1. 2019-07-17UBS Fintech StartupDay 2019
オープンAPI と Authlete のソリューション
工藤達雄
VP of Solution Strategy
Authlete, Inc.

2. 2
• オープン API を支える仕様の動向
• Authlete のソリューション
本日の内容

3. • API セキュリティの
“B2D” (Business-to-Developer)
SaaS プロバイダー
Who is Authlete?
3
2015/09 🔵 Authlete 社設立
2016/09 🔵 Authlete UK 設立
2016/11 🔵 FINOLAB に入居
2017/03 🔵 FIBC 2017 大賞受賞
2017/05 🔵 Level39 に入居
2017/05 🔵 資金調達（シード）
2017/07 🔵 OpenID Certification 取得
2017/09 🔵 Tech in Asia Tokyo 2017 決勝
2018/02 🔵 資金調達（プレシリーズA）
2018/04 🔵 Draper Nexus B2B Summit 2018 にて IBM 賞受賞
2018/07 🔵 Japan/UK Open Banking and APIs Summit 2018 開催
2018/07 🔵 Financial-grade API (FAPI) サポート
2018/08 🔵 Open Banking Security Profile テスト合格
2019/01 🔵 『OAuth 徹底入門』 監修
2019/02 🔵 CIBA サポート
2019/04 🔵 OpenID FAPI Certification 取得

4. オープン API を支える仕様の動向

5. API / Web APIとは
• API
(Application Programming Interface)
– あるソフトウェアが別のソフトウェアに
対して公開する、入出力のための仕組み
• WebAPI
– インターネット標準（HTTP,TLSなど）
を活用してネットワーク越しにデータや
機能を提供するAPI
– 近年はそのWebAPIを“API”と呼ぶ機会
が多くなっている
5
Source: https://www.ibm.com/developerworks/jp/webservices/library/ws-restful/index.html
Source: https://docs.oracle.com/cd/E19651-01/817-5548-10/agj2eres.html

6. 「API / Web API」から「オープンAPI」へ
• APIをサードパーティへ積極的に提供
• 同業他社とインターフェースを共有
して市場を広げ、裏側のサービス品
質を高めて差別化
→ コスト削減・品質向上
• 「思ってもみなかったような新たな
サービス」が生まれる余地
→ イノベーション
6
Source: http://ascii.jp/elem/000/000/312/312546/index.html
Source: https://sec.ipa.go.jp/users/events/events_tokyo_20170310-5.pdf

7. オープンAPIの進展
7
Source: https://www.slideshare.net/BillConradDoerrfeld/api-world-2018-7-global-movements-evolving-the-story-of-apis
50% 28%
90% 60%
2014 2011
2012 2014
API経由の売上の割合
Source: Harvard Business Review

8. 8
ビジネスをつなぐオープンAPI
• APIの利用・提供によってカネが回っていく
Source: https://techcrunch.com/2016/06/07/software-is-eating-the-world-5-years-later/Source: https://developer.uber.com/showcase
API利用 API提供
Uber: 他社のオープンAPIを活用すると同時に自身もオープンAPIを提供

9. 9
• クラウド人事労務ソフト「SmartHR」
（SmartHR）
– 人事・労務サービス。自社だけではなく
外部ベンダーのアプリケーションが
SmartHRと連携するためのAPIを提供
• マイデータ・バンク「MEY」
（マイデータ・インテリジェンス）
– 情報銀行サービス。「MEY」の ID・パスワードを
使ってユーザー登録・ログインするためのAPIを提供
• コエステーション for ビジネス
（東芝デジタルソリューションズ）
– 音声合成技術を使ったサービス。一般ユーザーの
「コエ」を用いた音声合成のAPIをサードパーティに
提供
国内のオープンAPI事例
Source: https://smarthr.jp,https://www.meyportal.com/lp/app/index.html,https://coestation.jp/

