セキュリティの専門家集団の旗振り役を担う。Security Strategyが目指す、スケーラブルな組織づくり #MercariSecurityPrivacy

約2ヶ月にわたり、メルカリのセキュリティ&プライバシーに関するチームを紹介する連載、その名も『Meet Mercari’s Security&Privacy Team』。第4回は、Security Strategy Teamを特集します。

突然ですが、みなさんは「Security Strategy Team」と聞いて何を思い浮かべますか？　「セキュリティに関する戦略をつくる…チーム？」と私も直訳して意味を理解しようと試みましたが、今回話しを伺うと、ビジネスのみならず組織にも向き合う（想像以上に）幅広い取り組みをしているチームであることがわかりました。

戦略を「絵に描いた餅」に終わらせないために、プロセスの分析・改善から、社内のセキュリティ教育啓蒙プロジェクト、採用、さらには組織の言語化まで、さまざまなコトに向き合う。そんな組織横断の役割を担うのが、このSecurity Strategy Teamです。

今回はSecurity Strategy Teamからマネージャーの@json、そしてストラテジースペシャリストの@asaedaを招き、チームのミッションや課題、展望を伺っていきます。

今回も聞き手はメルカン編集部（Employer Branding Team）の@saimaruがつとめます。

全てのチームのハブとなる、Security Strategy Team

──まずは簡単に自己紹介をお願いします。

@json：Security Strategy TeamのマネージャーのJasonと申します。メルカリに入社して約5年が経ちますが、入社当初はグローバルオペレーションチーム という部署に所属して翻訳・通訳を担当していました。メルカリ入社後すぐにSecurity Teamの専属通訳としてアサインされ、幸運にもチームからセキュリティを学ぶ機会を多く得られました。結果的に、サイバーセキュリティの知識基盤を身につけることができ、これに伴い2019年にテクニカル・プログラム・マネージャーとしてSecurity Teamに正式に配属となりました。

──通訳・翻訳の担当者がSecurity Teamのいちメンバーになるなんて、まさに“Go Boldな異動”ですね。

@json：そうですね、かなり珍しいケースだと思います。この異動をきっかけに、いちメンバーとして取り組んでいた業務内容を拡張・拡大することを目的に、Security Strategy Teamという新たなチームを立ち上げ、マネジャーを担当することになりました。全くの別分野からセキュリティ業界に入った私の話に興味がある方は、昨年掲載された別のメルカン記事をぜひ見てください。

──しっかり別記事の宣伝までしていただき、ありがとうございます（笑）！では、Asaedaさん、お願いします。

@asaeda：はい、Asaedaと申します。10年以上テック系スタートアップの経営に携わった後、2021年8月にメルカリへ入社しました。最初は経営戦略室に所属し、グローバル戦略を担当し、今年からSecurity Strategy Teamに異動し、よりメルカリのプロダクトサイドに近いチームで仕事をしています。当初はSecurity Teamの採用戦略構築や採用パイプラインの改善を主に行っていましたが、チーム自体に関する理解やサイバーセキュリティの知識が得られてきたことで、現在はセキュリティ関連のプロセスの分析・改善、社内のセキュリティ教育啓蒙プロジェクトなど、広範囲での業務に取り組んでいます。

浅枝大志（@asaeda）

──ありがとうございます！改めて、Security Strategy Teamのミッションや役割について教えてください。

@asaeda：Security Strategy Teamのミッションは「セキュリティ部門の全員をまとめるハブとして、会社や部門を超えた橋渡しをし、優先順位を合わせ、全チームが同じ方向に向かうようにすること」です。その背景として、部門としてのSecurity Teamそのものが大きくなり、メンバー数はもちろん、カバーする領域もどんどん拡大し続けています。その結果、それぞれのチームが縦割りになり、全体を見据えた連携が取りにくくなることが多く発生するようになりました。

──組織の成長痛とも呼べる課題にぶち当たったわけですね。

@asaeda：その通りです。そこで組織横断的に課題を抽出したり、ときには解決するための戦略をつくり実施もする、Security Strategy Teamを2022年1月に立ち上げることに至りました。

@json：今、メルカリはスタートアップから大企業へと成長する真っ只中にいます。そのため、リスクを適切に評価し、対処することの重要性が年々高まってきています。セキュリティに対して事後的に対応することへのフォーカスを減らし、より積極的に先手を打つ取り組みを必要としています。そのため客観的な視点を持ち、Security Teamのあるべき姿や中長期的なロードマップに明確に焦点を当てたセキュリティ戦略機能をつくることで、このような先手を打つ取り組みが恒常的になると考えています。

