BaaS基盤におけるAPIセキュリティの 課題と実装

Transcript

1. BaaS基盤におけるAPIセキュリティの 課題と実装 工藤達雄 Authlete 第89回フィンテックセミナー ～ BaaSビジネスの基盤と最新動向

2. • 1998年、サン・マイクロシステムズに入社。アイデンティ ティ管理を中心とするミドルウェア分野のプリセールス、 システム構築、テクニカル・マーケティングを歴任 • 2008年、野村総合研究所に入社。Webアイデンティティ 技術を活用したITサービスの企画・開発に従事。 2014年 から2018年までNRIセキュアテクノロジーズにて、APIと デジタル・アイデンティティのコンサルティングに従事

   • 2018年、Authleteに入社。事業開発を中心に、テクニカル マーケティング、プリセールス、コンサルティングを担当。 2024年から現職 工藤達雄 Country Manager - Japan, Authlete 2

3. 3 • BaaS事業の展開においては高度なAPIセキュリティの確立が必須です。 本講演では、セキュアなAPI認可を実現するためのオープン標準仕様 「FAPI」の概要と、適用における課題、そして効率的かつ安全な実装方法 について、導入事例を交えながらご紹介します。 本セッションの内容

4. 4 • 銀行は事業者に、自行の金融サービスの機能・データを、APIとして提供する。事業者は そのAPIを利用し、自社サービスに金融サービスを融合して、サービスの価値を向上させる APIを通じた金融サービスの提供・利用 APIアクセス 事業者A 事業者B 事業者C 事業者

   (BaaS利用者） 機能・ データ BaaS API 銀行 (BaaS提供者） ユーザー 事業者の サービスを 利用

5. 5 • 事業者はユーザーからログイン情報の代理利用の許諾を受け、APIを呼び出せる（かもしれない）。 しかしこの方法では、なりすましの防止・アクセス権限の最小化・権限付与の中止が難しい アクセス権限 = ログイン情報!? ログイン情報を 使い回して アクセス

   事業者A 事業者B 事業者C 事業者 (BaaS利用者） ユーザー 銀行のログイン情報 （ID/パスワードなど） を入力 機能・ データ BaaS API 銀行 (BaaS提供者） ログイン 情報 機能・ データ BaaS API 銀行 (BaaS提供者）

6. 6 • 銀行は事業者に、必要最小限のアクセス権限・有効期限の「アクセス許可証（アクセストークン）」 を付与する。ユーザー認証と同意確認は、銀行が直接、事業者を介さずに行う OAuth: APIアクセス認可の標準 事業者A 事業者B 事業者C 事業者

   (BaaS利用者） ユーザー 機能・ データ BaaS API 銀行 (BaaS提供者） ログイン 情報 API 認可 ユーザー 認証 1. 銀行との 連携を開始 2. ユーザー認証と 同意確認 3. アクセス トークンを発行 4. アクセス トークンを 用いて APIアクセス ログイン 情報 機能・ データ BaaS API 銀行 (BaaS提供者）

7. 7 • OAuthは「フレームワーク」であり、その枠組みに基づき具体化するための、複数の選択肢や多数 の拡張仕様が存在する。FAPIはこれらを取捨選択し、セキュリティと相互運用性を向上させている FAPI: 重要なAPIを保護するためのOAuth仕様 事業者A 事業者B 事業者C トークン付き

   APIアクセスの セキュリティを 強化 トークン発行 プロセスの セキュリティを 強化 事業者 (BaaS利用者） ユーザー 機能・ データ BaaS API 銀行 (BaaS提供者） ログイン 情報 API 認可 ユーザー 認証 1. 銀行との 連携を開始 2. ユーザー認証と 同意確認

8. FAPIによる不正なトークン授受・利用の防止 事業者 (BaaS利用者） 攻撃者 銀行 (BaaS提供者） OAuth認可リクエスト・トークンリクエスト 認可レスポンス・トークン付与 トークン付きAPIリクエスト（参照・更新） r署名の付与や認可フローの改良によりリクエストの

   真正性を担保し不正なトークン授受を防止 トークン窃取 トークンの受領者とリクエスト送信者のひもづけを 確認しトークンの不正利用を防止 窃取したトークンを用いた 「なりすましアクセス」を 検知しリクエストを拒否 8

