Financial API (FAPI) のバックアップ(No.15)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

目次
概要
- 目的
  - 勧告を提供する。
  - 以下を可能にする。
- 背景
考慮事項
機能
- 基準
- AS-IS / TO-BE
  - AS-IS
  - TO-BE
仕様
関連仕様
参考

↑

概要 †

OpenID Financial API (FAPI) WGにおいて、

EU決済サービス指令（Payment Services Directive／PSD）
Open Banking Standard

を考慮し、

ISO/TC 68（Financial services）への提出も視野に入れながら、

以下のような、金融 API の標準仕様群の策定作業が進められている。

Part	Title	説明
1	Read Only API Security Profile	参照系 API（向けの）セキュリティー要件
2	Read & Write API Security Profile	更新系 API（向けの）セキュリティー要件
3	Open Data API	公開データ API 仕様
4	Protected Data API and Schema - Read only	参照系 API（向けの）仕様
5	Protected Data API and Schema - Read and Write	更新系 API（向けの）仕様

↑

目的 †

↑

勧告を提供する。 †

下記に関する勧告を提供（チェックリスト）

セキュリティ＋プライバシー・プロファイル
JSON data schema, REST APIs

↑

以下を可能にする。 †

銀行・証券口座およびクレジットカード口座を考慮対象とする。

アプリケーションが口座を参照
アプリケーションが口座を更新
利用者がセキュリティとプライバシー設定をする

↑

背景 †

↑

金融向けセキュリティ・プロファイルが必要 †

OAuth2.0はフレームワークなので用途に合わせたセキュリティ・プロファイルが必要。

基本実装でOK
- ソーシャルアプリにおけるデータ共有
- 閉回路の産業アプリケーション

金融機関APIのセキュリティ・プロファイル
- Read Only API用セキュリティ・プロファイル
- Read and Write API用セキュリティ・プロファイル

↑

金融のIdentity Federation APIの使用例 †

口座開設（KYCを含む）
個人資産管理
支払い、送金
融資申し込み
AIによるポートフォリオ管理（出所）

↑

様々な団体からの後押し †

INDUSTRY PUSH
- FS-ISAC（Financial Services - Information Sharing and Analysis Center）
  の定める継続的データAPI（Durable Data API）に関する委員会。
- (Source) FS-ISAC FSDDA WG OpenID Financial API

REGULATORY PUSH
- EU決済サービス指令（Payment Services Directive／PSD）2017年末までにAPIの可用性を要求。
- (Source) ODI OBWG: The Open Banking Standard (2016) JSON REST OAuth OpenID Connect

Regulatory Pressures （規制圧力）
- リリース1 - 12ヶ月以内に完了させる。
  密接に範囲を絞ったOpen Banking APIのローンチにより、
  オープンなデータのselect, read-accessの使用が可能になった。

リリース2 - 2017年第1四半期までに完成させる。
midata（第三者の個人顧客データ）への読み取りアクセス（読み取り専用）

リリース3 - 2018年第1四半期までに完成させる。
midata（第三者の企業顧客データ）への読み取りアクセス（読み取り専用）

リリース4 - 2019年1月末までに完了する
- 高リスク - 完全な読み書きアクセス。
- 最小midataはcsvファイル。

↑

考慮事項 †

金融機関API向けのプロファイルは全てを解決する必要がある。

↑

1 Client・1 Authorization Server †

1 Clientは、 1 Authorization Serverとのみ関係を持つ。
（リダイレクト・エンドポイントを分け、クライアントの論理分割）

個人財務管理ソフトウェア/クライアントの場合、
- 複数のAuthorization Serverが必然的に必要。
- バーチャル・セパレーションを行う。
  Authorization Server毎に異なるRedirectエンドポイントを設ける。

↑

メッセージに関する各種の認証 †

UserAgent?（ブラウザなど）を介した通信は、UserAgent?がTLS終端になり、保護されない。
メッセージは変更される恐れがあり、また、メッセージは汚染チェックされずに使われることが多い。
このため、FAPIでは、メッセージに関する各種の認証を必要としている。

↑

メッセージの種類 †

認可リクエスト
- 送信者：Client
- 受信者：Authorization Server

認可レスポンス
- 送信者：Authorization Server
- 受信者：Client

アクセストークン・リクエスト
- 送信者：Client
- 受信者：Authorization Server

アクセストークン・レスポンス
- 送信者：Authorization Server
- 受信者：Client

↑

メッセージ自体の認証 †

各種リクエスト・レスポンスの各種パラメタが改ざんされないようにする必要がある。

↑

メッセージ送信者の認証 †

Redirectで中継する、メッセージの送信元の認証

↑

メッセージ受信者の認証 †

Redirectで中継する、メッセージの受信先の認証
特にスマホ端末では、以下に対する注意が必要になる。
- パブリック・クライアントによる「Accessトークン横取り攻撃」
- Private-Use URL Scheme上書きによる「認可コード横取り攻撃」

