「永遠に教科書にならない挑戦を楽しむ」 - メルカリCISO・市原氏：セキュリティリーダーの視座（1/3 ページ）

連載「セキュリティリーダーの視座」第1回は、認証分野で先頭を走るメルカリ CISO 市原尚久氏である。住基カードに搭載したセキュアなICチップOSの開発や日本初のFIDO導入プロジェクトを推進した経験を持つ同氏は、豊富な知識と広い視野を武器にメルカリのセキュリティを牽引する。

[星原康一，ITmedia]

　メルカリのCISOとしてセキュリティ＆プライバシーを統括する市原氏は、「セキュリティは永遠に教科書にならない挑戦の連続」と語る。

　過去には、住基カード（現・マイナンバーカード）に通じるICチップOSを開発して欧州セキュリティ認証を得たほか、dアカウント再設計において日本初のFIDO導入を推進するなど、認証技術において造詣が深い。

　また、LINEではグローバル不正対策や当局対応を主導するなど、インシデント対応においても経験が豊富だ。2022年に参画したメルカリでは、AIセキュリティ専任体制の整備、パスキー必須化、マイナンバーカードによるセルフリカバリーなど、ユーザー体験に直結する実装を前進させている。

　市原氏はどういった考えを持って難局を乗り越え、現在の業務に挑んでいるのか。本人に振り返ってもらう。

---

市原尚久（ICHIHARA Naohisa）
――メルカリ　執行役員　CISO、メルコイン　取締役

Photo by 山田井ユウキ

　1990年代前半、大学・大学院にてAIを研究。1995年にNTTデータへ入社してセキュリティ担当者に。2000年代前半には住民基本台帳カードに通じるICチップOSの開発と欧州認証取得に挑み、接触／非接触の両対応では世界で初めて認証を取得した。2010年前後にはNTTドコモのdアカウント再設計で国内初のFIDO認証導入を支援。2015年からはLINEでグローバル不正対策と当局対応の最前線に立って対応する。2022年にメルカリへ。現在はセキュリティ＆プライバシー部門を統括し、米国拠点のCISOも兼務。FIDOアライアンスのボードメンバーとして国際議論をまとめている。

---

住基カードICチップのOS開発への挑戦で、単身渡仏

――まず、市原さんがセキュリティに携わることになった原点を教えてください。

市原氏：　大学・大学院ではAIを研究していました。その後、1995年にNTTデータへ入社しましたが、そのときに初めて同社でセキュリティ担当が作られて、そこに配属されました。

　当時のインターネットは創世期で、今のようなHTTPSやPKI(Public Key Infrastructure：公開鍵基盤)もなかった時代です。研究開発とプロダクト支援を半分ずつ担うような業務内容で、定石のないテーマに向き合う日々でした。

――キャリアの大きな転機はどこでしたか。

市原氏：　2000年代前半の、住民基本台帳カードに通じるICチップOSの開発プロジェクトですね。

　ご存知かもしれませんが、ICチップにもCPUやメモリがあり、その上にOSがあるんです。電力は、読み取りや書き込み時に外のデバイスから供給されますが、基本的な構造はPC等のIT機器と大きく変わりはありません。

　そのICチップのOSを非常にセキュアなかたちで作るというのがプロジェクトのミッションでした。参考書がほぼ存在しない世界で、しかもICチップに焼き付けるのには2カ月くらいかかりますし、焼き付けたら戻せないというハードウェアの制約があります。メモリは極端に少なく、パッチにも限界があります。一般的なソフトウェア開発とは違い、とても時間のかかる作業ですね。

　ICチップの評価機関は、当時、日本には十分なものがありませんでした。みなさんあまり意識しないかもしれませんが、ICチップのOSなんて、一番重要なトラストポイントじゃないですか。ましてや、マイナンバーカードのように人を証明するものとなればなおさらです。

Photo by 山田井ユウキ

　そこで、当時先行していたフランスの認証機関を中心にドイツやイギリスとも連携する枠組みで認可取得に挑戦しました。ICチップを作る会社がフランスにありましたので、志願して単身フランスに移住し、欧州で認可を取ることを目指して開発を進めました。

　審査は、ソースコードのチェックだけでなく、悪用されることを想定したブラックボックステストも実施されます。例えば、処理の途中で高電圧（グリッチ）を当てて認証やアクセス制御の判断ロジックをバイパスさせる、といった教科書に載らない攻撃が試されます。カードの偽造も含めて、不正ができるポイントがないか、繰り返しテストされます。

　何度も審査に落ちては作り直し、再審査をお願いしました。改良を重ねながら、特許も多数取りましたね。その甲斐あって2005年に、接触／非接触の両対応タイプでは世界で初めて認証を取得できました。

　このプロジェクトでは、もちろん良い経験もありましたし、トラウマのように辛い記憶として残る経験もありました。それでも私の中で最も濃い時間を過ごすことができました。

国内初のFIDO認証導入に携わる

――その後、ドコモの認証再設計にも関わっています。どのような業務だったのでしょうか。

市原氏：　2010年前後、NTTドコモがiモードからインターネットへインフラを乗り換える時期に、当時のドコモID（現在のdアカウント）の認証方式の見直しを支援しました。その後、NTTドコモが日本で初めてFIDO導入するプロジェクトに関わり、セキュリティを支援するプロジェクトのリーダーも経験しました。

　ここでは、ICカードOSで学んだ、評価機関に通る実装方法やエビデンスの設計が生きました。また、単に技術を取り入れるだけではなく、悪用も含む運用を想定して説明できるかたちにまで落とし込むことを心掛けました。課題は多くありましたが、非常に楽しかったです。