セキュアな Bank as a Service の普及を加速する Authlete
金融機関も API エコシステムに身を置き、他社と接続することで顧客のリーチを広げて自ら新しいビジネスモデルを創出する動きが広がっています。Bank as a Service、または Embedded Finance とも呼ばれるこのトレンドは、金融業界と異業種とのコラボレーションをますます加速しています。
金融 API は扱うデータの性質上、高度なセキュリティ対策が求められます。同時に、金融機関が複雑な仕様を満たす開発を行い続けることは難しいのが現状です。今回のインタビュー先である株式会社 Authleteは、こうした課題に応えるためのサービスを提供する企業です。
同社のソリューション戦略担当 VP である工藤達雄氏にお話を伺いました。
マイクロソフト藤井: 本日はよろしくお願いします。まず、貴社の概要について教えていただけますか?
Authlete 工藤: はい、2015 年創業の弊社は、セキュアな Web API 実装に必要な OAuth 2.0 と OpenID Connect の実装をサポートするクラウド/オンプレミス両対応の認可サービス ”Authlete” を提供する企業です。弊社ではこれを BaaS (Backend as a Service) ソリューションと呼んでいます。
(補足)
OAuth 2.0: ユーザーが所有する情報に対する操作許可 (認可トークン) を複数システム間でやり取りする方法を規定するためのフレームワーク
OpenID Connect: ユーザー認証 (誰であるかの確認) やユーザー属性情報を複数システム間で要求・提供する方法を規定したプロトコル
藤井: 非常に専門的なサービスですね。OAuth 2.0、Open ID Connect 共にインターネットがビジネスで普通に使われるようになった現代に不可欠な仕様だと思いますが、貴社ソリューションの特徴を教えてください。
工藤: おっしゃっていただいた通り、まさに、インターネットをビジネスに活用するサービス事業者様にとって、セキュアな API サービスを構築するために OAuth 2.0 などへの対応が求められているわけですが、実際には OAuth 2.0 / Open ID Connect の仕様は非常に複雑であり、ゼロから実装することは一般的に非常に困難です。
そこで、API サービスを提供するサービス事業者様が認可サーバーを構築する際に、OAuth 2.0 や OpenID Connect のプロトコルを処理する部分を弊社のサービスにアウトソース (外部化) できるようにしているのが大きな特徴です。
弊社サービスを活用いただくことによって、サービス事業者様は自社サービスの開発にリソースを集中させ、結果として製品化までの時間を短縮することができます。
藤井: 複雑な仕様を正しく実装し、また仕様のアップデートにも追随していくことができるのも貴社の強みであると理解しました。金融機関による採用についてはどのような状況でしょうか?
工藤: 日本においても銀行をはじめとして金融 API の利用が拡がりを見せており、弊社にも多数のお問い合わせをいただくようになりました。事例としては、銀行 API 基盤を構築する際に、API 管理基盤に足りていない認可機能を追加実装するために弊社サービスをご活用いただくケースが出てきています。
現時点での弊社サービスの最新版 (Authlete 2.2) では、2021 年 1 月に承認された FAPI (Financial-grade API) の最終版仕様に対応しました。FAPI は、OpenID Foundation の Financial-grade API ワーキンググループが策定した技術仕様で、金融業界などの高度なセキュリティが求められる環境での利用が想定されています。
海外では金融機関に FAPI の実装を義務付ける国も出てきており、日本においてもセキュリティ強化の観点から、弊社サービスを活用いただく場面が今後、かなり増えてくるのではないかと予想しています。
専門的な用語が続いて大変恐縮ですが、弊社サービスは OpenID Connect CIBA (Client Initiated Backchannel Authentication Flow) にも対応しています。これによりサービス利用と認証・認可を分離しユーザー体験を向上させる (例: e コマースで購入時に支払いのために銀行サイトにリダイレクトされず支払える等) ことが可能です。このように、セキュリティだけでなく、金融サービスのユーザビリティ向上にも貢献できると考えています。
藤井: 金融サービスにおいてもユーザー体験が非常に重視される時代になっていますから、CIBA への対応というのも大きなトピックですね。
工藤: そうですね。そしてこれらの利点をデベロッパーの皆様が簡単に享受できるように、デベロッパーフレンドリーな形にしているのも弊社の特徴であると考えています。
デベロッパーは弊社 API をそのまま利用することもできますが、弊社がマイクロソフトの GitHub上に公開 している SDK を使うことで、さらに簡便に実装することも可能です。さらには、認可サーバーのリファレンス実装なども公開しています。
藤井: 海外からの利用も増えていると伺いましたが、どのようなルートで商談が来るのでしょうか?
工藤: 冒頭申し上げたように、OAuth 2.0 や FAPI などの複雑な仕様を正確に実装し、かつデベロッパーが実装しやすい形で提供できている企業自体が少ないのが現状だと認識しています。弊社は、認可サーバーを内製化するといったニーズに対して的確に応えられますので、海外の企業からも選んでいただいていますね。
直近では、ブラジルの Nubank の事例を公開させていただきましたが、ブラジルでは銀行に対して FAPI 対応を義務付ける規制が進んでいます。これに対応可能なサービスを提供している企業として弊社にコンタクトいただき、成約に至りました。
藤井: 検索エンジンを英語環境にしてキーワード検索すると、たしかに貴社の名前が数多くヒットする状況になっていますね。
最後になりますが、今回、マイクロソフトの Microsoft Enterprise Accelerator – Fintech/Insurtech プログラムに参加いただくことにもなりましたが、マイクロソフトとのこれまでの関わりと今後の連携への期待などを教えていただけますか。
工藤: はい、今までも GitHub、LinkedIn をはじめとするマイクロソフトのサービスは活用させていただいています。パブリッククラウドのAzureは金融機関にも多数、採用されていると思いますので、弊社のサービスを Azure で稼働したい、あるいは Azure の各種サービスに Authlete を組み合わせたいというニーズがあればぜひ対応していきたいと考えています。
藤井: 本日はありがとうございました。金融業界に Bank as a Service、Embedded Finance というトレンドが押し寄せる中、貴社のサービスはますます重要な位置づけとなると思います。ぜひ今後、協業を進められればと思います!