TOP
|
特許
|
意匠
|
商標
特許ウォッチ
Twitter
他の特許を見る
公開番号
2025161246
公報種別
公開特許公報(A)
公開日
2025-10-24
出願番号
2024064271
出願日
2024-04-11
発明の名称
成りすまし防止システムおよびプログラム
出願人
株式会社大和総研
代理人
個人
主分類
G06F
21/33 20130101AFI20251017BHJP(計算;計数)
要約
【課題】社員によるAPI実行時の成りすましを防止することができる成りすまし防止システムを提供する。
【解決手段】成りすまし防止システム10では、オープンIDプロバイダシステム20で、社員IDを部分的に含んで構成されるユーザ名を含むIDトークンを発行し、クライアント端末60で、クライアントID、IDトークン等を含むAPIリクエストを作成してAPI基盤システム30に送信し、API基盤システム30で、IDトークンに含まれるユーザ名から社員IDを切り取ってこれをAPIリクエストに設定し、成りすましチェック手段(41D、42B)により、API利用対象者情報記憶手段54を用いて、APIリクエスト内のクライアントIDと社員IDとが対応しているか否かを判断する。
【選択図】図1
特許請求の範囲
【請求項1】
社員によるAPI(Application Programming Interface:アプリケーション・プログラミング・インターフェース)の利用時の他の社員への成りすましを防止する処理を実行するコンピュータにより構成された成りすまし防止システムであって、
IDトークンを発行するオープンIDプロバイダシステム内で、各社員を識別する社員IDと、この社員IDを部分的に含んで構成されるオープンIDプロバイダ用のユーザ名とを関連付けて記憶するユーザ情報記憶手段と、
社員によるAPIの利用の受付および管理を行うAPI基盤システム内で、前記社員IDと、各社員に払い出された社員毎のクライアントIDおよびクライアントシークレットとを関連付けて記憶するAPI利用対象者情報記憶手段と、
前記社員IDを用いて社員がログインしたクライアント端末から、認可コード発行リクエストを、ネットワークを介して前記オープンIDプロバイダシステムに送信する認可コード発行リクエスト送信手段と、
前記認可コード発行リクエストを受信した前記オープンIDプロバイダシステム内で、前記クライアント端末から、前記ログインに用いられた前記社員IDを、ネットワークを介して受信し、認可コードを発行してこの認可コードを前記社員IDと関連付けて認可コード発行情報記憶手段に記憶させるとともに、発行した前記認可コードを、ネットワークを介して前記クライアント端末に送信する認可コード発行手段と、
前記クライアント端末で、前記認可コード発行手段により前記オープンIDプロバイダシステムからネットワークを介して送信されてくる認可コードを受信する認可コード受信手段と、
この認可コード受信手段により受信した前記認可コードを含むトークン発行リクエストを、前記クライアント端末からネットワークを介して前記オープンIDプロバイダシステムに送信するトークン発行リクエスト送信手段と、
前記トークン発行リクエストを受信した前記オープンIDプロバイダシステム内で、前記トークン発行リクエストに含まれる前記認可コードを用いて前記認可コード発行情報記憶手段から前記社員IDを取得し、取得した前記社員IDを用いて前記ユーザ情報記憶手段から前記ユーザ名を取得し、取得した前記ユーザ名を含むIDトークンを発行し、発行した前記IDトークンを、ネットワークを介して前記クライアント端末に送信するトークン発行手段と、
前記クライアント端末で、前記トークン発行手段により前記オープンIDプロバイダシステムからネットワークを介して送信されてくる前記IDトークンを受信するトークン受信手段と、
前記クライアント端末に搭載されたクライアントアプリケーションで入力を受け付けて前記クライアント端末に記憶されているか、または前記クライアントアプリケーションのプログラム内に記述されているクライアントIDおよびクライアントシークレット、並びに、前記トークン受信手段により受信した前記IDトークンを含むAPIリクエストを作成し、前記クライアント端末から、作成した前記APIリクエストを、ネットワークを介して前記API基盤システムに送信するAPI呼出手段と、
前記API基盤システム内で、受信した前記APIリクエストに設定された前記IDトークンに含まれる前記ユーザ名から前記社員IDを切り取り、切り取った前記社員IDを、前記APIリクエストに設定する社員ID設定手段と、
前記API基盤システム内で、前記APIリクエストに設定された前記クライアントIDと関連付けられて前記API利用対象者情報記憶手段に記憶されている前記社員IDと、前記APIリクエストに設定された前記社員IDとが一致しているか否かを判断し、一致していない場合に、他の社員への成りすましが行われていると判断する成りすましチェック手段と
を備えたことを特徴とする成りすまし防止システム。
