Fintechプラットフォーム(FPoS)の実証実験ですが、順調に進んでいることをご報告させていただきます。
インターネットバンキングのセキュリティの脆弱性に加え、Fintech企業が提供するサービスのセキュリティの脆弱性、さらには銀行法改正により銀行がAPIを公開するため、さらなるセキュリティ強化が求められています。FPoSはこのようなニーズに対応するために設計開発されたプラットフォームです。
今回の実証実験では、特に中間者攻撃(MITM)と乗っ取り(high jack)対策を中心に様々なセキュリティ問題を克服するプラットフォームとしてのセキュリティ面の検証に加え、以下の3点の検証を目的としています。
1)利用者の利便性
一般にセキュリティを高めようとすると利用者に複雑な操作を要求し、利便性が落ちる傾向にあります。FPoSはセキュリティを高めつつ、一方で利用者の利便性として使いやすいプラットフォームとして開発しました。この点を、実際に被験者として参加していただく利用者に使っていただき、その結果としての利便性の高さを実証することにあります。
2)銀行の導入の容易性
セキュリティが高く、かつ利便性が高いプラットフォームでも、銀行のシステムに組み込むのに負担が大きければ普及はしません。FPoSは、銀行が APIを公開し、同時に認証連携機能を公開するという流れに沿い、この2つの機能をフルに活用したプラットフォームとして設計しています。これにより、FPoSを各銀行が導入する際に、如何に導入が容易かを検証します。
今回の実証実験は3つの銀行と共同で取り組んでいますが、3つの銀行それぞれの勘定系システムのベンダー(IBM、富士通、日立という意味でのベンダー)が異なるため、どのベンダーの勘定系システムでも導入が容易であることを検証可能にしています。
3)Fintech企業にとっての導入の容易性
金融庁のFintech実証実験ハブは、多くのFintech企業が新たなサービスを生み出していくことを期待しています。今回の実証実験は、3つの銀行に加え、Fintech企業のリーダーであるMoney Forwardも共同で取り組んでいます。FPoSをFintech企業にとって導入がしやすいことを検証します。
6月15日に政府から公表された数値を見ると、全邦銀139行のうち130行がAPIの公開をコミットしており、内122行は2020年6月までに完了する予定になっています。多くの業界関係者は、 API公開が普及するのは時間がかかるだろうと予想していたため、良い意味でのサプライズとして上記数値は受け止められました。
しかし、銀行は、APIの接続先であるFintech企業に対して、利用者とFintech企業、及びFintech企業と銀行との間のセキュリティに関する責任を持たなければならないと規定されています。では銀行はどのような仕組みをとっていればセキュリティに合格点を出せるのか、自ら判断することはきわめて難しい立場に置かれています。
現在すすめている実証実験でFPoSが有効であることが実証できれば、初めから金融庁の支援のもと、つまりご指導のもと進めている実証実験であるため、実質的にはお墨付きを得られるという効果があります。具体的には、銀行に対する監督指針に結果を反映していただく形になります。
以上の点を検証するためには、実際にプラットフォームとして機能しなければどうにもならないのですが、FPoSの設計に携わっている方々、そしてそれを技術的に実現しているエンジニアの方々のハードワークのお陰で、順調にスタートしています。
公開鍵基盤による電子証明書を使うことが特徴であるプラットフォームなので、例えば秘密鍵と公開鍵の鍵ペアを生成する必要がありますが、これをサブSIM内で生成しています。サーバ等で生成してから秘密鍵をICカードに埋め込む方式だと、埋め込み時やサーバ側をハッキングされるというリスクが生じるからです。なので、サブSIM内の演算能力を使って鍵ペアを生成しています。しかもICカードであるサブSIMは、その中から情報を盗もうとすれば自滅する仕組みになっているため、秘密鍵を盗むことは不可能です。秘密鍵はサブSIM内で生まれ、そこに一生止まり、サブSIM内で消去される仕組みになっています。こういうことを実際に動作するようにすることで、電子証明書を使った銀行システムへのアクセス認証を検証しています。
また、例えば銀行振込を行う場合には、振込依頼文を電子署名して銀行に送る仕組みになっていますが、電子署名の作業はサブSIM内の演算能力を使って行なっています。スマホ上のアプリで行う仕組みの場合、乗っ取り(high jack)でハッカーに利用されてしまうからです。
「スマホで安全・安心な金融取引」を実現するFPoSですが、多くの処理をサブSIM内で行うという、それなりに高度な技術開発を行なって実現しているのです。
実証実験が順調に進んでいるため、ちょっと一息というのが開発陣です。
もっとも、商用化に向けた事業開発チームは多忙を極めており、現に私も国内出張の新幹線の中でこのブログを書きました。
FPoSの応用分野について書くと前回お伝えしていますが、携帯4割値下げの話題を書き、また実証実験のことを今日は書いたので、次回こそは応用分野のことを書くことにします。