仮想チーム「CISO Office」が始動。設立背景からチームミッションまで余すことなく公開 #MercariSecurityPrivacy

突然ですが、みなさん！メルカリグループを支える、 Security&Privacy Teamの存在をご存知でしょうか？

一般的には「情報セキュリティ」「サイバーセキュリティ」という名称を指す組織ですが、メルカリのSecurity & Privacy Teamは実は8つのチームに分かれており、それぞれ高い専門性を持つチームで構成されています。社内でも、全てのチーム名を言えるメンバーは少ないかもしれません。

それもそのはず。セキュリティチームは、2022年7月に体制をリニューアル。新たにメルカリグループCISO（Chief Information Security Officer）に就任したIchiharaさんのリードのもと、再スタートを切ったばかりなのです。

だからこそ、新生セキュリティチームを知っていただきたい。そんな思いを胸に、本日から約2ヶ月にわたり、メルカリのセキュリティチームを紹介する連載シリーズがスタートします！その名も『Meet Mercari’s Security&Privacy Team』！。それぞれのチームの雰囲気、カルチャー、働き方、仕事の醍醐味をみなさんに感じていただきたく、全てのチームを紹介していきます。

記念すべき初回は、新メルカリグループCISO、Ichiharaさんの紹介とともに、CISOの配下にある「Security Governance」「 Security Strategy」「 Security Engineering」の3チームの主要メンバーで構成されている仮想チーム「CISO Office」を紹介。各チームのマネージャーに話を伺います。

まずはこれまでグループCISOを担っていたSogawaさん（現メルペイ・メルコインCISO）に、Ichiharaさんへの交代の背景を伺いつつ、仮想チームのCISO Officeの実態に迫っていきます。

聞き手はメルカン編集部（Employer Branding Team）のSaimaruがつとめます。

メルカリの醍醐味は「未知のチャレンジ」にコミットできること

──2022年5月に、グループのCISOがSogawaさんからIchiharaさんへと引き継がれました。まずは、この交代の背景について聞いていきたいのですが、そもそもお二人はお知り合いだったんですか？

Sogawa：そうそう。私がメルカリグループのCISOに就任する前からTrust & Safetyへの取り組みをしていて、そのつながりで。当時はキャッシュレス決済業界の不正利用が業界全体の課題になっていて同じような課題感を抱えていた事業者が集まり、対策を話し合うために開かれた会議でお会いしました。

Ichihara：Sogawaさんと最初にお会いしたときのことはよく覚えています。その時に話し合われた対策の技術的な実現性など、私とSogawaさんの認識は合致していて、話がとても分かりあえる方だなという印象を受けました。

──IchiharaさんもSogawaさんも前職はLINE株式会社ですよね。当時は一緒に仕事をする機会はなかったんですね。

Sogawa：そうですね。ただ当時、各種キャッシュレス決済で起こっていた問題は、アプリ間やサイト間の認証や認可といったところに潜む課題や脆弱性が根底にはあり、Ichiharaさんはそういった領域に対しても非常に深い造詣を持たれてて、企業を超えてTrust & Safetyに貢献されていたことが印象的でした。

急拡大していくインターネットサービスにとってTrust & Safetyの領域は非常に重要で時には社会課題になってしまうようなこともあるのですが、Ichiharaさんと一緒ならこういった活動やメルカリ全体のTrust & Safetyをより強化していけるのではないかと思っていました。ですが、Ichiharaさんも大変忙しくされていてすぐにはそういった機会は訪れませんでした。

そうこうしているうちに、メルカリグループ内でのセキュリティの重要性はますます高まっていき、私がCISOとなりました。それが2021年の1月頃です。CISOとしてセキュリティインシデントへの対応や対策に追われる毎日を過ごしていた頃、同じようにセキュリティやプライバシーの問題に直面していたIchiharaさんに再びお会いする機会をいただき、本当に大変な時期だったと思うのですが、メルカリのCISOをやってもらえないかとお願いしました。そんな簡単には実現しないかもとは思っていたのですが、お互いに困難を乗り越えてCISOに就任いただく運びとなりました。
曾川景介（メルペイ・メルコイン取締役CISO）

