ビジネスを拡大するために最強のIT環境をつくる。メルカリの“働くを下支え”するCorporate IT Security #MercariSecurityPrivacy

約2ヶ月にわたり、メルカリのセキュリティ&プライバシーに関するチームを紹介する連載、題して『Meet Mercari’s Security&Privacy Team』。今回は、Security Engineeringのサブチーム、Corporate IT Security チームを特集します。

情報システムの領域・ソリューションをセキュリティの観点からリスク軽減や安全性の向上を担う同チーム。その業務は多岐にわたります。いわば、メンバーの多様な働き方・働く環境を支える存在です。

今まさにメルカリはメガベンチャーと大企業のちょうど間にいる成長フェーズ。ある種、このタイミングでしか味わえない「貴重な体験」を嬉々として語るのは、林吟志 (@ghayashi）と篠嵜洸（@helosshi）の二人です。取材にあたり、オフィス近くの公園に呼ばれましたので、早速お話しをうかがっていきましょう！

一口に「情報システムのセキュリティ分野」といえない守備範囲

──いよいよ本連載も折り返しの第5回となりました。まずは、お二人の自己紹介からお願いします。

@ghayashi：こんにちは、社内ではぎゃーしと呼ばれています。私のファーストキャリアは、セキュリティサービスをお客さまに提供するベンダとして出発しました。その後、利用していたソリューションの裏側をもっと知りたくなりソリューションのメーカーに転職し、現在ではサービスの受け手であるお客さま側のリアルが知りたくてメルカリに2021年4月に入社しました。

@helosshi：こんにちは、へろっしです。メルカリには2017年9月に入社したので、気づけば6年目です。キャリアは、学生時代のアルバイトから、新卒、現職と一貫して情報システムに関わってきました。今年から、よりセキュリティ分野に重点を置いたCorporate IT Securityに異動しました。

篠嵜洸（@helosshi）

──お二人とも、ここまでの連載に登場したメンバーとは一味違うインパクトのあるニックネームですね（笑）。では、次にチームについて聞いていきたいと思います。Corporate IT Security チームはどのような役割やミッションを担っているのでしょうか？

@ghayashi：メルカリにはいくつかセキュリティを担当する部署があるのですが、私たちはSecurity Engineering チームの中で、Corporate IT Securityを担当しています。情報システムの領域・ソリューションについて、セキュリティの観点からリスクの軽減や安全性の向上を担っています。

一口に情報システムのセキュリティといっても、普段メルカリの従業員が利用するさまざまなサービス・システムが対象になります。例えば、手元で利用するWindowsやmacといったPC端末、GoogleやOktaで管理されるアカウント、業務で生産活動を行うためのSaaSや、EDRなどセキュリティ対策ソリューション…などなど多岐にわたります。メルカリのメンバーがそれら基盤の上で安心して、安全に業務を行えるために日々活動しています。

林吟志 (@ghayashi）

@helosshi：そもそも私たちが担っている役割は、他社では情報システム部門が担っていたりタスクフォースのようなかたちが多いと思います。一方、メルカリではセキュリティチームのなかに専門組織として存在しており、Corporate Engineering チームと連携しながら推進している点が特徴だと思います。

──なるほど、かなり守備範囲が広いわけですね。先ほど、他社との違いについて触れていただきましたが、このチーム“ならでは”の働く魅力や、おもしろい部分はどこにありますか？

@ghayashi：メルカリと聞くとプロダクト側のフリマアプリ自体をイメージされる方が多いと思いますが、メルカリを支える裏側も非常に面白いということですかね。それは多種多様なメンバーであったり、開発や運用、サポート業務だったりするのですが、それらに対して、「ITインフラ」という全社横断で利用する仕組みから、広くアプローチできる点はチームの大きな魅力だと思っています。

@helosshi：そうですね。YOUR CHOICE（個人と組織のパフォーマンスおよびバリューがもっとも発揮しやすいワークスタイルを自ら選択できる制度）に代表されるような新しい社内向け施策への積極的な展開のサポートや、メルカリのUSチームとの連携などグローバルな観点での議論も求められるのは、飽きずにやれているおもしろい部分です。

──さまざまな観点から働き方を考えることが、Corporate IT Securityを推進するうえで重要なんですね。冒頭でキャリアの話を少しうかがいましたが、お二人はなぜメルカリに入社したのかをもう少し詳しく教えてください。

@ghayashi：メルカリに入社した理由は、エンジニアリングブログの濃さだったり、利用している技術スタックが公開されているようなオープンなカルチャーに惹かれたことです。自分が今まで培ってきたナレッジやキャリアが、メルカリという環境で通用するのか、ある意味「自分自身をバージョンアップできるのでは？」と期待を抱いて入社しました。

