特 集 FinTech の鍵を握る 2 つの技術 金融分野の API エコノミー ─ オープンAPI が生み出す革新的なサービス ─ 金融分野におけるオープンAPIへの注目が高まっている。標準化団体の設立や政策レベルでの議論も進んでいる。 本稿では、金融機関においてオープン API を提供するために求められる要素を概説しつつ、オープン API をど う活用し、どのようにビジネスに生かしていくべきか考察する。 野村総合研究所 証券ソリューション事業本部 証券システムプロジェクト部 グループマネージャー えんどう 06 けいすけ 野村総合研究所 証券ソリューション事業本部 証券システムプロジェクト部 上級システムエンジニア たかはし ひろし 遠藤 圭介 高 橋 寛 専門は Web システムのデザイン・設計・構 築 専門は金融分野のフロントシステムの企 画・開発 オープン API と API エコノミー 金融分野のオープン API の動向 API(Application Programming Interface) 金融分野でも、決済サービスの API 公開に とは、あるソフトウェアが別のソフトウェア 向けた動きが活発化している。 の機能を呼び出して利用するための接続仕様 EU(欧州連合)では、銀行などの決済サー である。 ビス関連事業者に関する資本要件や情報提供 従来、API は企業内やグループ企業内の異 義務などを定めた「決済サービス指令」が なるシステムを連係させることを目的として 2007 年に策定されているが、これを改正す 利用するものが大半であった。しかし近年で る新指令が 2015 年 11 月に EU 理事会で採択 は、インターネットの普及を背景に、Web された。改正によって銀行は API 公開の義務 上のさまざまなサービスをつなげる仕組み を負ったことになり、EU 加盟国は 2 年以内 として Web API が台頭してきた。この Web に国内法を整備することを求められている。 API を外部に向けて公開したものを「オープ 日本では、2015 年末に金融庁の金融審議 ン API」と呼ぶ。 会が「決済業務等の高度化に関するワーキン サービス事業者は、API を公開することに グ・グループ報告~決済高度化に向けた戦略 よって他の事業者を呼び込み、サービスを拡 的取組み~」を公表し、「金融機関・IT 関係 大したり新しいサービスを生み出したりする 企業・金融行政当局等の参加を得て、セキュ ことが可能になる。さらに、複数の事業者が リティ等の観点から、オープン API のあり 競争することによって、サービスもより価 方を検討するための作業部会等」を設置し、 値の高いものになる。このように、オープ 2016 年度中をめどに報告を取りまとめると ン API を利用してビジネスとビジネスをつな している。このような政策の後押しを受け、 ぎ、新しい価値を生み出すことを「API エコ オープン API の動きは金融業界でも加速度的 ノミー」と呼ぶ。 に広がっていくだろう。 | 2016.08 レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 証情報を第三者である 図 1 スクリーンスクレイピングの仕組みとリスク サービス利用者 サービス提供者 資産管理サービス画面 XX さん 金融機関 サービス利用者に変わり Webサイトにログイン A 銀行 B 証券投信 50 万円 A 銀行 B 証券株式 200 万円 150 万円 複数金融機関の認証情報 (ユーザー ID・パスワード) を 資産管理サービスに登録 XX 様 A 銀行 本店 200 万円 XX 様 aaa/bbb スクレイピング XX 様 A銀行 aaa/bbb サイバー攻撃の標的 パスワードの漏えいリスク ティ対策が十分でない 場合、情報漏えいにも B 証券 オンライントレード画面 XX 様 B証券 ccc/ddd することになる。サー ビス提供者のセキュリ ネットバンキング画面 サービス利用 サービス提供者が保有 XX 様 B 証券ネット支店 株式 150 万円 投信 50 万円 発展しかねない。 API を公開すること XX 様 ccc/ddd : ユーザー ID・パスワード はリスクがあると捉え られているが、API を 公開しない場合でも、 API を公開しない場合のリスク 自社の顧客をセキュリティ上の危険にさら 日本では、複数の銀行口座の残高をまとめ FinTech サービスが活況になるにつれ、さら て見ることのできる資産管理サービス(家計 に増加していくのである。金融機関にとって 簿アプリ)や決済サービスといった FinTech も安全な API を公開する必要がある。 