続きを表示(約 600 文字)
【請求項2】
前記社員ID設定手段は、
前記クライアント端末から受信した前記APIリクエストに前記IDトークンが設定されていない場合には、認証エラーが発生した旨の情報を、ネットワークを介して前記クライアント端末に送信する処理も実行する構成とされている
ことを特徴とする請求項1に記載の成りすまし防止システム。
【請求項3】
前記API基盤システムは、
キーIDおよびアルゴリズムを記憶するパラメータ記憶手段と、
前記オープンIDプロバイダシステムの公開鍵を記憶する公開鍵記憶手段と、
前記パラメータ記憶手段に記憶された前記キーIDおよび前記アルゴリズムと、前記APIリクエストのヘッダに含まれる前記IDトークン内の前記キーIDおよび前記アルゴリズムとが一致しているか否かを検証するとともに、前記APIリクエストのヘッダに含まれる前記IDトークン内の署名と、前記公開鍵記憶手段に記憶された前記公開鍵とを用いて、前記IDトークンが前記オープンIDプロバイダシステムにより発行されたものであるか否かを検証するトークン検証手段と
を備えたことを特徴とする請求項2に記載の成りすまし防止システム。
【請求項4】
請求項1~3のいずれかに記載の成りすまし防止システムとして、コンピュータを機能させるためのプログラム。
発明の詳細な説明
【技術分野】
【0001】
本発明は、社員によるAPI(Application Programming Interface:アプリケーション・プログラミング・インターフェース)の利用時の他の社員への成りすましを防止する処理を実行するコンピュータにより構成された成りすまし防止システムおよびプログラムに係り、例えば、各社員がクライアントアプリケーションを搭載したクライアント端末から業務APIを利用してバックエンドシステムの各種のデータにアクセスし、業務処理を行う場合等に利用できる。
続きを表示(約 3,600 文字)
【背景技術】
【0002】
従来、社員がAPIを実行する際には、各社員は、クライアントアプリケーションを搭載したクライアント端末(例えば、会社から配布されている2in1端末等)に、社員IDおよびパスワードを用いてログインし、クライアントIDおよびクライアントシークレットという2つの認証情報を用いて、ゲートウェイサーバを有するAPI基盤システムを経由してバックエンドシステムの各種のデータにアクセスし、必要な業務処理を行っている。
【0003】
上記のクライアントIDおよびクライアントシークレットは、社員によるAPIの実行を可能にするために、API利用対象者である社員1人1人に、API基盤システムから払い出され、API基盤システムに記憶されている。そして、各人に払い出されたクライアントIDおよびクライアントシークレットは、各人の管理となっている。従って、各社員は、自分に払い出されたクライアントIDおよびクライアントシークレットをリクエストパラメータ(ヘッダ)に設定してAPIのリクエストを行っている。
【0004】
なお、本発明では、後述するように、クライアントIDおよびクライアントシークレット以外の情報として、オープンIDプロバイダが発行するIDトークンを利用してAPI実行時のクライアントIDが実行者本人のものであることのチェックを行うが、APIおよびIDトークンを利用した処理としては、秘匿性の高い電子投票を実現することができる「電子投票管理方法」(特許文献1参照)や、リライングパーティサーバ上でホスティングされているリソースにモバイル装置からアクセスするための方法を提供する「ネイティブモバイルアプリケーション起点のオープンIDコネクト(OIDC)フロー及びセキュリティアサーションマークアップ言語(SAML)フローのためのシームレスなシングルサインオン(SSO)のための方法及びシステム」(特許文献2参照)が知られている。
【0005】
また、IDトークンの記載はないが、API実行時の社員の成りすましの防止に関連する技術としては、第1サーバ、第3サーバと、第2サーバとが動的共通情報に基づく実行証明情報を生成し、照合することができ、成りすましを防止できる「ネットワーク通信方法及びネットワーク通信システム」(特許文献3参照)、データ放送の受信に利用される受信装置が、不正なデータ放送を受信したとしてもその不正を無効にする技術を提供する「送信装置およびそのプログラム、ならびに、受信装置およびAPI実行プログラム」(特許文献4参照)、代行処理が行われる際に、代行者が起票した起票伝票の自己承認を抑制することができる代行オペレーションにおける「権限不正使用防止システム」(特許文献5参照)、それぞれ独立して管理されているユーザ情報を統合的に提供することができる「情報提供装置、情報提供方法、情報提供プログラム及び記録媒体、並びにユーザ認証装置、ユーザ認証方法、ユーザ認証プログラム及び記録媒体」(特許文献6参照)が知られている。
【先行技術文献】
【特許文献】
【0006】
特開2022-107556号公報(段落[0012]、[0026]、[0027]、[0032])
