メルコインの信頼性を守る番人たち。セキュリティ・IT Risk・Corporate ITの3マネージャーが語る未来

メルカリで培ってきた集客基盤を活かし、暗号資産事業を展開するメルコイン。そんな中でサービスとしての信頼性を担保していくために日々業務に取り組むのが、セキュリティチーム、IT Riskチーム、Corporate ITチームです。

今回セキュリティチームマネージャーの@yuto、IT Riskチームマネージャーの@koiabe、Corporate ITチームの@Yu-jiが登場し、それぞれの役割、チーム間の関係性、暗号資産領域に携わる魅力などを語りました。聞き手は、メルコイン取締役の@Yutaです。

※撮影時のみ、マスクを外しています

この記事に登場する人


  • 佐藤裕太(Yuta Sato、@Yuta)

    早稲田大学法科大学院 後期博士課程(法務博士(専門職))修了。2010年司法試験合格。最高裁判所司法研修所 司法修習を経て、都内法律事務所にて弁護士として勤務。2014年にSBIホールディングス株式会社に入社。ベンチャーキャピタル業務、M&A、JV設立業務、その他暗号資産やブロックチェーン、海外送金等のFinTechに関連する業務に従事し、法務コンプライアンス部部長を歴任。2018年6月よりメルペイに参画し、以来Legal、Public Policy、Financeとさまざまな業務に携わり、2021年1月よりメルカリのCorporate Financeチームのマネージャーを歴任。2021年7月よりメルコイン取締役に就任し、VP of Corporateを務める。

  • 竹井 悠人(Yuto Takei、@yuto)

    東京大学理学部情報科学科卒、同大学院 コンピュータ科学専攻修了のソフトウェア エンジニア。Google等でのインターンや、経済産業省・IPAの行う未踏事業・未踏アドバンスト事業への採択、スタートアップ創業などを経験。暗号資産には2016年から関わり、国内最大の取引所でCISO・ブロックチェーン開発部長を歴任。その後、暗号資産ブロックチェーンをビッグデータ的に分析するアルゴリズムを開発するBassetを創業、コンプライアンスや資金洗浄対策に取り組む。2021年夏メルカリグループによるBasset株式の取得によってメルコインに参画。現在は取引所の堅牢なセキュリティ体制の構築に日々取り組む。

  • 阿部 光一朗(Koichiro Abe、@koiabe)

    銀行、保険、外国為替(FX)システムなど複数の金融系プロジェクトでインフラエンジニアとして設計開発、運用を経験。2017年に暗号資産プロジェクトを立ち上げ、ゼロスタートで販売所取引システム導入やKYCシステム、オフィス環境構築などにPM及びシステム責任者として参画。サービス開業後はCTO兼CISOとしてシステム及びIT全般統制を管理する。現在はメルコインのITRisk担当としてIT内部統制観点でのルール作りや体制構築に取り組んでいる。

  • 田島 裕二(Yuji Tajima、@Yu-ji)

    2002年6月に参画したフューチャー株式会社でのCorporate Engineerの経験を活かし、退職後は商社、製造業、サービス業等の複数業界でIPO準備に関連するIT統制業務に従事し、2018年6月より株式会社Speeeのシステム部 部長としてIPO準備からシステム部の立ち上げCorporate開発チームの発足やデータセンター構築等の業務を手掛る。2021年10月よりメルコインに参画し現在はゼロタッチプオペレーションを念頭にメルコインという取引所に求められる環境整備に取り組む。


セキュリティ、IT Risk、Corporate ITの役割とは?

ーまずはそれぞれのチームの役割から教えてください。

@yuto:僕が所属するセキュリティチームは、その名の通りメルコインのシステム面における防衛線を張るチームです。具体的には、メルコインのシステム自体が安全につくられているかチェックしたり、ユーザーがシステムにアクセスする部分の安全性を担保したり、社内システムのセキュリティ対策を行なったり。そのため、メルカリグループ各社のセキュリティチームと連携を取ることも多いです。

@koiabe:IT Riskチームは、リスクの早期発見と管理、なにより「リスク自体を経営陣が把握している状況」にすることが一番の目的です。リスクを早期発見するために、前段階としてルールやポリシーの整備、定期的なアセスメントや障害管理などにも取り組んでいます。

@Yu-ji:Corporate ITチームは、社内で使用するITの導入・設計・構築・運用までを一手に引き受けるチームです。セキュリティチームやIT Riskチームと同じ部署に所属しているので、現在はセキュリティにおけるレギュレーション構築やIT Riskで必要な監査情報を上げていくための環境づくりなども重点的に手がけています。

密な連携で、セキュリティの「良い落としどころ」を見つける

ーそれぞれのチーム間ではどのような連携が行われるんですか?

