SBIデジトラスト、金融機関向け認証認可基盤サービスの認可システムにAuthleteを採用

　当社（本社:東京都港区、代表取締役社長:バスケス・カオ・フェルナンド・ルイス）は、現在当社が提供している金融機関向け認証認可基盤サービス「Trust Idiom(R)（トラストイディオム）」の認可システムとして、株式会社Authlete（本社:東京都千代田区、代表取締役社長:川崎貴彦、以下「Authlete社」）が提供する「Authlete（オースリート）」を採用したことをお知らせいたします。

　Authlete社は2015年に設立された気鋭の認可サービス提供企業であり、これまでも金融系から教育系まで幅広い業態に自社製品Authleteを提供してきました。また、オープンAPIに欠かせない標準規格であるOAuth 2.0/OpenID Connect（OIDC）関連仕様の策定にも貢献しています。

　当社が提供するTrust Idiom(R)は、昨今、課題となっている銀行口座とペイメントサービスとの連携における、不正利用防止を目的とした本人確認済みIDを発行する認証認可基盤サービスです。

　ここにAuthleteを採用することで、Trust Idiom(R)はOAuth/OIDCへの対応はもちろん、最新のAPIセキュリティのオープン標準である「FAPI（Financial-grade API）(※1)」や、認証デバイスの分離による二要素認証仕様「CIBA（Client Initiated Backchannel Authentication）(※2)」に、短期間で対応することが可能となりました。

※1 FAPI（Financial-grade API）
　OAuth/OIDC を拡張し、APIアクセスに必要な情報（アクセストークン）の不正取得・利用を防止するためのしくみなどを定めた仕様です。金融業界などの高度なセキュリティが求められる分野での適用が想定されています。銀行のオープンAPI化において、口座情報・取引履歴の参照や、送金・決済など、Fintech事業者をはじめとするサードパーティーを介した金融サービスの提供のセキュリティ向上に有用です。

※2 CIBA（Client Initiated Backchannel Authentication）
　OAuth/OIDCを拡張した、新しいユーザー認証・認可フローに関する仕様です。API連携フローを開始するデバイスと、実際にユーザーが認証・認可するデバイスとを分離することにより、スマート家電との連携や、コールセンターでの操作、スマートフォンを用いたユーザー認証など、広範なユースケースに対応できるようになります。金融サービス分野では、オフラインサービスへの組み込みや、取引認証の高度化など、オープンAPIの利用シーン拡大に役立つと期待されています。

　今後も、当社はAuthlete社と共に金融機関の皆様のサポーターとして「グローバル金融市場とのセキュリティレベル均質化」という奔流にも適応可能な体制づくりを強力に後ろ支えする様々なソリューションを市場に発信、提供していくことをミッションに掲げてまいります。

◆Trust Idiomの開発背景

　国際金融市場を取り巻くセキュリティ強化の潮流に加えて、2017年にはわが国でも改正銀行法が制定され、銀行にはOpenAPIに係る体制整備の努力義務が課されることになりました。これにより、今後、銀行では複数年度に跨る多大な開発コストの支出や、インターネットセキュリティ全般に対する高度な人的リソースの永続的確保など、本来の金融機関業務の枠組み以外での大幅なコスト増を招くと考えられます。