国内銀行初、世界トップレベルのセキュリティ規格『FAPI』に準拠したBaaSプラットフォームを開発

株式会社みんなの銀行(取締役頭取 永吉 健一、以下「みんなの銀行」)は、国内の銀行として初めて(*1)、世界トップレベルのセキュリティ規格『FAPI』に準拠したAPI (*2)連携システムを開発しました。まずは、2022年中に参照系APIの外部連携を開始する予定です。
APIのシステム開発は株式会社ふくおかフィナンシャルグループ(取締役社長 五島 久)のシステム子会社であるゼロバンク・デザインファクトリー株式会社(取締役社長 永吉 健一、以下「ZDF」)が行い(*3)、「FAPI 1.0 Advanced」に準拠するものとして、Open ID Foundation による認定を取得いたしました。

*1:https://openid.net/certification/#FAPI_OP 参照
*2:Application Programming Interface の略。銀行と外部の事業者との間のデータ連携を可能にする仕組み
*3:リンクス株式会社(代表取締役 オサムニア モハメッド)と共同開発、一部株式会社ミクセファイ(代表取締役 ガルカビス ビクトルス)が支援
*4:APIアクセス管理にかかわる技術の標準化等に取り組む、2007年に米国で設立された非営利団体
  • 取組みの背景
近年、欧米諸国では金融機関ではない非金融事業者が、自社のサービスのなかに金融機能を組み込んでサービスを提供する流れが盛んになっており、日本国内においてもこの数年、新たなビジネス機会と捉える企業が増えてきています。みんなの銀行においても、金融サービス・機能を様々な事業者の皆さまに提供することで、「金融」と「非金融」がシームレスに結び付いた新たな価値共創を目指すBaaS(Banking as a Service)事業の本格展開に向けて、APIシステムの開発を進めてきました。

非金融事業者が自社サービスに金融機能を直接取り込むことで、これまでにない付加価値の高い顧客体験を提供するためには、より安全なAPI活用が不可欠です。一般社団法人全国銀行協会が事務局となっている「オープンAPIのあり方に関する検討会」の報告書においては、金融機関によるAPI外部提供に際して「OAuth2.0(*5)に加え、FAPIへの準拠が望ましい」とされていることを受け、国内の銀行としては初となるFAPIに対応した世界トップレベルのセキュリティを実現しました。​

*5:権限の認可(authorization)を行うための認可フレームワーク。金融機関は外部事業者へAPI連携を行う際、特にセキュリティ面で非常に重要な役割を担うことから、OAuth2.0への準拠が求められており、API提供を行う国内銀行の大半が対応。
 
  • FAPIについて
FAPI (Financial-grade API) は、OpenID Foundation の Financial-grade API ワーキンググループが策定した技術仕様です。OAuth 2.0 と OpenID Connectを基盤として、金融業界のようにより高いセキュリティを必要とする業界への要求に対応するための技術要件を定義しています。この仕様を満たすことでより安全なAPI連携が実現可能になります。

【FAPIに準拠した仕様の特長】
多くの金融機関等が採用している一般的なOAuth2.0の仕様と比べて以下のリスクを大きく軽減することができます。

• 認可リクエスト / レスポンスの送信者詐称・改ざん防止
• 外部事業者のなりすまし防止
• アクセストークンの漏洩・盗用防止
• PKCE(*6)による認可コードの横取り防止

提携事業者とのAPI連携時の認可リクエストが安全な方法によって署名・検証され、みんなの銀行へアクセストークンの発行を要求(あるいは使用)する際に、mTLS(*7)によるクライアント証明書を要求し、アクセストークンとクライアント証明書を紐付けして検証されることで高いセキュリティを実現します。​


*6:PKCE: 認可コード横取り攻撃への対策としてRFCで規定された推奨仕様。
*7:mTLS(Mutual Transport Layer Security):一般的に普及している通信プロトコル TLSの拡張仕様のひとつで、Webサーバにアクセスする際(HTTPS通信)にサーバー側だけでなく、クライアント側にも証明書を要求して認証を行う安全な仕様。
 
  • APIの外部提供とBaaS事業の本格展開について
2022年中に外部提供を開始するAPIは参照系の2種類(残高照会 / 入出金明細照会)を予定しており、API提供先事業者は提携開始の際に発表します。みんなの銀行の参照系API提供を希望される事業者の皆さまとは幅広く提携を行っていく予定です。

また、現在、みんなの銀行は外部提供するAPI機能の追加開発を行っています。今後、更新系APIや各種サービスの機能単位でAPIを提供することにより、提携事業者と新たなサービス創出を検討する等、BaaS事業を本格展開していきます。

【参照系APIの連携イメージ】


*銀行口座登録時のイメージです。口座登録選択をした際、当該端末にみんなの銀行アプリがダウンロードされていない場合等、別の連携フローとなる場合があります。

▼BaaS提携に関するお問い合わせは下記URLから
https://contact.minna-no-ginko.com/regist/is?SMPFORM=qcma-ldsfqe-862f96a7eb18c1f0f33cdac44bc8f898

【参考】みんなの銀行公式note|BaaS APIと金融グレードのセキュリティ
 

みんなの銀行公式noteには、ZDFのエンジニアが、 BaaS、API、FAPIについて、前編・中編・後編にわたってお話している記事が掲載されています。ぜひご一読ください。




BaaS APIと金融グレードのセキュリティ(前編)
https://note.minna-no-ginko.com/n/nb59e64e603e2

BaaS APIと金融グレードのセキュリティ(中編)
https://note.minna-no-ginko.com/n/n0726a2fdafae

BaaS API と 金融グレードのセキュリティ (後編)
https://note.minna-no-ginko.com/n/n9e752ad2ab4c

【本件に関する報道関係者からのお問合せ先】
株式会社みんなの銀行 広報担当:今村・市原・中原
TEL:092-791-9231 E-mail: pr@minna-no-ginko.com
※以下、メディア関係者限定の特記情報です。個人のSNS等での情報公開はご遠慮ください。
このプレスリリースには、メディア関係者向けの情報があります。

メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。
※内容はプレスリリースにより異なります。

  1. プレスリリース >
  2. 株式会社みんなの銀行 >
  3. 国内銀行初、世界トップレベルのセキュリティ規格『FAPI』に準拠したBaaSプラットフォームを開発