OneSpan Blog

PSD2でのOpen Banking API:リスクを軽減する方法

不正リスク分析
Frederik Mennes, 2018年5月14日

近年、オープンバンキングは金融サービス業界で大きな注目を集めています。オープンバンキングとは、銀行がシステムを公認のサードパーティの金融サービスプロバイダーに開放することを意味します。これにより、これらの企業は銀行の顧客の要求に応じて支払いや金融取引を開始および処理できます。

オープンバンキングは、イノベーションを解き放ち、バンキングエクスペリエンスを大幅に改善し、新しい金融サービスを導入することを約束します。たとえば、サードパーティプロバイダー(TPP)は、消費者が単一のアプリケーションから複数の銀行口座を参照できるようにするアプリケーション、または企業が会計士とデータを共有しやすくするアプリケーションを提供できます。

PSD2では、銀行はTPPが銀行と通信できるようにするインターフェイスを提供する必要があります。このようにして、消費者が銀行以外の金融サービスプロバイダーを使用したい場合、これらのプロバイダーは銀行のシステムにアクセスし、オープンな通信インターフェイスを介して銀行の顧客にサービスを提供できます。

これにはリスクがないわけではありません。によるマッキンゼー&カンパニー 「ほとんどの銀行は、PSD2の下でセキュリティが問題になることを期待していないと報告しています。ただし、詐欺対策に投資する必要があることも認識しています。銀行は詐欺のリスクを軽減する責任があり、高度な分析(APIへのインバウンドコールの発信元を検証するなど)や詐欺攻撃を検出する強力なツールなどの高度な制御を実装する必要があります。[McKinsey Global Payments Practice PSD2 Survey 2017]の調査回答者は、第三者によるアカウントへのアクセスから生じる詐欺のリスクは深刻な懸念事項であり、詐欺防止最優先事項です。

銀行へのリスク

オープンAPIの導入により、銀行はこれらのAPIを使用するTPPのセキュリティに依存するようになります。考えられる脅威のシナリオは次のとおりです。

  • TPPでのデータ侵害により銀行の顧客がさらされる
    • TPPは消費者の財務データを保存します。TPPに違反すると、銀行の顧客データが公開され、銀行の評判に影響を与える可能性があります。ヨーロッパの観点から一般的なデータ保護規則 (GDPR)、銀行は、TPPが顧客データを保護するための適切な技術的および組織的対策を確実に実施する必要があります。
  • 侵害されたTPPからの不正なリクエスト
    • TPPがハッキングされた場合、銀行の顧客に関する情報を求める不正なリクエスト、またはTPPから銀行への不正な支払いリクエストが発生する可能性があります。このようなインシデントは、TPPのモバイルアプリまたはWebアプリケーションの脆弱性を通じて発生する可能性があります。銀行はユーザーの銀行口座からの不正な金融取引の責任を負う最初の当事者であるため、TPPでのセキュリティ違反は銀行に深刻な結果をもたらす可能性があります。
  • TPP従業員からの不正なリクエスト
    • TPPに不満を抱いている従業員は、銀行の顧客に関する情報を不正に要求したり、不正な支払いを開始したりする可能性があります。
Missing メディアアイテム.

銀行は、これらの脅威やその他の脅威に対処するために、いくつかの技術的および組織的なセキュリティ対策を採用する必要があります。オープンバンキングのコンテキストでは、銀行は複数の方法でリスクを軽減できます。

1。使用する取引リスク分析
銀行はトランザクションリスク分析を使用して、次のことを実行できます。

  • 不正なトランザクションとユーザーの行動を検出します。PSD2規制技術基準(RTS)は、銀行を含む決済サービスプロバイダー(PSP)が処理するすべての金融取引のリスク分析を行うことを義務付けています。このようにして、PSPはカードを提示しない詐欺などの支払い詐欺を検出できます。
  • TPPでセキュリティインシデントを検出します。 トランザクションリスク分析を使用して、TPPから発生した要求の異常な動作を検出し、TPPからの疑わしいトランザクションを識別し、API呼び出しの異常なシーケンスを検出し、これらすべてをリアルタイムで検出できます。
  • API実装の脆弱性を検出します。 APIの実装の弱点は、不正なトランザクションや異常なユーザー動作を引き起こす可能性があり、高度な不正監視を使用して検出できます。

2。適切な認証モデルを選択する
強力な顧客認証それが重要かどうか二要素認証多要素認証生体認証 、またはその他。しかしながら、異なる認証モデルにはそれぞれ独自の特性とセキュリティ上の意味があります。銀行については、通常、銀行自体または外部のセキュリティプロバイダーを使用して認証プロセスを配置するモデルを使用するのが最適です。これは、銀行がTPP経由ではなく、ユーザーと直接通信し続けることを意味します。そうすることで、認証イベントの証拠を含む、取引リスク分析のために銀行がより多くの情報を利用できるようになります。これは、不正取引の責任に関する紛争の処理に関連しています。

3。TPPで通信チャネルを保護する
  

  
   

  •  
  •  
  •  
  •  
  •  
  •  

 

  
   

 

    

PSD2に準拠したオープンバンキングAPI:セキュリティの脅威とソリューション

 

API GDPR オープンバンキング PSD2(欧州決済サービス指令第2版)
Frederik Mennes
Frederik Mennes

Frederikは、OneSpanのセキュリティコンピテンスセンターを率い、OneSpanの製品とインフラストラクチャのセキュリティ面を担当しています。 彼は、クラウドおよびモバイルアプリケーションの認証、ID管理、規制、およびセキュリティテクノロジーに関する深い知識を持っています。

このページの一番上へ