“0→1”フェーズの苦悩も醍醐味も味わった、メルカリの情報セキュリティガバナンスチームが今思うこと #MercariSecurityPrivacy

約2ヶ月にわたり、メルカリのセキュリティ&プライバシーに関するチームを紹介する連載、その名も『Meet Mercari’s Security&Privacy Team』。今回は、Security Management Teamを特集します。

Security Management(セキュリティ管理)と聞くと、ディフェンシブな印象を持たれる方も多いと思います。しかし、今回の取材を通じて明らかになったのは、大胆に攻め続けるSecurity Management Teamの姿でした。企業にとって重要なデータを保護する緊迫した局面から、長期的にリソースを投資し、大規模な再構築プロジェクトに猛進する局面まで、さまざまなセキュリティに関する課題のスケーラブルな解決策を導く。攻めと守り、事業と組織、国内と国外など、さまざまなボーダーを越え、新しいチャレンジをし続けるSecurity Management Teamに、今の成長・組織フェーズでしか味わえないSecurity Managementの「旨味」について聞きました。

聞き手はメルカン編集部(Employer Branding Team)のSaimaruがつとめます。

この記事に登場する人


  • 竹脇竜(Ryu Takewaki、@ryu)

    大手通信事業者でシステムセキュリティの強化やセキュリティガバナンス業務に従事。その後、外資保険会社グループで情報セキュリティ部門の国内責任者ポジションを経て、2018年にメルカリに入社。現在はSecurity Management Teamのシニアマネージャーとしてセキュリティルールの抜本改革など、メルカリグループ全体のセキュリティガバナンス構築に取り組む。

  • 江口詩織(Shiori Eguchi、@eguchi)

    新卒で大手ECプラットフォーマーに入社。社内規程の整備等をはじめとするコーポレートガバナンス業務に携わった後、セキュリティガバナンス推進部門に異動。2018年、メルカリに入社。現在はSecurity Management Team内のInformation Security Teamのマネージャーとしてメルカリグループ全体のセキュリティ管理業務の企画・推進に取り組む。

  • 杉本隆生(Takao Sugimoto、@osugi)

    SIerで企業向けシステムの受託開発業務に従事した後、ヤフー株式会社に参画。Webエンジニアとしてサービス開発に従事。その後、社内公募制度で情報セキュリティ部門に異動。主に社内向けのセキュリティ規程類の制定・改定、セキュリティコンサルティング、リスクアセスメントの業務に従事。2022年、メルカリに入社。主に情報セキュリティに関する社内規程類の制定・改定、規程に準拠のための情報セキュリティプログラムの管理及び実行、情報セキュリティに関するプロセスの設計・構築、文書化と既存プロセスの改善、情報セキュリティに関する社内教育・啓蒙活動の企画および実施を担当。働く場所として大阪へ移住し、現在フルリモートワークを実践中。

「今のメルカリグループとしての正解」を生み出していく

──早くもシリーズ第三回ということで、よろしくお願いします!まずは簡単にそれぞれ自己紹介をお願いします。

@ryu:Ryuです。Security Management Teamのシニアマネージャーとそのチーム配下のFinTech Security Teamのマネージャーを兼務で務めています。メルカリには2018年9月にJoinしたのでいつの間にかもう丸4年ですね!

@eguchi:Eguchiです。Ryuさんと同じく、2018年9月に入社しました。Security Management Team配下にあるInformation Security Teamのマネージャーを務めています。メルカリに入社してから、本当にあっという間ですね!

江口詩織(Security Management Team)

@osugi:Osugiです。Fintech Security Teamの所属です。2022年5月にメルカリに入社したばかりなので、まもなく3ヶ月目が終わろうとしているタイミングです。よろしくお願いします。

──みなさん、同じフォーマットでの自己紹介、ありがとうございます(笑)。では、次にSecurity Management Teamの紹介をお願いしたいのですが、Ryuさんからお答えいただけますか?

