月8日向け api連携プラットフォームサービス

1 © NEC Corporation 2017 Confidential

顔認証を活用した金融機関様向けNEC API連携プラットフォームサービスと沖縄銀行様との取組みについて

2017年 12月 8日

日本電気株式会社

金融デジタルイノベーション技術開発室

主幹青柳亨

FIDO Alliance Tokyo セミナー


オープンAPIのご紹介

１


1.1 オープンAPIをめぐる制度動向

導入目標「3年以内に80行程度以上」

「公共データのオープン化」

「行政手続きの簡素化・IT化」

金融機関に「オープン・イノベーションを促進するためのAPI導入の努力義務を」

FinTech企業等の電子決済等代行業者に

「適切な利用者保護体制の整備を」

APIエコシステム「金融分野に限らず様々な事業者間で価値ある情報が相互にやり取りされる生態系を」

金融庁 2年連続で銀行法改正案を提出（2017年3月）

内閣府『未来投資戦略2017』のオープンAPIの導入目標と、行政の民間バックアップ

全国銀行協会「オープンAPIのあり方に関する検討会報告書」より


公共、公営企業API（自治体、病院、電力等）

■オープンイノベーションの成果を早期に容易に取り込める仕掛け／スキームの実現を目指します。

■オープンAPI連携により、いつでもどこでも安心して多様な取引を実現する基盤を提供します。

■銀行の独自性（業界/地域特性、経営指向）を確保しつつ、共同化を志向することでローコストオペレーション

を実現します。

1.2 NECオープンAPI連携プラットフォーム/ソリューションの全体像

民間企業API（流通・サービス、交通等）

共通API機能

決済

セキュアAPIゲートウェイ

決済・送金brees/Applepay/Linepay/Paypal etc.

家計簿・資産運用MoneyForward/WealthNAVI etc.

共同店舗・インストア

開発基盤

Fintechベンチャー企業

地域サービス(金融・他業種連携)

統合認証基盤

送金家計運用

API

Ａ銀行

大量/高頻度/多種データ処理

安全なセキュリティの確保

各種Fintechベンチャーの発掘・連携

金融機関固有サービス構築用部品群

お客様への利便性提供

柔軟で強固な基盤

小売ﾜﾝｽﾄｯﾌﾟｻｰﾋﾞｽ

AIIoT

TL※

生体認証

電子マネーポイント

API

B銀行共通化 API

C銀行共通化

クラウド環境

１

２３

４

連携インターフェースの共通化５

※：トランザクションレンディング


1.3 オープンAPI対応ソリューションの特徴

オープンAPI基盤から効果的・効率的なAPIエコノミー形成支援までトータルなソリューションをご提供

・国内外の大手キャリア様ミッションクリティカルシステムでのご利用実績実績のあるAPIゲートウェイ

・全銀協ガイドラインのベースライン（Oauth2.0対応等）準拠および、

先進の新認証規格FIDO生体認証に対応統合認証基盤

・GUIによる公開APIの高速開発および、FIDO生体認証を活用したモバイルアプリの高速開発ツールをご提供

APIｻｰﾋﾞｽ/ﾓﾊﾞｲﾙｱﾌﾟﾘの超高速開発基盤

・パブリッククラウドの活用（現状AWS、順次拡張）とあわせ、金融機関様が独自に開発したモバイルアプリやAPI機能の相互利用スキームの確立

・具体的には、トランザクションレンディングや電子マネー、ポイント、プロモーション等、共通的にご利用可能なAPI機能を標準実装しご提供

共通API機能の提供/流通

・FinTechベンチャーや他業種とのAPI連携に伴う契約やシステム監査、継続的なセキュリティ適格性モニタリング等の雛形作り、交渉の共同化を推進

・FinTechベンチャーとの連携インターフェース（特に業務電文）やセキュリティ対策、不正検知・監視機能の共通化、共同化を推進

連携インターフェースの共通化、共同化

実績のある安心・安全な

オープンＡＰＩ基盤の

ソリューション群を提供

オープンＡＰＩの効率的な利

活用のための銀行間および他

業種連携スキームの確立

１

2

3

4

5


1.4 セキュアAPIゲートウェイが提供するセキュリティ機能

APIゲートウェイ製品に全銀協で検討しているオープンAPI及びOIDF FinancialAPIでのセキュリティ要件を組込み。NEC独自のセキュリティ対策・利便性向上機能として、FIDO生体認証や各種暗号鍵の秘密分散・秘匿計算を提供する予定です。

