セキュリティ意識の高まりを「いい波」に変えろ──担当者らが今を“変革期”と語るワケ #今メルカリとメルコインが一緒に働きたい仲間

「メルカリグループにおけるセキュリティマネジメントは、大きな変革を迎えようとしているんです」

そう話すのは、メルカリとメルコインそれぞれのセキュリティマネジメントを担当するメンバー2人でした。

求人情報には、必須・歓迎条件、求める人材像が記載されていますが、もう少しくわしく言うとどんな人？そこで誕生したのが、メルカリグループで採用に関わるメンバーが“仲間募集中”なチームに根掘り葉掘り質問していくシリーズ企画「#今メルカリとメルコインが一緒に働きたい仲間」！

今回登場するのは、メルカリグループ（メルカリ・メルペイ・ソウゾウ・メルコイン）のセキュリティマネジメントチームの竹脇 竜（@ryu）、そしてメルコインセキュリティチームの竹井悠人（@yuto）。2人ともマネージャーを務めていますが、業務内容やスタンスに違いはあるのでしょうか？さっそく、話を聞いてみました！

メルカリ、メルコインそれぞれの「セキュリティマネジメント」

──まず、こちらがメルカリグループ（以下メルカリ）とメルコインのセキュリティマネジメント業務の内容です！

＜メルカリグループ＞
・ 情報セキュリティ管理体制の構築および評価、施策の立案、推進
・ セキュリティリスク及びコンプライアンスの社内専門家としての他チームへのコンサルティング
・ 情報セキュリティに関する社内規程類の制定・改定
・ 規程に準拠するための情報セキュリティプログラムの管理及び実行
・ 情報セキュリティに関するプロセスの設計・構築、文書化と既存プロセスの改善
・ 情報セキュリティに関する社内教育・啓蒙活動の企画および実施
・ 外部委託、外部ベンダー、外部サービスの利用に関わるセキュリティの管理
・ 情報セキュリティに関する監査、検査対応、インシデント対応

＜メルコイン＞
情報セキュリティのスペシャリストとして、メルカリ・メルペイの各部署と連携を取り、企業のセキュリティ・コンプライアンス体制の確立に貢献していただきます。新規ポリシーやプロセスの企画実行、また、セキュリティリスクの軽減と社内の意識改革を目指したセキュリティ基準やフレームワークに基づいた施策の企画・導入を行っていただきます。

──似ているようで若干違う…？

＠ryu：セキュリティと言っても、さまざまな分野があります。その中で、メルカリでのセキュリティマネジメントは、いわゆるセキュリティの「ガバナンス面」を担当する仕事です。具体的にはセキュリティポリシー、規程、細則、マニュアルなど、セキュリティに関する“ルール”をつくるのが大きな仕事のひとつです。

他には、各メンバーが取り扱っているデータがどこに管理されているのか、どんな情報システムを保有しているのかなど、情報資産の管理にも取り組んでいます。情報資産の棚卸しを行い、それらを可視化。同時に、その情報資産に対するリスクアセスメントなども行っています。

それから教育啓発ですね。メンバーのみなさんに「会社のセキュリティにはこういうルールがある」と発信してルールの認知を広げ、行動してもらえるようにします。

このように情報やシステムを管理できる仕組みを作るのが、セキュリティマネジメントの仕事です。

竹脇 竜（@ryu）

──メルコインのセキュリティマネジメント業務はどうですか？

＠yuto：メルコインのセキュリティマネジメント業務もメルカリと大枠は同じです。ただ、メルコインは暗号資産を取り扱う会社。そのため、暗号資産のビジネスに関わる特殊なセキュリティを取り扱うところは、大きな違いと言えます。

具体的に説明すると、メルコインは暗号資産交換業を展開する予定です。そうなると、法律面では資金決済法や暗号資産交換業の事務ガイドラインなどに準拠しながら、社内のさまざまな規程や業務を策定しなければなりません。それらの中でも、情報セキュリティに関することだけでかなりの分量があります。

