Web3 時代における共創型開発のためのAPI マーケットプレイスの設計・開発

Transcript

1. Web3時代における共創型開発 のためのAPI マーケットプレイス の設計・開発 2023/11/17 富士通株式会社 データ＆セキュリティ研究所 〇山下一寛，鳥山陽平，北島信哉 © 2023

   Fujitsu Limited 1

2. 目次 ⚫背景 ⚫Web３ ⚫富士通でのWeb3への取り組み ⚫Fujitsu Research Portalの利用イメージ ⚫Fujitsu Research Portalの要件

   ⚫本人認証に関する調査 ⚫Fujitsu Research Portalの構成 ⚫まとめ © 2023 Fujitsu Limited 2

3. Web３とは ⚫ブロックチェーンなどの技術を背景にユーザ個人が自身の情報を管理する © 2023 Fujitsu Limited https://www.nri.com/jp/knowledge/glossary/lst/alphabet/web3 3

4. 弊社でのWeb３の取り組み © 2023 Fujitsu Limited https://pr.fujitsu.com/jp/news/2023/02/6.html 共創型開発 4

5. Fujitsu Research Portal ⚫共創型開発のためのAPIマーケットプレイスとして開発・公開 © 2023 Fujitsu Limited 5

6. 利用イメージ © 2023 Fujitsu Limited Webアプリケーション ユーザ Web APIs Web

   API 呼び出し 開発した アプリ 公開技術 6 どんな 技術？ 技術を使い新し いアプリを作りたい

7. 利用イメージ（デモ） ⚫ぜひ実際に触ってみてください © 2023 Fujitsu Limited 7 https://portal.research.global.fujitsu.com/ Fujitsu Research

   Portal

8. 利用イメージ（バックアップ） © 2023 Fujitsu Limited ログイン前 ログイン後 詳細情報への リンクが追加される 8

9. 利用イメージ（バックアップ） © 2023 Fujitsu Limited 詳細情報 Webアプリ画面 9

10. 利用イメージ（バックアップ） © 2023 Fujitsu Limited Web API仕様画面 10

11. 開発スケジュール © 2023 Fujitsu Limited 11 4/21 9/28 8/31 6/30

    GW 夏季休暇 ▲キックオフ ▲国内向け公開 ▲海外向け公開（国，組織制限） 海外向け公開（国制限）▲ 認証方式調査・検討 仮構築 国内向け 本番構築 海外向け 構成検討 海外向け 本番構築 海外向け 本番再構築 AD B2C統合作業 要件確認 海外向け 再構成検討

12. Fujitsu Research Portalの要件 1. オンラインで登録が完結する 2. 本人認証を行うことで悪質な利用を抑止する 3. 技術を簡単に試せる 4.

    アカウント登録を行ったユーザのみが技術を試せる 5. 各技術の提供は社内の異なる組織によって行われる 6. 1か月半後に公開する必要がある 7. 日本国内のみでなく海外にも公開する 8. 提供した技術のWeb APIを用いたアプリケーション作成ができる © 2023 Fujitsu Limited 12

13. Fujitsu Research Portalの要件 1. オンラインでアカウント登録が完結する ⚫従来社内の技術を使ってもらうためには多くの申請が必要だった ⚫ NDAやMOUなどに合意してもらう必要がある ⚫多くの人に使ってもらうためにはアカウント登録の簡略化が必要 2.

    本人認証を行うことで悪質な利用を抑止する ⚫ 簡単にアカウント登録できると悪質な利用が増える可能性がある ⚫ ある程度のセキュリティの確保が必要 © 2023 Fujitsu Limited 後半で要件2について詳しく紹介します 13

14. Fujitsu Research Portalの要件 3. 技術を簡単に試せる ⚫ 登録が簡単でも試すのが難しいと利用してもらえない ⚫ 一般的なWeb API，Webアプリケーションの形式で提供

    4. アカウント登録を行ったユーザのみが技術を試せる ⚫ Web API，Webアプリケーションを保護するため認証が必要 5. 各技術の提供は社内の異なる組織によって行われる ⚫ 公開される技術は社内の様々な部署で開発されたものである ⚫ Portalの構築される場所とは異なる場所で構築される場合も連携できることが必要 © 2023 Fujitsu Limited 14

15. Fujitsu Research Portalの要件 6. 1か月半後に公開する必要がある ⚫ 短期間での公開が求められていた 7. 日本国内のみでなく海外にも公開する ⚫

    輸出管理や国ごとの個人情報の法令を考慮 ⚫ 日本国内向け，海外向けのインスタンスとして実装が必要 8. 提供した技術のWeb APIを用いたアプリケーション作成ができる ⚫ 新たな使い方の創出や広くフィードバックを受けるには，ユーザが技術を利用して新たなア プリケーションを作ってもらうのが効果的である ⚫ そのためWeb APIを保護しながらユーザがアプリに利用できる仕組みが必要 © 2023 Fujitsu Limited 15

