OpenID Foundation、Financial Data Exchange Summitでのプレゼンテーション

OpenID FoundationのGail Hodges氏とJoseph Heenan氏は、4月22日(火)にGaylord National Harborで開催されたFinancial Data ExchangeのSpring Global Summitで、北米の参加者のために「If, when, and why to implement the FDX 'blue' security profile with FAPI 2.0」と題した講演を行いました。この講演は、OpenID Foundationがリードしているオープンバンキングとオープンデータのための主要な通信プロトコルFAPI 2.0を含む「blue」プロファイルを含んでおり、今月提案されたどのRFCを承認するかを決定するメンバーにとって特にタイムリーでした。RFCが発効すると仮定すると、北米の実装者は、オープンバンキングの展開と米国とカナダの現地規制への準拠のために、この新しいFDXプロファイルの取り込みを検討することになります。

FDXが推奨するFAPI仕様

FAPI は長い間「FDX が推奨」してきましたが、この春、FDX Security and Authorization Work Groupが新しいRFC提案の一部として「blue」プロファイルにFAPI 2.0を全会一致で推奨したことは重要なマイルストーンとなりました。OpenID Foundationは、Financial Data Exchangeの新しいメンバーとして、この勇気付けられる進展を称賛し、このRFCが今月発効し、FDXとOpenID Foundationの共通のメンバーと貢献者の利益のために行われることを望んでいます。

OpenID Foundationは、FAPI 2.0が米国とカナダの実装者が規制遵守の義務を果たすのを支援し、デフォルトでセキュリティ、相互運用性、運用効率を提供する方法でそれを行う大きな可能性を見出しています。そしてどんなエンティティ(大小を問わず)も取り残しません。

ブラジル、アラブ首長国連邦、サウジアラビア、ノルウェー、オーストラリアなど、世界の他の地域の他のエコシステムはすでにFAPIの恩恵を受けており、北米の実装者がFDXとの関係を通じてFAPI 2.0を大規模に実装する見通しは有望に見えます。

エグゼクティブ・ディレクターのGail Hodges氏は、「データ仕様に関するFDXの専門知識は、安全性が高く相互運用可能な通信プロファイルに関するOpenID Foundationの専門知識を完全に補完するものであり、Financial Data Exchangeとの継続的な協力関係を高く評価しています」と述べています。

FDXメンバーとステークホルダーと共有されたキーメッセージ

Hodges氏とHeenan氏は火曜日の講演で一連の重要なポイントを発表しました。聴衆には北米の銀行、フィンテック企業、アグリゲーターのほか、市民社会や政府の代表者も含まれていました。最初のポイントはFAPI 2.0の主な利点の要約でした。

1. 接続性、セキュリティ、認可がデフォルトで提供されている
2. 実証済みの技術であるということが、多くの複雑なオープンデータエコシステムにおいて、関係者間の安全かつ相互運用可能なデータの移動を可能にする
3. 安全性が、シュトゥットガルト大学による正式な数学的セキュリティ分析によって証明されている
4. 6年の間、仕様開発に数十人が関わった最終版である
5. 実際の実装に対して何千もの「目」による監視され維持されており、OIDF（OpenID Foundation）コミュニティによる仕様とテストの継続的なメンテナンスが行われている

2つ目は、セキュリティ、認可、認証、相互運用性、および適合性に完全に対処し、規定するFAPIの包括的な性質を説明することでした。これは、カスタム環境および統合で OAuth2.0 を使用している米国およびカナダの実装とは異なるアプローチです。

3つ目のポイントは、実施者がこの実証済みの一連の基準に対して、自分たちの事業が他の管轄区域と国境を越えるかどうかに関係なく、自信を持つことができるということでした。これらの管轄区域では、何千人もの実装者が FAPI に自己認定しており、OpenID Foundation は、民間部門主導の管轄区域と政府主導の管轄区域の両方で、これらの管轄区域の多くと提携できることを誇りに思っています。FAPIの採用に動く国・地域の数は、オープンバンキングやオープンデータの規制とベストプラクティスの世界的な採用に伴い、増加すると予想しています。

最後に、Hodges氏とHeenan氏は、銀行、フィンテック、アグリゲーターなど、北米でFAPIを導入することで恩恵を受けることができるすべての企業にとっての理論的根拠を強調しました。

北米のFDX実装者が考慮すべき重要な決定ポイント

北米の人々が米国またはカナダの規制に準拠するために何をする必要があるかについてデューデリジェンスを積極的に実施している人々に対して、HodgesとHeenanは、分析に役立つ一般的なディシジョンツリーを提供しました。

OAuth 2.0からFAPI 2.0を有効にする方法

Heenan氏は、OAuth2.0を有効にし、FAPI 2.0を有効にしたい場合の簡単なプレイブックを実装者に提供した。

1. セキュアなクライアント認証private_key_jwtまたはMTLSの実装
2. 送信者の制約付きトークン DPoP または MTLS を実装する
3. プッシュされた承認要求の実装 (IETF RFC9126)
4. PKCE の実装 (IETF RFC7636)

実装者は誰でも、OpenID Foundationで自由に利用できるオープンソースのテストをビルドすることから始めることができます。彼らは、メンバー($ 1k)または非メンバー($ 5k)として自己認定することもできます。完全なリソース情報は、OpenID FoundationのWebサイトで公開されているように、参加者に提供されました。

・FAPI 2.0最終仕様:https://openid.net/fapi-2-security-profile-attacker-model-final-specifications-approved/

・ソースコードのgitlab:https://gitlab.com/openid/conformance-suite

・テスト/認証の手順:https://openid.net/certification/instructions/

・運用環境へのデプロイ: https://www.certification.openid.net/

　　-google/gitlab/openidのアカウントでログイン

手をたずさえて前進する

OpenID Foundationは、FAPI 2.0を含む新しいFDXプロファイルに関するFDXのセキュリティおよび認証WG/FAPI WGのコラボレーションを歓迎し、相互のメンバーが戦略的関係の継続と深化から利益を得ることを願っています。

相互に関心のある領域の 1 つは、FAPI 2.0 を含む「blue」プロファイルの初期の北米実装者間で相互運用性イベントを実行することを検討することです。相互運用機能への参加に関心のある方は、director@oidf.org 社にお問い合わせください。

より広い意味では、OpenID Foundationは、Financial Data Exchangeの技術ロードマップをサポートすることを楽しみにしています。また、RARとGrant Managementがオーストラリアや英国などの他の市場で果たし始めている役割や、このような罰金の付与された承認が北米市場でもどのように価値があるかについての洞察を共有することを楽しみにしています。私たちは一緒に、北米の適正な手続きと複数の利害関係者の議論に情報を提供するのに役立つ有用な事実を提供したいと考えています。