活用することが有効である。ただし、実装環境や想定される攻撃方法によっては、FAPI 2.0の要求事項を満たすだけではリスクを十分に軽減できない場合がある。そのため、自社のサービスで想定される実装環境や攻撃方法を考慮したうえで、FAPI 2.0の要求事項を適用しつつ、追加的な対応の必要性を検討することが重要である。

キーワード:オープンAPI、脆弱性、セキュリティ、フィンテック、リスク、FAPI 2.0、OAuth 2.0


掲載論文等の内容や意見は、執筆者個人に属し、日本銀行あるいは金融研究所の公式見解を示すものではありません。

Copyright © 2024 Bank of Japan All Rights Reserved. 注意事項

ホーム