すリスクを負うことになる。このリスクは、 サービスが世間をにぎわせている。これらの サービスでは、API を公開していない金融機 関の情報も利用されている。 これは、金融機関の Web ページの HTML 安全性を高めるために有効な OAuth2.0 と OpenID Connect 情報を解析し、必要なデータを抽出する「ス API を利用するためには一般的に認可を受 クリーンスクレイピング(以下、スクレイ ける必要がある。認証と認可は混同されがち ピング) 」という方法により実現されている だが、認証は「本人であること」を意味し、 (図 1 参照) 。金融機関にとって、外部に API 認可は「使用する許可」を意味する。API を公開することなく機能を提供できるスクレ 利用時にサービス提供者が認証情報を保持 イピングはオープン API と同様の役割を果た せず、認可情報(以下、アクセストークン) しているように見えるが、情報漏えいのリス を安全に受け渡す仕様を定義しているのが クを伴う。 「OAuth2.0」である(次ページ図 2 参照)。 スクレイピングを用いたサービスの場合、 この方法では、サービス提供者はアクセス サービス利用者はサービス提供者に Web サ トークンをサービス利用者に開示することな イトの認証情報を提供する必要がある。サー く受け取り、API を利用して目的のデータを ビス提供者は、その認証情報を利用して本人 取得することが可能となる。アクセストーク に代わって目的のデータにアクセスする。こ ンが漏えいするリスクは残るが、認証情報で れを金融機関から見ると、自社の顧客の認 はないため金融機関の Web サイトに直接ロ 2016.08 | レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 07 特 集 FinTech の鍵を握る 2 つの技術 グインすることはできない。 図 2 OAuth2.0 と OIDC を用いた認証・認可のフロー(資産管理サービス) 金融機関が公開する API は、個 サービス利用者 人を特定した資産情報などのデー は API を呼び出す際に個人を特定 する必要がある。この場合には OpenID Connect(以下、OIDC) を利用する。 OIDC は、OAuth2.0 の認可仕様 金融機関 金融機関サービスを登録する 許可取得依頼 認証結果提供依頼※ タ取得を目的としたものであるた め、サービス提供者(API 利用者) サービス提供者 「OAuth2.0」 アクセストークンを サービス提供者に 提供するフロー 「OIDC」 本人確認要求 (金融機関ログイン画面表示) 本人確認情報入力 (金融機関ユーザー ID・パスワード) ユーザー ID・パスワード照合 利用許可要求 (利用許可画面表示) 利用許可同意入力 OAuth2.0 を 認可コード返却 ※認可コードは有効期限が短い 拡張し、 ユーザー認証 結果の依頼・提供を 規定したフロー アクセストークン取得要求 (認可コード付与) ※OIDC で追加され る処理 金融機関サービス登録完了 に認証の仕様を組み合わせたもの である。本人を特定することで、 トークン保存 アクセストークン返却 ID トークン返却※ API 金融機関サービスを利用する API 呼び出し(アクセストークン付与) アクセストークン照合 利用時 取得情報表示 API 応答 アクセストークンを誰に対して発 行したかを特定できるため、より安全な仕組 みとなる。現時点では、この OIDC の仕様に 表 1 オープン API 導入・運用時の検討事項 導入時 準拠することが、金融分野におけるオープン API には有効な対応である。 API 利用規約、ポリシー管理 (サービス規約・ルール等) API 仕様公開、テスト環境の提供 オープン API の普及に向けて 08 運用時 トークンの管理 認証、認可機能の構築 (不正アクセス防止や漏えい時 (OAuth2.0、OIDC への準拠) の無効化対応等) (開発者向けポータルサイト) 課金方式 API のバージョン管理 (新旧の並存) API 利用証跡の把握、管理 継続的なセキュリティ対策 (新たな脅威への対応) オープン API が普及するためには、サービ 証・認可についての具体的な検討はこれから ス提供者(API 利用者)の利便性向上ととも という状況である。そこで「OpenID ファウ に、金融機関(API 提供者)の運用負荷を低 ンデーション・ジャパン」は「Financial API く抑えることが重要である。 