「万が一の事案」の一歩先へひた走る、メルカリが立ち上げる新チーム“CSIRT”のすべて

メルカリグループ（メルカリ・メルペイ・ソウゾウ・メルコイン）において、サービスを安心安全に使っていただくことが何より大事。そのためには、事故（インシデント）が起きてから早急に対応することはもちろん、万が一に備えておくことが大事です。

そんな思いから、メルカリでは体制をさらに強化するべく、通常のSecurityチームに加えて、インシデント対応のプロとして活躍する常設型の専門チーム「CSIRT（Computer Security Incident Response Team）」を立ち上げている真っ最中です。

https://mercan.mercari.com/articles/25271/

Security Specialist (CSIRT) – Mercari
https://apply.workable.com/mercari/j/6DAD27F082/

今回登場するのは、CSIRTの山田正弘（@yamada）と高橋美希（@shimesaba）。どのような姿を目指して、2人はこのチームの立ち上げに携わっているのでしょうか。さっそく、話を聞いてみました！

メルカリは「協力者を見つけやすい環境」

ーお2人ともまだ入社してから半年経っていないんですね？

@yamada：そうなんです。その割にはもっと長くいるような気がしています（笑）。@shimesabaさんはどうですか？

@shimesaba：同じです。改めて言われると、「まだ4ヶ月しか経っていないのか…」とびっくりしました（笑）。

ー密度が濃かったということですか？

@yamada：社内の情報がオープンなので、情報量が多すぎて慣れるまでは目まぐるしかったです（笑）。

@shimesaba：私の場合は、入社してすぐにフィッシングサイト対応をレベルアップするプロジェクトをリードさせてもらいました。それが入社3ヶ月目に完了したので、すでにひと仕事やった感があるからですかね（笑）。

ー即戦力だったんですね（笑）。

@shimesaba：私の場合、最初は入社したてで誰が何を担当しているかよくわからない状態だったんです。でも、とりあえず発信すれば反応がもらえるカルチャーだったおかげでなんとかなりました。

@yamada：メルカリは横の繋がりが強くて、何かやろうと思った時に協力者を見つけやすい環境ですね。この数ヶ月でもたくさんのメンバーと話しました。

専門チーム「CSIRT」の価値は「一歩先を行けること」

ーお2人は今、セキュリティインシデント対応専門のチーム（＝CSIRT）を立ち上げているということですが？

@yamada：はい！今までもメルカリではセキュリティ部署内のメンバーが兼務する形でインシデントに対応していました。その土台を活かしつつ、対応を主導できる常設型の専門チームがCSIRTという位置付けですね。

ー常設型になることで、どんなところが変わるんですか？

@yamada：体制や仕組みを最適化していくことはもちろん、目に見えていない脅威を察知しておくという意味での「一歩先を行く」取り組みもやっていきます。「脅威インテリジェンスリサーチ」や「脅威ハンティング」と言われる領域です。リサーチの部分は@shimesabaさんが取り組み始めていますね。

@shimesaba：ですね。お客さまのアカウントの乗っ取りを狙う犯罪者の動向を、Telegramと呼ばれるSNSで追跡しています。Telegram以外にもそういった情報は転がっているはずなので、今後情報の入手元を拡充していきたいです。

@yamada：Darkwebとか、普通の人がアクセスしないようなところもですね。

インシデント対応を行うからこそ大事にしている「しんどくない」体制作り

ーところで@yamadaさんは以前セキュリティベンダーの立場でメルカリを支援していたということですが、どうしてメルカリへ？

@yamada：実はこのとき、メルカリが利用している外部のコードカバレッジツール※「Codecov」に対する第三者からの不正アクセスで、一部のソースコードとお客さま情報が流出する事案が発生しました。僕はこのとき、セキュリティベンダーの立場として対応に参加していたんです。当然ながら多くのチームと協議しながら対応していたのですが、意思決定のスピードが早くて衝撃でした。これをきっかけに、CSIRT立ち上げメンバーとして声をかけてもらい、入社を決めたんです。

https://about.mercari.com/press/news/articles/20210521_incident_report/

ー実際に入社してみて、どうでしたか？

@yamada：そうですね、フラットで働き方も大事にしている会社という元の印象は今も変わっていないです。なので、CSIRTでも、インシデント対応とは言えどもメンバーが「しんどくない」というのを大事にしています。

ーおもしろいですね

@shimesaba：インシデント対応って、短い期限で多くのタスクを間違えずにこなしていかなきゃいけないので、もちろん作業量的な「しんどさ」もあるんです。同時に、心理的な「しんどさ」も軽視はできない。そのへんも大事にしていこうと、チームでよく話しています。

@yamada：ですね。そのための仕組みも整備しているところです。

誰かのためだけではなく、メンバーの成長に寄与するチームでもありたい

ーチーム作りで他に大事にしていることは？

@yamada：将来メンバーが振り返った時に、「CSIRTにいた経験が大きかった」「インシデント対応の本当のプロになれた」と思えるような場所にしたいです。

ーそのために何かしていることはありますか？

@yamada：メンバー向けの専門的なスキルアッププログラムを作っています。講義、ハンズオン、机上訓練とか形態は色々と。出来たものから@shimesabaさんに試してもらっています。

@shimesaba：私は技術的なバックグラウンドが少ないので、セキュリティベンダー出身の@yamadaさんからの本格的なレクチャーはすごくためになっています。教科書的な知識だけでなく、豊富な知見を共有してもらえるので、インシデント対応を追体験している気分です。

@yamada：そう言ってもらえると嬉しいです。

ー現在積極的に採用を行っているとのことですが、どんな人が活躍できると思いますか？

@shimesaba：メルカリのCSIRTは、コミュニケーションやマネジメントに主軸を置いたPM Unitと、技術面に主軸を置いたTec Unitに分かれています。現時点で両方が完璧でなくても、お互い得意な部分を補いながら成長していけるようになっています。どちらかに自信あり！という方はぜひ！もちろん両方得意な方も大歓迎です（笑）。

@yamada：メルカリはテックカンパニーとして最先端のプラットフォームを使っていたりして、それなりに経験を積んだ人であっても学ばないといけないことが多いです。バランス感覚を保ちながらどんどん吸収できる人は活躍できると思います。