9. 9 • 米国OpenID FoundationのFAPI WGが策定 – Financial API -> Financial-grade

   API -> FAPI • FAPI 1.0 – 2021年3月に仕様確定 – 各国のオープンバンキングエコシステムや、 日本の複数の銀行が採用済み • FAPI 2.0 – 2025年2月、“FAPI 2.0 Security Profile” と ”Attacker Model” 仕様が確定 – FAPI 1.0の機能を実装しやすいように整理 FAPIの策定・普及の状況 Source: https://openid.net/wg/fapi/

10. 10 • FAPIへの準拠 – プロトコル処理と トークン管理 • ユーザー認証・管理 システムとの統合 –

    既存のログインや 顧客情報の移行 • BaaS API基盤との連携 – FAPI仕様に適合する アクセストークンの処理 BaaS API提供側におけるFAPI対応 API client_id=oe60p6Sjdwgw6qIulzfMSN2A4sM1c2X0aTGGsDHIOs2RpI7y&response_type=code&redirect_uri=htt ps%3A%2F%2Faccount.moneyforward.com%2Fauth%2Fminnanoginko%2Fcallback&scope=accounts&state=c5ac 3bf9825945a083bcb9bdeca0736f&code_challenge=sx7qQ10ecDM- j4PSvBkSYs_YU5rSsPkzjfjf0yFqHrg&code_challenge_method=S256&request=eyJraWQiOiJOU3o2Rm1CVXZFNFZ 6TUpUOV9mY3JsYUpFOEpSZHd1YmZqbmZsaWVjaE5zIiwidHlwIjoiSldUIiwiYWxnIjoiRVMyNTYifQ.eyJpc3MiOiJodH RwczovL2FjY291bnQubW9uZXlmb3J3YXJkLmNvbSIsInJlc3BvbnNlX3R5cGUiOiJjb2RlIiwiY29kZV9jaGFsbGVuZ2Vf bWV0aG9kIjoiUzI1NiIsImNsaWVudF9pZCI6Im9lNjBwNlNqZHdndzZxSXVsemZNU04yQTRzTTFjMlgwYVRHR3NESElPcz JScEk3eSIsInJlc3BvbnNlX21vZGUiOiJqd3QiLCJhdWQiOiJodHRwczovL3N0YXRpYy5icy5taW5uYS1uby1naW5rby5j b20iLCJuYmYiOjE2OTY0Mzc4NjcsInNjb3BlIjoiYWNjb3VudHMiLCJyZWRpcmVjdF91cmkiOiJodHRwczovL2FjY291bn QubW9uZXlmb3J3YXJkLmNvbS9hdXRoL21pbm5hbm9naW5rby9jYWxsYmFjayIsInN0YXRlIjoiYzVhYzNiZjk4MjU5NDVh MDgzYmNiOWJkZWNhMDczNmYiLCJleHAiOjE2OTY0NDE0NjcsImNvZGVfY2hhbGxlbmdlIjoic3g3cVExMGVjRE0tajRQU3 ZCa1NZc19ZVTVyU3NQa3pqZmpmMHlGcUhyZyIsImNvbnNlbnRfaWQiOiIyNTBhMWQ0YS0wMTVmLTQ3MjEtOGRjZS1mOTZm NmVmMThkMGIifQ.07hlRhNtanO6d9iMSI23ukFutkU1kaeLiRG0iFxvpmVIhGF4p_NVJHPyxIcr37z8URW5WJRdWIZZx49 5VNzhSw&response_mode=jwt OAuth認可リクエスト 事業者 (BaaS利用者） 銀行 (BaaS提供者）

11. API client_id=oe60p6Sjdwgw6qIulzfMSN2A4sM1c2X0aTGGsDHIOs2RpI7y&response_type=code&redirect_uri=htt ps%3A%2F%2Faccount.moneyforward.com%2Fauth%2Fminnanoginko%2Fcallback&scope=accounts&state=c5ac 3bf9825945a083bcb9bdeca0736f&code_challenge=sx7qQ10ecDM- j4PSvBkSYs_YU5rSsPkzjfjf0yFqHrg&code_challenge_method=S256&request=eyJraWQiOiJOU3o2Rm1CVXZFNFZ 6TUpUOV9mY3JsYUpFOEpSZHd1YmZqbmZsaWVjaE5zIiwidHlwIjoiSldUIiwiYWxnIjoiRVMyNTYifQ.eyJpc3MiOiJodH RwczovL2FjY291bnQubW9uZXlmb3J3YXJkLmNvbSIsInJlc3BvbnNlX3R5cGUiOiJjb2RlIiwiY29kZV9jaGFsbGVuZ2Vf bWV0aG9kIjoiUzI1NiIsImNsaWVudF9pZCI6Im9lNjBwNlNqZHdndzZxSXVsemZNU04yQTRzTTFjMlgwYVRHR3NESElPcz JScEk3eSIsInJlc3BvbnNlX21vZGUiOiJqd3QiLCJhdWQiOiJodHRwczovL3N0YXRpYy5icy5taW5uYS1uby1naW5rby5j b20iLCJuYmYiOjE2OTY0Mzc4NjcsInNjb3BlIjoiYWNjb3VudHMiLCJyZWRpcmVjdF91cmkiOiJodHRwczovL2FjY291bn