──まさに待ちわびていたということなんですね。改めて、SogawaさんからIchiharaさんに期待することとは、具体的に何でしょうか。

Sogawa：私以上にこの領域での経験や知見をお持ちなので、Ichiharaさんの実現したい社内外でのTrust & Safetyの活動を私がサポートできたらと思っています。正直、課題も山積みでとても良い状態で引き継いだなんて言えないので、そんななかで私から期待するというのもどうかと思いますが……。もし足元の大きな課題を上げるなら、現在のメルカリグループにおけるこの領域の大きな課題である、「メルカリやメルペイなどの複数のサービスをまたいだ認証や認可の基盤の強化」と「より強固なメルカリセキュリティチームづくり」でしょうか。

市原尚久（メルカリ執行役員 CISO）

セキュリティチームも少しずつではありますが、新しい仲間を迎えて大きくなってきたので、チームづくりという意味ではセキュリティチームとしてのミッションやビジョンを一緒につくってもらえると良いなと思っています。多様な価値の交換されるマーケットプレイスを創るためには未解決な課題や問題も多く、挑戦して乗り越えて行かなければならないこともたくさんあると思います。

セキュリティやプライバシーは、そのなかでも特に重要な領域です。今後、メルカリをより安全で安心なサービスにしていくためには、メルカリグループ内のセキュリティやプライバシーへの取り組みだけでは十分ではなく、メルカリグループにとどまらない業界をあげたTrust & Safetyの取り組みが必要不可欠となっているので、CISOとして一緒に取り組んでもらえたら嬉しいです。

──大きな期待を背負うこととなりましたが（笑）、Ichiharaさんは率直にメルカリをどう見られているのでしょうか。

Ichihara：メルカリはCtoC & BtoCのリーディングカンパニーとして、多様なチャレンジに取り組んでいるなか、Sogawaさんの言うように他社でも経験していないような様々なサービス不正のターゲットとして狙われていて、取り組むべき課題はたくさんあります。

複数のサービスで展開されるデジタルアイデンティティ（認証、認可、プロヴィジョンイング）のセキュリティ強化、データドリブンな不正対策の仕組み、適切なデータ活用のためのグローバル基準のデータガバナンス、そしてより安全なプロダクト提供のためのセキュリティテストや運用の自動化など、メルカリならではのやりがいのあるSecurity&Privacyの新しいチャレンジと価値創出を、力強くリードしていきたいと思います。

──長年の経験や知見があるからこそ、今のメルカリのマーケットプレイスにおける課題もミクロとマクロ両方の視点で見ていただけて、大変心強いです。そもそも、IchiharaさんがメルカリにJoinしたきっかけや最大の理由について聞かせていただけますか。

Ichihara：昨年のCodecovの件（「Codecov」に対する第三者からの不正アクセスへの対応）などを踏まえ、SogawaさんがグループCISOとして優秀なメンバーのみなさんと奮闘されていたことを伺っていました。そのなかで、改めてメルカリの魅力を知り、徐々にこの会社で新しいチャレンジをしたいという思いが強くなっていきました。

日本発の企業として、新しいマーケットプレイスを世界へと牽引し、切り開いていく姿。そして、新しいテクノロジーを積極的に取り入れ、チャレンジし、進化し続けている姿に、大きな可能性を感じました。メルカリだからこそ経験できるであろう、セキュリティやプライバシーの「未知のチャレンジ」に大きな魅力を感じ、入社を決意した理由です。参考書には載っていないような、さまざまな経験ができることに惹かれましたね。