@ryu:Security Management Teamはセキュリティのガバナンス面を担当するチームです。具体的にはセキュリティ関連の規程・ルールの策定や情報資産管理、リスク管理、教育啓発などを担当しています。これらの業務を通じて、メルカリグループの情報セキュリティガバナンスを強化することが主なミッションです。

──「メルカリグループの情報セキュリティガバナンスを強化すること」というミッションが達成されると、具体的にメルカリはどのようにスケールするのでしょうか?

@ryu:情報セキュリティは組織が小さなうちは良いのですが、会社が成長していく過程でさまざまな施策を打ってもその効果は徐々に薄れてしまい、浸透させることが難しくなってしまいます。そこで必要になるのが定めたルールやプロセスを組織の誰もが守っていける仕組み、つまり情報セキュリティガバナンスです。特にメルカリは前例のない速度で組織やビジネスが拡大しているフェーズですから、ガバナンスの強化はその成長スピードにセキュリティを追いつかせる上で必要不可欠だと考えています。

竹脇竜(Security Management Team)

──ありがとうございます!では続いて、Eguchiさん率いるInformation Security Teamはいかがでしょうか?

@eguchi:Information Security TeamはSecurity Management Teamのなかでもグループ全体のセキュリティガバナンスの維持・強化をミッションとしていて、最近ではメルカリ、インド開発拠点設立(現地法人 Mercari Software Technologies India Private Limited)の規程類の整備なども担当しています。今まさに、メルカリグループのグローバル展開をより意識していきたいセキュリティガバナンスの推進フェーズとなってきていると感じます。

──osugiさんはFintech Security Teamとして、どのような業務に携わっているのでしょうか?

@osugi:私はFintech Security Teamに所属していることもあり、決済サービス「メルペイ」や暗号資産やブロックチェーン事業に取り組む「メルコイン」などの金融ビジネスに特化したセキュリティマネジメントプロセスを担当しています。また、Corporate IT Securityの強化推進や、海外アクセス制御等の個別のセキュリティに関するプロジェクトなども担当します。

杉本隆生(Security Management Team)

──Security Management Teamのなかでも、各カンパニーや事業ドメインによってやる領域や幅も変わってくるんですね。

@ryu:そうですね。かつ、それらを推進するためのIT環境整備や個人情報保護に関するプロジェクトなどへも参画しています。あとは情報セキュリティに関する社内の相談窓口として、QA対応や各チームへのコンサルティングを行うことも業務の大きな部分を占めています。

──まさに川上から川下まで!今聞いている内容だけでもユニークなポイントが沢山ありそうですが、このチームの唯一無二の魅力は一体何なのでしょうか?

@ryu:僕らのチームにはセキュリティに関するあらゆる相談が寄せられるので、セキュリティの課題や施策の起点になるケースがたくさんあります。答えのない課題も多いので悩ましいですが、全員で深く考え議論しながら解決に導いていけるというのはやりがいがありますし、それができるのがこのチームの強みだなと感じています

@eguchi:本当にありとあらゆる相談をいただきますよね!入社したばかりの頃は「セキュリティに関する相談をする」という文化がまだ会社に根付いていなかったように思いますが、最近は経営層や現場レベル、あらゆる方々からさまざまな相談をいただくことが多く、毎日悩みながら「今のメルカリグループとしての正解」を生み出していく感じですよね。メルカリ特有の魅力については最近入社されたOsugiさんのご意見も伺いたいところ。前職と比べて、今のところどうですか?

@osugi:少人数チームで意思決定も早いため、施策の実施や改善などの仕事にスピード感がありますね。とあるインシデントが発生したあとの、再発防止策としてのルール改定や従業員教育の対応がとても早くて驚きました。

「責任範囲」「立ち上げ」「非連続の成長」、入社前のメルカリと今

──みなさん、専門性やバックグラウンドも多様ですよね。そもそもメルカリに入社した理由は?