    QubW9uZXlmb3J3YXJkLmNvbS9hdXRoL21pbm5hbm9naW5rby9jYWxsYmFjayIsInN0YXRlIjoiYzVhYzNiZjk4MjU5NDVh MDgzYmNiOWJkZWNhMDczNmYiLCJleHAiOjE2OTY0NDE0NjcsImNvZGVfY2hhbGxlbmdlIjoic3g3cVExMGVjRE0tajRQU3 ZCa1NZc19ZVTVyU3NQa3pqZmpmMHlGcUhyZyIsImNvbnNlbnRfaWQiOiIyNTBhMWQ0YS0wMTVmLTQ3MjEtOGRjZS1mOTZm NmVmMThkMGIifQ.07hlRhNtanO6d9iMSI23ukFutkU1kaeLiRG0iFxvpmVIhGF4p_NVJHPyxIcr37z8URW5WJRdWIZZx49 5VNzhSw&response_mode=jwt OAuth認可リクエスト 11 AuthleteがBaaS API提供側のFAPI処理を代行 事業者 (BaaS利用者） 銀行 (BaaS提供者） API Authlete client_id=oe60p6Sjdwgw6qIulzfMSN2A4sM1c2X0aTGGsDHIOs2RpI7y&response_type=code&redirect_uri=htt ps%3A%2F%2Faccount.moneyforward.com%2Fauth%2Fminnanoginko%2Fcallback&scope=accounts&state=c5ac 3bf9825945a083bcb9bdeca0736f&code_challenge=sx7qQ10ecDM- j4PSvBkSYs_YU5rSsPkzjfjf0yFqHrg&code_challenge_method=S256&request=eyJraWQiOiJOU3o2Rm1CVXZFNFZ 6TUpUOV9mY3JsYUpFOEpSZHd1YmZqbmZsaWVjaE5zIiwidHlwIjoiSldUIiwiYWxnIjoiRVMyNTYifQ.eyJpc3MiOiJodH RwczovL2FjY291bnQubW9uZXlmb3J3YXJkLmNvbSIsInJlc3BvbnNlX3R5cGUiOiJjb2RlIiwiY29kZV9jaGFsbGVuZ2Vf bWV0aG9kIjoiUzI1NiIsImNsaWVudF9pZCI6Im9lNjBwNlNqZHdndzZxSXVsemZNU04yQTRzTTFjMlgwYVRHR3NESElPcz JScEk3eSIsInJlc3BvbnNlX21vZGUiOiJqd3QiLCJhdWQiOiJodHRwczovL3N0YXRpYy5icy5taW5uYS1uby1naW5rby5j b20iLCJuYmYiOjE2OTY0Mzc4NjcsInNjb3BlIjoiYWNjb3VudHMiLCJyZWRpcmVjdF91cmkiOiJodHRwczovL2FjY291bn QubW9uZXlmb3J3YXJkLmNvbS9hdXRoL21pbm5hbm9naW5rby9jYWxsYmFjayIsInN0YXRlIjoiYzVhYzNiZjk4MjU5NDVh MDgzYmNiOWJkZWNhMDczNmYiLCJleHAiOjE2OTY0NDE0NjcsImNvZGVfY2hhbGxlbmdlIjoic3g3cVExMGVjRE0tajRQU3 