↑

ユーザーIDと認証の問題 †

利用者（Resource Owner）のIDの概念がない。
ユーザー認証は「範囲外」です。

↑

メッセージ機密性の問題 †

UserAgent?がTLS終端であるが、
アプリケーション層で暗号化されていないため、
UserAgent?上でメッセージを見ることができる。

MITB(Man in the Browser)のマルウェア攻撃は、
1. UserAgent?を監視し、
2. ログインが成功すると、
3. UserAgent?を乗っ取り、
4. 情報を改ざんする。

↑

トークンのフィッシング・リプレイ攻撃 †

エンドポイントが変更になったなどの偽メールを流す。

Authorization Server
- 認可リクエスト
- アクセストークン・リクエスト

Resource Server
- リソースのリクエスト

若しくは、不正発行されたTLS 証明書とDNS スプーフィングの組み合わせ。

↑

機能 †

↑

基準 †

↑

(a) Unique Source Identifier（ユニークなソース識別子 †

各種のソース識別子（IF）が一意（ユニーク）。

Resource Owner
Authorization Server
Resource Server

↑

(b) Protocol + version identifier（プロトコル + バージョン + msg識別子 †

プロトコル + バージョン + msg識別子などが明確に決められている。

↑

(c) Full list of actor/roles（人物/役割の完全なリスト †

↑

(d) Message Authentication（改ざんされていないメッセージ †

メッセージ自体の認証による、改ざんされていないメッセージの実現。

↑

AS-IS / TO-BE †

↑

AS-IS †

RFC6749は何をしているか？

#	Message	Parameters	(a) Unique Source Identifier （ユニークなソース識別子）	(b) Protocol + version identifier （プロトコル+バージョン識別子）	(c) Full list of actor/roles （人物/役割の完全なリスト）	(d) Message Authentication （改ざんされていないメッセージ）
1	Authorization Request	・response_type ・client_id ・redirect_uri ・scope ・state	Client ID is not globally unique. Tampering possible. （client_idはグローバルに一意ではありません。改ざん可能です。）	OK, but it is not integrity protected. （しかし、それは完全性保護されていません。）	No.	No.
2	Authorization Response	・code ・state ・other extension parameters	No source identifier （（レスポンス中に）ソース識別子なし。）		No.	No.
3	Token Request	・grant_type ・code ・redirect uri ・client_id/client_secret	Client ID is not globally unique. Tampering possible. （client_idはグローバルに一意ではありません。改ざん可能です。）	OK (as long as there is no OAuth 3.0) （OAuth 3.0が存在しない限り）	No.	OK.
4	Token Response	・access_token ・token_type ・expires_in ・refresh_token others	No source identifier （（レスポンス中に）ソース識別子なし。）	OK (as long as there is no OAuth 3.0) （OAuth 3.0が存在しない限り）	No.	OK.

RFC6749の認証への対応状況

#	メッセージ	メッセージ送信者の認証	メッセージ受信者の認証	メッセージ自体の認証
1	認可リクエスト	Indirect（間接）	None（なし）	None（なし）
2	認可レスポンス	None（なし）	None（なし）	None（なし）
3	アクセストークン・リクエスト	Weak（弱い）	Good（良い）	Good（良い）
4	アクセストークン・レスポンス	Good（良い）	Good（良い）	Good（良い）

↑

TO-BE †

OpenID Financial API (FAPI) WGによる対策

認証要求・応答の種類とセキュリティ・レベル

Part	セキュリティ・レベル	機能セット	適用
Part 2	高い	JWS Authz Req w / Hybrid Flow	認可リクエストの保護強化されたクライアント認証
Part 2		Hybrid Flow (秘密のクライアント) stateインジェクションの回避のために、‘s_hash’ を含む。	認可レスポンスの保護
Part 1		Code Flow (秘密のクライアント) + PKCE + MTLS	・code injectionへの対応・長期Bearer Tokenの排除
-		Code Flow (秘密のクライアント)	クライアント認証有り
-		Implicit Flow	クライアント認証無し
-	低い	Plain OAuth	Anonymous

トークンの種類とセキュリティ・レベル

Part	セキュリティ・レベル	トークンの種類	適用
Part 2	高い	記名式トークン (Sender Constrained Token)	発行を受けた者しかトークンが利用できない（＝飛行機のチケット）
Part 1	低い	持参人トークン (Bearer Token)	盗難されたトークンも利用できる（＝電車の切符）