Security Strategy Teamが背負う4つの目標を徹底解説

──先ほど、Asaedaさんから「全チームが同じ方向に向かうようにすること」とありましたが、そのためにどんな目標を据えているのでしょうか？

@json：Security Strategy Team自体には大きく分けて4つの目標があります。「Strategic Alignment（ビジネスとの戦略のアライン）の構築」、「Business Enablement（ビジネスの駆動力となり促進する）」、そして「Process Improvement（プロセス改善）」、最後に「Security Effectiveness（セキュリティ有効性を図るために指標など設定する）」です。

Jason Fernandes（@json）

──せっかくなので、それぞれ伺いたいです…！

@json：では、Asaedaと交代しながら話しますね（笑）。戦略的な計画は、単独で作成すべきものではありません。最もインパクトのある分野に注力するためには、セキュリティの目標をコアビジネスの担当者と優先すべきことをアラインし、セキュリティ改善の機運を高めることが重要です。Strategic Alignmentの実現によりこれらの達成を目指します。他のチームに重要度の高いセキュリティ対策を正しく理解してもらうためには、計画段階からメンバーを巻き込み、プロジェクトに関心を持ってもらうことが大切です。これには、私たちの取り組みがメルカリの目指す価値観や文化に合致し、それらを支持するものでなければなりません。そのためには当然のごとく、セキュリティやプライバシーそのものへの関わり方の文化構築も必要です。誰もがセキュリティやプライバシーに関して、日常業務において正しく意識するカルチャーを根付かせるための活動に取り組んでいます。

@asaeda：2つ目のゴールである「Business Enablement」においては、展開事業において十分なレベルのセキュリティとプライバシーの保護をすることで、メルカリのお客さまを含むステークホルダーに価値をもたらすことを目指しています。この取り組みは、事業の成長そのものもサポートできると考えています。一定のセキュリティやプライバシーの前提条件をクリアすることで、許容できるリスクを把握したうえで新しい業界や事業領域に進出することが可能になり、メルカリの事業の成長をさらに加速させることができるはずです。

セキュリティが門番や障壁として見られるのではなく、他のチームからパートナーや仲間として扱われるようにしたい。事業を前進させるために協力し合い、その過程でセキュリティやプライバシーの懸念事項に意識を向け、一緒に解決していく。このアプローチは、「All for One」と「Be a Pro」というメルカリのバリューを体現していると同時に、「Go Bold」な自発性を可能にするものだと感じています。

@json：3つ目のゴールである「Process Improvement」は、メルカリのワークフローやプロセスの全体的な質を向上させるプロセスにおいて、セキュリティやプライバシーに関する事項も実現するというコミットメントに基づくものです。その一環として、私たちのセキュリティプロセスが効率的で、他のチームに受け入れられている必要があります。

私たちが導入しているプロセスが生産性を落とすことなく、ワークフローにうまく溶け込むようにしてセキュリティ水準を担保するものにしたいと思っています。特に最近は、ソフトウェア開発ライフサイクルの面に重点を置き、セキュリティ対策を前倒しに取り組むようになりました。これは、開発ライフサイクルを通じて効果的にセキュリティに対応し、早期に、頻繁に、そしてスケーラブルな方法で検証できるようにすることが目的です。

@asaeda：最後のゴールは、「Security Effectiveness」。セキュリティのベースラインを設定・測定し、組織全体のセキュリティ成熟度を把握し、セキュリティ対策の有効性を確認することで、自分たちの取り組みを確認して検証するということです。CIS Controls, OWASP-SAMM, NIST Privacyなど、さまざまなセキュリティフレームワークをベースに、独自にカスタマイズしたもので管理しており、効率よく会社として優先すべきプロジェクトを可視化することに努めています。経営陣はセキュリティのプロフェッショナルであるとは限らないため、客観的に理解できるようにし、意思決定のスピードを早めることを目指しています。

@json：これらの目標は、最終的にはセキュリティ部門のミッションとビジョンである「セキュリティ&プライバシーに対する協調的アプローチを通じて信頼を築き、ステークホルダーの価値を高めること」、そして「デザイン、デフォルト、スケールによるセキュリティ&プライバシーという基本原則を重視したアプローチを徹底すること」に帰結します。