ZCa1NZc19ZVTVyU3NQa3pqZmpmMHlGcUhyZyIsImNvbnNlbnRfaWQiOiIyNTBhMWQ0YS0wMTVmLTQ3MjEtOGRjZS1mOTZm NmVmMThkMGIifQ.07hlRhNtanO6d9iMSI23ukFutkU1kaeLiRG0iFxvpmVIhGF4p_NVJHPyxIcr37z8URW5WJRdWIZZx49 5VNzhSw&response_mode=jwt OAuth認可リクエスト client_id=oe60p6Sjdwgw6qIulzfMSN2A4sM1c2X0aTGGsDHIOs2RpI7y&response_type=code&redirect_uri=htt ps%3A%2F%2Faccount.moneyforward.com%2Fauth%2Fminnanoginko%2Fcallback&scope=accounts&state=c5ac 3bf9825945a083bcb9bdeca0736f&code_challenge=sx7qQ10ecDM- j4PSvBkSYs_YU5rSsPkzjfjf0yFqHrg&code_challenge_method=S256&request=eyJraWQiOiJOU3o2Rm1CVXZFNFZ 6TUpUOV9mY3JsYUpFOEpSZHd1YmZqbmZsaWVjaE5zIiwidHlwIjoiSldUIiwiYWxnIjoiRVMyNTYifQ.eyJpc3MiOiJodH RwczovL2FjY291bnQubW9uZXlmb3J3YXJkLmNvbSIsInJlc3BvbnNlX3R5cGUiOiJjb2RlIiwiY29kZV9jaGFsbGVuZ2Vf bWV0aG9kIjoiUzI1NiIsImNsaWVudF9pZCI6Im9lNjBwNlNqZHdndzZxSXVsemZNU04yQTRzTTFjMlgwYVRHR3NESElPcz JScEk3eSIsInJlc3BvbnNlX21vZGUiOiJqd3QiLCJhdWQiOiJodHRwczovL3N0YXRpYy5icy5taW5uYS1uby1naW5rby5j b20iLCJuYmYiOjE2OTY0Mzc4NjcsInNjb3BlIjoiYWNjb3VudHMiLCJyZWRpcmVjdF91cmkiOiJodHRwczovL2FjY291bn QubW9uZXlmb3J3YXJkLmNvbS9hdXRoL21pbm5hbm9naW5rby9jYWxsYmFjayIsInN0YXRlIjoiYzVhYzNiZjk4MjU5NDVh MDgzYmNiOWJkZWNhMDczNmYiLCJleHAiOjE2OTY0NDE0NjcsImNvZGVfY2hhbGxlbmdlIjoic3g3cVExMGVjRE0tajRQU3 ZCa1NZc19ZVTVyU3NQa3pqZmpmMHlGcUhyZyIsImNvbnNlbnRfaWQiOiIyNTBhMWQ0YS0wMTVmLTQ3MjEtOGRjZS1mOTZm NmVmMThkMGIifQ.07hlRhNtanO6d9iMSI23ukFutkU1kaeLiRG0iFxvpmVIhGF4p_NVJHPyxIcr37z8URW5WJRdWIZZx49 5VNzhSw&response_mode=jwt OAuth認可リクエスト

