金融API – リードオンリー・セキュリティ・プロファイルにご投票ください！

現在米国OpenID Foundationでは、2月10日までの日程で

“Financial API Part 1 — Read only security profile” ¹の「Implementer’s Draft」投票が行われています。

米国のメンバーの方は、どなたでもこちらのリンク²から投票可能です。

英国のOpen Banking Standard や米国のDurable Data APIなどでは、API保護にOAuthを使うとなっていますが、実際にはOAuthはそのタイトル「The OAuth Authorization Framework」が示すように「フレームワーク（枠組み）」であって、実適用するには、個別のオプションの値をかっちり決めていく「プロファイリング」が必要です。このような「枠組み」にすることによって、OAuthは、比較的ゆるいユースケースから、よりセキュアなものを要求するユースケースまで対応できるようになっています。しかし、巷に出回っているOAuthの実装のほとんどは「ゆるい」ユースケース用のプロファイルになっており、よりセキュアなものを要求するユースケースには適しません。

そこで、OpenID Foundation では「Financial API (FAPI) Work Group」を昨年組織し、金融向けのプロファイル作成を進めてきました。今回、実装者ドラフト³認定投票にかけられているのは、この内の「Part 1: Read Only Security Profile」で、金融データの読み出しオンリーのリスクレベルに対応した規格案です。なお、書き込み対応プロファイルは、パート２としてドラフト作成が進んでいます。

投票は2月10日までです。

なお、この投票を投じることと、IPR Contributionとの間には関係はありませんので、安心してご投票いただけます。

また、まだメンバーで無い方は、登録ページ⁴よりメンバー登録をしていただけます。

登録にあたっては、まずお持ちのOpenID (Google, Yahoo! など)を使ってログインして、その後、会費の支払いに進んでください。

1. http://openid.net/specs/openid-financial-api-part-1.html
2. https://openid.net/foundation/members/polls/106
3. Implementers Draft. OpenID Foundation の規格は、Draft → Implementers Draft → Final の３ステップで作成が進んでいきます。
4. https://openid.net/foundation/members/registration