最高のセキュリティとは？メルカリを守るエンジニアの本音

フリマアプリ「メルカリ」の安全性向上のために、セキュリティチームはプロダクト開発における技術的サポートだけでなく、社内メンバーのトレーニングや業務支援などを日々行っています。

そこで今回のメルカンは、2018年1月～3月期のAll for One賞を受賞した、同チームの八木橋優さん（@yagihashoo）にインタビュー。透明性の高い環境にいるからこそ直面する、セキュリティエンジニア特有の悩みとは…？

八木橋優（Yu Yagihashi）

大学卒業後、大手セキュリティベンダーに入社。セキュリティコンサルタントとして主に金融業界の技術的課題解決に携わる。2018年1月にメルカリへジョインし、メルカリ／メルペイ／ソウゾウの多岐にわたるセキュリティエンジニアリングに従事。

オープンすぎるメルカリにカルチャーショック

ーまずはAll for One賞、おめでとうございます！　八木橋さんがメルカリへジョインしたのは2018年1月ですよね？

そうです。入社してすぐに驚いたのは、メルカリがオープンすぎることでした！「ここまでオープンにするの!？」というくらい（笑）。

例えば、プロダクトのソースコードはGitHub上ですべてのエンジニアに公開されていて、セキュリティエンジニアであっても自身でコードの修正からリリースまでを行うことができます。また、経営陣からの声が直にメンバーへと伝わることも多く、サービスや会社がとても身近ですからね。

ー受賞時のコメントに「対応すべき範囲がとにかく広い」とありましたが、具体的な業務を教えてください。

専門領域である、アプリケーションセキュリティの確保に向けた施策立案〜実行がまずひとつ。さらに監視カメラをどこにどういった角度で設置するかといった物理的なものから、社員に向けたセキュリティアウェアネスの向上まで、多岐にわたります。

Slackでいち早く注意喚起を行うことも

先ほどもお話ししたように、メルカリでは社内メンバーであれば非常に多くの情報にアクセスできます。つまりそれは、セキュリティレベルを高く保たなければならない範囲が広いことを意味します。

セキュリティチームは社内で対立構造を生みやすい

ーセキュリティリスクの問題など、他チームからの相談も多いものですか？

多いですね。そういったやりとりの中で最も意識しているのは、「サービスや会社をより良くしていくための助けになりたい」と伝えることです。

というのも、セキュリティチームの仕事は、調査などをする関係上どうしても他チームの動きを止めてしまうことがあります。そうすると「セキュリティチームになにか言うと、業務を止めざるを得ない」と思われたりして、対立構造になってしまうんです。

こういった意識的な問題を解消し、解決案などを聞き入れてもらえるようになるためには、他チームからの信頼が必要不可欠です。そのためにも日々、さまざまなタイミングで積極的に介入していますね。

ーストレートに聞きますが、いま社内での信頼感はどうですか？

難しい質問ですね（笑）。今年できたばかりのチームということもあり、全社的に浸透させていくにはまだまだです。

でも社員は皆レベルが高いので、細かく説明しなくともすぐに理解してくれますし、逆に有意義な質問が返ってくることもあって、楽しく仕事ができています。

そのなかでのAll for One賞は、正直驚きました。セキュリティの仕事は裏方であることが多いので、表に出してもらうというか、フィードバックの機会を得られたのがうれしかったです。

深く考えなくても安全というシンプルなセキュリティへ

ー今後、どういったことにチャレンジしていきたいですか？

僕は、オープンなメルカリ文化を守りたいんです。そのために「深く考えなくても安全」というシンプルなセキュリティを目指しています。

どうしてもセキュリティを担保しようすると、制限をつけよう、情報を隠そうとしがちですが、「隠す必要がない状態」にするのが理想的な姿だと思うんです。

例えば、エンジニアが安全なコードを自然と書けるような仕組み作りであったり、セキュリティテストの自動化であったり。また、Mercari Engineering Blogでも紹介されていますが、インシデント発生時に人を責めるのではなく、原因に立ち返って問題を解決していく…そういった考え方を広めていくことです。

GDPRや改正割賦販売法など、世の中のセキュリティ事情が大きく変化してきています。その中で、メルカリのオープンな文化を守りながらも力を発揮できる組織を作っていきたいですね。

実はいま、めちゃくちゃ苦労しています

ーセキュリティチームにはグローバルメンバーが多いと聞きました。

現在5名ですが、日本人は自分だけなんです。もちろん会話は英語なので、他チームから日本語で相談が来ると、自動的に自分が窓口になります（笑）。

コミュニケーションが大事なのに、英語というフィルターが入ることで、ちょっとした悩みをすぐに表現できないことがあります。

ーですが、よく共有スペースで楽しそうに話し合っていますよね？

たしかに（笑）。セキュリティ用語はカタカナが多いから通じやすく、そこに助けられてる部分も大いにあります。

セキュリティチームのメンバー

いやー、本当にすばらしい環境です。英語必須の場所ってあまりないですからね。貴重な体験をさせてもらっています。

【セキュリティチームでは一緒に働く仲間を募集しています】

ソフトウェアエンジニア（Security / Tech）
情報セキュリティオフィサー (Information Security Officer)