APIゲートウェイ現行機能

（NC7000-WG/3A）

全銀協オープンAPI／OIDF FAPI*の求めるレベル

NEC独自機能

・OAuth2.0(RFC 6749)：認可・OpenID Connect Core 1.0 ： OAuth2.0 +ユーザ情報(ID Token)

・認可コード横取り攻撃への対抗策(RFC 7636)・X.1254 LoA3以上(マルチモーダル認証）・RSA暗号の鍵は2048ビット以上・IDトークンにstateハッシュを含める

・OAuth2.0 Token Binding またはMutual TLS Profiles for OAuth clientのサポート

・クライアントとの認証でAuthentication Class Reference(ACR)の使用等

Financial API Working Groupで仕様確定次第組み込み

*OpenID Foundation Financial API Working Groupの略。 FinTechサービスでのスクレイピング(HTML解析）とパスワード保存の脆弱さをOAuthによって保護されたREST/JSONモデルを構築して改善することを目指し、JSONスキーマ、セキュリティおよびプライバシーに関する推奨事項とプロトコルを提供することが目的。

・自社開発FIDO生体認証（顔、指紋、声紋（予定）等）・生体を使ったマルチモーダル認証、リスクベース認証（今年度強化予定）

・各種暗号鍵の秘密分散、秘匿計算（今年度強化予定）

他社にはない当社独自機能として順次組み込み

全銀協ガイドラインのベースラインへの準拠（「オープン API におけるセキュリティ対策及び利用者保護に関する基本的な考え方」）

業界ガイドラインへの確実な準拠、

更新取引にも耐えうる高度セキュリティの実現


1.5 NC7000-WG（APIゲートウェイ）製品概要

オープンなWebAPIで、様々なサービスをより容易に、より安全に、お客様へ提供することが可能なWebサービス公開基盤ソフトウェアとなります。

【NC7000-WGの特長】

▐ OpenAPIによるサービス公開NC7000シリーズの豊富なイネーブラーはもちろん、さまざまな、商用WEBサービスを迅速に公開することが可能。

▐ リクエスト検証/アクセス制御機能不正アクセス制御、アクセス数制御、XMLバリデーション(検証)、サービス公開・非公開制御など、シンプルで、かつ安全な公開に必須となる機能を具備。

▐ インターフェース変換機能サービスイネーブラーが提供するWEBサービスをSOAP/HTTP、REST/JSON、REST/XMLなど、ユーザのニーズに合わせた形に変換して提供。

▐ 安心・安全な公開を支える認証・SLA運用者に対しては、認証・認可・SLAのインターフェース、セキュリティ機能を提供し、安全なサービス公開をサポート。またサービス管理画面を提供し、容易なサービス公開、管理を行うことが可能。

NC7000-WG

カスタマイズ

プラグイン

SLA管理

設定

認証

リクエスト・チェック

トラフィックコントロール

ロギング

オペレーションインターフェース

エンドポイントコネクター

SOAP

REST

JSON

NC7000-3A（認証・認証連携）

コンテンツ・プロバイダー

情報

公開サービス群

サービスをサードパーティに公開

インターネット

3rdパーティ / CP



認証

イネーブラ

イネーブラ

SOAP


モバイルに最適なユーザビリティ

ソフトウェアトークンを使用するので、簡単な操作で強固な認証が可能です

マルチデバイス対応

PC, スマートデバイスで同等の認証機能をご利用いただけます

1.6 NC7000-3A（統合認証基盤）製品概要

SAML2.0、OAuth2.0、OpenID ConnectをはじめとするID連携技術のデファクトスタンダードに対応した統合認証ソフトウェア

各サービスのユーザ認証を認証基盤が統合管理しつつサービスに応じた認可を行い、認証・認可の結果情報をサービスプロバイダにセキュアに提供することが可能

高水準・選択可能な認証方式

複数の認証方式に対応しているので、要件に合わせて最適な認証方式を選択できます

ID・ユーザデータ連携

複数サービスのIDを一元管理や連携が可能で、これにより運用コストの軽減が期待できます

OAuth support site[Consumer site]

パートナーサイト

NC7000-3A

SAML support site[SP site]

OpenID support site[RP site]

OpenID Connectsupport site [RP site]