@yuto:たとえば「社内でファイルを共有するときの権限をどうすべきか」となった場合、セキュリティは「この人たちはこの情報に触れるべき、もしくは触れてはいけない」という情報を収集します。集めた情報を、IT Riskチームと「ルールと照らし合わせて問題ないか」「例外申請はすべきか」など相談しながら、実現する方法を模索していきます。

@koiabe:そうですね。セキュリティチームがセキュリティのプロとしてアセスメントするのに対して、IT Riskはその結果の事業への影響やリスクなどを含めて追って相談し、経営陣に報告していくような流れになっています。

ーCorporate ITとの関わりは?

@yuto:Corporate ITチームには、「こういうシステムがほしい」となったときに全部セットアップしてもらっています。単に設定してもらうだけではなく、「こういうシステムをつくりたいんだけど、他のシステムと連携はできるのか?」「運用が始まったら、誰が管理するのか?」といった打ち合わせ段階から入り、ひと通り相談に乗ってもらっています。Corporate ITチームの協力なくして、きちんとしたシステムはつくれませんね。

@Yu-ji:Corporate ITとしてはシステム管理者が悪意を持って何かしたときに検知できるように、「ちゃんと統制が取れているか」という視点で意見を伝えるようにしています。

ー確かに内部端末の検知は、3チームが連動しなければいけなさそうな分野ですよね。Corporate ITとIT Riskの関わりについてはどうですか?

@Yu-ji:IT Riskとの関わりも多いですね。一般的な情報システムはほとんどクラウド環境に移しているので、IT監査がシームレスにできる環境づくりはCorporate ITから提案し、構築していかなければならない。セキュリティにおいては、めちゃくちゃ厳しく管理していくことは簡単ですが、それによって業務が回らなくなってしまっては本末転倒です。ユーザビリティを残しつつ、セキュリティを堅牢にしていくことが直近の関わり方ですね。
田島 裕二(Yuji Tajima、@Yu-ji ※写真右)

@yuto:本当にその通りで、セキュリティはよく「利便性と安全性がトレードオフになる」と言われます。極端な話、ファイル共有をすべて禁止してしまえば安全になります。でも、それだと不便だし、私たちの管理できないところで別の手段によるファイル共有がなされて、結局安全性も失われてしまうわけです。だから、私たちマネージャーが密に連携し、いい落としどころを見つけて現実的で建設的なシステムの構築をしていきたいと思っています。

メルカリグループ全体での関わりは

ーそう考えると、いずれもものすごくクリエイティブな仕事ですよね。今はマネージャー同士の連携の話だったと思うのですが、チーム単位で見るとどうですか?

@koiabe:IT Riskは現状1人なので、メルカリやメルペイをはじめいろいろな部署の力を借りています。いろいろな会議に参加して、Slack上の情報も細かく拾って、気になったところはリアクションして、コバンザメのようにくっつき回って、関わっていますね。

@yuto:セキュリティは、ビジネス部門から「この設計だったら安全ですか?」と聞かれることがあります。そんな時に、もちろんあってはならないのですが「これだと現場の開発者がいろいろと悪さできる可能性があるかもしれない」などを考えなければいけません。

ですから、特に意識しているのは「伝え方」です。「これだったら危険ですよ」とぶっきらぼうに言うのではなく「ここはこうしないと内外からの攻撃のリスクがありますよ」と丁寧に説明する。“怒るセキュリティ担当”ではなく“相談しやすいセキュリティ担当”でありたいと思っています。何かインシデントが起きそうなときに、「怒られたくない」という気持ちが働いて、早く相談してもらえないことの方がよくないので。
竹井 悠人(Yuto Takei、@yuto)

@Yu-ji:Corporate ITは多岐にわたって連携していく形になると思っています。ただ、現状はメルカリ側の環境をメルコインで使っているので、引き続きメルカリのCorporate ITと連携を取っていきます。

もうひとつはやはり、セキュリティとの連携ですね。これからメルコインで使用する機器を揃えていくので、セキュリティと密に連携をとって設計方法などを決めている段階です。

暗号資産を扱うメルコインならではの難しさ

ーメルコイン独自の役割、仕事の難しさはありますか?

@yuto:セキュリティ観点でいうと、暗号資産を保管する点ですね。まだまだ社会的には不安なイメージもあるので、メルカリグループ全体で取り組んでいる部分であり、厳しく社会から見られるところだと捉えています。銀行の大きな金庫の中にある証券や札束と違って、暗号資産は一瞬で盗まれて簡単に会社がなくなりかねない。磐石な情報の安全体制づくりに心血を注がなければいけないと思っています。

@koiabe:おっしゃる通りですね。メルカリグループ内のいわゆる「ファイナンス領域」に決済領域のメルペイがありますが、メルコインは資産運用領域です。そうなると、お客さまの資産に対する責任も大きくなる。お客さまの資産を安全に守る、安心して取引していただくために、IT Riskとして統制をとっていくことは、重要なミッションだと捉えています。
阿部 光一朗(Koichiro Abe、@koiabe)

@Yu-ji:先程の話に通じる部分ではありますが、一般的な情報システム部門であれば運用の手間をかけずにスピード感を持って実行できることが、メルコインの場合はセキュリティを担保しなければいけないことで相対的に利便性が下がってしまう状況です。

でも、ここは考えようだと思っていて。アナログだからこそ守れる部分もあれば、デジタルだからこそ守れる部分もある。アカウント作成に人が介在しないようになれば不正アカウントが生まれることもなくなるので、きちんと切り分けて対応していきます。

ーということは、暗号資産領域に携われることは難しさでもあり、ある意味では魅力にもなっている?