Working Group」 (以下、WG)を設置し、金 サービス提供者の利便性を向上させるた 融機関の口座情報に対する API 仕様を規定す めには、API 仕様の標準化が必要である。金 るとともに、OAuth2.0 および OIDC の適用の 融機関が各社独自に仕様を決めてしまうと、 標準化を進めている。野村総合研究所(NRI) API を利用する事業者はそれぞれの仕様に対 は WG の発起人の筆頭として活動している。 応しなくてはならなくなり、コストがかか 表 1 は、金融機関がオープン API を導入・ る。標準仕様を定義することで、複数の API 運用するために検討すべき事項を整理したも も低コストで利用することが可能となる。 のである。導入時、運用時ともに検討事項が API の標準仕様には米国の「FS-ISAC」(金 多くあり、API を公開する仕組みを独自に構 融機関の情報共有を目的とした組織)によ 築すると、金融機関の導入コストが膨らむ。 る「Durable Data API」 な ど が あ る が、 認 また、標準化の動きや法制度にも柔軟に対応 | 2016.08 レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. API 提供者 トランザクション 課金モデル コミッションモデル プロフィットシェア モデル では、FinTech サービ API 利用者 サービス提供者 スが、金融機関の口座 【金融機関】 ・投資情報 API ・資産情報 API 【FinTech サービス】 ・自社サービスの向上 【金融機関】 ・口座開設 API 【FinTech サービス】 ・金融機関への集客 / 送客による収益源 対価を得ることができ 【金融機関】 ・取引 API ・投資一任契約 API 【金融機関】 ・自社サービスの向上 ルでは、グループ企業 【金融機関】 ・銀証連携 API (リアルタイム 資金移動) 【FinTech サービス】 ・革新的なサービスの 創出 ・類似サービスの登場 【FinTech サービス】 ・新サービス API 【FinTech サービス】 ・旧サービスの淘汰 開設 API を利用して金 融機関へ送客し、その る。フリーミアムモデ が相互の API を利用す │ オ ー プ ン A P Iが 生 み 出 す 革 新 的 な サ ー ビ ス │ フリーミアムモデル 金融分野のAPIエコノミー コミッションモデル 図 3 API エコノミーのビジネスモデル ることで資産情報を一 サービスの 登場と淘汰を 繰り返す 度に照会できるように したり、株取引アプリ 上にリアルタイムの入 し、安全な状態を維持する必要がある。API 金機能を実装したりすることも可能である。 公開を支援する製品も提供されており、これ 金融機関が安全な API を公開することに を利用することも選択肢の 1 つである。 より、FinTech 推進の原動力となる新興企業 を自社の API エコノミーに呼び込むことがで API エコノミーがもたらす 新たな競争 きる。金融機関同士が API を相互に利用す ることで新たなサービスを生み出すことや、 FinTech サービスがユーザーインターフェー 金融機関のオープン API と FinTech サービ スに優れたフロントサービスを担うことも考 スによって実現されるビジネスモデルは、大 えられる。こうしてさまざまな FinTech サー きく 4 つに分けられる(図 3 参照)。 ビスが登場・淘汰を繰り返し、サービスその ①トランザクション課金モデル ものが洗練されていく。 API の利用件数や対象とするサービス利用 オープン API がもたらす新たな競争は既存 者数に応じて、API 利用者に課金する。 サービスを衰退させる要因にもなり得るが、 ②コミッションモデル それ以上に革新的なサービスを生み出す起爆 ①とは逆に、API 利用者がサービス提供を 剤となる。金融機関が自社だけでは生み出せ 実現した場合に報酬を支払う。 ない革新的なサービスを迅速に提供し、顧客 ③プロフィットシェアモデル 満足度を高めるためには、従来と同じやり方 API の取引における利益を分配する。 では難しい。来るべき API エコノミー時代に ④フリーミアムモデル 向け、金融機関も自社ビジネスの API 公開に 双方のチャネルを拡大するため、基本的に 向けた取り組みを具体的に検討する時期にさ 無料で API を公開する。 しかかっていると言えるだろう。 2016.08 | レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. ■ 09
© Copyright 2024 ExpyDoc