OpenID Financial API (FAPI) WGによる対策の詳細と結果

整備された基準（Part 2）

#	Message	Parameters	(a) Unique Source Identifier （ユニークなソース識別子）	(b) Protocol + version identifier （プロトコル+バージョン識別子）	(c) Full list of actor/roles （人物/役割の完全なリスト）	(d) Message Authentication （改ざんされていないメッセージ）
1	Authorization Request	・response_type ・client_id ・redirect_uri ・scope ・state	Unique redirect_uri + client_id （ユニークなredirect_uriとclient_id）	OK (Unique Parameter List) （多分、決められていることを意味している）	(a) + state as the UA identifier / TBID as UA identifier	Signing by JWT Secured Authorization Request (JAR)
2	Authorization Response	・code ・state ・other extension parameters	Unique redirect_uri （ユニークなredirect_uri）	OK (Unique Parameter List) （多分、決められていることを意味している）	(a) + client_id + state as the UA identifier / TBID as UA identifier	Signing by ID Token + s_hash
3	Token Request	・grant_type ・code ・redirect_uri ・client_id/client_secret	Unique redirect_uri + client_id （ユニークなredirect_uriとclient_id）	OK (Unique Parameter List) （多分、決められていることを意味している）	(a) + state as the UA identifier / TBID as UA identifier	TLS Protected
4	Token Response	・access_token ・token_type ・expires_in ・refresh_token ・others	redirect_uri	OK (Unique Parameter List) （多分、決められていることを意味している）	(a) + client_id + state as the UA identifier / TBID as UA identifier	TLS Protected

メッセージの認証状況（Part 2）

#	メッセージ	送信者認証	受信者認証	メッセージ認証
1	認可リクエスト	Request Object	Request Object	Request object
2	認可レスポンス	Hybrid Flow	Hybrid Flow	Hybrid Flow
3	アクセストークン・リクエスト	Good	Good	Good
4	アクセストークン・レスポンス	Good	Good	Good

↑

仕様 †

↑

Part 1: Read Only API Security Profile †

Financial Services – Financial API - Part 1: Read-Only API Security Profile
http://openid.net/specs/openid-financial-api-part-1.html
FAPI Read Onlyセキュリティ・プロファイル

↑

要約 †

安全なフローを使用する。

フロー

通信
- SSL/TLS
- client_id + redirect_uri（完全一致）

認証
- ユーザ：LoA 2
- クライアント：
  追加のクライアント認証の実装が必要。
  - JWT Client Assertion
  - Mutual TLS

トークン種類：Bearer Token

↑

詳細 †

IDトークン署名の鍵のエントロピーがアルゴリズム毎に規定されている。

access_token発行
- エントロピーは 128 ビット以上
- ともに、付与されたscopeの情報を返す。

↑

原文読んで書く †

↑

Part 2: Read and Write API Security Profile †

Financial Services – Financial API - Part 2: Read and Write API Security Profile
http://openid.net/specs/openid-financial-api-part-2.html
FAPI Read and Writeセキュリティ・プロファイル

↑

要約 †

送信者・受信者・メッセージ認証を強化

フロー
OpenID ConnectのHybrid Flow
- response_type
  - code id_token
  - code id_token token
- IDトークン
  - クレーム追加（at_hash、c_hash）
  - JWS署名（PS256, ES256）＋暗号化

通信
- SSL/TLS
- client_id + redirect_uri（完全一致）

認証：LoA 3
トークン種類：記名式トークン

↑

詳細 †

JWT Secured Authorization Request (JAR)のサポート（必須ではない）

トークン所有者とトークンの紐付け
- confidential クライアント
  - Mutual TLS
  - OAuth 2.0 Token Binding
- public クライアント
  - OAuth 2.0 Token Binding必須

↑

原文読んで書く †

↑

Part X: Client Initiated Backchannel Authentication Profile †

↑

要約 †

UK OBIE（Open Banking Implementation Entity）からの寄付待ち。

↑

要約 †

銀行口座
- などを参考に作成
  - US FS-ISAC DDA
  - OpenBank? Project
  - Figo
- UK OBIEからの寄付待ち。