佐藤裕太(Yuta Sato、@Yuta)

@koiabe:そうだと思います。前職は同じ業界だったのですが、多くの方に口座開設やサービスをご利用頂く難しさを経験しました。その点、メルカリには大きな集客基盤がある。この環境を活用して暗号資産領域に取り組めること、そこにIT Riskチームが関われると思うとすごくワクワクしますね。

@yuto:私もメルコインには、しびれるほどの興奮を感じています。もちろんプレッシャーはありますが、自分の経験が活かせるところ、かつ限界に挑戦できるところはなかなかない。

しかもメルコインの場合は、メンバー全員が経営陣のビジョンを理解して、「どうすればいいか」と心の底から願いながらつくっているので、一体感があるんですよね。メルカリがバリューに掲げている「All for One」「Be a Pro」の要素も色濃い。暗号資産領域では後発のプレイヤーなのに日本一を狙っている点は、ものすごく「Go Bold」です。グループ全体の放つエネルギーが大好きですし、やり甲斐を感じています。

@Yu-ji:前職が畑違いの分野だったので、僕にとってはチャレンジでしかないですね。セキュリティとIT Riskのいうことを聞いていれば完遂できる仕事かもしれませんが、それだとおもしろくない。だから、僕は僕の視点でどう貢献していくかを日々考えています。

それぞれの立場で、事業をリードしていくために

ー今後、つくっていきたいチーム像も教えてください。

@yuto:メルコインのミッション「多様な価値がめぐる新しい経済をつくる/Circulate your value, anywhere and everywhere」を心に刻んだうえで、かつその真意をちゃんと考えながらセキュリティを構築できるチームをつくりたいと思っています。

暗号資産を守ることの誇りやプレッシャーを感じながら働くことになるので、やり甲斐も厳しさも合わせて糧にできる仲間を増やしたい。そういう方であれば、会社のこれからにも共感してもらえるはずですから。

@koiabe:メルコインと他の企業との違いとして、IT Riskが切り出されている点が挙げられます。多くの企業は監査対応をリスクコンプライアンス部が一手に引き受けて、その度システムのことを開発部門に聞きに行って、対応に時間が発生して…みたいなことが起きています。

だから、私はIT Riskとして「開発を止めずに監査対応していける」チームをつくっていきたい。みんなが自分のやりたいことに対してリソースを使える環境づくり、それを後押しできるチームづくりにモチベーションを感じています。

@Yu-ji:僕は“攻め”のチームにしていきたいと思っています。業務特性上、守らなければいけない部分は多いのですが、常に「NO」と言い続ける仕事なんてつまらないし、メンバーのキャリアも描けなくなってしまう。だから、言われたことに対して「YES」と回答ができる組織でありたいし、むしろ言われる前に「もう実装してますよ」と先回りできるような存在でありたいです。

他にもヘルプデスク業務なども基本的に自動化させて、IT Riskチームが監査対応する際にITコンサルタント的に立ち回れる組織をつくっていきたいですね。開発はもちろん、運用面の改善も進めていけるバランス感覚のあるチームが理想です。

@koiabe:IT Riskチームもバランス感覚は大事ですね。「リスクがあるので、ダメです」ということは簡単ですが、「こうすることがベストだけど、ここは許容しておこう」みたいなコントロールができる部署なので。経営目線を持ちながら収益にも関わっていける組織でありたいと思います。

@yuto:個人的にGo Boldな挑戦として考えているのは、暗号資産領域におけるセキュリティのベストプラクティスの形を業界全体に還元すること。一般的にセキュリティには現状はコンフィデンシャルな情報が多いのですが、自分たちが他社の参考・模範になるようなセキュリティを組んでいきたい。そのためには、論文を書いたり、登壇する機会にチャレンジしたりを通じて、ノウハウの蓄積にも中長期的に取り組んでいきたいと思います。

ーただ、そのためにはもっと仲間が必要というわけですね。すごく志が高く、Go Boldな3チームに興味をお持ちいただけた方は、ぜひ仲間入りいただきたいと思います。お三方、今日はありがとうございました。

関連記事 サクッと読める!✨

【祝!メルカリShops本格提供開始】ソウゾウメンバーに今の気持ちを突撃取材! #メルカリな日々

ついにメルカリが「物流」へ。会見の裏側とメンバーの想いを速報でお伝えします! #メルカリな日々

あなたの“かくれ資産”が売れるかどうか、教えます!新機能「持ち物リスト」リリース裏側 #メルカリな日々

関連記事 読み応えアリ✨