12. • AuthleteはFAPI1, FAPI2, FAPI-CIBAおよび各国のオープンファイナンスや先進的な OAuth/OIDC 拡張仕様を迅速に実装。 またOpenID Foundationは「OpenID認定プログラム」における「 適合性テスト」開発のテストベッドにAuthleteを活用。 結果的に、同テストがリリースされた段階で、Authleteは他社に先んじて合格済みの状態になっている

    Authleteが選ばれる理由 OAuth/OIDC仕様への業界最速・最多準拠 • OPs (OpenID Providers) • Basic OP • Implicit OP • Hybrid OP • Config OP • Dynamic OP • Form Post OP • FAPI 1.0 ID2 OPs • FAPI R/W OP w/ MTLS • FAPI R/W OP w/ MTLS, PAR • FAPI R/W OP w/ Private Key • FAPI R/W OP w/ Private Key, PAR • UK-OB R/W OP w/ MTLS • UK-OB R/W OP w/ Private Key • AU-CDR R/W OP w/ Private Key • AU-CDR R/W OP w/ Private Key, PAR • FAPI 1.0 Final OPs • FAPI 1 Advanced Final (Generic) • FAPI Adv. OP w/ MTLS • FAPI Adv. OP w/ MTLS, PAR • FAPI Adv. OP w/ Private Key • FAPI Adv. OP w/ Private Key, PAR • FAPI Adv. OP w/ MTLS, JARM • FAPI Adv. OP w/ Private Key, JARM • FAPI Adv. OP w/ MTLS, PAR, JARM • FAPI Adv. OP w/ Private Key, PAR, JARM • UK Open Banking (Based on FAPI 1 Advanced Final) • UK-OB Adv. OP w/ MTLS • UK-OB Adv. OP w/ Private Key • Australia CDR (Based on FAPI 1 Advanced Final) • AU-CDR Adv. OP w/ Private Key • AU-CDR Adv. OP w/ Private Key, PAR • KSA Open Banking (Based on FAPI 1 Advanced Final) • KSA-OB Adv. OP w/ MTLS, PAR • KSA-OB Adv. OP w/ Private Key, PAR [NEW] • Brazil Open Banking (Based on FAPI 1 Advanced Final) • BR-OB Adv. OP w/ MTLS • BR-OB Adv. OP w/ Private Key • BR-OB Adv. OP w/ MTLS, PAR • BR-OB Adv. OP w/ Private Key, PAR • BR-OB Adv. OP w/ MTLS, JARM • BR-OB Adv. OP w/ Private Key, JARM • BR-OB Adv. OP w/ MTLS, PAR, JARM • BR-OB Adv. OP w/ Private Key, PAR, JARM • BR-OB Adv. OP DCR • Brazil Open Insurance (Based on FAPI 1 Advanced Final) • BR-OB Adv. OP w/ MTLS • BR-OB Adv. OP w/ Private Key • BR-OB Adv. OP w/ MTLS, PAR • BR-OB Adv. OP w/ Private Key, PAR • BR-OB Adv. OP w/ MTLS, JARM • BR-OB Adv. OP w/ Private Key, JARM • BR-OB Adv. OP w/ MTLS, PAR, JARM • BR-OB Adv. OP w/ Private Key, PAR, JARM • BR-OB Adv. OP DCR • FAPI-CIBA OPs • FAPI-CIBA OP poll w/ MTLS • FAPI-CIBA OP poll w/ Private Key • FAPI-CIBA OP Ping w/ MTLS • FAPI-CIBA OP Ping w/ Private Key • FAPI2 Providers • FAPI 2.0 Security Profile Second Implementer’s Draft & Message Signing First Implementer’s Draft • FAPI2SP MTLS + MTLS • FAPI2SP private key + MTLS • FAPI2SP OpenID Connect • FAPI2MS JAR • FAPI2MS JARM • Australia FAPI 2.0 ConnectId Implementer’s Draft • FAPI2MS with ConnectId support 12

13. • 一般的なIAM/IDaaS製品は、さまざまな機能を備えたオールインワン型であり、カスタマイズ範囲は限定的。一方Authleteは、 OAuth/OIDC機能をバックエンドサービスとして提供。OAuth/OIDC以外のすべてを、新規に構築・導入したり、既存システム を組み合わせたりすることができ、要件に応じたサービス実装が可能となる Authleteが選ばれる理由 コンポーネント型のソリューション IAM / IDaaS: カスタマイズ範囲が定められた「コントローラー」

    IAM / IDaaS Client Protected Resources Resource Owner OAuth/OIDC Server Subsystem User Authentication Subsystem Authorization Decision Subsystem API Gateway User authentication and consent Token request API request Token introspection Custom Logic Extension Custom Logic Custom Logic Client Protected Resources Resource Owner OAuth / OIDC Server Frontend IAM Service Authorization Decision Service API Gateway Protocol Operations and Token Management User authentication and consent Token request API request Token introspection OAuth / OIDC Server Backend Custom OAuth / OIDC Server Authlete: OAuth/OIDC基盤構築をサポートする「コンポーネント」 13

14. • Authleteはすべての機能をAPIとして提供。OAuth/OIDCサーバーの新規構築のためだけではなく、既存IAMの機能強化や、 APIゲートウェイへの組み込み、モノリシックなWebサービスへの一体化など、ユースケースやシステムアーキテクチャに よらず、柔軟に適合可能となっている Authleteが選ばれる理由 さまざまなユースケース/アーキテクチャに適合 専用OAuth/OIDCサーバー構築パターン APIゲートウェイ組み込みパターン IAM機能強化パターン Webサービス一体化パターン