16. Fujitsu Research Portalの要件（再掲） 1. オンラインで登録が完結する 2. 本人認証を行うことで悪質な利用を抑止する 3. 技術を簡単に試せる 4.

    アカウント登録を行ったユーザのみが技術を試せる 5. 各技術の提供は社内の異なる組織によって行われる 6. 1か月半後に公開する必要がある 7. 日本国内のみでなく海外にも公開する 8. 提供した技術のWeb APIを用いたアプリケーション作成ができる © 2023 Fujitsu Limited 16

17. Fujitsu Research Portalの要件 1. オンラインで登録が完結する 2. 本人認証を行うことで悪質な利用を抑止する 3. 技術を簡単に試せる 4.

    アカウント登録を行ったユーザのみが技術を試せる 5. 各技術の提供は社内の異なる組織によって行われる 6. 1か月半後に公開する必要がある 7. 日本国内のみでなく海外にも公開する 8. 提供した技術のWeb APIを用いたアプリケーション作成ができる © 2023 Fujitsu Limited この2要件への工夫は鳥山さんの 発表で詳しく触れます 17

18. Fujitsu Research Portalの要件 1. オンラインで登録が完結する 2. 本人認証を行うことで悪質な利用を抑止する 3. 技術を簡単に試せる 4.

    アカウント登録を行ったユーザのみが技術を試せる 5. 各技術の提供は社内の異なる組織によって行われる 6. 1か月半後に公開する必要がある 7. 日本国内のみでなく海外にも公開する 8. 提供した技術のWeb APIを用いたアプリケーション作成ができる © 2023 Fujitsu Limited 18

19. メールアドレスだけでアカウントが作れると．．． ⚫DDoS攻撃を受ける ⚫アカウントを大量に作り，APIを大量に呼び出し コンピューティングリソースへの負荷をかけられる ⚫APIキーの大量生成 ⚫アカウントを大量に作り，APIキーを生成し想定外のアクセスを行う ⚫1つのアカウントをブロックしても効果が薄い © 2023 Fujitsu

    Limited メールアドレス+αの情報を使い本人認証を行い 悪質な利用を抑止したい 19

20. 本人認証に関する調査 ⚫目的 ⚫どのような本人認証の選択肢が存在するかを確認する ⚫どの本人認証をもちいるのが適切そうかを判断する ⚫調査の観点 ⚫どのような情報で本人認証するか ⚫Azure ADとの連携が容易か ⚫開発が容易か ⚫費用が安価か

    © 2023 Fujitsu Limited 20

21. 本人認証に関する調査 ⚫調査対象 1. Azure AD B2Cのみによる登録 2. クレジットカード情報（フリーミアム系サービスを含む） 3. 電話回線キャリア認証

    4. eKYCサービス 5. 外部ID連携 © 2023 Fujitsu Limited 21

22. 1. Azure AD B2C © 2023 Fujitsu Limited ⚫MFAの機能で、検証方法SMSに限定することで、電話番号の検証が可能 ⚫電話番号は世界中のものが使える

    ⚫設定により取得する個人情報を決めることが可能 サービス名（提供元） 提供機能 確認情報 開発量 Azure AD実績 費用 Azure AD B2C ID管理， MFA(SMS) メールアドレス 電話番号 2週間 〇 5万アクティブユーザ まで無料 22

23. 2. クレジットカード情報 ⚫ クレジットカードを保持している(審査が通っていること)を利用して身元確認とする ⚫ 自社開発にはクレジット取扱い事業者登録が必要 ⚫ 決済代行は決済が発生することが前提．ポータルは無償なので使えなさそう． © 2023

    Fujitsu Limited サービス名（提供元） 提供機能 確認情報 開発量 Azure AD実績 費用 自社開発 - クレジットカード 6ヶ月以上 DSS対応 API連携 - ー 決済代行サービス (SB Payment/Robot Payment) 決済代行 クレジットカード 2ヶ月 API連携 - 初期費用+ 決裁料金の数％ Square（フリーミアム代行) 決済代行 決済方法によっ て異なる 2ヶ月 API開発 × 決済額に応じて 異なる 23

24. 3. 電話回線キャリア認証 ⚫電話番号から身元確認情報を照会できる ⚫ただし3キャリアがそろってもカバー率85％（令和2年度）といわれている* ⚫各キャリアの独自仕様となっており，海外向けやアグリゲーションサービスのようなものも存在 しないためため開発対応の負担が大きい © 2023 Fujitsu Limited

