株式会社 Authlete は、スマートフォンを活用し API 連携時のユーザー体験を向上させる、新しい認証・認可プロトコル「Client Initiated Backchannel Authentication(CIBA、シーバ)」に対応した、API 認可ソリューション Authlete の新バージョンの提供を開始いたしました。このバージョンアップにより、以前から Authlete がサポートしている Financial-grade API(FAPI) に加え、 CIBA についてもワンストップでの実装が可能となります。
弊社サービス Authlete は、Web API のセキュリティには欠かせない OAuth 2.0 および OpenID Connect[1] の実装をサポートするバックエンドサービスです。API エコノミーの拡大を背景に、銀行、保険、ヘルスケア、教育、IoT などさまざまな分野での採用が増加しております。
この度、Authlete 社は、イギリスやオーストラリアの金融機関での採用[2]が計画されている Client Initiated Backchannel Authentication Flow - Core 1.0(CIBA Core)仕様に対応した、新バージョンの Authlete の提供を開始いたしました。このバージョンアップにより、Financial-grade API(FAPI)[3] に加えて CIBA についても、数日~数カ月といった短期間での実装が可能[4]となります。
CIBA は、新しいユーザー認証・認可フローに関する仕様であり、OpenID Foundation 内の通信事業者向けの仕様を議論・策定するワーキンググループ MODRNA(Mobile Operation Discovery, Registration & autheNticAtion)において策定が進められています。CIBA 仕様では、API 連携フローを開始するデバイスと、実際に認証・認可するユーザーのデバイスとを分離しています。これにより、PC やスマートフォン以外のデバイス(スマート家電など)が、あるいは遠隔地にいる第三者が、ユーザーの同意に基づいて API を利用したい場合などの、従来の一般的な OAuth フローでは難しかった広範なユースケースにも対応できるようになります。
例えば、銀行や決済サービス事業者の API が CIBA をサポートすることにより、下記のような新しい送金や決済のフローを実現できます。
<img src="/img/news/ciba_pr_japanese.png" class=“mx-auto d-block” style=“width: 100%; max-width: 760px;” alt=“ciba use cases” />
英国の Open Banking において FAPI および CIBA のテストスイートを開発している fintechlab.io 社[5]は、このテストの開発を進めるにあたり、 Authlete を活用しています。彼らは Authlete が、同テストのベータ版をクリアした、世界で最初のソリューションであることを認めています。
近年、オンラインとオフラインの小売を統合しようとする戦略が注目され、一部で成果も見え始めています。そして、スマートフォンの発展、モバイルペイメントサービスの普及、および IoT 技術の革新に伴い、この流れは非小売にも波及し、Online Merges with Offline (OMO) として注目を集めています。今回の Authlete の CIBA サポートは、スマートフォンを活用したオンライン・オフライン融合型の決済・本人確認・送金プロセスを迅速に構築することを可能とするものであり、OMO 戦略をセキュアかつ速やかに実現することに大いに貢献するものです。
今回の CIBA サポートは、弊社 Authlete サービスを直接ご利用のお客様だけでなく、弊社パートナー企業様の API 公開 / ID 管理ソリューション[6] をお使いのお客様に対しても、適用可能となる予定です。 詳細につきまして、弊社または弊社パートナー様にお問い合わせください。また、今後も引き続きパートナー・エコシステムを拡充し、CIBA を含めた Authlete の適用シーンを拡大する予定です。
[1] OAuth 2.0 は、あるサービスが別のサービスに許可証(アクセストークン)を発行する手順を標準化した仕様です。 OpenID Connect は、OAuth 2.0 を拡張する形で作成された、あるサービスのユーザー情報を他のサービスでも利用できるようにする手順を標準化した仕様です。あるサービスから「認証された」という事実を ID トークン使って管理することで、他のサービスでもユーザー情報が利用可能になり、シングルサインオンなどに活用されています。
[2] たとえば、英国の競争・市場庁(CMA)によって進められている、銀行 API を通じた競争政策 Open Banking において、CIBA の採用が決まっています。 詳細は、Open Banking の各種ドキュメントをご参照ください。
[3] Financial-grade API とは、OAuth 2.0 および OpenID Connect をベースに作られた比較的新しい仕様で、金融機関での仕様にも耐えられるセキュリティレベルを目指して設計されています。
[4] 認可サーバ構築部分の実装に関してのみ。
[6] 例えば、NRIセキュアテクノロジーズ様「Uni-ID Libra」、日本ユニシス様「Resonatex」など。