    14

15. • 金融サービスをはじめ、メディアやEコマース、さらにはエンタメなど、さまざまな業種・業界の事業者が、AuthleteのAPIを 活用し自社のID基盤やAPI公開基盤を内製化している。またソリューションプロバイダーは、システムインテグレーションの 「部品」としてAuthleteを選定し、高品質のOAuth/OIDCシステムを構築・運用している Authlete導入事例 IDとAPIを武器とする多数の事業者がAuthleteを採用 楽天銀行 DPG Media NTT

    Docomo Nubank 15

16. モバイル向けAPI 認可基盤を構築し、 FAPI準拠の オープンAPIへ拡張 • 国内で最初にFAPIを実装したデジタルバンク • 背景 – 参照系だけではなく更新系にも対応可能な

    セキュリティの担保 – A2A 決済（銀行口座から銀行口座に直接支払う しくみ）をパートナー企業に提供 – 標準準拠により「接続しやすさ」を向上し、 パートナー企業との提携を加速 • Authleteを採用 – Google Cloud との親和性の高さ – マネージドサービス運用負荷を低減 – OAuth/FAPIの進化に適応可能な基盤構築を実現 Authlete導入事例 みんなの銀行 https://www.authlete.com/ja/customers/minnabank/ 16

17. “従前のお客さま情報の 管理やユーザー認証 システムを置き換える のではなく、それらの 既存資産を補完する かたちで、FAPI対応 機能を強化できました” • 2008 年にKDDIと三菱UFJ銀行が共同出資して設立した

    インターネット銀行 • 背景 – 決済や送金のような「更新系 API」を提携先向けに提供 するためには、オープンな API セキュリティ仕様として 世界的に普及している FAPI への準拠が必要であると判断 • Authleteを採用 – OAuth 2.0認可機能のコアとして導入 – Authleteは「OpenID認定テストスイート*」の開発に深く 関与しており、FAPI仕様への迅速な追随が期待できると 評価 – AuthleteがAPIとして提供する「OAuth/OIDCプロトコル 処理」と「トークン管理機能」を活用し、 FAPIによるAPI ゲートウェイのセキュリティ強化をスムーズに実現 Authlete導入事例 auじぶん銀行 https://www.authlete.com/ja/news/20231020_jibunbank/ * 米国OpenID Foundationが開発・提供する、FAPIをはじめとするOAuth 2.0 / OpenID Connect (OIDC) 関連仕様に 対応した製品・サービスが、実際に正しく仕様を実装しているかどうかをテストするソフトウェア 17

18. “Authlete によって、 わずか数週間で 完全に仕様に準拠した 認可サーバーを 導入できました” • ブラジル・メキシコ・コロンビアに展開し、1.14億ユー ザー・月間アクティブ率83.1%（2024年末時点）を誇る、 世界有数のデジタルバンク

    • 背景 – 中央銀行によって定められたセキュリティ標準を正しく実装する 義務があったが、FAPIは複雑であり、スケジュールを遵守して 対応するための知識が不足していた – また可能な限り自社開発を原則とする一方、新しいテクノロジー に開発リソースを割り当てるのは容易ではなかった • Authleteを採用 – OAuth/OIDC/FAPI機能がWeb APIとして提供されているため、 既存の環境を特定のベンダーに合わせて変更することなく、 認可サーバーを自社で構築・運用できた – FAPI仕様策定に貢献するだけではなく、適合性テストスイートの テストベッドも提供するなど、認定プログラムの策定に深く関与 しており、専門家集団としての知識とサポートが評価できた Authlete導入事例 Nubank https://www.authlete.com/ja/customers/nubank/ 18

19. • 1943年設立。預金や融資などの銀行業務に加え、 近年ではデジタル化やキャッシュレス化の推進など 先進的な取り組みを展開 • 背景 – 次世代地域デジタルプラットフォームの一環として、 APIを介して銀行機能を提供するBaaS事業をローンチ –

    金融やヘルスケアなど高いセキュリティが要求される 業界で世界的に導入されている、FAPIへの対応を決定 • Authleteを採用 – 国内外の大手デジタル銀行での導入実績を評価 – Authleteの柔軟なAPIアーキテクチャが開発時間を 短縮し早期リリースを実現 Authlete導入事例 北國銀行 https://www.authlete.com/ja/news/20241203_hokkokubank/ “Authlete を採用することは プロジェクトの開始早々に 決定しました。また Authlete 導入により実装を 簡素化し、BaaS 基盤の 早期リリースが実現できた ことは大きな成果です” 19

