記者会見中に書いた提言書

NTTドコモは2020年9月10日、ドコモ口座を使った不正引き出しに関する記者会見を開催。その記者会見をまさに行っていた最中、森山は経営陣に向けた提言書を執筆していた。

「NISTのガイドラインをドコモ向けにきちんと焼き直して、ドコモ版のデジタルアイデンティティガイドラインを作成し、適切な身元確認と当人認証のレベルを全社的に展開していく必要がある、という内容の提言書でした」

森山が参考にすべきと提言したのは、米国立標準技術研究所（NIST）のデジタルアイデンティティガイドラインである。米国の政府機関のデジタルアイデンティティに関する技術要件が定義されている。

事件発覚前からdアカウントの身元確認と当人認証の改善策について考えをめぐらしていた森山は、会見当日に提言書を一気に書き上げて上司に送付。経営陣への説明を経て、すぐに実行へ移されることになった。

2021年1月、ドコモ版デジタルアイデンティティガイドラインが策定されて以降、各サービス主管は同ガイドラインに従い、身元確認および当人認証のレベルを設定している。その結果、不正アクセスの被害は大きく減少していく。

図表1　ドコモ版デジタルアイデンティティガイドラインの概要

例えば、dアカウントに関しては、NTTドコモとの回線契約がない場合も携帯電話番号の登録のお願いを強化し、SMSの送達確認を必須化。さらに不正アクセス対策委員会の発足、不正アクセス対策マニュアルの策定など様々な施策を推し進め、2021年度から年間あたりの被害額（※）を1/10以下にまで抑えることができた。

また、ドコモオンラインショッピングに関しては、ガイドラインのdAAL3を適用し、回線契約をもたない利用者にはフィッシング耐性のあるFIDO認証の登録を必須化。身に覚えのない購入に関する問い合わせ件数は2022年9月以降、ゼロが継続している。

（※） 被害額については、該当期間内にお客さまからNTTドコモへご申告いただいた内容から調査・対応して算定したもので、全ての不正アクセス被害額を示しているとは限らないとのこと。

ドコモ出向中に「世界初」 その後、ドコモに転職へ

パスワードレス認証のグローバル標準であるFIDOアライアンスのボードメンバーであり、NTTドコモではチーフセキュリティアーキテクトとしてセキュリティ戦略をリードする森山。だが、「セキュリティの第一人者」という姿は、実は森山の一面しか捉えていない。

1994年に大学院の修士課程を修了後、大手電機メーカーに就職した森山は、RISC CPUの設計や家庭用ロボット等に搭載する組込みOSの設計などに携わる。セキュリティは、こうした仕事に必須な知識・スキルの1つに過ぎなかった。

初めてセキュリティに正面から向き合ったのは2001年、電機メーカーからNTTドコモへ出向したときのことだったという。

当時は、携帯電話のソフトウェアに不具合があると、すべて回収してアップデート作業を行っていた。当然、大変なコストと労力が必要になる。

そこでNTTドコモは、携帯電話網を介したソフトウェア更新へのチャレンジを決めた。今では当たり前になった、FOTA（Firmware Over-The-Air）などと呼ばれる手法だが、その頃はまだ誰も実現できていなかった。

「誤ったソフトウェアに書き換わってお客さまに迷惑をかけることもできませんし、ドコモやパートナーの大切な知的財産が詰まったダウンロード用のソフトウェアが外部に流出してもいけません。いろいろな角度からセキュリティに正面から向き合う機会になりました」

2003年、NTTドコモは商用の携帯電話網を用いたソフトウェア更新システムの開発と導入に世界初成功。数百億円規模の効果を生み出す仕事に貢献したとして、森山はNTTドコモから表彰されたほか、出向元でもMVPに選ばれた。

情報通信技術委員会（TTC）の2022年度情報通信技術賞など、森山はこれまで数々の表彰を受けてきた

その後、大手電機メーカーの関連会社の携帯電話メーカーへ転籍し、Androidスマートフォンの開発を担当していた森山は、2011年から再びNTTドコモで働くことになる。今度は出向ではなく、NTTドコモへ転職した。Androidスマートフォンに本格的に取り組んでいくにあたって、グーグルの本社があるシリコンバレーに拠点を構えることにしたNTTドコモ。このシリコンバレーの現地法人のシニアバイスプレジデントとして、Androidのエキスパートとしてグーグルとの関係も深く、ジョージア工科大学への留学など海外経験も豊富な森山に白羽の矢を立てたのだ。

FIDOと出会ったのは、シリコンバレーから日本へ戻る直前の2014年のことだったという。帰国後、プロダクトイノベーション担当部長に就任すると、世界初の虹彩認証搭載スマートフォンの開発が進んでおり、そこで森山はFIDO認証を組み合わせることにした。

「生体認証はお客さまにとって、便利に使えるものになるはず」。FIDO認証は、プロダクトイノベーション担当部長として手掛けた数多くのイノベーションの1つに過ぎないが、FIDO認証に大きな可能性を見出した森山は、総務省の「マイナンバーカードの機能のスマートフォン搭載等に関する検討会」の構成員を務めるなど、セキュリティの専門家としての道を本格的に歩み始めることになる。

多様な精鋭集まる「タイガーチーム」が不正アクセスに迅速対応

このように多様な実績を積み上げてきた森山だが、これまでのキャリアを通じて一貫して重視してきたのが「徹底的にお客さま目線で考える」ことだという。

その森山が、ドコモ口座の事案の反省も胸に、現在特に注力していることの1つが、不正アクセス対策の一層の強化だ。その一環として、不正アクセス対策委員会を設置し、その取り組みとして全社横断での「タイガーチーム」も立ち上げた。

タイガーチームとは、特定の問題解決のために集まった専門家集団を指す。不正アクセス対策委員会として設置したタイガーチームの役割は、不正アクセス関連事案への迅速な対応。特徴の1つは多様性だ。

「セキュリティの精鋭だけではなく、店舗運営、お客様サポート、法務、広報などの精鋭が集まります。セキュリティというと、どうしてもテクニカルな調査に偏りがちですが、『お客さまを第一に考えよう』と、私はお客さま対応やメディア対応などを『ビジネストラック』と定義し、セキュリティ以外の精鋭も集まるタイガーチームを組成しました」

図表2　不正アクセス対策のための「タイガーチーム」

不正アクセスが疑われる事案が見つかると、タイガーチームは即座に対策会議（初動判断会議）を開き、解決に動き出す。「タイガーチームができて2年経ちますが、大きな成果につながっています」と森山は言う。

「変化の持続と多様性で、楽しく発想を豊かに」をモットーにしているという森山。「チーフセキュリティアーキテクトとして、使い勝手の良いあんしん・安全に必要な取り組みを全社的目線で推進し、『さすがドコモだね』と言っていただけるあんしん・安全の実現にこれからも尽力していきます」と意気込んだ。

＜お問い合わせ先＞
NTTドコモ
URL：https://www.docomo.ne.jp/