2021年6月22日
SBIデジトラスト株式会社
当社(本社:東京都港区、代表取締役社長:バスケス・カオ・フェルナンド・ルイス)は、金融機関向け認証認可基盤サービス「Trust IdiomⓇ(トラストイディオム)」の提供を開始したことをお知らせいたします。
Trust IdiomⓇは、金融機関向けの本人確認済みIDを発行するIDaaSサービスです。従来の紐付け(ID連携方式)では、Payment事業者と金融機関がそれぞれ個別に身元確認を実施し、サービス接続する際の当人認証は金融機関側に事前登録した暗証番号等で行う形を取っていました。こうした認証方法において、悪意ある攻撃等により当人認証情報が外部に漏洩してしまい、本人ではない第三者が口座を不正利用する事象が市場の問題となっています。この問題に対し、全国銀行協会より「資金移動業者等との口座連携に関するガイドライン(※1)」が発行されるなど、金融機関はその対応を求められている状況となっています。
Trust IdiomⓇは、生体認証を活用した身元確認及び当人確認を実施することでPayment事業者側・金融機関側双方が抱える問題を解決することが可能です。
本日より国内第一番目の提供先として、島根銀行様の「しまぎんアプリ」との連携を開始いたしました。
島根銀行様への導入にあたっては、当社協力会社である日本電気株式会社(NEC)様の「API連携プラットフォームサービス」を利用しています。今後、Trust IdiomⓇをオープンAPI対応していない金融機関様に対して導入して行く際には、今回と同様に当社協力会社様のサービスも横断的に活用し、協力して安全な仕組みをご提供していく予定です。
なお、認証方式として生体情報でのFIDO認証、認可方式として金融グレードのFAPI(Financial-grade API)(※2)・CIBA(Client Initiated Backchannel Authentication)(※3)にも対応しているTrust IdiomⓇでは、消費者に対して、従前よりもシームレスなペイメントサービスの利用を実現し、また、金融機関には最新のセキュアなID管理の運用環境を、適切なコストで提供することを可能にしています。
金融機関様がTrust IdiomⓇのサービスを利用するにあたり、Trust IdiomⓇアプリ(Google Play ストア・App Storeにて2021年6月22日配信)とTrust IdiomⓇ SDK(Software Development Kit)の2つの方式を選択できるようにいたしました。SDK組み込みパターンでは、Trust IdiomⓇが提供している認証認可サービスを、各金融機関様が保有しているアプリ内で容易に利用することができるようになります。
今後も、当社は金融機関の皆様のサポーターとして「グローバル金融市場とのセキュリティレベル均質化」という奔流にも適応可能な体制づくりを強力に後ろ支えする様々なソリューションを市場に発信、提供していくことをミッションに掲げてまいります。
※1 資金移動業者等との口座連携に関するガイドライン
令和2年11月30日に一般社団法人全国銀行協会様にて発行された口座の不正利用防止に対するガイドライン。各銀行が資金移動業者等と連携して決済サービスを提供するに際しての考え方・例示等を取りまとめたもの。
出展:一般社団法人全国銀行協会HPより(https://www.zenginkyo.or.jp/news/2020/n113001/)
※2 FAPI(Financial-grade API)
OAuth/OIDC を拡張し、APIアクセスに必要な情報(アクセストークン)の不正取得・利用を防止するためのしくみなどを定めた仕様です。金融業界などの高度なセキュリティが求められる分野での適用が想定されています。銀行のオープン API化において、口座情報・取引履歴の参照や、送金・決済など、Fintech事業者をはじめとするサードパーティーを介した金融サービスの提供のセキュリティ向上に有用です。
※3 CIBA(Client Initiated Backchannel Authentication)
OAuth/OIDCを拡張した、新しいユーザー認証・認可フローに関する仕様です。API連携フローを開始するデバイスと、実際にユーザーが認証・認可するデバイスとを分離することにより、スマート家電との連携や、コールセンターでの操作、スマートフォンを用いたユーザー認証など、広範なユースケースに対応できるようになります。金融サービス分野では、オフラインサービスへの組み込みや、取引認証の高度化など、オープンAPIの利用シーン拡大に役立つと期待されています。
以上