AAA module

OpenID2.0module

SAML2.0module

OAuth2.0module

OpenID Connect 1.0module

認証/ユーザデータ連携基盤

CRM

既存システム

SMS/Email

Service Provider Management

管理

認可デバイス管理認証

モバイルユーザオペレーター管理者 PCユーザ

ログイン

FIDO RP aplication[RP Server]

FIDO UAFmodule

FIDO UAFClient mod

ユーザ情報

http://www.oasis-open.org/

http://www.oasis-open.org/

http://ja.wikipedia.org/wiki/%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB:Oauth_logo.svg

http://ja.wikipedia.org/wiki/%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB:Oauth_logo.svg


1.7 NECの誇る世界No.1生体認証を利用可能

Authenticatorとしてはグローバルトップクラスの生体認証をご提供可能です。お客様サービスにマッチした各種認証方式をラインナップしてまいります。

スマートフォン端末のデバイス上で認証が可能な方式としては、製品化済では顏認証、評価段階としては声紋認証があります。

エンドユーザの使いやすい生体認証の方式を今後拡張していくことも可能です。

指紋顔掌紋 DNA 虹彩静脈

忘れない、無くさない、盗まれない

声紋世界No.1

世界最高レベル※の認証精度競合他社よりも10倍以上の高精度

最速照合を実現160万画像を0.4秒で検索

※2017年３月7日NIST(米国国立標準技術研究所)主催の顔認証精度評価コンテストで４連続世界一を取得

http://www.google.co.jp/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwib6un6tbLKAhWldKYKHYFCBIEQjRwIBw&url=http://sedotuber.com/main/youtube/%E2%96%A0youtube%E3%82%A2%E3%83%89%E3%82%BB%E3%83%B3%E3%82%B9%E3%81%A7%E7%A8%BC%E3%81%90%E7%82%BA%E3%81%AE%E9%9F%B3%E5%A3%B0%E8%AA%AD%E3%81%BF%E4%B8%8A%E3%81%92%E3%82%BD%E3%83%95%E3%83%88/&psig=AFQjCNGm3-W1Tra6ku2s7NX8hUgoU-lVuw&ust=1453174143448517

http://www.google.co.jp/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwib6un6tbLKAhWldKYKHYFCBIEQjRwIBw&url=http://sedotuber.com/main/youtube/%E2%96%A0youtube%E3%82%A2%E3%83%89%E3%82%BB%E3%83%B3%E3%82%B9%E3%81%A7%E7%A8%BC%E3%81%90%E7%82%BA%E3%81%AE%E9%9F%B3%E5%A3%B0%E8%AA%AD%E3%81%BF%E4%B8%8A%E3%81%92%E3%82%BD%E3%83%95%E3%83%88/&psig=AFQjCNGm3-W1Tra6ku2s7NX8hUgoU-lVuw&ust=1453174143448517


サーバからのExternalデータでライブネスバージョンを選択可能ex.瞬きのみ、モーション検知1回、モーション検知2回、モーション検知3回など

対象ライブネスは、、を予定

ライブネス指示についてはランダムで選択ex.3回繰返し〔上、下、下）、3回繰返し（下、下、上）など同じ回数でも毎回異なる

1.8 機能強化の例なりすまし対策強化（顔ライブネス機能）

認証OK

画面にてライブネスモーションを指示

ユーザが動作を実行

必要であれば何回か繰り返す

笑顔指示左顔向け指示


1.9 API向け開発ツール概要

大手金融機関様のWebAP開発で培った高速開発技術をAPI領域へも展開

API開発ツールとAPI-GW/FIDOサービス等のmBaaSとをシームレスに連携

API Provider

GUI上で内外のAPIを組み合わせて（マッシュアップ）、新たなAPI Endpointを高速開発

API Consumer

APIを活用しWeb(SPA)やモバイルAPを高速開発

最先端のWeb技術を使ったUI/UX機能

HTML5、JavaScript、CSS

セキュアブラウザ(社製ハイブリッド式アプリエンジン）

Andoroid、iOS、Windows Vista/7/8/10

Blink、WebView、WKWebView

OCR/音声/手書きチャット、ビデオチャット

プッシュ通知、各種GUI等

こんにちは!!