10. 10
• 令和元年6月21日閣議決定
「成長戦略2019」
– 銀行（および証券、保険）
• Fintech企業とのAPI連携
– MaaS
• オープンデータ・API連携
– 行政サービス
• 民間サービスとのAPI連携
– PHRサービス
• API公開
国家戦略としてのオープンAPI
Source: https://www.kantei.go.jp/jp/singi/keizaisaisei/portal/follow_up/

11. 銀行のみならず、証券・保険・クレジットカード
分野でもオープンAPI活用が広がり始めている
11
Source: https://api-portal.sevenbank.co.jp, https://kabu.com/api/kabucom_api.html, https://justincase.jp/api/, https://www.jcb.co.jp/myjcb/pop/external.html

12. オープンAPIを正しく提供・利用するには?
12
ユーザー
銀行Fintech
事業者
✓ 口座情報
✓ 送金機能
✓ 与信情報
✓ 口座一括管理
✓ 入金・送金
✓ 決済
✓ 複数口座をまとめ
て管理したい
✓ 振込処理をかんた
んにしたい
✓ 銀行口座を決済に
使いたい

13. Fintech事業者が金融機関のログイン情報を
ユーザーに入力してもらう
13
ユーザー
銀行Fintech
事業者
✓ 口座情報
✓ 送金機能
✓ 与信情報
✓ 口座一括管理
✓ 入金・送金
✓ 決済
✓ 複数口座をまとめ
て管理したい
✓ 振込処理をかんた
んにしたい
✓ 銀行口座を決済に
使いたい
「ID: abc12345 PW: ********」でアクセス

14. 「パスワード・アンチパターン」
14
ユーザー
銀行Fintech
事業者
✓ 口座情報
✓ 送金機能
✓ 与信情報
✓ 口座一括管理
✓ 入金・送金
✓ 決済
✓ 複数口座をまとめ
て管理したい
✓ 振込処理をかんた
んにしたい
✓ 銀行口座を決済に
使いたい
「ID: abc12345 PW: ********」でアクセス
銀行のログイン情報を
渡さないと利用できない
ログイン情報の漏えいや
不正利用のリスクが高まる
ユーザー認証と同意確認を
ダイレクトに行えない

15. 他の方法でAPIアクセスを許可できないか?
15
ユーザー
銀行Fintech
事業者
✓ 口座情報
✓ 送金機能
✓ 与信情報
✓ 口座一括管理
✓ 入金・送金
✓ 決済
✓ 複数口座をまとめ
て管理したい
✓ 振込処理をかんた
んにしたい
✓ 銀行口座を決済に
使いたい

16. 銀行と連携するようFintech事業者に指示
16
ユーザー
銀行Fintech
事業者
✓ 口座情報
✓ 送金機能
✓ 与信情報
✓ 口座一括管理
✓ 入金・送金
✓ 決済
✓ 複数口座をまとめ
て管理したい
✓ 振込処理をかんた
んにしたい
✓ 銀行口座を決済に
使いたい

17. ユーザーを直接認証しアクセス許可の同意を確認
17
ユーザー
銀行Fintech
事業者
✓ 口座情報
✓ 送金機能
✓ 与信情報
✓ 口座一括管理
✓ 入金・送金
✓ 決済
✓ 複数口座をまとめ
て管理したい
✓ 振込処理をかんた
んにしたい
✓ 銀行口座を決済に
使いたい

18. 「アクセストークン」を用いてAPIにアクセス
18
ユーザー
銀行Fintech
事業者
✓ 口座情報
✓ 送金機能
✓ 与信情報
✓ 口座一括管理
✓ 入金・送金
✓ 決済
✓ 複数口座をまとめ
て管理したい
✓ 振込処理をかんた
んにしたい
✓ 銀行口座を決済に
使いたい
「アクセストークン」を用いたAPIアクセス

