API meetup 21に参加してきました

はじめに

久々にAPI meetup 21に参加してきました。今回は金融スペシャルということです。資料は後日公開してくれるそうなので、そちらを見た方が良いかも。

1. 金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG (19:05〜19:50)

OpenID Foundation Japan 理事、OpenID Foundation Financial API WG Chair
NRI
崎村夏彦(@_nat)さん

EU における決済サービス指令II (PSD2) の動きに合わせて、UK の Open Banking、ドイツの Berlin Group など、EU 諸国では金融 API の標準化の動きが活発化しています。日本でも5月に銀行法等の一部を改正する法律が成立し、国内の銀行は API 公開の努力義務を追うこととなりました。すでに国内の一部銀行では API 公開を開始されています。こういった銀行 API の流れに合わせ、OpenID Foundation でも Financial API (FAPI) WG を立ち上げ、金融 API に求められるセキュリティレベルを達成するための OAuth 2.0 および OpenID Connect のセキュリティプロファイルを皮切りとして、各種金融 API 関連の仕様策定が進んでいます。FAPI WG で策定された仕様群はすでに UK Open Banking での採用も決まっており、世界の金融 API における OAuth 2.0 & OpenID Connect の FAPI セキュリティプロファイルの採用は決定的となっています。本セッションでは、FAPI WGが設立された背景、FAPI WG で策定されている OAuth 2.0 & OpenID Connect のセキュリティプロファイルの概要、各国の金融API標準との関係などについてお話しいただきます。

※30分ほど遅刻したのでそこは割愛

OpenID Foundation
誰でも無料で参加できる。世界中の企業が参加。週1で会議。メーリスもあるけどあまり活発ではない。基本的にはGithubで議論。

※Oauth2.0の細かい認証/認可の話、セキュアな仕様/実装方法について、なのだけど詳細には入らない説明。
※自分なりに要約すると「みんなで仕様を詰めている、実装してバグ出しや弱みを探ってる、まだまだ先は長そう」

Oauth2.0の認可フローに1つ追加(5つ目)されるらしい。金融系の認証認可なので通常よりもセキュアらしい。
※名称はOauth2.5とかにしてほしいところだが、Oauth2.0の一環とのこと。

ヘルスケアや入国管理(パスポート)周りでもFAPIは使われるかもしれない(し使われないかもしれない、それぞれ独立にWGあるから)

2. 事例で理解する。レガシーモダナイゼーションを下支えするAPI (20:00〜20:45)

NTTデータ 第三金融事業本部
シニアスペシャリスト
正野勇嗣(@kounan13)さん

今回のテーマはレガシーモダナイゼーションとAPIです。
レガシーモダナイゼーションは旧来のシステムを安全・確実に更改するための手段・考え方として注目されています。
一方で、デジタルと表現されAI/IoT/SMACSといったキーワードが世の中を賑わしています。
いわゆるSoRとSoEの関係で表現される両者を、シームレスにつなぐAPIが重要性を増してきています。
金融機関の事例などを交え、昨今のトレンドを説明します。

レガモダ?
昔ながらのメインフレームから最近の流行りのAPIへ。

基幹系の話。
三菱東京UFJ銀行が全システムをクラウド(AWS)へ←業界騒然
Fintechの台頭。マネーフォワードなど。

API公開の流れは基幹系でも進む。
※基幹系はWebでいうところの負の遺産が蓄積しすぎてどうにもならない。コストも莫大で関わる人数もとんでもない。いつか破綻しそう。とてもセンシティブな部分だから完全リプレースやリファクタリングは難しいのかもしれないが、やったところがとても強い企業になる気がする。少なくとも保守とかの金が激減し、その分を運用に回して利益拡大とか。
塩漬けする部分と手をいれてAPI化する部分とをうまく調整するのがポイントかも。

※金融系SIerならアルアルなのかもしれない。

おわりに

金融系の現状がよくわかる会でした。細かすぎて書くのがめんどくさいくらいでした笑 「ミスしたら直せば良い」という分野じゃないので、とても辛そう。おお、こわい。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です