20. BaaS API基盤へのAuthleteの統合 BaaS API基盤 API クライアント アイデンティティ&アクセス管理 事業者A APIゲートウェイ 認可ロジック

    （認可判定） ユーザー 認証 同意確認 権限管理 バックエンド API トークン管理 データベース OAuthリクエスト （トークン取得） APIリクエスト (トークン利用) 認可状態確認（トークン検証など） OAuth処理リクエスト（プロトコル処理とトークン管理） OAuth エンド ポイント バックエンド バックエンド呼び出し API エンド ポイント 事業者B 事業者C クライアントから 受信したOAuth リクエストを Authleteに転送 クライアントに 許可する アクセス範囲・ 期限などを決定 APIリクエストに 含まれるアクセス トークンの検証を Authleteに依頼 20

21. • プロトコル処理 – クライアントからのリクエストをそのまま AuthleteのAPIに転送するだけでOAuth/OIDC 機能を実装可能 • トークンライフサイクル管理 – トークン保持のための永続的ストレージ

    と、その生成・更新・失効・破棄などを Authleteに移管し、DB管理の負担を軽減 • 鍵管理・クライアント管理 – OAuth/OIDCクライアントに関する登録情報 の管理をAuthleteに一元化し、セキュリティ を向上 • 設定管理 – Authleteの管理APIを活用し、「現在連携 しているクライアント一覧をユーザーに 提供」や「パスワードリセットに伴う トークンの一括失効」などを、要件に 応じて自由に実装可能 FAPI対応の難所を引き受けるAuthleteのAPI Resource Owner User Agent Client Authorization Server Resource Server APIリクエスト APIレスポンス イントロスペクション リクエスト イントロスペクション レスポンス アクセス権限確認 認可リクエスト 認可レスポンス トークンリクエスト トークンレスポンス ログインセッション 確認 認証情報照合 アプリにアクセス コンテンツ返却 ユーザー認証 連携完了 アプリにアクセス Authlete 認可リクエスト処理 認可レスポンス生成 トークンリクエスト 処理 イントロスペクション リクエスト処理 21

22. Business Plan • 小規模〜中規模 • 共用クラウド *1 • MAT *2

    単位課金 Enterprise Plan （クラウド） • 中規模〜大規模 • 専有クラウド *3 • MAT *2 or 性能 *4 課金 Enterprise Plan （オンプレミス） • 中規模〜大規模 • パッケージ提供 *5 • プロジェクト *6 課金 規模・環境に応じたサービスプランを提供 *1 マルチテナント環境にお客さま専用のテナントを作成 *2 MAT (Monthly Active Tokens): 当月に発行・利用されたアクセストークン数（≠ ユーザー数） *3 お客さま専用の Authlete API サーバーをマネージドサービスとして提供 *4 Authlete API サーバーの想定処理能力 (Requests per Second) *5 お客さまにて Authlete API ソフトウェアを導入・構築・運用 *6 Authlete を用いて構築されたAPI認可・ ID連携サービス（「サービス共通ID」など）を一つの単位とし、その用途において Authlete API サーバーを自由に構成・運用可能 22

23. 23 • FAPIとは – BaaS APIに求められるOAuth仕様 – セキュリティと相互運用性を向上 • FAPI対応の難所

    – OAuthに比べて実装の難易度大 – ユーザー認証・管理との統合が必要 – BaaS API基盤との連携が複雑 • BaaS API基盤のFAPI対応を実現する “Authlete” – 仕様への業界最速・最多準拠 – コンポーネント型ソリューションにより 様々なユースケース/アーキテクチャに適合 – FAPIの導入・運用を簡素化・効率化 – 国内外での豊富な導入実績 まとめ Source: https://www.authlete.com/ja/resources/videos/20221207/01/ https://www.authlete.com/ja/resources/videos/20231212/03/ https://www.authlete.com/ja/customers/nubank/

24. 24 • お問い合わせ – Webサイト https://www.authlete.com/ja/contact/ – メール [email protected] •

    OAuth/OIDC勉強会 – イベントページ https://authlete.connpass.com – 過去開催イベント https://www.authlete.com/ja/resources/videos/ – YouTube https://www.youtube.com/authlete • Authleteのご試用 – トライアルアカウントの取得 https://console.authlete.com/register – クイックスタート https://www.authlete.com/ja/developers/getting_started/ リソース

25. Thank You www.authlete.com [email protected]