Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
そのAPIはセキュアですか?
Search
RyuSA
January 20, 2021
Technology
2
760
そのAPIはセキュアですか?
Financial Grade な API のセキュリティ
#webapilt
RyuSA
January 20, 2021
Tweet
Share
More Decks by RyuSA
See All by RyuSA
Java屋だってOperatorが作りたい!
ryusa
1
470
Visual Studio Codeとコンテナでいい感じのRe:View執筆環境
ryusa
1
1.4k
JavaScriptと歩くポリシーエンジン jsPolicy
ryusa
1
500
TextAlive App APIと夢見る新しいUX
ryusa
1
310
Gitlab Operatorと夢見るGitlab自動化の旅
ryusa
2
900
AccessPoint Operator on Raspberry Pi
ryusa
1
1k
Serviceをたずねて3000行 - Kubernetesコードリーディングの旅 -
ryusa
2
740
「L3以下は魔法で動いている!」と言いながらiptablesとkube-proxyを読んでみた話
ryusa
1
100
「〇〇完全に理解したったww」から始めるエンジニア生活
ryusa
2
4.1k
Other Decks in Technology
See All in Technology
最新のWasm事情
askua
5
2.5k
Grafana エコシステムの活用事例 on ABEMA
tetsuya28
5
710
運営11年目タイトルを守る最強の盾の有効性と活用法
mixi_engineers
PRO
2
120
MobileActOsaka_241018.pdf
akaitadaaki
0
100
入社半年(合計1年)でGoogle Cloud 認定を全冠した秘訣🤫
risatube
1
270
From naive to advanced RAG: the complete guide
glaforge
0
620
Demystifying Vite Internals
nozomuikuta
2
210
多数のWebサービスをECS/Fargate構成で効率よく構築・運用するなら copilot-cli
interu
2
160
Azure AI servicesと歯のおはなし/AzureTravelers_Fukuoka2024_baba
nina01
1
110
KongによるAPIライフサイクル マネジメント
hashitokyo
1
160
とある事業会社にとっての Kaggler の魅力
hakubishin3
7
1.5k
不要なリソースを自動で定期的に整理する方法 ~Sandboxアカウントのコストを削減しよう!~
amixedcolor
4
220
Featured
See All Featured
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
37
1.7k
A Modern Web Designer's Workflow
chriscoyier
692
190k
The Language of Interfaces
destraynor
154
24k
RailsConf 2023
tenderlove
28
860
Code Review Best Practice
trishagee
63
17k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
43
6.5k
GitHub's CSS Performance
jonrohan
1030
450k
The Invisible Side of Design
smashingmag
297
50k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
Facilitating Awesome Meetings
lara
49
6k
Why You Should Never Use an ORM
jnunemaker
PRO
53
9k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
26
700
Transcript
そのAPIはセキュアですか? Financial Grade な API のセキュリティ RyuSA
RyuSA Financial Service Engineer Java & SpringBoot / Typescript &
React Docker / Kubernetes : RyuSA : ryusa_eng
全国銀行協会より オープンAPI ≠ OpenAPI (Swagger) なんだぜ、ググラビリティがあかん >
たぶんこんな世界になる……?
※注 あくまでも登壇者の妄想です < サービスしてちょ まいどー > < Aくんの口座情報教えてー あの……焼肉屋さんが…… >
< 口座情報教えていいですよー < はいどうぞ
知ってる! これ、OAuth2.0で実装できる!
落ち着け、OAuth2.0はシルバーバレットにあらず
• OAuth2.0はリソース制御のための「フレームワーク」 • OAuth2.0で認可を実装した ≠ セキュアなAPI • SNSの認可に要求されるセキュリティレベル ≠ 銀行や証券の認可に要求されるセキュリティレベル
• 近年はオープンAPIも叫ばれており、金融向けのセキュアな認可の整備が急がれている • 一方で「セキュアな認証認可」をどこまでやるべきかのガイドラインが必要 そして究極のセキュリティ「APIを公開しない」が生まれる 認可に困ったらOAuth2.0に頼ろうとしてない?
Financial Grade API 略して”FAPI” 読み方は「ふぁぴ」だって、かわいいね >
• FinTechサービスにOAuthプロファイルを導入するためのガイドライン • Part1/Part2/Part3の3部作で構成されており「ReadOnly API」「Read&Write API」 などについてそれぞれ実装すべき項目が記載されている • 金融に限らず、高いセキュリティが要求される認可システムの管理者・実装者は参照す べきドキュメント
• チェックリスト方式になっている • 実装すべきこと、設定すべきことが一覧化 • たまに「実装すべきでない」ことも書いてある • CIS Benchmarkのような感じ FAPIは”OAuth2.0実装のガイドライン”
• Part1 (Read Only) • 認可サーバは LoA 2 相当のユーザ認証を実装しなければならない •
ClientはResource Ownerとのセッション中はredirect_uriを保存し、認可レスポン スを受け取った際のredirect_uriと比較しなければならない(5.2.3) • Native Appはカスタムスキーマによるリダイレクトを実装してはいけない(7.5) • HTTPSによるリダイレクトを利用しましょう • Part2 (Read & Write) • 認可サーバは LoA 3 相当のユーザ認証を実装しなければならない • ClientはHolder-of-Key Tokenと実装しなければならない • OAuth 2.0 Token Binding か mTLSかで実装しましょう 具体例
• オープンAPI という世界とその認可のガイドラインFAPI • みなさんの身近に迫ってきています • 「認可システムを作る / 設計する」ということがあれば、FAPIを覗いてみては? •
「あ、この設定した方がいいかも」等の思わぬ発見があると思います • セキュリティレベルをビジネスKPIに沿って決定 • 焼肉食べたい • コロナで外出・外食がめっきり減ってしまって、正直口元が少しさびしい…… まとめ