ビデオ

オープンバンキングの世界におけるセキュリティとコンプライアンス

フレデリクメンネスは、規制と市場主導型のオープンバンキングの取り組みについてFinextra TVと話します 

Ícone de vídeo
このリソースは英語でのみ利用可能です

世界中の金融機関は、市場主導および規制主導のオープンバンキングイニシアチブに対応しています。このビデオでは、OneSpanの製品セキュリティ担当ディレクターであるFrederik Mennesが、英国、米国、ヨーロッパ、オーストラリア、アジア太平洋のオープンバンキングについて説明し、金融機関がサードパーティプロバイダーとやり取りする際に知っておくべきセキュリティリスクについて説明します。(TPP)。FIがこれらのリスクにどのように対処できるか、およびオープンバンキングがネオバンクにもたらす課題と機会について学びます。

インタビュー全体を見るか、以下の筆記録を読んでください。 

ハンナウォレス: こんにちは、Finextra TVへようこそ。ハンナ・ウォレスです。そして今日、私たちはオープンバンキングの世界におけるセキュリティとコンプライアンスについて話すためにOneSpanに招待されました。現在、私は製品セキュリティのディレクターであるフレデリク・メンネスです。こんにちは、フレデリク。ご参加ありがとうございます。

フレデリク・メンネス: こんにちは、ハンナ。どうもありがとうございました。

ハンナ: オープンバンキングの取り組みが世界中で展開しているのを見てきました。現在開かれているオープンバンキングの取り組みのいくつかを強調できますか?

フレデリク: ご指摘のとおり、世界中でオープンバンキングのイニシアチブが数多く現れています。彼らはさまざまな点で異なります。しかし、大まかに言えば、オープンバンキングイニシアチブは、市場主導イニシアチブと規制主導イニシアチブの2つのカテゴリーに分類できます。

市場主導のオープンバンキングイニシアチブは、オープンバンキングイニシアチブであり、政策立案者、金融規制当局は、オープンバンキングを開始するイニシアチブを取るために、市場参加者(特に金融機関やサードパーティプロバイダー)に任せます。これが起こっている国の良い例はアメリカです。

少し前に、米国財務省は実際に米国の規制アプローチに関する勧告を出しました。しかし、米国の金融システムは非常に細分化されており、多くの場合は州ベースであり、また、この種のオープンバンキング規制の結果である可能性があるレッドテープに対する文化的嫌悪のため、この推奨事項は実装されませんでした。しかし、これは米国で何も起こっていないという意味ではありません。実際、反対に、米国の主要銀行の多くは独自のオープンバンキングイニシアチブを開始しており、たとえばFacebookなどのサードパーティプロバイダーと協力して、顧客の獲得、追加顧客の獲得、維持を確実にしています。彼らの既存の顧客。

米国以外にも、特にアジア太平洋地域には市場主導のアプローチが見られる国もあります。これは、例えば、日本、シンガポール、インド、韓国の場合です。たとえば日本では、規制当局は銀行にイニシアチブをとるよう義務付けていませんが、それでも日本の銀行は2020年に少なくとも1つの第三者プロバイダーと協力することを約束しています。そして、日本の銀行は今年、本当にそうすることを約束しています。

したがって、市場主導のアプローチは世界に存在します。それは、市場参加者が主導権を握ることを意味し、それは確かに非常に実り多いものになる可能性があります。

ハンナ: そして、規制主導の取り組みについてはどうですか?

フレデリク: 市場主導のアプローチに加えて、オープンバンキングに対する規制主導のアプローチもあります。これらの規制主導のアプローチは、英国で非常に人気があり、これまでヨーロッパ大陸でも人気があります。欧州大陸におけるヨーロッパのオープンバンキングイニシアチブは、主に、欧州委員会によって発行され、2018年1月から適用される改訂された決済サービス指令またはPSD2によって推進されてきました。

たとえば香港など、規制主導のアプローチに従う他の地域や国もあります。ヨーロッパのアプローチと同様のアプローチが採用されていますが、重要な違いは、金融機関が実際に連携するTPPを選択できることです。ヨーロッパから。

しかし、最後に、オーストラリアのオープンバンキングアプローチを強調したいと思います。これは、これまでに見たオープンバンキングに対する最も野心的で革新的なアプローチだと思います。オーストラリアは実際にオープンバンキングを超えてオープンデータエコノミーを提案しています。オーストラリアの市民は、金融機関にデータをサードパーティプロバイダーだけでなく、エネルギープロバイダー、電気通信会社などの他の企業と共有するよう要求することができます。

ハンナ: それは面白い。オーストラリアはオープンバンキングでその先を進んでいると思いますか?

フレデリク: そうだと思います。彼らのアプローチは非常に興味深く、非常に野心的だと思います。そして、時間の経過とともに、世界の他の地域でも同様のアプローチが見られると信じています。

ハンナ: オープンバンキングが伴うリスクのいくつかについても話し合うべきだと思います。金融機関が知っておく必要がある最も重要なセキュリティ上のリスクは何だと思いますか?