──まだ入社して日が浅いとは思いますが、メルカリにどんな印象を抱きましたか？ギャップなどはありましたか？

Ichihara：スピード感のある経営、オープンな業務環境やコミュニケーション文化、高いスキルを持つチームメンバーたちに囲まれて、日々ワクワクしながら新しいチャレンジに取り組んでいます。また、ネガティブなギャップはないですがメルカリが大事にしている3つのバリューは想像以上に浸透していましたね。1日のなかで、何度も耳にするくらい、日常的に飛び交っているのには驚きでした。

Jason Fernandes（Security Strategy Team, Manager）

組織の新体制と仮想チームCISO Officeへの狙い

──ここからはIchiharaさんがリードするセキュリティ組織や、CISO Officeという名の仮想チームについて伺っていこうと思います。

Ichihara：ここからは各チームのマネージャーも交えながら答えていけたらと思います。

まずは組織全体の体制を見直しました。メルカリのセキュリティ組織は、「Security Governance」「Security Engineering」「Security Strategy」の大きく集約すると3つのチームで構成されていますが、かなりフラットな組織でプロジェクトベースで各チームが頻繁に連携してワンチームとして一緒に動いています。

CISO Officeは大きくEngineering、Governance、Strategyからできている仮想組織です（紺色はDivision、青色はTeam)

──なるほど。組織全体としては8チームあるものの3つの役割に集約し、それらを仮想チームとしてCISO Officeと呼んでいるんですね。具体的に「CISO Office」ではどんなことをしているのでしょうか？

Ichihara：セキュリティ組織として共通的、横断的に取り組むセキュリティ＆プライバシーの課題（プロセス改善、他部門連携、教育、採用、育成、等）の対応方針を協議したり、セキュリティ組織自体の改善に向けた取り組みを推進しています。

Jason：組織が大きくなると各チームがサイロ化してしまったり、連携を持たずに自己完結して孤立させてしまう傾向が一般的にあると思います。この規模でもワンチームであることの強い協力や同じ目線を保ちながら、セキュリティ＆プラバシーで目指している全体像、ミッションやビジョンを見失うことなく議論し合い、同じ方向性に向かわせることが主要な目的です。

──主要チームが連携することで、スケーラブルな体制を築くことが目的なんですね。今度は各チームはどんな取り組みをしているのか気になります。まず最初に、Security EngineeringについてマネージャーのNikolayさんに伺います。

Nikolay：Security Engineering Teamは、Security EngineeringとProduct Securityに分かれています。両チームは、それぞれの専門性がありますが、協力しながらメルカリセキュリティの技術的な側面を網羅的にみています。

まず​​Product Securityチームは、新規事業やサービスに関するセキュリティ相談、デザインやコードレビュー、セキュリティテスト、脅威モデリングなどをプロダクトチームと協力しながら担当しています。また、スケーラビリティを強く意識し、セキュリティの自動化を促進し、静的解析(SAST、静的アプリケーション・セキュリティ・テスト)、ソフトウェア・コンポジション解析（SCA）、動的アプリケーション・セキュリティ・テスト（DAST）などのツールを導入・運用しています。Security Strategyと連携し、脆弱性管理をしたり、エンジニア向けの教育&セキュリティチャンピオンプログラムの運営もしています。また、PCI-DSS監査のテクニカルな面も担当しています。セキュリティに関連する社内ツールの自動化、開発、ダッシュボード化を進めているメンバーもいます。

Security Engineeringは、さらに4つの主なサブチーム・機能に分かれています。Infrastructure/Platform Security、 Corporate IT Security、 Threat Detection Engineering、 Chaos Securityなどの役割を横断的にカバーしています。全ての機能や役割を紹介すると話が長くなるので、それぞれのチームの記事での紹介をぜひ楽しみにしてください。

Nikolay Elenkov（Security Engineering Team, Director）

──Security Engineering Teamは「守り」だけでなくプロダクトサイドに積極的に入り込みつつ伴走する印象があります。以前に公開したメルカンの記事でもNikolayさんは「ゲートキーパーではなく伴走者」と表現されていましたよね。これからのチャレンジがとても楽しみなチームです。では、Security StrategyのJasonさんよろしくお願いします。

