「誰がやる？」「俺がやる」メルカリの基礎体力強化を担うDefence Forceチームの正体

フリマアプリ「メルカリ」において、安心安全にサービスを使っていただくことが何より大事。だからこそ、障害などがあれば早急に対応することはもちろん、平時からサービス上で「トラブルが起こらない」「安心して使い続けられる」状態をつくることも大事です。

そのため、メルカリのプロダクト開発チームではCRE（Customer Reliability Engineering、顧客信頼性エンジニアリング）チームを2018年2月に発足。そして翌年10月、新たにセキュリティ面に特化した機能開発を行うDefence Forceチームが誕生しました。

現在、CREはチームからグループへ拡大。Defence Forceチームはそのなかに属しています。これまでは、サービス全体のセキュリティの啓蒙・推進を網羅的に行うため、プロダクト開発チームから独立したセキュリティ体制でした。ではなぜ、Defence Forceをプロダクト開発チーム内に発足させたのでしょうか？チーム立ち上げに携わった篠原孝明と八木橋優に話を聞きました。聞き手は、同チームのTechnical Product Manager（TPM）の星野将です。

（写真左上から）篠原孝明、星野将、八木橋優

今のメルカリこそ必要な「セキュリティの実装までできるチーム」

ー私はチーム発足当時からTPMとして参加していますが、今回のインタビューでは、改めて経緯や目的を聞きたいと思っています。そもそも、なぜCRE内にDefence Forceチームがあるのでしょうか？

篠原：前提として、CREではお客さまの離脱因子を取り除くためにUX改善や、CSツールの開発や不正出品を検知するための機能開発を行っています。そこで僕はPMを担当していたのですが、お客さまの安心安全なやりとりを守ろうとすればするほど、セキュリティチームの協力が必要だとわかっていって。もっとスムーズに連携できる方法はないかと、ずっと考えていたんです。

八木橋：僕はもともとセキュリティチームにいたのですが、篠原さんとのやりとりが増えたのは、メルペイが誕生するなど、メルカリのサービス規模としても盤石な体制が求められ始めたタイミングでもありました。つまり、メルカリは以前のような「ただのフリマアプリ」ではない。メルペイという「ペイメントサービス」が加わったことで、お客さまにとって大事なものを預かるアプリになっている。にも関わらず、あってしかるべき機能がまだ少ない。僕としては、そこを早急になんとかしたいと思っていました。

しかし、セキュリティチームとプロダクト開発を行うCREとは別々の体制。また、セキュリティチームは会社全体のセキュリティの啓蒙・推進にフォーカスしていて、開発の実作業は各チームへ移譲していました。連携しようとするたびに調整が必要で…ちょっとした距離感があったんです。

ーセキュリティ観点で何かしようと思ったら、CRE側に人的リソースなどを相談する必要があった？

篠原：そうです。セキュリティ領域は、有事こそ素早い行動が認められるものの、平時では「やりたいこと」があっても、エグゼキューションに移すのが難しい。開発優先度を判断する際、ROIの仮説が立っているプロジェクトとリスクヘッジを天秤にかけなければならない。そのため、以前のメルカリ開発体制では、平時でセキュリティ業務を行う難しさがありました。

八木橋さんが話していたように、メルカリは、リリースされたばかりの頃とは違います。お客さまの安心安全を守り、かつ「安心して使い続けられる状態」をつくらなければならない。そこで、プロダクト開発チームで最もお客さまと距離が近いCREのなかに、「セキュリティの実装までできるチーム」としてDefence Forceチームをつくることにしたのです。

決済事業であるメルペイではなく、メルカリに身を置く理由

ー先ほどメルペイの話がちらっと出ていました。セキュリティに関しては、決済事業でもあるメルペイにチームを置いたほうがよかったりしたんじゃないかと思うのですが？

八木橋：メルカリとメルペイは、同じアプリ内に存在します。プロダクト全体に対してセキュリティ関連のやりとりをするなら、メルカリ本体を開発するチームに置いたほうがいい。そのため、メルペイはAMLやペイメント周り、僕らはログイン周りを注力するようなセキュリティ体制になっています。とはいえ、明確な線引きをしているわけではなく、必要に応じてお互いの領域に入ることもありますね。

篠原：ですね。お客さまにとって、メルカリもメルペイも関係ないですし。八木橋さんも言うように明確な線引きはせず、機能や画面単位で各チームが担当する感じになっています。ただ、僕らはメルカリ全体を見る意味でも、こぼれたボールは積極的に拾っていくことが重要。成熟したサービスとして、実装すべき機能やアップデートすべき機能が多々ある。しかし当該機能の実装を担当するチームが定義されておらず、アサインに時間を要するくらいならば「俺がやる！」というスタンスを常に意識していますね。

ーAMLやペイメント以外のセキュリティにも、いろいろな種類があります。Defence Forceチームは、どのあたりを中心に守っているんですか？

篠原：フリマアプリのセキュリティ観点は、次のような逆三角形で説明することができます。

篠原：一番上の大きな層が、お客さま間で起こるトラブル。その下が、素行が良くない人によるトラブル。一番下が不正や犯罪行為によるトラブル。Defence Forceチームでは、この一番下にある不正ログインなどの犯罪行為を防ぐための地盤づくりに注力していきます。