フレデリク: オープンバンキングは、金融機関とフィンテック企業などのサードパーティプロバイダーの両方に非常に異なるセキュリティリスクをもたらします。これらの企業がオープンバンキング体制に参加し始めたら、できるだけ早くセキュリティリスクに対処することが非常に重要です。私が目にするセキュリティリスクには主に3つのタイプがあります。

まず、オープンバンキングとは、金融機関がITシステムを開放し、サードパーティのプロバイダーであるTPPとデータを共有することを意味します。現在、ライセンスを受け、認可され、信頼できる第三者プロバイダーのみが金融機関から金融データを取得できることが非常に重要です。不正な、おそらく悪意のあるTPPが銀行から財務データを取得できる場合、これは金融データの機密性と整合性に多大な影響を与え、最終的には金融機関の評判にも悪影響を及ぼす可能性があります。

第二に、私が目にする2番目のリスクは、決済サービスユーザーの認証に関連しているため、TPPによって提供されるアプリケーションのユーザーです。したがって、金融機関が保有する銀行口座にアクセスしようとするときに、これらのユーザーが適切に認証されることが非常に重要です。ここで、TPPアプリケーションのユーザーが、おそらく他の誰かの制御下にある銀行口座への不正アクセスを取得できる状況を見たくありません。

最後に触れておきたいのは、TPPがITインフラストラクチャのセキュリティパラメータの一部を構成していることを金融機関が認識しなければならないということです。したがって、ある意味で、銀行のITインフラストラクチャには、さまざまなサードパーティプロバイダーのITインフラストラクチャが含まれることになります。したがって、TPPが侵害されると、銀行にも悪影響を与える可能性があります。

ハンナ: それでそれは複雑なことだと思いますか?

フレデリク: はい、それは確かに金融機関のリスク態度を増加させており、彼らはこれを認識して対処する必要があります。

ハンナ: あなたはそこでリスクを強調したので、私の次の質問は、当然、金融機関がこれらのオープンバンキングのセキュリティリスクにどのように対処できるかです。

フレデリク: 幸い、これらのリスクに対処する方法はたくさんあります。最初のリスクは、TPPによる金融機関のオープンバンキングインターフェースへの不正アクセスに関するものでした。これは、TPPがオープンバンキングインターフェイスに送信するすべてのリクエストにデジタル署名することを要求することにより、特定のオープンバンキング体制の下で対処されます。これは、TPPがオープンバンキングインターフェイスと通信するときに自分自身を認証するために、信頼できる認証局によって発行された対応する証明書を持つ公開秘密キーパスを持つことを意味します。

私が述べた2番目のリスクは、TPPアプリケーションのユーザーの認証に関するものでした。さまざまなオープンバンキング体制でこのリスクに対処するためのさまざまなアプローチがあります。しかし、改訂されたペイメントサービスディレクティブに基づくヨーロッパのアプローチを見ると、金融機関はTPPアプリケーションのユーザーが自分の銀行口座にアクセスしたいときに、そのユーザーを認証する必要があります。PSD2は、この認証の実行方法に多くの注意を払っているため、2要素認証を義務付け、動的リンクに基づくトランザクション認証を義務付けます。また、不正なアクセス試行を特定するためにトランザクションリスク分析を実行する必要があります。不正取引。

そして最後に、3番目のリスクは、金融機関にも影響を与える可能性のあるデータ侵害のようなTPPで発生したインシデントに関するものでした。また、PSD2はTPPのインフラストラクチャのセキュリティに多くの注意を払っています。したがって、これらの要件はセキュリティポリシーの作成に関するものであり、適切なネットワークセキュリティ制御、侵入テストを実行して脆弱性を予防的に検出することなどについて話します。

ハンナ: まあ、あなたは確かにリスクとそれらに本当によく対処する方法を説明しました。私があなたに話したい最後のことはネオバンクとそれらにとってオープンバンキングが何を意味するかです。

フレデリク: ネオバンクは、既存の銀行と比較して、デジタルのみのアプローチをとる新しいタイプの銀行です。彼らは通常、金融機関とのデジタル相互作用を好む傾向がある若い世代のミレニアル世代に焦点を当てています。オープンバンキングは、ネオバンクにとっても、従来の既存の銀行にとっても同様に重要です。ネオバンクは、既存の銀行と同じオープンバンキング制度の影響を受けますが、デジタルサービスへの選好を考えると、オープンバンクの時代には、おそらくいくつかの既存の銀行よりも早く活動するようになると思います。

ハンナ: 他のすべてのものと同様に、それは間違いなく見るべき空間です。しかし、今のところ、フレデリクはあなたの洞察を共有してくれて本当にありがとう。それは喜びでした。

フレデリク :ありがとう、ハンナ。

 PSD2でのOpen Banking API:セキュリティの脅威とソリューション
白書

PSD2でのOpen Banking API:セキュリティの脅威とソリューション

このペーパーをダウンロードして、PSD2でのOpen Banking APIのセキュリティの脅威とソリューションの概要をご覧ください。

今すぐダウンロード