@ryu:セキュリティガバナンスをやるメンバーとしては僕とeguchiさんがメルカリで最初のメンバーとして参画しました。前職が外資で本国での意向が強く、自分で施策や方向性を決められる範囲が限定的だったので、1から全て自分で責任を持って施策を進めていけるという点に魅力を感じて入社しました。

@eguchi:たしかに!そういえば最初は二人でしたね!私の場合は、前職が大企業だったこともあり、既にセキュリティ管理のPDCAが回っていたので、最初のP(企画)を自身でつくり上げ、その後のサイクルを回しながら改善していくというセキュリティ管理の初期フェーズを経験してみたいと思い入社しました。

@osugi:前職で、ある程度セキュリティマネジメントの経験を積めたため、環境を変えて新しいチャレンジをすることで企業の非連続の成長を体験してみたかったからです。具体的には、面接でメルカリのセキュリティ組織は発展途上だと聞いていたので、セキュリティマネジメントの仕組み作りから携わることができると考えたこと。それから、未経験の暗号資産のセキュリティに携わることができるという点も大きかったです。

──みなさん、「新しい挑戦」をしてみたいという想いは共通していますね。逆にその分だけ期待が膨らんでいたかなと思うのですが、入社前後のギャップはありましたか?

@ryu:領域全てに責任を持てるという点は思っていたとおりでしたが、セキュリティガバナンスをやる最初のメンバーということもあり、とにかく業務を進めるための既存の道筋が存在しなかったので苦戦しましたね。入社当初は相当(泣)なので、開き直ってまずは社内の各チームと信頼関係を構築することに力点をシフトして、あらゆる相談に積極的に乗っていくことで会社のなかのセキュリティの現状や課題を把握していくところからスタートしました。今となってはそこで築いた信頼関係が大事な基盤になっているので、結果的にはとても良いステップだったと思っています。

@eguchi:いやぁ、入社当初は本当に何もなくて大変でしたよね。当時はまだまだ「スタートアップ感」が色濃く残っていて、一般的な会社として「あって当たり前」のルールやプロセスが不十分だったと思います。そのため、セキュリティ管理のフレームワーク上の「当たり前」が通用するはずもなく、そもそもの土台づくりから行い、さまざまなチームを巻き込みながらセキュリティの基礎固めを行う必要がありました。

@osugi:私は最近入社したので、お二人のようなギャップとは異なりますが、思っていたよりもセキュリティ組織の人数が少なく、一人ひとりがプロフェッショナルとして大きな役割を持っている点がよいギャップでした。今、お二人の話を聞くと、現在は「あって当たり前」のルールやプロセスはきちんと整備されているので、ここまで道のりは大変だったろうなと思いつつ、それでもその過程は楽しかったんじゃないかと想像します(笑)。

セキュリティガバナンスの再構築に邁進した、9ヶ月の記憶

──Security Management Teamの代表的なプロジェクトがあれば教えていただけますか?

@ryu:入社以来、さまざまなプロジェクトや取り組みを行ってきましたが、一つ上げるとするとやはり2020年に取り組んだPJ-Norwayになると思います。

@eguchi:ですね!

@ryu:当時のメルカリは急成長を遂げていたため、事業や組織のフェーズが変わったり、新しいビジネス展開を始めるたびにルールを継ぎ足してつくられており、それぞれのルールのカバー範囲が不明確でした。各所で内容の重複や抜け漏れがあったり、とにかく分かりづらく、管理が難しい状態にあったんです。そこで情報セキュリティ管理の抜本的な再構築を行うために発足させたプロジェクトがPJ-Norwayです。

本当に必要かつフィジビリティの高い、メルカリらしいセキュリティのルールと管理の体制をつくるために、情報管理の根本に立ち返ってグループ全体での情報資産の洗い出しから、リスクアセスメント、それまでに存在した全ての規定・マニュアルを廃止と新たな規定をつくり直しまでをやり抜きました…とにかく大変でしたね。

@eguchi:私もRyuさん同様、PJ-Norwayですかね。合計で9ヶ月かけた一大プロジェクトでしたが、これによってメルカリのセキュリティガバナンスは大きな前進を遂げることが出来たと感じています。このプロジェクトについてはここでは書ききれないくらい熱い思いがあるので、詳しくは別のメルカン記事でご紹介しようと思います(笑)!本当に大変でしたが、PJ-Norwayがあったからこそ、今のメルカリのセキュリティの文化があると言っても過言ではないですね。