──この4つの指標を俯瞰しつつ、総合的に組織づくりをしているということですね。例えば、それが具体的なプロジェクトにどう落とし込まれているのか、についても気になります。

@json：例えば、現在力を入れていることの1つは、新しいビジネスのセキュリティ要件定義のサポートです。特に、近いうちにリリースされる暗号資産サービス「メルコイン」のセキュリティ要件や、フリマアプリのメルカリの大幅なアップデートに関するセキュリティ要件のサポートなどを行っています。

@asaeda：私は戦略的な分析、企画、ロードマップ策定の面ですね。メルカリグループのCISOである市原（尚久）と密接に連携し、メルカリのセキュリティの全体像を把握し、そのうえで優先すべきことを議論しています。また、セキュリティ成熟度の基準値をより恒常的かつ一貫した方法で文書化できるよう、本格的なセキュリティ指標プログラムの確立など、やるべきことはまだまだたくさんあります。

@json：この半年間で最も注力している分野の1つが、Security Teamの採用戦略です。こうしたブログ記事や技術系ブログの調整、オンラインとオフラインの両方で開催する採用イベント、セキュリティ採用のパイプラインそのもののプロセス改善など、さまざまな取り組みを行ってきました。Asaedaはこれに注力していて、他のチームのプロセス改善をサポートしています。

@asaeda：最初にチーム内の採用プロセスをみたとき、ブランディングと露出の少なさが主な課題だと思いました。そこで、チームのメンバー全員とユーザーインタビューを行ったところ、セキュリティのプロは本当に採用が難しく、採用の仕組みやプロセスそのものを改善する必要があることがわかりました。その後、ソーサー、リクルーター、Brandingなど、社内のメンバーと協力し、サスティナブルでユーザーフレンドリーな候補者体験を構築する方法を考えました。

以前の採用管理パイプラインでは管理しきれなかったプロセスをシステム化・自動化し、さらに面接の設定を優先的に行うなど、他チームからの支持を得るために真摯にコミュニケーションを取りました。その結果、候補者体験が飛躍的に向上し、セキュリティ職では応募から概ね20営業日以内に内定を出せるようになり、かつ、徹底した公正な審査で必要な候補者を確保できるようになりました。

@json：このような取り組み以外にも、私たちのチームは、特にグループ全体のエンジニアのセキュリティ意識向上トレーニングや、社外向けの脆弱性報告窓口において、Product Security Teamと非常に密接に連携しています。

@asaeda：その一環として、現在、セキュリティチャンピオンプログラムの見直しに取り組んでいます。また、グループ全体のセキュアコーディング研修について、より魅力的でスケーラビリティの高いソリューションを模索し、この種のトレーニングコンテンツをさらに高いレベルで社内に展開することも検討しています。

──Security Strategyという役割や機能は一般的にあまり耳にしませんが、これはメルカリ独自の取り組みなのでしょうか？

@json：Security Strategyは、一般的なSecurity Strategyではかなり稀有な機能です。セキュリティとプライバシーが以前より経営陣の関心高い分野となり、セキュリティは純粋にインシデント対応やテクノロジーに焦点を当てた領域として扱われるのではなく、ビジネスそのものとより密接に結びついた機能として扱われるようになってきていると思います。そのため、Security Strategy Teamの役割は、今後もより重要性を増していくと思います。戦略的、論理的、創造的な思考によって、大きなインパクトを与える組織改革を推進できる可能性を秘めた、エキサイティングな経験ができるのも魅力ですね。もちろん関わるチームが多様だと、その分コンテクスト・シフトが多く、コミュニケーションも大変なことがありますが、それも必要なこと。それよりも、ビジネスやセキュリティ・プライバシーへの取り組み方に真の変化をもたらす可能性があることに喜びを感じています。

@asaeda：メルカリは自社製品を企画・構築・リリースするビジネスなので、要件定義段階から製品廃止までセキュリティに責任を持つ必要があり、Security Strategyはメルカリにとって重要な機能です。セキュリティは常に継続的なプロセスです。私たちはレジリエンスを維持し、会社のセキュリティ提唱者として、セキュリティを大切にする文化をつくり、維持することが必要です。また、セキュリティエンジニアリングチームとガバナンスチームのハブとしてよりよくサポートし、連携とチームワークを確保する必要があります。会社が新しい方向に向かうときはいつも、それをどう実現するかを考えるところから思考し始めます。

