パスワードレス認証の世界標準として広く普及するFIDO認証。その標準化団体であるFIDOアライアンスの幹部として著名な森山光一には、NTTドコモの「チーフセキュリティアーキテクト」という“顔”もある。NTTグループの上級セキュリティ人材を紹介する連載「<サイバーセキュリティ戦記>NTTグループのプロフェッショナルたち」の第19回は、「徹底的にお客さま目線で考えてきた」というNTTドコモの森山光一が登場する。
2020年7月、森山光一はNTTドコモのセキュリティサービス担当部長に着任した。NTTドコモが当時提供していた送金・決済サービス「ドコモ口座」が悪用される事件が発生する2カ月前のことである。
社内の機密情報を守るという側面が強い情報セキュリティ部に対して、森山に課せられた役割は「お客さまをどう守るか、サービスをどう安心して安全に使っていただくか」。具体的には、迷惑メールやウイルス、危険サイトなどの脅威へのセキュリティ対策機能を提供するサービスである「あんしんセキュリティ」、おサイフケータイ、dアカウントの認証基盤などが担当だった。
セキュリティサービス担当部長に就任した森山は、主管することになったdアカウントの認証基盤がどのように設計されているのかを精査し始めた。その背景には、dアカウントへの不正ログインを狙ったリスト型攻撃とそれらに伴うアカウントロックが頻発していたことがあったという。
森山には、NTTドコモでの役職に加えて、FIDO(ファイド)アライアンスの幹部という顔もある。FIDOアライアンスが標準化作業を行っているFIDO認証は、端末ローカルでの生体認証などと公開鍵暗号方式を活用したオンライン認証を組み合わせた認証方式。パスワードレスのためユーザーの利便性が高く、しかもフィッシング耐性も高いという特徴を持つ。アップル、グーグル、マイクロソフトらも対応したパスキーも、FIDO認証の最新版であるFIDO2を利用した認証方式で、FIDOアライアンスとW3Cが共同で規格化したものだ。FIDOアライアンス 執行評議会のボードメンバー、FIDO Japan WGの座長、W3Cの理事なども務める森山は、つまり認証に関する世界的な第一人者の1人だ。
dアカウントの仕組みを調べ始めた森山は、その身元確認と当人認証に関する部分に改善するべき点があることに気付いたという。「これはひょっとしたら、まずいことになるかもしれない」
そして、森山の悪い予感は的中する。2020年9月、全国の地方銀行などの口座から預金が不正に引き出される事件が発覚。NTTドコモ側からの個人情報漏洩はなかったが、メールアドレスのみでアカウントが作成可能だったドコモ口座も、不正引き出しの送金先として悪用された。