News

SBI デジトラストが金融機関向け基盤サービスに Authlete を採用

金融 API セキュリティ標準に準拠した API 認可システムをスピーディに構築

株式会社 Authlete (本社: 東京都千代田区、代表取締役社⻑: 川崎貴彦、以下当社) は、SBI ホールディングス株式会社のグループ企業である SBI デジトラスト株式会社 (本社: 東京都港区、代表取締役社⻑: バスケス・カオ・フェルナンド・ルイス、以下 SBI デジトラスト社) が、同社の提供する金融機関向け認証認可基盤サービス「Trust Idiom®︎ (トラストイディオム)」において、API 認可を実現するためのソリューションとして当社サービス「Authlete (オースリート)」を採用したことをお知らせいたします。

Authlete の採用により、SBI デジトラスト社は、金融 API セキュリティのオープン標準に準拠した API 認可基盤の構築をスピーディに実現しました。

ポイント
  1. SBI デジトラストの金融機関向け認証認可基盤サービス「Trust Idiom®︎ (トラストイディオム)」の API 認可基盤に「Authlete(オースリート)」を採用
  2. 金融 API セキュリティのオープン標準「FAPI *1」と「CIBA *2」に準拠
  3. Authlete の採用により、高いセキュリティと優れた利便性を実現

SBI デジトラスト社は、SBI グループにて金融機関等向けソリューション事業を展開しています。同社が提供している Trust Idiom®︎ は、昨今、課題となっている銀行口座とペイメントサービスとの連携における、不正利用防止を目的とした本人確認済みIDを発行する認証認可基盤サービスです。

このたび当社の「Authlete (オースリート)」が、Trust Idiom®︎ において、金融 API セキュリティの標準仕様「FAPI」および「CIBA」を実装するためのソリューションとして採用されました。SBI デジトラスト社は Authlete を Trust Idiom®︎ の API 認可基盤に組み込むことにより、高いセキュリティと優れた利便性が求められるサービスを、最新のオープン API 標準に準拠し、かつスピーディに実現できるようになりました。

【SBI デジトラスト社 代表 バスケス・カオ・フェルナンド・ルイス氏からのメッセージ】

金融 API を中核とする新サービスの展開にあたり、業界の標準仕様である FAPI と CIBA の採用は必然と言えます。それら標準技術への迅速な対応、自社サービス基盤への統合の容易性、そして OAuth 2.0 (OAuth) および OpenID Connect (OIDC) の高い知見を評価し、Authlete を選択しました。

Authlete は、Web API のセキュリティには欠かせない OAuth/OIDC サーバーを実装するために必要な機能を、すべて Web API として提供しています。Authlete を採用したお客様は、開発言語やフレームワークに縛られずに、OAuth/OIDC サーバーを自由に設計・実装できます。これまでに、銀行、保険、ヘルスケア、教育、IoT などさまざまな分野のサービス事業者に、ID 連携・API 認可機能のコアサービスとして採用していただいています。

とくに金融サービス分野においては、金融 API への適用を見据えた高度なセキュリティ仕様である 「FAPI」、ならびにスマートフォンを用いてスムーズな ID 連携・ API 認可の仕様である「CIBA」を実装し、米国 OpenID Foundation が定める FAPI 認定を世界で初めて取得するなど、 Authlete は業界をリードしてまいりました。 Authlete 社は今後も「OAuth/OIDC イネーブラー」として、高いセキュリティを必要とする API サービス事業者向けに「開発者ファースト」のソリューションを提供し、API エコシステムの拡大・発展に貢献します。


*(1) FAPI (Financial-grade API)

OAuth/OIDC を拡張し、API アクセスに必要な情報 (アクセストークン) の不正取得・利用を防止するためのしくみなどを定めた仕様です。金融業界などの高度なセキュリティが求められる分野での適用が想定されています。銀行のオープン API 化において、口座情報・取引履歴の参照や、送金・決済など、Fintech 事業者をはじめとするサードパーティーを介した金融サービスの提供のセキュリティ向上に有用です。

*(2) CIBA (Client Initiated Backchannel Authentication)

OAuth/OIDC を拡張した、新しいユーザー認証・認可フローに関する仕様です。API 連携フローを開始するデバイスと、実際にユーザーが認証・認可するデバイスとを分離することにより、スマート家電との連携や、コールセンターでの操作、スマートフォンを用いたユーザー認証など、広範なユースケースに対応できるようになります。金融サービス分野では、オフラインサービスへの組み込みや、取引認証の高度化など、オープン API の利用シーン拡大に役立つと期待されています。

◆Authlete 社について

Authlete 社は、セキュアな Web API 実装に必要な OAuth 2.0 と OpenID Connect の実装をサポートするクラウドサービス/ソフトウェアを提供しています。世界中の API を活用する企業で利用されており、その分野は、金融、IoT、ヘルスケア、自治体など多岐にわたります。2015 年に川崎貴彦らにより設立、先端技術に詳しい経験豊富な技術及び事業開発グローバルチームによって構成されています。 https://www.authlete.com/ja

◆SBI デジトラスト社について

SBI デジトラスト社は、SBI セキュリティ・ソリューションズと NEC との間で設立した合弁会社です。 FATF が提唱する AML/CFT の高度化や本人確認 (KYC)、次世代認証等の金融機関等向けソリューション事業の展開をミッションとしています。グローバルにおけるサイバーセキュリティ対策を金融機関に提供し、金融サービスの高度化に寄与しています。https://sbidigitrust.com