メルコインのセキュリティマネジメントはメルカリのような情報資産の棚卸しや教育に加えて、暗号資産ならではのスパイスが加わっているイメージです。

竹井悠人（@yuto）

──暗号資産ならではのスパイス！

＠yuto：暗号資産を取り扱う際は暗号資産の所有者を示す鍵が必要になります。その鍵の管理をきちんとできているのかどうか。また、お客さまの個人情報や取引データの処理方法、どこの国のデータセンターを使っているのかどうか。そういった部分も金融事業、特に暗号資産の事業では気にしなければなりません。

そして、メルコインはメルカリとは分離された社内システムを使う機会が多々あります。それを安全に使うためにどうすればいいか。通常の教育啓発に加えて、メルコイン独自の社内システムの研修も追加で行う必要があると考えています。こういった部分がメルカリとは違った、メルコインのセキュリティマネジメントの役割ですね。

セキュリティは、押しつけず、必要性を説く

──セキュリティマネジメントの仕事をするうえで、他メンバーとのコミュニケーションで意識していることなどはありますか？

＠ryu：メンバーとコミュニケーションする際に一番気をつけているのは、私たちの考えを一方的に“押し付けない”ということです。

セキュリティマネジメントの仕事は「できていないからやって！」というようなアプローチをとると、間違いなく反発にあいます。そのため、「なぜ、これをやらなければいけないのか」という“Why”を必ず説明するようにしていますね。丁寧にコミュニケーションさえすれば、みなさんは必ず理解してくれるし、率先して動いてくれます。

──丁寧なコミュニケーションをするようになったきっかけは？

＠ryu：メルカリへ入社した当初は、コミュニケーションでの失敗もかなりありました。2019年に大きなルール改正をしたのですが、事前の説明やコンセンサスの形成が万全じゃない状態でリリースしてしまい、エンジニアたちから反発を受けたことがあったんです。ルールは、ある意味で強制力を持ちます。ルールを守る側からすると、ともすれば押し付けられたと感じてしまうことにもなるわけです。そういった経験も経て、丁寧なコミュニケーションや合意形成をより一層心がけるようにしました。

──セキュリティマネジメントのルール周知は、対面じゃないと難しいところもあるように思いました。今は在宅勤務のメンバーもいますが、どうやって実施しているんですか？

＠ryu：ルール周知はいくつかの方法を組み合わせて実施しています。Slackでの全社周知に加えてeラーニングを実施したり、ルールの主要な対象となる職種ごとにオープンドア（いつでも相談できる機会）を開催したりもします。

ただ、セキュリティのルールの認知度はまだまだ低い。なので、今まで以上に教育啓発の取り組みをやっていく必要があると思っています。

暗号資産領域ならではのセキュリティの難しさ

──メルコインは立ち上げから半年ほど経っています。立ち上げならではの難しさと言いますか、「ここが大変だ」と感じているところはありますか？

＠yuto：暗号資産はIT分野の中でも特に変化が激しい業界のひとつです。暗号資産のセキュリティに関する法律整備やレギュレーションを追いかけていくことに加え、ビジネスを展開するにあたって将来的にどういうセキュリティの要素が必要か考えなければなりません。

例えば、あらかじめ対策を打っておかないと後々面倒なことになる要素を考えて設計しないと将来の拡張のときに大きな工数がかかるケースもあります。そうやって、長期的な事業展開を考えた上でセキュリティマネジメントを考えていくことも求められるんですよね。

とはいえ、今のメルコインがどれくらいセキュリティマネジメントができているかと聞かれると、まだまだ試行錯誤の段階です。セキュリティマネジメントチームに限らず、メルコインのほぼ全職種を積極採用中です。そのため、メルカリの他グループに比べて、まだ体制を整えきれているわけではありません。そうした現状を理解しながらも、メルコインもしっかりしたプロセスをつくっていかなければと思っています。

──メルコインのセキュリティマネジメントは、暗号資産を経験していない人だと難しいのでしょうか。それとも未経験でも大丈夫だったりする？

＠yuto：「暗号資産を経験したことがないから絶対に無理」と思うことはないです。セキュリティマネジメントは、暗号資産システムをつくっているわけではありません。もちろん、暗号資産の知識を持っていた方がいいし、金融的な知識もあった方が業務への理解も早い。しかし、暗号資産を趣味で触れたことがあるレベルでも、セキュリティに対する知識や経験があれば問題ないです。

──ちなみにメルカリとメルコインはどう連携しているんでしょうか？

＠ryu：多くの部分で連携しながら、業務を進めています。メルコインの立ち上げ、事業立ち上げのプロジェクトに際しては、メルカリのセキュリティマネジメントからも数人出向する形でサポートしています。

ルール整備の面では、メルカリがセキュリティルールのベースライン策定を担当。そのベースラインを踏まえ、各社が必要なルールをアドオンするイメージです。メルコインの場合は、暗号資産の事業で必要なセキュリティルールを追加するといった感じですね。

インシデントを機に、さらに強まったセキュリティ意識

──お2人とも、他社でのセキュリティマネジメント業務も経験しています。だからこそ感じるオリジナリティはあったりしますか？

＠ryu：メルカリは経営層のトップダウンでセキュリティに関することを決めるのではなく、どちらかと言えばボトムアップで進めることが多いです。そこが前職などとの違いを感じる部分ですかね。

また、メルカリはテックカンパニーを標榜していることもあり、なるべく効率化・仕組み化していくアプローチでなければ共感を得られません。多くの企業では手作業でシステム台帳を作成したりしますが、メルカリでは「自動化しよう」というアプローチになる。そして、エンジニアを含めたさまざまなメンバーがそのために必要な方法を一緒に考えてくれます。そこは、メルカリならではです。

＠yuto：自分はメルコインに入社して、まず技術力の高さに驚きました。ITGC（IT全般統制）をする上で、情報システムが相手ならば、統制の方法も情報システム上でやるべき。そのために自動化しながらも、きちんとセキュリティを保っていく方向に会社としてチャレンジしていく。そういう良い姿勢が、メルコインにはあります。

また、会社で「やる」と決めたセキュリティの取り組みには会社全体で真面目に取り組んでくれる。そういう理解力にも助けられていますね。

──逆に、今のメルカリのセキュリティマネジメントに足りていないと感じる部分は？

＠ryu：まだまだできていない部分はあります。メルカリは「Trust & Openness」というカルチャーのもと、情報の透明性や流通性が重視されてきました。セキュリティマネジメントの推進はそのカルチャーと相反する部分もある。自分が入社してからの3年間は、これまで形成されたカルチャーとセキュリティの推進のバランスをどうとるかで悩む部分もありました。

ただ、先日発生した外部のコードカバレッジツール「Codecov」に対する第三者からの不正アクセスというインシデントによって、社内のセキュリティに対する意識にも大きな変化があったと感じています。この一件を通して、やはり今の会社の状態ではインシデントが起こり得ると認識されましたし、インシデントが発生すると対応がどれほど大変であるかも全員が身をもって体験しました。だからこそ、さらにセキュリティを強くしていかなければいけないという共通の意識はさらに、そして確実に高くなっています。

＠ryu：インシデントそのものは、メルカリグループ全体として反省すべきことです。それは間違いない。でも、ピンチはチャンスじゃないですが、これを機にセキュリティマネジメントとして良いテコにしたい。もっと言うならば、この変化の機運を、絶対に良い波にしなければならない。

これを契機にメルカリのセキュリティをもっと良くする、もっと強くする動きに持っていくのが僕らの仕事だと思っています。今はそこを強く意識して仕事に取り組んでいます。

メルカリ・メルコインのセキュリティ業務に「柔軟性」を求めたい理由

──メルカリ、メルコインそれぞれで求める人材の共通点、また違いはありますか？

＠ryu：正直、求める人材のペルソナはどちらも同じで大きくは変わりません。とはいえ、仕事の面白みがそれぞれ少し違うのかな、と思います。

メルカリのセキュリティマネジメントは、全体方針の決定に関与することが多いです。メルカリとしてどっちの方向に行くかのキャスティングボードを握るケースが多いので頭を悩ませることが多いですが、言い換えれば、自分たちで決めて進めていけるわけです。

メルコインのように個社のセキュリティマネジメントは、そのビジネスに深く入り込み、事業を深く理解した上で進めていきます。だから、ビジネス部門のメンバーたちと連動することも多い。一方、メルカリは全体のビジネスのことを浅く広く知っている感じになります。そこには違った面白さがあるのかなと思います。

＠yuto：メルコインは、メルカリのベースラインに合わせつつ、暗号資産のビジネスに必要なセキュリティマネジメントの要素を加えていく。独自の要素を加えることに集中して取り組んでいくのが、理想型だと思っています。そこに探究心を持てれば、楽しいはずです！

ですが、暗号資産の業界ではまだセキュリティマネジメントのベストプラクティスがまとまっていません。体系的になっていないからこそ、メルコインが先に情報を収集し、発信していくのはいいのではないかとも考えているんです。そして、社会へ還元していく。そのあたりにも興味を持っている方が来てくれたら嬉しいですね。

──メルカリ、メルコインではどういった人材が活躍できそうですか？

＠ryu：「柔軟性」がある人ですね。メルカリの場合、前職の成功体験をそのまま持ち込むとうまくいかないケースも多いです。“郷に入れば郷に従え”ではないですが、「メルカリの中では何が一番良い方法か？」に今までの経験をプラスした上で、柔軟に考えを変えていける人が合うと思います。自分の考えに固執しすぎていないかという点は、とても重視しているポイントです。

＠yuto：自分も同じですね。もちろん、セキュリティのプロとして「こう思っている」「こう考えている」と意見を持つことは、グループ全体でも高く評価されます。ただ、自分の考えとは異なる方針に取り組もうとなったときに、Disagree（反対）していたとしてもコミットできるかどうか。自分は、そこを重視しています。

「あるセキュリティのプロジェクトを実行したい」と主張するのは、とてもいいこと。でも、いろんなメンバーと調整した結果、自分が主張した方針は採用されなかった場合、「じゃあ協力できないや」とならないかどうか。そこで投げ出さず、別の案を考えるなど、継続して考えていけるような人がいいですね。そういう意味でも、柔軟性がないと、厳しいと思います。

このタイミングならば「大きな変革」の中心メンバーになれる

──今のタイミングで、メルカリとメルコインのセキュリティマネジメントのメンバーとして参加するメリットを挙げるとしたら？

＠ryu：メルカリのセキュリティは、大きな変革期に突入しています。その変革を、自分が中心となって動かしていく。そして、メルカリグループ全体でのセキュリティを全く新しいものに変えていくことになります。その経験は、他の会社ではなかなか得られないと思います。

そして、その変革は現在進行系で、それもすごいスピードで進んでいます。通常、ある程度の規模がある企業なら3〜5年かけて取り組むところを、1年でやり遂げるようなスピード感です。その中に身を置くことで他にはない貴重な経験になるし、体験をした者にしか得られないスキルを身つけることができます。

＠yuto：メルコインは立ち上げ期ということもあり、これから作っていくフェーズです。自分もセキュリティの人間であると同時に、すべての分野がわかるわけではありません。いろんなものを勉強しつつ実践する。これを繰り返しているんですよね。

でも、メルカリには各分野にくわしいメンバーがたくさんいる。だから、すぐにいろいろなことを教えてもらえる。メルコインでセキュリティマネジメントをやることのベネフィットのひとつだと思います。

また、立ち上げ期は今までの仕組みを変えていくのではなく、どうやって仕組みをつくっていくか、どうやって導入していくか。そこに頭を使っていきます。今ないものを新しく立ち上げるため、全方位を見ることになる。その結果できあがってくるものは、きっと素晴らしいサービスになるに違いない、そう思いながら日々頑張っています。この感覚も「今しか」味わえないですよね。