コード難読化・堅牢化により

金融業務で安心・安心な

スマホアプリの提供

サーバサイドアプリ(SDE)

お知らせ

FIDO(生体認証)

サーバレス＆生体の新しい認証方式

キーボードレスの新しい入力方式

Webでの新しい入力サポート

スマホ向けの新しいWebAPI

タブレット

スマートフォン

レスポンシブ

（マルチデバイス・ブラウザ)対応

RDデザイナ(API対応)BLD(JavaScript対応)

API

ハイブリッドアプリを自動生成

共通モバイルバックサービス(API-GW、FIDOサーバ等)

モバイルアプリの高速開発(RMAD)を実現

1

2

3

こんにちは!!プロテクト済み

アプリ


開発イメージサービスアプリイメージ

1.10 API Provider開発ツール概要

GUI（APIエンドポイントデザイナ）でセキュアなAPIサービスの高速開発機能を提供

必要なビジネスロジックはGUIエディタ(BLD)上で日本語で編集することが可能

設計書及びソース自動生成後にAPIゲートウェイ(NC7000-WG)上にAPIを自動公開

オープンAPI仕様

サービスのエンドポイント

インタラクション設計

実装するAPI一覧とAPI仕様

APIエンドポイントデザイナ

ＢLDエディタ(ビジネスロジックデザイナ)

カスタムプラグイン

API Gateway（NC7000-WG）

SLA管理認証

設定

トラフィックコントロール

ロギング

認証

リクエスト・チェック

ビジネスロジック呼び出し

AP

IEn

dP

oin

t

Con

necto

r

サービスアプリ

ケーション

強化

サービスジェネレータ自動生成

サービステストドライバ

自動生成

NC7000-3A（認証・認証連携）

設計リポジトリ

ドラッグ＆ドロップでAPIをひもづけ

new

new


業務AP

マルチプラットフォームAPI

プロジェクト独自レイヤ

1.11 API Consumer開発ツール概要

ハイブリット式(WebView（OS標準拡張）+HTML5+JavaScript+CSS)でのモバイルアプリの高速開発機能を提供、GUIツールでの設計後に設計書とアプリを自動生成。

Web APIにより、自社や他社のWeb APIサービスを柔軟に活用することが可能。また、

することが可能

特徴① OS・機種に依存しないAP開発-> 生産性・保守性の向上

特徴② WebAPからデバイスを制御-> Nativeと同等のことが出来る

APサーバ

iOS(iPad)

Android

Windows

iOS用拡張ブラウザ

iOS

WebAP

Android用拡張ブラウザ

Android

WebAP

Windows用拡張ブラウザ

Windows

WebAP

Webアプリケーション

拡張ブラウザがOS・機種に依存する部分を吸収。

インターネット

HTML5+JavaScript+CSS

スマートデバイスフレームワーク

ネイティブ連携

ネイティブAP

各種デバイス

ハイブリッド式アプリの特徴モバイルアプリ開発イメージ

Point

1

画面遷移エディタ

画面エディタ

LLDエディタ(JavaScript)

TypeScript（中間言語）生成

JavaScript生成

JavaScriptのコード難読化

（検討中）

構文エラー情報

日本語ビジネスロジック

開発

設計書・ソース生成

APIを使った開発をサポート

JavaScriptの日本語開発化と構文チェック

Point

２

Point

３

RESTAPI

リアルタイム開発デザイナー


沖縄銀行様での活用事例

２


2.1 沖縄銀行様での活用事例

銀行様アプリでFIDO生体認証（ログイン及び更新系での取引認証）を本格活用高速開発ツールを活用し内製化を推進中、アジャイル開発を実践現在銀行内での主要機能の評価中、来春リリース予定

行内システム

Secure API Gateway

公開APIエンドポイント

群

アプリ開発

リアルタイム開発デザイナー

APIの開発

APIエンドポイントデザイナー

ＡＷＳ

高速開発ツール

DirectConnect

本人登録依頼

OTPOTP送信

FIDO/チャレンジ

アクティベーション

生体ログイン

更新系処理

・・・

更新系依頼+認証依頼

FIDO/チャレンジ(Transactionあり）取引確認

PopUp

OTP入力

FIDO/チャレンジFIDO/登録結果

ユーザ秘密鍵

認証要求

FIDO/認証結果

残高等初期画面情報

FIDO/認証結果

内製開発＆アジャイル


FIDOを活用したアプリの開発デモ

３


３.1 モバイルアプリケーション開発デモ動画

API Consumer向け高速開発ツールでFIDOを活用したモバイルアプリ

の開発をデモビデオでご覧ください


むすび

４

FIDOのますますの活用に向け、サービスの拡充を推進してまいります

月8日向け api連携プラットフォームサービス

Technology