──私も当時のPJ-Norwayを横目に見ていた一人でしたが、ものすごい深さと範囲をブルドーザーのように力強く推進していた印象がありますね。改めて、PJ-Norwayで得た成果やフィードバックがあれば教えてください。

@ryu:当時のメルカリグループはすでに社員数1,200人を超えていました。このようなフェーズで情報セキュリティの変革にここまで大胆に取り組める会社はないのではないかと感じています。この大規模なプロジェクトを当時メンバーが2名しかいない体制ではじめた僕たちもかなりGo Boldだったなと思いますが(笑)、このプロジェクトの意義を理解して外部リソースの活用なども含め大きな投資してくれた経営層の決断には胸が熱くなる思いでした。こういった取り組みができるのがメルカリで働くダイナミズムだと感じています。

@eguchi:今振り返ってみても、あのタイミングでPJ-Norwayを進め、無事着地させたことは大きな成果であったと思っています。あのプロジェクトがあったからこそ、いち企業としての土台がつくれたと思っておりますし、経営陣にもセキュリティ管理体制の構築に当たって手厚くサポートいただいたことは、本当に大きなWinだったと思います。

──ちなみに、PJ-Norwayという名称の由来は…?

@ryu:それ、必ず聞かれます(笑)。北欧ノルウェーにある「スヴァールバル世界種子貯蔵庫」という地球上の種子を全て保存している場所が由来になっているんですよ。プロジェクトの名付けをする際に、メルカリにある全ての情報を一元的管理するという取り組みのイメージと重なったのでこの名前に決めました。この取り組みがいつか会社を救う「ノアの箱舟」になれば、という期待も込めて。

必要なのは過去の成功体験にとらわれない柔軟性、そして愛?

──今、Security Management Teamは採用活動中ですが、このチームにフィットする方はどんな方だと思いますか?

@ryu:もちろんセキュリティに関する知識や経験が僕らのチームでやっていることに近いものがあるというのも重要なのですが、採用のときに一番重視しているのは「柔軟性」です。メルカリでは社内の納得感やコンセンサスをとても大事にしています。ですから「他社ではこうやっているから」というものがそのままは持ち込めないケースも多く、常にメルカリに合った形で最適化することが求められます。なので、過去の成功体験だけにとらわれ過ぎず、時にはアプローチを変化させて対応していけること、そして自分で施策の意義を咀嚼して、相手に向き合って説明責任を果たせる人がこのポジションで活躍できると思います。

@eguchi:セキュリティ管理を行うためのベースライン知識や経験値はもちろん必要だと思いますが、それ以上にカオスな環境のなかでも、事業部門等と協調しつつ、柔軟に、かつ主体的に業務を進められる方が合っているかと思います。あとはポジティブさやメルカリが提供するサービスに対する「愛」ですかね。

──「愛」!?

@eguchi:いかに困難な場面においても、「なんとかさせよう!」と課題や問題にポジティブに向き合い続ける姿勢。そこには、やはりメルカリグループが展開するサービスへの愛がないと難しいのではないかと。

@ryu:いいね!

@osugi:私は主要なセキュリティフレームワークの理解があり、環境の変化に対して柔軟な方は向いていると思います。先ほど、ryuさんが話していた「柔軟性」という話はとても共感しますね。

──逆に、どんな方には向いていないと思いますか?

@eguchi:役職に関わらず、業務指示に基づきタスクを進めるという考え方が薄い会社なので、守備範囲がはっきりした環境で上司からの依頼に基づき、決められた業務を前例に従い進めたい方には合わないかもしれませんね。あとは先ほどryuさんもコメントしてくれていた通り、過去の経験値にとらわれすぎる方ですかね。

メルカリには「リープフロッグ」できる可能性がある

──今のメルカリの事業や組織フェーズにおいて、どんな成長機会があると思いますか?