Jason：Security Strategy Teamが「セキュリティ＆プラバシー要件とビジネスゴールの足並みを揃えることでGo Bold（大胆）な挑戦を可能とする」というミッションを掲げ、Strategic Alignment、Business Enablement、Process EnhancementやSecurity Effectivenessの主に4つのゴールを持って動いています。

この4つのゴールに組織全体が向かうために、Ichiharaさんと一緒にセキュリティチームのビジョン、ミッションや中長期ロードマップを考えるのが役割になります。ときには、チームとしての方向性を議論して文書化したり、優先すべき課題を正しい順番で取り組めるようにプランニングしたり、各組織とコミュニケーションを取り、プロジェクトを推進しています。

──局所的にサポートする役割もあれば、組織全体にコミュニケーションやコラボレーションを促す役割を担っているんですね。幅広い…！

Jason：そうですね。コラボレーションを促し、各利害関係者のニーズを考慮しロードマップに落とし込むことで、お客さまに安心安全なプロダクトを提供し、高水準のSecurity&Privacyによる付加価値を与えるために全社のカルチャーの醸成にも挑戦しています。

メルカリほど変化と進化の早い環境だと、Security&Privacyの業務を進めるうえで近視的になりがちで、特に目の前のインシデント対応・短期目標などで手一杯になることがあります。これは多くの会社で起きることだと思います。だからこそ、短期目標だけではなく、チームとして中長期な行き先にもフォーカスを与え、Security&Privacyに対する積極的かつ先手を打てるようなアプローチを強く意識をしています。

Ichihara：Security Strategy Teamは今年発足したばかりのチームですが、メルカリグループ全体のセキュリティ&プライバシーの成熟度を底上げしていく牽引役であってほしいと思っています。そのためには、セキュリティ組織全体も成熟度を向上させていくことも必要ですし、メンバー一人ひとりのスキル向上に関する取り組みも欠かせないと思いますね。

──では、最後にSecurity Governanceについて、マネージャーのUshijimaさんお願いします。

Ushijima：Security Governance Teamは、情報セキュリティやプライバシーに関する体制・ルールの構築、および評価、各種施策の推進、インシデント対応、コンサルティングなどを通じて、セキュリティ・プライバシーのガバナンス体制を構築・強化し、グループ全体の成長を支援することを主なミッションとしています。

現在、約15人のスキルと経験が豊富なプロフェッショナルメンバーが所属しており、4つのサブチーム（Information Security Team、FinTech Security Team、Privacy Office、CSIRT）で構成されています。

Information Security Teamは、情報セキュリティに関する社内規程・細則・ガイドライン等の策定・維持、情報セキュリティに関する他チームへのコンサルティング、GRCツールによる情報資産とセキュリティリスク管理などの各業務を推進しています。

FinTech Security Teamは、グループ内で力を入れている金融ビジネスにおけるセキュリティ管理・強化を担当しています。具体的には各金融業法に応じたガイドラインの遵守状況の評価と対策の推進、PCI DSS対応、金融取引におけるセキュリティ強化推進などになります。

また、Privacy Officeは、グループ全体における個人情報管理体制の構築構築、ルール・ガイドラインの策定・浸透、プライバシーに関する他チームへのコンサルティング、各ビジネスにおけるプライバシーチェック、改正個人情報保護法対応などの業務を担当しています。

最後のCSIRTチームは、セキュリティインシデントをハンドリングするチームです。普段はセキュリティに関する脅威情報や脆弱性情報の収集・分析を実施しており、万が一、セキュリティインシデントが発生した場合に社内外の関係者と協力しながら、被害拡大防止のための対応や再発防止策を進めていきます。

