エンジニアと立ち話。Vol.45 @yoshio44955454（メルペイSecurityチーム）ちょっとお話いいですか？

メルカリで働くソフトウェアエンジニアに、ちょこっとお話を聞いていく本シリーズ。第45回は、メルペイSecurityチームのマネージャー@yoshio（TwitterIDは@yoshio44955454）が登場します。

前職では、金融機関を対象にセキュリティ開発を行うなどしていた@yoshio。「事業会社でプロダクトを良くする仕事をしたい」ということでメルペイへ訪れたわけですが、実際に「中の人」としてセキュリティ業務をやってみてどうだった？そのギャップや面白さ、一貫し続けている「セキュリティ業務の考え方」などを明かしました。

そして今回の聞き手は、@yoshioと密に連携することが多いメルペイIT Risk Managementチームの「あの人」です。

セキュリティとは、事業・プロダクトあってこそ存在するもの

@cocoiti：@yoshioさん、@yoshioさん。

@yoshio：わっ！びっくりした！！顔が切れてますけど、@cocoitiさんですよね？何でしょうか？

@cocoiti：ちょっと、お話いいですか？

@yoshio：あー。

@cocoiti：@yoshioさんは、今年1月からメルペイSecurityチームのマネージャーを任されています。僕はIT Risk Managementチームなので連携することも多く、かつ、@yoshioさんとは「お互いに補完し合っている」感じがしていていいなぁと思っているんです。

@yoshio：それはうれしい！そもそもセキュリティとは、事業・プロダクトあってこそ存在するもの。ただセキュリティレベルを上げればいいわけではありません。厳しすぎて、お客さまに「使いたくなくなった」とさせてはいけない。とは言え、利便性を重視しすぎてセキュリティが疎かになり、お客さまが「怖くて使えない」となってもダメ。安心安全を守ることを第一にしつつ、どういった状況がベストなのかを、プロダクト開発チームと一緒に考えていくことが非常に大事です。

@cocoiti：絶妙なバランス感覚が求められますよね。メルカリにもSecurityチームはありますが、そこから切り分けられた感じだったんでしょうか？

@yoshio：メルペイは当初、メルカリSecurityチームの力を借りながらプロダクトを守る体制でした。その後、どんどん事業や組織が大きくなってきたことから、「メルペイ独自のセキュリティ体制をつくったほうがいいのでは？」となり、誕生したのがメルペイSecurityチームです。今ではメルカリと連携しつつ、いろいろな施策を動かしています。メルペイSecurityチームは、サービスやお客さまを守ることはもちろん、すぐにメルカリと一緒に動ける体制づくりも肝だったりします。

「事業会社でプロダクトを良くする仕事がしたい」

@cocoiti：@yoshioさんは、前職でもセキュリティ業務をしていたんですか？

@yoshio：そうですね。僕のファーストキャリアは、独立系ベンダーでのシステムエンジニア。おもに、銀行で使われるシステムを開発していたんです。3年ほど開発を担当しているなかで、リスクマネジメントに興味を持つようになりました。そして、監査法人に転職。そのときに配属されたのが、それこそ今@cocoitiさんがやっているような他社のITリスク管理を行う部署だったんです。6年ほど、大手金融機関に出向などしながら、内部監査の人とやりとりしていました。そうすると、今度は「事業会社でプロダクトを良くする仕事をしたい」と思い始めて…。

@cocoiti：そしてメルペイへ？

@yoshio：でも、当初はメルペイへ転職することは考えていませんでした。前職でメルペイの存在を知り「軽く話を聞いてみようかな？」程度。当時の様子をカジュアルに話を聞いていくなか、@sowawaさん（メルペイCTO）に会う機会があって。

@cocoiti：強烈だったでしょう？

@yoshio：はい、強烈でしたし、衝撃的でした（笑）。何て言うかもう、本心から楽しそうにメルペイの未来や技術、可能性についてずっと話し続けていましたね。その時間が、すごく楽しかったんです。「ここなら、面白い仕事ができるかもしれない」と思い、2018年10月にメルペイへ入社しました。

セキュリティに正解はない、だから単独で進めてはいけない

@cocoiti：先ほど、メルカリSecurityチームとの連携が肝だと話していました。具体的に、どんな感じで連携しているんですか？

@yoshio：基本的には、Slackでやりとりしています。また、MTGもこまめに行い、新たに取り入れる社内システムの検討などを話し合ったりしていますね。メルカリとメルペイは、同じグループ。個々に施策を進めると、方針がズレてしまいます。これまでの歴史や背景を把握・理解しながら、セキュリティレベルをどうすべきか、議論しながら進めています。

@cocoiti：単独で判断しないようにしているんですね。

@yoshio：そうです。これはセキュリティ全般に言えることですが、人によって「ここまで厳しくしたほうがいい」「ここはゆるくていい」など、厳しさの度合いが異なります。本当に、正解がない世界なんです。だからこそ、関係者と話し合い、意見をすり合わせながら進めないと「会社にとってベストなセキュリティ」は出せません。@cocoitiさんがいるIT Risk Managementチームとのやりとりが密なのは、常に意見を合わせていなければならないからです。

@cocoiti：そうですね。セキュリティに関しては、絶対に一人で決められないものだと思っています。@yoshioさんは金融機関でセキュリティ担当をしていた経験があるので、よく「どう思う？」と質問させてもらっています。逆に、@yoshioさんからも「ベンチャーとしてどう思う？」と聞いてもらったり。そういう意味で、僕らは「いいとこ取り」ができていますね。

@yoshio：はい！今のメルペイSecurityチームとIT Risk Managementチームは、いいタッグを組めていますね。

セキュリティ担当者たちが評価される風土をつくりたい

@yoshio：メルペイに入社して驚いたのは、メンバー全員が同じ目線で話ができていることでした。それに、バックグラウンドは違えど、メンバーそれぞれに何かしら光るものがある。おかげで、誰であろうと自由に意見を言い合える。これは、すごくいいところだと思っているんです。

@cocoiti：それは、僕がメルカリに入社したときにも感じていたことです。メルカリにもメルペイにも、メンバーそれぞれのスキルセットで同時に走っていけるようなところがあります。これは、面接時にカルチャーフィットをしっかり見ているからかもしれないですね。

@yoshio：それはありそう。先ほど、入社前に@sowawaさんと面談したことをお話しましたが、カジュアルな雰囲気で話しつつ、しっかり見られているんだろうなと感じていたので。

@cocoiti：そんなメルペイで、@yoshioさんはどんなことをやろうとしているんですか？

@yoshio：そうですねぇ。まずは、メルカリ・メルペイの連携強化。そこから「何かが起こる前に対応できるセキュリティ体制」を目指せないかと考えています。そのためには、小さな兆候をすぐに捉え、素早く対応できる仕組みが必要。あと、個人的には、セキュリティ業務を担当するメンバーがもっと評価される風土もつくりたいんです。

@cocoiti：それいいですね！

@yoshio：セキュリティ業務は、何かトラブルが起きないと評価されない側面があります。もちろん、何も起きないことが一番ですが…そうすると、皮肉なことにセキュリティ担当者たちのモチベーションは上がりにくい。なので、他社にも活かせるリスク管理フレームワークをつくるなど、どんどん社外に発信できるものもつくっていけないか？と考えているところです。これが完成したら、加盟店さまや連携先銀行さまに使ってもらったりして、広げていけたらいいですね。