金融API – リードオンリー・セキュリティ・プロファイルにご投票ください!

現在米国OpenID Foundationでは、2月10日までの日程で

Financial API Part 1 — Read only security profile1の「Implementer’s Draft」投票が行われています。

米国のメンバーの方は、どなたでもこちらのリンク2から投票可能です。

英国のOpen Banking Standard や米国のDurable Data APIなどでは、API保護にOAuthを使うとなっていますが、実際にはOAuthはそのタイトル「The OAuth Authorization Framework」が示すように「フレームワーク(枠組み)」であって、実適用するには、個別のオプションの値をかっちり決めていく「プロファイリング」が必要です。このような「枠組み」にすることによって、OAuthは、比較的ゆるいユースケースから、よりセキュアなものを要求するユースケースまで対応できるようになっています。しかし、巷に出回っているOAuthの実装のほとんどは「ゆるい」ユースケース用のプロファイルになっており、よりセキュアなものを要求するユースケースには適しません。

そこで、OpenID Foundation では「Financial API (FAPI) Work Group」を昨年組織し、金融向けのプロファイル作成を進めてきました。今回、実装者ドラフト3認定投票にかけられているのは、この内の「Part 1: Read Only Security Profile」で、金融データの読み出しオンリーのリスクレベルに対応した規格案です。なお、書き込み対応プロファイルは、パート2としてドラフト作成が進んでいます。

投票は2月10日までです。

なお、この投票を投じることと、IPR Contributionとの間には関係はありませんので、安心してご投票いただけます。

また、まだメンバーで無い方は、登録ページ4よりメンバー登録をしていただけます。

登録にあたっては、まずお持ちのOpenID (Google, Yahoo! など)を使ってログインして、その後、会費の支払いに進んでください。

脚注

  1. http://openid.net/specs/openid-financial-api-part-1.html
  2. https://openid.net/foundation/members/polls/106
  3. Implementers Draft. OpenID Foundation の規格は、Draft → Implementers Draft → Final の3ステップで作成が進んでいきます。
  4. https://openid.net/foundation/members/registration

コメントを残す

メールアドレスが公開されることはありません。

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください