新時代のセキュリティとエンタープライズをつくるために——新CIOと現CISOが共に描く未来

2023年10月、新CIOとしてCorporate Engineeringチームに進谷浩明（@hiroshin）がジョインしました。

そこで今回は、新CIO着任の背景やメルカリが目指すSecurity&Privacy、Corporate Engineeringの未来について、現CISOの市原尚久（@ichihara）と新CIOの進谷の対談形式でお伝えします。

これからのメルカリの長期的な成長にはCIOの存在が不可欠

――まず、Ichiharaさんの管掌領域について教えてください。

@ichihara：現在はメルカリ内のSecurity&Privacy DivisionにてCISOとして、メルカリのあらゆる企業活動に関わるセキュリティとプライバシーの全てを統括しています。

Security&Privacy Divisionは、「メルカリ」や「メルペイ」などのプロダクトの他、プロダクション環境、開発環境、エンタープライズ環境、従業員の業務に関わる全ての情報セキュリティ、サイバーセキュリティ、プライバシーに関わるリスク低減やガバナンスを担っている部門です。

私は2022年に入社し、新しいSecurity&Privacyのミッションとビジョンの策定、CISO Officeの新設に加え、FIDOなどの不正対策強化、セキュリティの成熟度評価やロードマップ策定、ソフトウェア・サプライチェーンリスクへの対応に取り組みました。また、最近では、各種セキュリティオペレーションの自動化などに注力してきました。

――今回、なぜ新たにCIOを採用することになったのですか？

@ichihara：メルカリの長期的な成長を支えるスケーラブルなオペレーションや、グローバルプレイヤーを目指すテック企業として必要な新しいエンタープライズアーキテクチャへのシフトが不可欠だと考えているためです。

2023年2月にメルカリは創業10周年を迎え、メンバーは2,000人を超えました。US以外にもインドに開発拠点を構えるなど、非常に多くのクラウドサービスを利用する「クラウドネイティブの日本の大型テックカンパニー」と呼べる企業になったと感じています。

これまでを振り返ると、2013年のチーム設立直後から、PC管理、エンタープライズ環境の管理や課題解決、VPNやVDI環境の整備など、現場レベルでは様々なことに対処してきました。次のフェーズへ進むため、より戦略的な目線と実効性のあるロードマップを描き、組織を動かしていける責任者（CIO）の存在が非常に重要だと考え、採用に踏み切りました。

――hiroshinさんはなぜメルカリのCIOとして入社することを決断されたのですか？

@hiroshin：前職の楽天では、2017年からUSに出向し、アメリカ地域のコーポレートITをリードしていました。2022年に帰国した後は、日本本社で1年半弱、グローバルコーポレートITのマネジメントに携わっていました。楽天のコーポレートITは、グローバル化が進んでおり、グローバル戦略とオペレーションの面でかなり成熟した組織でした。そのマネジメントの一端を担うのは非常にやりがいのある仕事でしたが、徐々に「そのような組織を一から作ってみたい」と考えるようになりました。

メルカリは、指名委員会等設置会社への移行に象徴されるように、グローバルなエンタープライズ企業への成長に向けてちょうどフェーズが変わってきている段階にあり、自分が望んでいたチャレンジができる環境にあると感じたのと、自分の経験がメルカリの成長に活かせるのではないかと考え、入社を決心しました。

メルカリのCorporate Engineeringは、コミュニケーション基盤やアプリケーション基盤の領域においては、一般的なエンタープライズ企業よりもかなり進んでいると思います。例えば、ServiceNowやWorkatoなどのアプリケーション基盤で多くの業務プロセスが連携・自動化されており、コミュニケーション基盤の一つであるSlackで様々な業務処理を完結することができます。一方で、ITサービス管理やIT基盤、そしてシステム／データ連携などにおいては改善の余地があり、エンタープライズITに成長するにはいくつかの課題が存在しています。さらに、組織のグローバル化という意味ではまだまだこれからという状況で、まさに私がチャレンジしたかった環境がここにある、そういう印象です。

Security&PrivacyとCorporate Engineeringの連携強化で、ビジネス成果創出とセキュリティ保護を両立

――Security&PrivacyとCorporate Engineering（IT部門）のそれぞれのチームでは、どのように業務の棲み分けを行なっていますか？

@ichihara：これまではIT部門の中に情報セキュリティのチームを配置している企業が一般的でしたが、メルカリでは、私が所属しているSecurity&Privacyチームがほぼ全てのプロダクトとグループ全体のエンタープライズや業務に関わるセキュリティとプライバシーを統括しています。そのため、プロダクト部門やエンジニア部門などと協働でプロジェクトを推進したり、OKRを共有したり、日頃から密なコミュニケーションを行なっており、Corporate Engineeringとは独立した業務も多く受け持っています。

一方、Corporate Engineeringチームは、一部プロダクトに関わる業務はありますが（セキュリティとは関係なく）、エンタープライズ中心の課題や業務を多く扱っています。今後、Security&PrivacyチームとCorporate Engineeringチームが共同で動くことで、生産性向上や改善効果が期待できます。一部のプロジェクトでは両チームでOKRを共有して協業し、それ以外のプロジェクトや業務については、それぞれが独立した形で業務を進めるように棲み分けを行なっています。

――メルカリではIT部門とセキュリティ部門が独立した体制を取っているんですね。hiroshinさんは、メルカリのこうした体制についてどのように感じていますか？

@hiroshin：インターネットの普及やデジタル技術の進化に伴い、サイバー脅威が進化・高度化してきたことで、多くの企業でIT部門とセキュリティ部門を独立した組織として構成するようになってきています。特にネット企業はサイバー脅威に直面しやすいため、ほぼ全ての企業でこの組織体制を取っている認識です。そして、多くの企業で、メルカリのようにセキュリティ部門を率いるCISOとIT部門を率いるCIOを別の人間が担当する形を取っています。

CIOは情報技術を通じて組織のビジネス目標を達成することに焦点を当てており、効率性や生産性を向上させることが求められる一方で、CISOはセキュリティを確保し、情報資産を保護する役割を果たしています。これらの業務目標はしばしば対立することがあるため、メルカリのようにCISOが独立した役割を果たすことで、セキュリティ上の懸念を客観的に評価できるようになる。つまり、より効果的なリスクコントロールが可能になると理解しています。

ただ、CIOとCISOの連携とコミュニケーションも極めて重要で、適切な情報共有と協力がなければビジネスの成果とセキュリティの保護のバランスをとることが難しくなるため、メルカリではCorporate EngineeringチームとSecurity&Privacyチームの連携を重視した組織体制を取っています。

これまでにないSecurity&Privacy、Enterprise ITを創造し、この領域の先駆者でありたい

――Security&PrivacyとCorporate Engineeringのチーム連携を強化しているとのことですが、おもにどのようなことに取り組んでいますか？

@hiroshin：Corporate Engineeringチームとして目下取り組んでいるのは、ITサービス基盤と運用の高度化です。ITセキュリティとIT統制関連のアクションアイテムが多いため、Security&Privacyチームとの連携が極めて重要になってきます。そこで、連携を確実なものにする仕組みとして、Security&PrivacyチームとCorporate Engineeringチームの共通OKRを設けることにしました。

FY24 Q3（2024年1月から3月）としては、「IDアクセス管理の高度化」と「エンドポイントの管理性と堅牢性の向上」の2つのドメインで共通OKRを設け、プロジェクトを推進しています。今後も各期で適切な共通OKRを設け、ITセキュリティとIT統制の高度化を確実に進めていきたいと考えています。

@ichihara：私たちは、長期目線でさまざまな側面の「高度化」を目指していますが、今年から始めた取り組みの1つに「AI/LLMの業務活用」があります。もちろん、まだ現在のGenerative AIの技術が企業活動で活躍できる範囲は限られています。

しかし、これまでAIなしに取り組んできた半自動化したオペレーションや、ローコード・ノーコードの業務DXに対しても、AI/LLMを組み合わせることで生まれるバリューがあることを考えると、業務へのAI活用の側面は、まだ発見できていない多くの可能性があると思っています。そのため、メルカリ社内のAIのプロフェッショナルと、Security&Privacy、Corporate Engineeringの日本語話者、英語話者の混合チームでこのプロジェクトに取り組んでいます。

――それぞれのチームが目指す未来像について教えてください。

@ichihara：創業11年目を迎えたメルカリは、本格的なグローバル進出と、より大きなグロースを目指してチャレンジの真っ最中にいます。セキュリティとITはこれらのブロッカーとならず、スムースでスケーラビリティな企業の成長と事業グロースを支える柱でなければなりません。

例えば、20年以上変わらない業界ルール、プロセス、ドキュメントベースの業務などは大胆にスクラップ＆ビルド、トライ＆エラーを繰り返して、全面的な自動化とDX化を推進し、これによるリスク・コスト・ガバナンスの3つの軸をより高い精度で可視化していきたいと思っています。このように、これまでにない全く新しいかたちのSecurity&Privacy、Enterprise ITを創造し、この領域の先駆者でありたいと思っています。

@hiroshin：昨年10月に入社してから3ヶ月間、Corporate Engineeringチームのミッションと今後3年間のロードマップについてメンバーと議論を重ね、新しいミッションを「技術力と実現力でメルカリの可能性を広げる」に設定しました。

昨年アップデートされたメルカリのグループミッション「あらゆる価値を循環させ、あらゆる人の可能性を広げる」を力強く支える存在でありたい。そう考えた時に、私たちCorporate Engineeringチームとしては「従業員・事業・組織・経営の持つ可能性を最大限に広げる」ことにコミットしていくべきだと考え、「メルカリの可能性を広げる」をミッションの骨子に据えることにしました。そして、「メルカリの可能性を広げる」ための私たちのコアコンピテンシーは何かと考えた時に、やはりそれは「技術力」であるべきで、技術集団として従業員の抱える課題や経営課題を解決する存在でありたいと考えました。ただ、技術力だけではメルカリの可能性を最大限に広げるには不十分です。実際に行動して実現させる力が技術力と等しく重要だと考えています。

ロードマップは、今後3年間「ITサービス基盤と運用」「アプリケーション基盤とコーポレートシステム」「組織と組織運営」の3つの領域で高度化を推進していく、というのが基本方針になります。

まず「ITサービス基盤と運用の高度化」ですが、Corporate Engineeringチームは、メルカリで働く全てのメンバーがより安心して業務に専念できる環境を提供し、事業の成長に貢献していく必要があると考えています。そのためには、現在のITサービス管理とIT基盤において、あるべき姿とのギャップをしっかり埋めていく必要があります。また、メルカリが事業成長するにつれてIT統制の重要性が増しており、この文脈でITサービス管理について「People」「Process」「Technology」の観点から総合的に成熟度を上げていく必要があると思っています。これらを実現するためのイニシアチブをOKRに組み込み、1月から推進し始めたところです。

次に「アプリケーション基盤とコーポレートシステムの高度化」ですが、ここ数年でメルカリにはエンタープライズに適したシステム群が導入されてきてはいるのですが、そのシステム群の連携が最適化されていないという課題があります。そのため、ここをしっかりとロードマップに組み込んで推進していきます。また、各システムに蓄積されているデータの活用が不十分という課題もあり、社内データの民主化、データドリブン経営を牽引するコーポレートシステムの実現に向けて、データ基盤の整備にも取り組んでいきます。ここについては、まずは人事データ連携を中心としたアーキテクチャ議論を行なっています。さらに、AI/LLMの社内業務への活用も重要テーマの一つに設定し、今期のOKRに組み込んで推進を開始しています。

最後に「組織と組織運営の高度化」ですが、ここについては、戦略の立案から実行まで一気通貫で管理できる形に持っていく必要があると考えています。これによって、適切でタイムリーな優先順位付けやリソースの最適な配置が可能になります。それに向けて、短期的にはプロジェクト計画とプロジェクト管理、予算計画とコスト管理の成熟化を図っていく予定です。加えて、組織のグローバル化に向けての施策も打っていこうと考えており、これらを通して、次の3年で世界からも参照されるIT組織となるための礎を築きたいと思っています。

参考書に書かれていない未知の課題を解く、「Go Bold」な未来の仲間を募集中！

――最後に、未来の仲間へ向けてメッセージをお願いします。

@ichihara：メルカリは失敗を恐れず「Go Bold（大胆）」にチャレンジする価値観をとても大事にしています。メルカリのようなクラウドネイティブなセキュリティとエンタープライズの領域は、参考書に書かれていない問題や課題がまだまだたくさんあります。これらを乗り越えて新しい時代のセキュリティとエンタープライズを作るには、壁をどんどん壊して、自分自身をアップデートしていける強さと柔軟さが必要です。そんなチャレンジを一緒に楽しんでいける方、ぜひお待ちしています。

@hiroshin：私たちは、長期的な目標として「Corporate Engineeringのモデルケースとして、世界からも参照されるIT組織となる」ことを掲げています。この目標に向けて、今まさに第一歩を踏み出したところです。この長期目標に向けて、これから様々な変化が起きていくことになりますが、そのようなダイナミックな環境を楽しめる方、ワクワクした気持ちでプロジェクトや日々の業務に取り組んでいただける方に仲間に加わって欲しいですね。未来を切り拓くための道を共に歩んでいただける方と出会えることを楽しみにしています！