証券口座
現在NRIで試案作成中

↑

詳細 †

↑

原文読んで書く †

↑

Part 5: Protected Data API and Schema - Read and Write †

↑

要約 †

同上
Scopeではなく、Claims Requestを使うことで、より詳細・柔軟な認可を取得。

↑

詳細 †

↑

原文読んで書く †

↑

参考 †

↑

OpenID †

OpenID Foundation website
http://openid.net

↑

OpenID Financial API (FAPI) WG †

NRI、Microsoft、Intuitが中心となり組織されたWG。

Financial API (FAPI) WG | OpenID
http://openid.net/wg/fapi/

Financial API | OpenID
http://openid.net/tag/financial-api/

openid / fapi — Bitbucket
https://bitbucket.org/openid/fapi/

↑

nat †

slideshare
https://www.slideshare.net/nat_sakimura/presentations

OpenID Foundation Foundation Financial API (FAPI) WG
https://www.slideshare.net/nat_sakimura/openid-foundation-foundation-financial-api-fapi-wg-63097855

Financial Grade OAuth & OpenID Connect
https://www.slideshare.net/nat_sakimura/financial-grade-oauth-openid-connect

API Days 2016 Day 1: OpenID Financial API WG
https://www.slideshare.net/nat_sakimura/api-days-2016-day-1-openid-financial-api-wg

OpenID Foundation FAPI WG: June 2017 Update
https://www.slideshare.net/nat_sakimura/openid-foundation-fapi-wg-june-2017-update

金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG
https://www.slideshare.net/nat_sakimura/api-openid-financial-api-fapi-wg

Introduction to the FAPI Read & Write OAuth Profile
https://www.slideshare.net/nat_sakimura/introduction-to-the-fapi-read-write-oauth-profile

金融APIに求められるセキュリティ～APIDays Paris講演より
2017年2月号｜金融ITフォーカス｜刊行物｜NRI Financial Solutions
http://fis.nri.co.jp/ja-JP/publication/kinyu_itf/backnumber/2017/02/201702_8.html

↑

その他 †

Financial API 実装の技術課題 - Qiita
https://qiita.com/TakahikoKawasaki/items/48a9d22205f77db59726

OpenID BizDay? で金融 API の動向について聞いてきた - TMD45'β'LOG!!!
http://blog.tmd45.jp/entry/2017/08/02/011504

FAPI Security について聞いてきた話（2017/08/18 社内勉強会）
https://www.slideshare.net/tmd45/fapi-security-20170818

↑

OpenID Certification | OpenID †

http://openid.net/certification/

仕様が正しく実装されているかどうか確認できる。

オンライン提供されているテスト・スイートを使う。

結果をSelf Certify して登録・公開
→ FTC法５条の配下に入る。これによって信頼性を担保。

ログも公開されるので、虚偽の申告は、他者が指摘可能。

現在はOP Certification, RP Certificationが正式提供中。

FAPIにおいても、同様のスキームでテスト可能にする予定。

Tags: :認証基盤, :クレームベース認証, :OAuth

目次 †

概要 †

目的 †

勧告を提供する。 †

以下を可能にする。 †

背景 †

金融向けセキュリティ・プロファイルが必要 †

金融のIdentity Federation APIの使用例 †

様々な団体からの後押し †

考慮事項 †

1 Client・1 Authorization Server †

メッセージに関する各種の認証 †

メッセージの種類 †

メッセージ自体の認証 †

メッセージ送信者の認証 †

メッセージ受信者の認証 †

ユーザーIDと認証の問題 †

メッセージ機密性の問題 †

トークンのフィッシング・リプレイ攻撃 †

機能 †

基準 †

(a) Unique Source Identifier（ユニークなソース識別子 †

(b) Protocol + version identifier（プロトコル + バージョン + msg識別子 †

(c) Full list of actor/roles（人物/役割の完全なリスト †

(d) Message Authentication（改ざんされていないメッセージ †

AS-IS / TO-BE †

AS-IS †

TO-BE †

仕様 †

Part 1: Read Only API Security Profile †

要約 †

詳細 †

原文読んで書く †

Part 2: Read and Write API Security Profile †

要約 †

詳細 †

原文読んで書く †

Part X: Client Initiated Backchannel Authentication Profile †

要約 †

詳細 †

原文読んで書く †

Part 3: Open Data API †

要約 †

詳細 †

原文読んで書く †

Part 4: Protected Data API and Schema - Read only †

要約 †

詳細 †

原文読んで書く †

Part 5: Protected Data API and Schema - Read and Write †

要約 †

詳細 †

原文読んで書く †

関連仕様 †

クライアント認証 †

Mutual TLS? †

OAuth 2.0 Token Binding †

メッセージ認証 †

JWT Secured Authorization Request (JAR) †

ユーザ認証 †

LoA 認定プログラム †

参考 †

OpenID †

OpenID Financial API (FAPI) WG †

nat †

その他 †

OpenID Certification | OpenID †