@ryu:メルカリグループではメルコインやNFT、さらには海外開発拠点の設置や海外ビジネスの拡大など、新たなビジネスをどんどん拡大しているフェーズです。それに伴い、金融や海外展開におけるセキュリティ課題に取り組むことで経験の引き出しを増やしていただくこともできると思います。しかも、ものすごいスピード感で!

@eguchi:国内外のビジネスグロースが今後も続くので、展開するサービスやビジネス、(海外の場合は)現地の文化や法規制等を加味したセキュリティ管理のあり方をゼロベースで考えながらつくり上げていくことが求められます。今までつくってきたルールやプロセスなども改善の余地があるので、積極的に新しいことにチャンレンジし、貪欲に改善活動に貢献したいという方にはマッチする環境だと思います。

@osugi:メルペイ・メルコインなどの金融ビジネスに特化したセキュリティマネジメントに携わることができます。具体的には暗号資産やNFTなど新しい分野のセキュリティマネジメント経験を積むことができますので、そういった経験を通じてFintechに明るいセキュリティスペシャリストになれるのではないかと考えています。

──みなさんの今後の野望について教えて下さい。

@ryu:メルカリでは日本全国から自由に働ける「YOUR CHOICE」という制度があります。メンバーが自由な働き方をしながらも、セキュリティをどのように両立させるか、という課題に取り組み、この施策を実現させました。これは旧態依然とした会社では成し遂げられなかったことだと思いますし、今後もこういったメルカリだからこそ実現できる!というような新しいセキュリティのスタンダードをつくっていきたいですね。

@eguchi:セキュリティ管理の領域はPDCAを確立し、回し続けるという性質の業務が多いので、良くも悪くもオペレーショナルな業務が多くなりがちですが、そのような業務の自動化や既存業務プロセスのなかに埋め込み、セキュリティ管理を意識せずとも担保される仕組みなど、業務部門の負荷を軽減しながら全社的なセキュリティレベルを底上げする仕掛けを日々検討しております。前例にとらわれず、先進的な技術に触れながら、今後もメルカリらしいセキュリティ管理のあるべき姿を追求し続けたいですね。

@osugi:確かに。ルールではなく仕組みで統制するセキュリティをつくりたいですよね。しかも、まだ組織やチームは少人数のため、一人ひとりの役割が大きく担当範囲も広いです。そういった環境を楽しめる方にとってはいい環境だと思います。

──ディフェンシブな部分が多い職種や立場だという先入観があったのですが、どちらかというとオフェンスをするためにディフェンスを強化するような印象を持つことができました。もちろん課題も山積しているとは思いますが、このフェーズだからこそ向き合える課題もあって、刺激的なタイミングと言えるかもしれませんね。

@eguchi:セキュリティ管理の領域においてゼロベースで何かをつくり上げたい方や、既にあるプロセスを改善していきたい方。0→1も1→10を経験できるチャンスがまだまだあります!カオスな環境のなかでその時々において、最もベストな解を仲間とともに導き出しながら、セキュリティ管理のプロフェショナルとしてチャンレンジし続けたい方は是非Joinいただきたいです!

@ryu:皆さんが言うようにメルカリのセキュリティはまだ発展途上の部分があります。しかし、だからこそ旧来のやり方にとらわれずに「リープフロッグ」させて一気に遅れていた分野をテックの力で最先端にしていくような、劇的な革新を起こすことができる高い技術力があります。事業の拡大とセキュリティ環境の変革、そして最先端の技術に関わることができるユニークな機会になると思いますので、一緒にメルカリをアップデートしていきたいですね!

関連記事 サクッと読める!✨

【祝!メルカリShops本格提供開始】ソウゾウメンバーに今の気持ちを突撃取材! #メルカリな日々

「メンバーの給料を上げる」「北海道制覇」メルカリ・メルペイメンバー11名の抱負を突撃してみた【音声付き】#メルカリな日々

オフィスデーで聞いてみた!メンバーはメルペイ&メルカードをどんなふうに使ってるの!?

関連記事 読み応えアリ✨