フィンテック業界の先駆者が API 攻撃を阻止

2013 年に設立された EarnIn は、賃金へのアクセスサービスを提供する金融テクノロジー企業です。個々人が自分の収入に、数週間後ではなく、リアルタイムでアクセスできるべきであるという信念に基づき、同社はお金の動きを再構築しています。この理念は同社のアプリによって実現されています。このアプリは 1,500 万回以上ダウンロードされ、Google Play と Apple App Store を合わせて 38 万件以上の 5 つ星レビューを獲得しています。

顧客ロイヤルティを獲得し、維持するために、同社は、ユーザーが信頼できるサービスの開発、構築、設計に取り組んでいます。この取り組みには、金融詐欺を企む潜在的な敵からの保護が不可欠です。API 攻撃や進化する悪用の試みに対する防御を強化して充実させる必要が生じた際に、EarnIn は Akamai API Security にその解決策を見出しました。 

金融機関やその他の業界サービスプロバイダー間での資金やデータの移動方法は急速に進化しており、データ転送やサービス統合に API が活用されることで更に活発になっています。このように動的で相互接続された環境では、セキュリティチームは、ビジネスを混乱させ、顧客の信頼を損ない、ブランドの評判を傷つける可能性のある脅威を、どのようにすれば効果的に緩和できるかに苦慮しています。

長きにわたり、EarnIn のセキュリティチームは環境全体のテレメトリーイベントとデータロギングに依存していましたが、同社の API 資産が急速に成長し、進化する中、スケーリングが課題となっていました。簡単に言えば、チームは、高度な API 関連の攻撃者や、拡大するアタックサーフェスでのデータの動きに対して、もっと確実な対策を必要としていたのです。

EarnIn の CISO である Stan Lee 氏によると、現代のアプリケーションを開発するうえで重要な 2 つの側面は、転送されたデータを理解し分類することと、ユーザーアクセスを理解することにあります。「このような視点は、適切な行動を取り、情報に基づいたリスクベースの意思決定を行う上で不可欠です。API が攻撃の標的としてより一般的になっている中ではなおさらです。そこで当社は、お客様とその取引を保護するための API セキュリティソリューションを求めていたのです。」

ソリューションの評価にあたって EarnIn が最も重視したのは、日々生成される API エンドポイントを探索し、それを列挙する機能です。「Akamai API Security は、転送されているものは何か、データが内部ネットワーク経由で送信されているのか、あるいは外部へ送信されているのかを明確に示してくれました。当社のアタックサーフェスを把握することは、当社のリスクプロファイルを理解し、API を保護するために必要なことでした」と Lee 氏は語ります。

もうひとつの決め手は、Akamai のマネージド脅威ハンティングサービスでした。同氏は次のように述べています。「新しい脅威や出現しつつある脅威を特定する、このような予防的アプローチにはこれまで出会ったことがありませんでしたが、Akamai のサービスを利用することで、当社のビジネスを動的に拡張しながら、これらの脅威を効率的に緩和できると確信を持ちました」

Lee 氏が説明するように、展開は簡単でした。「コスト効率に優れたクラウドベースの Akamai の API セキュリティソリューションを、わずか 1 週間で簡単に展開することができました」しかも、同社はすぐにメリットを実感できました。Lee 氏のセキュリティチームは当初から、トークン化された機微な情報を Akamai Cloud の API Security によるふるまい分析を使って迅速に分析することができました。この分析により、チームは環境全体のダイナミクスを把握し、脅威ベクトルを特定し、アクションやふるまいの変化を促進することができました。

Lee 氏は強調します。「Akamai API Security のおかげで、何が起きているのかを分析し、攻撃を受けている最中に脅威ハンティングを実行し、当社のフィンテックアプリケーションとお客様を保護する適切な対策を講じることができます」

Akamai API Security は、シャドウ API エンドポイントを特定し、潜在的な問題をより迅速に検知、調査することで、EarnIn のセキュリティおよび開発チームを強化しました。「Akamai API Security があれば、ふるまい分析などの機能を通じて、アカウント乗っ取りなどのよくある手法を巧みに特定し、防御することができます」と Lee 氏は続けます。

多くの企業にとってそうであるように、API セキュリティは EarnIn にとっても、今後重要な道筋となるでしょう。API を使用して数多くの製品が開発され、API を介して多くのテクノロジーが接続されている現在、攻撃や不正行為の兆候を示す可能性のある API の変化を把握することは非常に重要です。「Akamai のソリューションにより、当社の開発者に対処可能な項目を提示する方法が改善され、より有意義なデータを提供できるようになりました。その結果、当社のアプリケーションが安全な方法で設計、実装、使用されていることを、さらに強く確信できるようになりました」と Lee 氏は締めくくっています。

EarnIn は、稼いだお金を、数日後や数週間後ではなく、働いたその日に手にすることができるようにします ¹。私たちは、一人ひとりの可能性を高めるために、お金の動きを再構築することを使命としています。

この使命は、給料が毎日支払われる仕組みに始まり、自動 Tip Yourself アカウント ²、Credit Monitoring 機能、残高不足警告機能である Balance Shield ³ などのツールで構築されます。すべて無利息 ⁴、無審査、手数料無料 ⁵ です。そのため、お客様にはご自身の条件に合わせて利用したり貯蓄したりする機会が最大限に提供されます。

EarnIn の革新的な Earned Wage Access アプリは、Andreessen Horowitz、Matrix Partners、DST などの世界トップクラスのパートナーによって支えられています。2013 年の設立以来、440 万人以上のお客様に EarnIn をご利用いただき、38 万件以上の 5 つ星レビューをいただいています。さらに、200 億ドル以上の給料へのアクセスを支援してきました。

_{1 利用可能な給料、Daily Max および Pay Period Max が対象となります。制限および／またはサードパーティの料金が適用される場合があります。詳細については、EarnIn.com/TOS をご覧ください。
2 Tip Yourself アカウントファンドは、Evolve Bank & Trust、メンバー FDIC、FDIC の保険を受けて、最大 $250,000 まで保有されています。Tip Yourself は年利 0%、月額料金 0 ドルのサービスです。Tip Yourself アカウントと Tip Jars は預金口座ではありません。詳細については、https://www.earnin.com/evolve-bank-and-trust をご覧ください。
3 Balance Shield のキャッシュアウトは、利用可能な給料、Daily Max、Pay Period Max の対象となります。その他の制限および／またはサードパーティの料金が適用される場合があります。詳細については、earnin.com/TOS をご覧ください。
4 EarnIn は Cash Out に対して利息を請求しません。
5 EarnIn は、サービスの利用に際し想定外の料金は発生しません。}