Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

クレジットカードデータ利用のAPI

通販通信に経産省の策定した「クレジットカードデータ利用に係わるAPIガイドライン」の記事が4/13に載っていました。

www.tsuhannews.jp

経産省

 クレジットカードデータ利用に係るAPI連携に関する検討会(キャッシュレス検討会)

 クレジットカードデータ利用に係わるAPIガイドライン第1版 2018年4月11日

 

◆キタきつねの所感

気になったのが、セキュリティ対策部分。FinTechの拡大を考えるとAPI利用とは切っても切り離せない部分もありますが、先日コインチェック社から580億円相当のNEMが不正流出した件もあります。

2017年のOWASPでも最終版には載りませんでしたが、RC1版ではAPIの保護が不十分である事が上がっていましたので、セキュリティも考えずにAPIを利用する側の理論だけで(安全でない)FinTechベンチャーと接続していくのは危険だと経産省が考えているのが、APIガイドラインからも透けて見えます。

www.lac.co.jp

 

因みに、RC1版ではこんな内容でした。

OWASP Top 10 - 2017 rc1

A10: Underprotected APIs(保護されていないAPI)

概要

最近のアプリケーションは、何らかのAPI(SOAP/XML、REST/JSON、RPC、GWTなど)に接続するリッチクライアントアプリケーションやAPI(ブラウザやモバイルアプリのJavaScriptなど)が必要な場合がよくあります。これらのAPIは大抵保護されておらず、多くの脆弱性を含んでいます

(ラック社の記事から引用)

 

API関係での脆弱な実装についてセキュリティ界隈の方と会話する中では、事故につながりそうな実装もチラホラ聞きます。(当該のFinTech企業さんの実装例は・・・もう直っていると信じたいですが)何故OWASPから外れたのかは分かりませんが、、、注視すべき項目である事は間違いありません。

 

ガイドラインの中身を見ると、 

事前審査

カード会社は、FinTech企業等とのAPI接続に先立ち、セキュリティ等の観点から、API接続先の適格性を審査することが必要である

①セキュリティ原則の充足状況
②過去に発生したセキュリティ関連の不祥事案と改善状況
③利用者の属性や取引のリスクに応じた、継続的なセキュリティ対策の高度化に向けた態勢やリソースの有無

 

FinTech企業とAPI接続するのは良いけれども、リスクあると認識をして事前審査する必要性がうたわれています。適格性の部分をどう評価するかですが・・・

 

セキュリティ対策としては、API接続先に対して(1)ウィルス対策ソフトの導入、(2)機密性の高い情報(API接続先のID/PW・クライアント証明書・トークンなど)の暗号化、(3)ファイアーウォールなどのサイバー攻撃に対する多層防御の導入、(4)サーバ変更監視(改ざん検知)、(5)ネットワーク監視、(6)公開サーバ脆弱性対策、(6)API実行ログ(ユーザー・操作・結果など)取得・保管、(7)情報喪失等に備えたバックアップ、などを求めている。

(通販通信記事より引用)

書いてある事は、ごく普通のセキュリティ対策である様には見えるのですが、逆にこうしたガイドラインが出る、という事は多くのFinTech企業(あるいはそこに接続する企業)が・・・こうした対策がほぼ出来ていないコインチェック社あるいは、その後にセキュリティ対策等が不十分として仮想通貨取引所として認可されなかった企業を見ると、そう考えるのが妥当かも知れません。

金融分野は非常にハッカーに狙われやすくセキュリティ対策は重要なのですが、自社の株を高く公開して創業者利益を得るためにセキュリティ対策コストをかけない一部のFinTech企業も多いと聞きます。

それが事実だとすれば、セキュリティを(あまり)考慮しないFinTech企業あるいはFinTech企業のセキュリティ対策を審査せずにAPI接続しようとしている企業は、将来的に大きな代償を払うことになるかも知れない、そうした視点でこのガイドラインを読みこなす事が必要なのだと思います。

 

ウイルスに感染したネットワークのイラスト

 

更新履歴

  • 2018年4月21日AM(予約投稿)