    サービス名（提供元） 提供機能 確認情報 開発量 Azure AD実績 費用 本人確認アシストAPI（NTTドコモ） 電話番号に 紐づく本人確 認結果 電話番号 4ヶ月 API開発 × 要問合せ 本人確認支援サービス（KDDI） 電話番号に 紐づく本人確 認結果 電話番号 4ヶ月 API開発 × 要問合せ 本人確認代行サービス（ソフトバン ク）※公式サイトなし 電話番号に 紐づく本人確 認結果 電話番号 不明 × 不明 *「本人確認サービス」活用の可能性 株式会社NTTドコモ様、KDDI株式会社様、ソフトバンク株式会社様【NEXCHAINコーポレートピッチ】｜ 企業間情報連携推進コンソーシアム(NEXCHAIN) https://note.com/nexchainofficial/n/n3940e866bc48 24

25. 4. eKYCサービス ⚫本人確認書類と本人容貌から身元確認を行う ⚫どのサービスも同様のサービスを提供している ⚫個人情報の管理を行う必要がある サービス名 提供機能 確認情報 開発量 Azure

    AD 実績 費用 TRUSTDOCK 身元確認書類と 容貌の確認 写真付き身元確認書類 マイナンバーカード 3か月 △ 要問合せ LIQUID eKYC 身元確認書類と 容貌の確認 写真付き身元確認書類 マイナンバーカード 3か月 △ 初期費用5万円， 月額3万円+150円/件 Line eKYC 身元確認書類と 容貌の確認 写真付き身元確認書類 マイナンバーカード 3か月 △ 要問合せ Stripe identity 身元確認書類と 容貌の確認 写真付き身元確認書類 3か月 △ 手数料10ドル~/月， 0.02ドル/件 25 © 2023 Fujitsu Limited

26. ５. 外部ID連携 ⚫Azure AD B2Cのユーザ登録/認証をソーシャルログインで実現する ⚫各サービスでユーザ確認をしていることを利用して身元確認とする ⚫外部IDを持たない場合ポータルを使うために作成が必要 © 2023 Fujitsu

    Limited サービス名（提供元） 提供機能 確認情報 開発量 Azure AD実績 費用 Apple ID ID管理 メールアドレス＋ 電話番号 2週間 〇 公式資料あり 無料 LinkedIn 電話番号 GitHub メールアドレス Microsoft Google メールアドレス / 電話番号 Amazon Facebook X (旧Twitter) 26

27. 調査結果 © 2023 Fujitsu Limited ⚫高いレベルの身元確認が必要ないこと開発量，実績などから総合的にB2C を選択 サービス名（提供元） 提供機能 確認情報

    開発量 Azure AD 実績 費用 1. Azure AD B2C ID管理， MFA(SMS) メールアドレス 電話番号 2週間 ◦ Azure AD B2Cの費用のみ 2. クレジットカード情報 (Square) 決済代行 決済方法によって異なる 2ヶ月 ✕ 決済額に依存 3. 電話回線キャリア認証 電話番号に紐づく 本人確認結果 電話番号 4ヶ月 ✕ 要問合せ 4. eKYCサービス (TRUSTDOCK) eKYC＋IDaaS 本人確認書類 容貌 3ヶ月 △ 要問合せ 5. 外部ID連携 ID管理 メールアドレス/電話番号 2週間 ◦ 無料 27

28. Application Gateway Azure AD B2C バックエンド Virtual Machine バックエンド（外部） Virtual

    Machine ユーザ 日本語サイト API Management 開発者ポータル API Gateway 管理プレーン 英語サイト API Management 開発者ポータル API Gateway 管理プレーン 要件1. ユーザ登録 要件2. 本人認証（メール＋SMS） 要件4. JWT発行 要件8. サブスクリプションキー発行 Fujitsu Research Portalの構成と対応する要件 要件7. 日本，海外向け インスタンスへのルーティング 要件4. JWT検証 要件7. 日本語，英語の2つの インスタンスで構成 要件8. サブスクリプションキー検証 要件3. Web API, Webア プリケーションでの提供 要件6. 異なる環境との連携 28 © 2023 Fujitsu Limited

29. まとめ ⚫共創型開発のためのAPIマーケットプレイスFujitsu Research Portalを 開発・公開した ⚫8つの要件を考慮し開発・公開を行った ⚫要件のうちの1つである本人認証についての調査結果について報告した ⚫Fujitsu Research Portalでは総合的に判断しAzure

    AD B2CでSMSを使うこととした ⚫より高いレベルのセキュリティが必要であればeKYC，決済が発生するサービスでは決済代行 サービスなど要件によって異なる選択肢が存在する © 2023 Fujitsu Limited 29

30. Thank you © 2023 Fujitsu Limited