株式会社Authleteは、金融グレードのAPI仕様「FAPI」に対応した、新しいバージョンの認可サービスの提供を開始した。
これは、残高照会やネット決済、仮想通貨取引など、高レベルのセキュリティをも止められるサービスが増えており、そうしたサービスによりセキュリティ機能の高いAPIを公開するために必要な認可機能を実装・実現している。
これまでOpenIDConnectやFAPI適合性認定の取得支援を目的としたコンサルティングサービスの提供も始めた。
「Authlete」は、WebAPIのセキュリティには必要なOAuth2.0とOpenIDConnectの実装をサポートするクラウド／オンプレミスサービスである。APIエコノミーの拡大を背景に、銀行、証券、ヘルスケア、IoTなどの分野で導入が広まっている。
Authlete社は、OpenIDFoundationが新たに策定中の仕様であるFAPI（Financial-gradeAPI）に対応した、Authlete2.0をリリースした。こうしたバージョンアップによって、OAuth2.0やOIDCに加え、FAPIについても、数日～数カ月といった、通常の半分以下の期間での実装が可能となる。
「FAPI」は、金融サービスで要求されるセキュリティ水準を実現するためい、OAuth2.0とOIDCをベースに策定中の、APIアクセス認可の仕様である。これまでOAuth2.0やOIDCではオプションとされていた、「アクセストークン送信元の認証」や「APIクライアントによる認可リクエストへの署名」などの実装が必須となっている。
サービス事業者は、このFAPI仕様に準拠し、アクセストークン自体の不正利用やリクエスト内容の改ざんを防げるようになり、金融機関での決済や送金APIの公開にも耐えうる、レベルの高いセキュリティをもつAPI公開環境を構築できる。

「FAPI」仕様は、銀行APIのデファクトスタンダードになるだろう。英国では「FAPI」をベースとした共通の「銀行API」の公開が2018年1月から、大手銀行9行で義務づけられた。
現在、それら大手以外の銀行を含む21行の対応を完了している。また、日本やオーストラリアなど英国以外の地域でも採用が検討されている。「FAPI」仕様によって達成されるAPIアクセス認可のセキュリティレベルは、金融機関だけではなく、ユーザーの個人情報や情報のやり取りをより高いセキュリティで保護したい、と考える企業で利用が進むだろう。
「FAPI」対応は、Authleteサービスの利用者以外に、パートナー企業のAPI公開／ID管理ソリューションを利用するクライアントに対しても、随時適用されるだろう。


【ニュース提供・エムトレ】


＜US＞