特開2020-126602号公報
再表2016-158908号公報(段落[0045]、[0078])
特開2009-147808号公報(要約)
特開2008-243023号公報(段落[0028])
特開2004-303202号公報(請求項1、段落[0170])
【発明の概要】
【発明が解決しようとする課題】
【0007】
前述したように、API利用対象者である社員1人1人に払い出されたクライアントIDおよびクライアントシークレットは、各人の管理となっている。従って、クライアントIDおよびクライアントシークレットが漏洩した場合には、誰でも利用可能な状態となってしまう。
【0008】
このため、悪意のある者が他人のクライアントIDおよびクライアントシークレットを入手した場合、他人のクライアントIDおよびクライアントシークレットを利用してAPIを実行することで、バックエンドシステムに記憶されている顧客情報などを不正に入手することができ、また、更新系の業務処理を行うAPIの場合は、データを不正に登録・更新・削除することができてしまうという問題があった。
【0009】
本発明の目的は、社員によるAPI実行時の成りすましを防止することができる成りすまし防止システムおよびプログラムを提供するところにある。
【課題を解決するための手段】
【0010】
本発明は、社員によるAPI(Application Programming Interface:アプリケーション・プログラミング・インターフェース)の利用時の他の社員への成りすましを防止する処理を実行するコンピュータにより構成された成りすまし防止システムであって、
IDトークンを発行するオープンIDプロバイダシステム内で、各社員を識別する社員IDと、この社員IDを部分的に含んで構成されるオープンIDプロバイダ用のユーザ名とを関連付けて記憶するユーザ情報記憶手段と、
社員によるAPIの利用の受付および管理を行うAPI基盤システム内で、社員IDと、各社員に払い出された社員毎のクライアントIDおよびクライアントシークレットとを関連付けて記憶するAPI利用対象者情報記憶手段と、
社員IDを用いて社員がログインしたクライアント端末から、認可コード発行リクエストを、ネットワークを介してオープンIDプロバイダシステムに送信する認可コード発行リクエスト送信手段と、
認可コード発行リクエストを受信したオープンIDプロバイダシステム内で、クライアント端末から、ログインに用いられた社員IDを、ネットワークを介して受信し、認可コードを発行してこの認可コードを社員IDと関連付けて認可コード発行情報記憶手段に記憶させるとともに、発行した認可コードを、ネットワークを介してクライアント端末に送信する認可コード発行手段と、
クライアント端末で、認可コード発行手段によりオープンIDプロバイダシステムからネットワークを介して送信されてくる認可コードを受信する認可コード受信手段と、
この認可コード受信手段により受信した認可コードを含むトークン発行リクエストを、クライアント端末からネットワークを介してオープンIDプロバイダシステムに送信するトークン発行リクエスト送信手段と、
トークン発行リクエストを受信したオープンIDプロバイダシステム内で、トークン発行リクエストに含まれる認可コードを用いて認可コード発行情報記憶手段から社員IDを取得し、取得した社員IDを用いてユーザ情報記憶手段からユーザ名を取得し、取得したユーザ名を含むIDトークンを発行し、発行したIDトークンを、ネットワークを介してクライアント端末に送信するトークン発行手段と、
クライアント端末で、トークン発行手段によりオープンIDプロバイダシステムからネットワークを介して送信されてくるIDトークンを受信するトークン受信手段と、
クライアント端末に搭載されたクライアントアプリケーションで入力を受け付けてクライアント端末に記憶されているか、またはクライアントアプリケーションのプログラム内に記述されているクライアントIDおよびクライアントシークレット、並びに、トークン受信手段により受信したIDトークンを含むAPIリクエストを作成し、クライアント端末から、作成したAPIリクエストを、ネットワークを介してAPI基盤システムに送信するAPI呼出手段と、
API基盤システム内で、受信したAPIリクエストに設定されたIDトークンに含まれるユーザ名から社員IDを切り取り、切り取った社員IDを、APIリクエストに設定する社員ID設定手段と、
API基盤システム内で、APIリクエストに設定されたクライアントIDと関連付けられてAPI利用対象者情報記憶手段に記憶されている社員IDと、APIリクエストに設定された社員IDとが一致しているか否かを判断し、一致していない場合に、他の社員への成りすましが行われていると判断する成りすましチェック手段と
を備えたことを特徴とするものである。
(【0011】以降は省略されています)
この特許をJ-PlatPat(特許庁公式サイト)で参照する
関連特許
他の特許を見る
特許ウォッチ