「安心安全だ」と判断する基準は？

ーセキュリティに関しては、人によって「こうすれば安全」の基準が異なります。篠原さんと八木橋さんは、どういった尺度で「安心安全」を図っているんですか？

篠原：僕の場合は、実家の母親や自分の子どもが安心して使える状態＝安全の基準だと思っています。

八木橋：安全の基準は、人によって異なりますよね。僕は、今のメルカリをもっと安心安全にできると思っているので、お客さまから「安全だから使っている」と言ってもらえることがゴールです。

ーなるほど。

篠原：セキュリティ領域は定量的に成果を図りにくいため、VOC（お客さまの声）やNPS（顧客ロイヤリティ）のようなものを基準にすることも多い。だからこそ、振り返ってみて「これは安全だった」と思えるかどうかは大事ですね。Defence Forceチームとしても、安心安全を守りつつ、ユーザーフレンドリーな機能をつくりたいです。

八木橋：ですね。ちょうど今、ログイン履歴をお客さまから見られる機能を実装したばかりです。とても小さいところですが、不正防止につながるだけでなく、お客さまが「安心だ」と感じられる機能は大事。優先順位をつけながら、とにかく実装していくのがDefence Forceチームの今のフェーズです。

Defence Forceチームが行う、メルカリの基礎体力づくり

ー篠原さんや八木橋さんは、Defence Forceチームのどこにモチベーションを感じているんですか？

篠原：そもそも僕、「事業を大きくすること」に興味があるんです。では、事業を大きくするには何をすればいいのか？事業の成長カーブは、組織の成熟度に比例します。強い組織をつくるには、多角的に強いプロダクトが必要。メルカリには、すでに「新しい武器」をつくることに特化した人がたくさん揃っています。一方で、防具をつくったり基礎体力を強化することに重きをおいている人はまだ少ない。

僕はこの領域が得意だったわけではないのですが、事業のグロースを考えると「武器」を使いこなすための「基礎体力」や「防具」をつくることに主軸をおいたチームはいたほうがいい。そして最初にCRE、続いてDefence Forceチームを立ち上げたのです。

八木橋：僕も、一番得意な領域からは抜けてきましたね。正直、開発者としてのバックグラウンドは薄いので、手探りで学びながらやっています。

あと、僕もメルカリの基礎体力をバキバキに鍛えたい。そのためにも、お客さまを安全なほうへ自然に誘導するような機能を追求したいです。使い勝手が良ければ必ずしもいいわけではない。使いやすさに直結するわけではないけれど、あった方が絶対にいい機能はあります。すぐには難しいですが、いっそパスワードをなくして、そこへの攻撃すらなくしてしまうような…そんな世界観を目指してもいいんじゃないかと思っています。

篠原：思考は限定的にしたくないですよね。Defence Forceチームは少し特殊なので、PM歴が長ければこなせるわけではありません。必須なのは、他チームを巻き込んでいく推進力と、既存にとらわれない発想力。何より、「お客さまファースト」であること。担当する案件の多くはリリースまでのスピードを求められるものが多いので、強く推進するうえで多少のハレーションが起きたとしても、無事リリースして1週間も経てば「いろいろあったけど、やってよかったわー」と関わったメンバー全員が笑えるような…。

八木橋：そう、最後に笑えるのって、Defence Forceチームだけじゃなく関わるメンバー全員がお客さまに向き合っているからなんですよね。Defence Forceチームは社内のあらゆるステークホルダーとの連携が多いからこそ、「お客さま」のことを中心に話を進める必要があります。「お客さまはこれを求めているはず」と親身に考えられる姿勢があれば、このチームを楽しめるかもしれませんね。

篠原：…と、理想や意気込みを語り続けておいてなんですが、実は僕、Defence Forceチームから離れることになりまして。次はNTTドコモ社との提携プロジェクトを担当しており、より多くのお客さまにメルカリ・メルペイを使っていただくことがミッションです。

ここでもやはり「安心安全」は大前提になってきます。大きなプロジェクトこそ不正対策が成功の要になるので、引き続きDefenceForceの一員として一緒にやっていきましょう。これからも、Defence Forceチームには圧倒的に「実行する集団」であることを期待しています！

篠原孝明（Takaaki Shinohara）

フリーランスのWebディレクターを経て、2012年にグリー株式会社入社。2014年に株式会社ビズリーチへ入社し、プロダクトマネージャーとして転職メディア「キャリアトレック」を立ち上げる。2017年9月に株式会社メルカリ入社。Director/Head of CREを務め2020年4月より株式会社メルペイへ異動。

八木橋優（Yu Yagihashi）

大学卒業後、大手セキュリティベンダに入社。セキュリティコンサルタントとして主に金融業界の技術的課題解決に携わる。2018年1月にメルカリへジョインし、メルカリ/メルペイ/ソウゾウの多岐にわたるセキュリティエンジニアリングに従事。

星野将（Masaru Hoshino）

2017年2月に株式会社メルカリに入社。 もともとBackendのエンジニアでありながら、主に「開発のための開発」業務を担当してきた。SRE/Microservices PlatformのEngineering Managerを経て、現在はTechnical Product Managerを務め、Defence Forceチームを担当する。