牛島向陽（Security Governance Team, Director）

──Ushijimaさん率いるSecurity Governance Teamもかなりカバー領域が広く、その分スキルもより広域に求められそうな役割ですね。

Ushijima：そうですね。情報セキュリティやプライバシーの管理をメルカリグループ横断的に浸透させていくというセキュリティガバナンスチームの役割は、メルカリの成長を支えるために非常に重要です。情報セキュリティ管理やプライバシー管理と言うと、ビジネスの成長のブロッカーと考える人もいるかもしれませんが、我々は、メルカリグループのビジネスを成長させるためには、グループ横断で情報セキュリティやプライバシーを浸透させていき、お客さまに安心・安全なサービスをご提供することが結果的に最短ルートだと信じています。

──Security Governance Teamがより自律的に活躍していくために、チーム間を横断して全体を見渡す役割をYumiさんが担っていると思いますが、具体的にどのようなことに注力しているのですか？

Yumi：ご紹介ありがとうございます！Security&Privacy Teamは全体的に専門性の高いチームで構成されていて、メンバーそれぞれが各分野のスペシャリストです。また、このチームは多国籍なメンバーが集まっており、それぞれのバックグラウンドも多種多様です。このような優秀なメンバーのそれぞれの特性と能力を最大限に活かせる組織をつくることを常に考えています。そんな環境にするために、全体を把握しチーム間をブリッジし、その時々に応じて柔軟な対応をする役割はとても重要だと思っています。

現在、半分以上がリモートワークをしているため隣のチームとの連携や様子を伺うのが難しいということもあり、チームを横断してチームビルディングできるようこれまで以上に工夫をし、より幅広いメンバーとコミュニケーションをとれる施策やオフサイトの実施、会議体の工夫など、組織力を高める施策を実施しています。ビジネスのスピードは加速していくなか、新しい仲間もどんどん増えており、一体感のあるスケーラブルな組織を構築するためにチームワークは欠かせないポイントです。

伊藤由美（Security Governance Team）

世界的なマーケットプレイスをつくるための組織、品質を求める

──Ichiharaさんの今後の野望やチームのミション・ビジョンについて教えて下さい。

Ichihara：メルカリのセキュリティ&プライバシー組織としてのミッションを新たに「Build trust & drive value for stakeholders through a collaborative approach to security and privacy」と決めました。これは、セキュリティ&プライバシーに関わる、さまざまな業務や取り組みをAll for Oneに提供していき、多様なステークホルダー（協業する他部門、カンパニー、プロダクト、お客さまなど）の価値を導き出し、組織やサービス、企業に対する信頼を構築していく、という意味が込められています。

また、ミッションとは別に「Security and privacy by design, by default, and at scale」というビジョンも掲げています。この言葉はバイデザイン（計画的）にセキュリティとプライバシーを導入出来る仕組みや、開発環境・プロダクト環境・業務環境・データ活用環境などに最初からセキュリティとプライバシーが確保される仕組み（セキュリティテストの自動化、など）を、スケーラブルに提供していく、という意味です。私たちはメルカリの未来のセキュリティ、プライバシーを持続的に支えていける、ゆるぎない信頼を支えていける存在でなければならない、という思いを込めています。

セキュリティ&プライバシーチームのミッションとビジョン概要

このようなミッション・ビジョンを掲げメルカリグループ全体のセキュリティ・プライバシー取り組みを強化するとともに、最強のセキュリティ＆プライバシーチームをつくっていきたいと思います。

──メルカリは「新たな価値を生みだす世界的なマーケットプレイスを創る」というカンパニーミッションにもあるように、創業当時から世界を目指していますが、まさにそこへ直結するような方針ですね。

Ichihara：まさに。だからこそ私たちも世界レベルで一流と評価されるようなセキュリティ&プライバシーを目指し、最高のチームづくりを志しています。複雑で、難易度の高い課題が多く、前例や参照できるノウハウがない領域への挑戦の連続です。このメルカンの連載でも、新しい課題へGo Boldにチャレンジする仲間を紹介していくので、次回以降の記事も楽しみにしていただけると嬉しいですね。