19. OAuth: トークンを用いたアクセス権移譲の仕様
19
ユーザー
当人確認と同意確認を
直接行うことができる
（ID/PW,モバイルApp, 専用デバイス、…）
銀行
「アクセストークン」を用いたAPIアクセス
Fintech
事業者
銀行のログイン情報を
渡さずに利用できる
✓ 口座情報
✓ 送金機能
✓ 与信情報
✓ 口座一括管理
✓ 入金・送金
✓ 決済
API公開
⇒ 売上・集客拡大
API利用
⇒ 新サービス創出
ユーザーに関する口座情報や
決済機能を活用できる
✓ 複数口座をまとめ
て管理したい
✓ 振込処理をかんた
んにしたい
✓ 銀行口座を決済に
使いたい

20. OAuth / OpenID Connect 仕様策定者、金融機関、サードパーティ
（Fintech事業者）、セキュリティ研究者、ソリューションベンダー等が集まり、
金融APIが満たすべきセキュリティ水準のためのOAuth 2.0適用を標準化
金融APIにOAuthをどう使うか
20
• APIセキュリティの要である “OAuth 2.0” は仕様の解釈のブレや実装の不備を生みやすい
→ 不正アクセス発生の原因となることが少なくない
• 従来はAPIを提供する各事業者（金融機関など）がOAuth 2.0適用にかかるセキュリティ対策を行っていた
→ 事業者ごとの独自仕様が乱立してしまっている
• 加えてその「セキュリティ対策」の水準が各社各様である
→ 過剰・冗長なケースや、逆に対策としては有意ではないケースもある
→ 結果的に、API提供事業者が「オープン標準ではない独自仕様」かつ「不十分なセキュリティ対策」をサード
パーティ（API利用事業者）に押し付ける構図になり、サードパーティによるAPI活用の阻害要因になっている
APIセキュリティの課題
Financial-grade API (FAPI)

21. 21
• CIBA Client Initiated Backchannel Authentication
– OpenID Foundation 傘下のWGにて策定中の新たなオープン仕様
より良い顧客体験 の提供とセキュリティ強化へ

22. 日本: FAPIを推奨する動き
22Source: https://www.zenginkyo.or.jp/fileadmin/res/news/news290713_1.pdf Source: https://www.paymentsjapan.or.jp/news/20190330_api_guidelines/

23. 23
• 英国：UK Open Banking
https://www.openbanking.org.uk/
• 米国： Financial Data Exchange
https://openid.net/2019/04/02/financial-data-exchange-openid-foundation-take-step-towards-global-standard-for-financial-
data-sharing/
• オーストラリア：Australian Consumer Data Right (CDR)
https://github.com/ConsumerDataStandardsAustralia/infosec
• スロバキア：Slovak Banking API Standard
https://www.sbaonline.sk/Content/files/projects/slovak-banking-api-standard-1_1.pdf
• ハンガリー：MKB Bank (ハンガリー)
https://portal.sandbox.mkb.hu/api-documentation/account-info-1.0
• ニュージーランド：Payments NZ API standards
https://paymentsdirection.atlassian.net/wiki/spaces/PaymentsNZAPIStandards/overview
海外: 複数がFAPIを採用済。さらに各所が検討中

24. 24
• 英国における「銀行API」の共通仕様
– 2018年1月開始
– 英国の競争・市場庁（Competition & Markets
Authority、CMA）が設立した団体が主導
– 大手9行は義務化により、それ以外の銀行は
自発的に採用
– 2019年5月末時点で、サードパーティ事業者
83社、銀行49行が参加
• 参照系・更新系ともに、FAPI Part 2 のセ
キュリティプロファイルを採用
UK Open Banking
Source: https://www.openbanking.org.uk/about-us/news/open-banking-may-highlights/,
https://www.w3.org/2018/Talks/cm-openbank-20181022.pptx
Version 3 Technical Specifications
Introduction
Open Data APIs
• ATM info
• Branch info
• Product info
• Personal Current Accounts
• Business Current Accounts
• SME Lending
• SME Credit Cards
Read / Write APIs
• Account & Transaction Info (‘read’)
• Payment Initiation (‘write’)
• CBPII (‘funds check’)
• Event (‘notifications’)
New in Version 3, launched Sept 2018:
• Covers Redirect and Decoupled Flows
• All payment accounts (incl. credit cards,
wallets, pre-paid)
• Domestic and international payments
• Multi-currency
• Single Immediate, Scheduled, File
Payments
• Confirmation of Funds
Security Profile
• FAPI Profile (redirect)
• CIBA Profile (decoupled)
• Dynamic Client Management
(onboarding)
• Based on OAuth2 and OIDC
• MTLS
• JWS
© Open Banking Limited 2018 3