求めるのはスタートアップの創業者のようなオーナーシップ

──Security Strategy Teamにフィットする方はどんな方だと思いますか？

@json：他のチームと協力してセキュリティやプライバシーの要件を定義し、目標を設定し、プロジェクトを成功に導くために必要なすべての要素を揃えることができる、洗練されたプロフェッショナルが必要です。また、問題を早期に発見し、適宜エスカレーションする能力も必要です。ブロッカーを取り除き、困難な問題の解決を率先して推進できる方とも言えますね。

──かなりスキルセット高そうですね（笑）

@json：そうかもしれませんね（笑）。でもそのくらい重要なミッションであることは間違いないと思います。この役割の大部分は、経営に主要なセキュリティリスクを認識させることにもあります。そのため、経営に主要なセキュリティリスクを提示し、課題の適切な理解や課題の解決を促せる人が必要です。組織全体のセキュリティ問題に対する認識と関心を高め、信頼を築き、メルカリグループ全体の日常業務にセキュリティを組み込むことができる人は大きな貢献ができると思います。

──Asaedaさんはありますか？

@asaeda：セキュリティのプロフェッショナルで、高いオーナーシップを持つ人が最適だと思います。あるいは、スタートアップの創業者のようなオーナーシップを持ち、複雑な案件にも楽しみながら取り組み、インパクトを生み出すことに努力できる人。セキュリティ戦略チームに寄せられる課題の多くは、社内のさまざまなメンバーとの調整やコミュニケーションが必要です。優先順位が必ずしも一致せず、自分にとって重要なことが他のメンバーにとっても重要でないこともあり、難しいこともあります。私たちは常に経営陣の考え方に立ち、会社全体にとって何が正しい決断なのか、そして私たちが選んだ方向性が管理可能で持続可能なものであることを考えなければなりません。

──あえて逆に、どんな方には向いていないと思いますか？

@asaeda：Security Teamには、さまざまなバックグラウンドや専門性を持った多様なメンバーがいます。だから、逆のタイプで、自分の仕事スタイルにこだわりが強すぎるとか、自分で決めて自分のルールに従わせるタイプのリーダーシップがあるとか、意見を統一して強いチームをつくりたいとかいう人は、合わないかもしれませんね。

急成長×新領域×海外展開という、難易度の高い挑戦がここに

──求める人物像を伺って、Security Teamのなかでもよりオーナーシップが求められるポジションであることが理解できました。そんなSecurity Strategy Teamには、今どんなオポチュニティがありますか？

@json：メルカリ自体は現在も急成長中で、入社した人は、さまざまな業界やセキュリティ領域（メルカリのコアであるC2Cマーケットプレイスから、B2Cサービス、決済、暗号資産など）にまたがる膨大な数の技術セキュリティプロジェクトに参加するチャンスがあります。増え続ける斬新なビジネス領域で、速いペースで大きなリスクを伴うプロジェクトをリードする機会が多くあると思います。

@asaeda：メルカリは、個人情報や金融情報を管理する世界に、事業の一環として自ら進んで踏み込んだ企業です。これは、より良いプロダクトをつくるためだけでなく、お客さまが売買や決済などをより簡単に行えるようにするための決断とも言えるでしょう。メルカリで働くということは、現在約2,000万人の月間アクティブユーザー全員にインパクトを与えるということです。Jasonが言ったように、こうした急成長するビジネス領域で働き、グローバル展開に携わることは、日本ではなかなか経験できないことです。

──では、最後にお二人の今後の野望について教えて下さい。

@json：私たちのチームはまだ初期段階にありますが、大きな目標があり、取り組んでいる領域も非常に広範囲にわたります。チームを成長させながら、コアとなるサブファンクションを構築し、影響範囲をより広げていきたいと考えています。将来的には、メルカリグループのセキュリティとプライバシーに関する中長期的なロードマップをつくり、役割と責任、プロセスと手順などが、人、プロセス、技術にシームレスに組み込まれた状態を目指していきたいですね。これが実現できれば、セキュリティとプライバシーは、ビジネスに対してさらに大きな付加価値とインパクトを与え続けることができると思います。

@asaeda：スタートアップから事業拡大を目指す企業であれば、いつかはメルカリと同じようなセキュリティやプライバシーの要件に応える必要が出てきます。堅牢性、チーム体制、トレーニングなど、常に業界をリードし、社内のカルチャーを構築していくことを目指します。成長を続けるなかで、業界全体のロールモデルとなることを目指したいですね。