25. Authleteのソリューション

26. 26
• 認可サーバーの実装に必要なOAuth/OIDC
機能をAPIとして提供。導入・運用が容易
• OAuth/OIDC関連仕様を網羅。FAPI/CIBA
などの高度なセキュリティ機能にも対応済
• Authlete社が運用するAPIを利用することも
オンプレミスに導入することも可能
• 仕様策定に関わる専門家集団が設計・運用
Authlete: OAuth/OIDC Engine for Securing APIs

27. API認可・公開基盤
APIクライ
アント
既存システム
Authleteによる認可サーバー構築アーキテクチャ
27
Webサイト
携帯端末
ネットワーク
デバイス
認可サーバー
認可ロジック
（認可判定）
ユーザー
認証
同意確認 権限管理
APIサーバー
/data /function /transaction
Authlete
認可
バック
エンド
API 認可情報
DB
API認可リクエスト
（トークン取得）
APIアクセス
(トークン利用)
認可状態確認
（トークン検証など）
OAuth/OIDC処理リクエスト（認可コード/トークン発行など）
認可
フロント
エンド
既存の認証/同意/
権限等と認可サー
バーとを分離
Authleteに依存することなく
自由に認可ロジックを実装可能
APIサーバと
認可サーバの
構築・運用を分離
面倒なOAuth/OIDC処理
と認可情報（トークン）
管理を外部化
/…
認可サーバー
構築に必要な
ライブラリを
OSSにて提供

28. 28
• AuthleteはOpenID
Foundation (OIDF) の
「FAPI 認定プログラム」
開始と同時に認定を取得
• OIDFはこのAuthleteの
設定を「今後認定取得を
行うベンダー向けの参考
情報」として紹介
FAPI 認定を最速取得
Source: https://openid.net/certif ication/, https://openid.net/certification/fapi_op_testing/

29. 金融からIoTまで多数の利用実績
29
採用実績例
コンシューマーIAMソリューション
「Uni-ID Libra」の認可エンジンとして採用
Grand Prize Winner
ヘルスケアサービス「ルナルナ」等で採用
API 公開基盤「Resonatex」 に採用
銀行APIの認可基盤として採用
各種サービスの認可サーバとして採用
IBM 賞
受賞歴
IoTプラットフォームにて採用
銀行APIの認可基盤として採用
ベルギー・オランダのメディア企業
SSO用途に利用
他社サービスとの連携に活用
情報銀行サービス「MEY」のID連携で採用

30. オープンAPI事例: セブン銀行様
30https://www.isid.co.jp/news/release/2018/0919.html
既存インターネットバンキング
システムの外側にAPI公開基盤を追加
✓ Authleteを活用しOAuth 2.0準拠のAPI認可
サーバーを短期間に実装完了

31. まとめ
• オープンAPI
– 国内外の様々な分野で活用が進行中
– 金融/Fintech分野ではOAuth/OpenID Connectを
拡張した “Financial-gradeAPI (FAPI)” と “CIBA”
に注目
• Authlete
– FAPI/CIBAにも対応可能なOAuth/OIDC基盤を
シンプルかつセキュアに実現するAPIサービス
31

32. Thank You
www.authlete.com
www.linkedin.com/in/tatsuokudo