@helosshi：情報システム部門でのキャリアを選んでいる理由にも通ずるのですが、サービスが出た時からメルカリのことが好きで、好きなサービスを開発している人たちの働く環境を支えることができたら、よりメルカリがいいサービスになると思ったのがきっかけです。また、2017年当時だと3〜4人のチームで、IT部門の立ち上げという点でも魅力を感じました。

今年になってCorporate IT Securityに異動したのは、2020年以降の社会の変化とともに求められる働く環境のアップデートに携わりたいと考えたためです。

──ちなみに、それぞれが期待していたこととのギャップはありましたか？

@ghayashi：組織全体としての専門性の高さはもとより、それを表現するバリューの浸透には良い意味で驚かされました。ある課題に直面した際にも、皆が前向きに改善するための議論をとことん行い、組織全体として解決しようとする姿勢をさまざまなプロジェクトでみてきました。それはメルカリが掲げる3つのバリュー「Go Bold」「All for One」「Be a Pro」を皆がことあるごとに口にして、そして体現しようとしているからだと思います。

@helosshi：入社してからだいぶ時間が経っているので、私はSecurity Engineering チームに異動してからのことについて話しますね。Corporate Engineering チームにいた頃から、Security Engineering チームとの関わりはもちろんありましたが、実際に異動することで見える景色は新鮮でした。社内異動をすること自体が初めてだったので、その新鮮さももちろんありましたが、社内外からセキュリティ組織に対して、求められていることがこんなに多くあるんだなと！

あと、異なる視点から見たメルカリにも新鮮さがありました。単純に大きな会社になったなぁ…と（笑）。

私たちの仕事って、キャッチボールに似ていると思うんですよ。相手のことをよく見てちょうどいいところに投げる、時にはこぼれ球も拾いに行くし…と語りながら、おもむろにキャッチボールをはじめる二人

より安心安全に働くための環境を下支えする

──では、ここからはチームの仕事について深堀りしていきたいと思います。Security Engineering チームとしての、代表的なプロジェクトについて教えてください。

@ghayashi：私が入社した直後に実施した、Corporate IT全体へのリスクアセスメントは印象に残っています。入社直後でしたので、とにかくまわりのメンバーから情報を集めたり、実際にIT環境全体を触りながら進めていきました。結果として環境の理解は当然として、さまざまなステークホルダーと繋がりを持つことができましたし、信頼を得るための重要なプロセスだったと思っています。そして成果物としても、メルカリで今後どの場所をどのように、どの優先度で対応していくかといった、指針にもなりました。

@helosshi：直近ですと、基盤サービスへのアクセス権限の強化施策です。以前のIT Serviceにいた経験を元に影響範囲を考えながら進めていきました。また、チームとしてロードマップを策定しており、それに基づき、業務端末やSaaSのセキュリティ強化を推進しています。一見地味な施策が多いですが、より安心安全に働くための環境の“地ならし”をしている段階です。あとは今までも話していますが、他チームとの連携・協業が多いですね。

@ghayashi：そうですねー。私たちのチームでは、公表されている事例だとメルコインなど、会社としてこれから展開したいビジネス・事業にも組織横断的に関わることが非常に多く、正直ここでは伝えきることができないので、興味を持たれた方はぜひJob Descriptionを見ていただけるとうれしいです。

──やるべきことははっきりしていると思いますが、それに伴う課題はどのような課題がありますか。

@ghayashi：冗談ではなく、まだまだ課題は多くあります（笑）。

@helosshi：メルカリの情報システムは、急速に組織が大きくなるフェーズになんとか追いついていこうとしながら、拡張・拡充されていった歴史があります。その歴史で生じてしまった運用上の矛盾や、管理上の課題に継続して取り組んでいます。例えば、よりメルカリらしい情報システムの自動化、アクセスポリシーの高度化など、まだまだ考えて改善しなければいけない課題があります。

@ghayashi：会社全体としてもセキュリティの強化を掲げ、対外的にもメッセージとして発信しているので、期待されているところだと思います。

エンタープライズ企業に飛躍するフェーズだからできること

──これまでの歴史やプロセスから生じた矛盾や課題の改善に向け、今まさに奔走しているところだと思いますが、これからどんな仲間が必要になってくるのでしょうか？

@ghayashi：まずはスキル面を挙げると、前提としてメルカリのIT環境はさまざまなクラウドベースのソリューションを組み合わせて実現しています。それらの知識はもちろん求められますし、技術的な見解や説明を求められる場面も非常に多いです。そのため、ある種モダンな、クラウドベースのITアーキテクチャに関する思想や概念、仕組みの理解ができ、自分の言葉で説明できると、非常に活躍できるかと思います。

また重要な点として、メルカリではカルチャー・フィットも重視されます。これは既にお伝えしたバリューを体現するということになるのですが、ご自身で考え抜き、ステークホルダーと議論し、巻き込みながら、高いレベルの成果を出すことが求められます。

@helosshi：ちょっとエモくなるのですが「想い」というのは大事にしたいですね。Corp IT Securityを現職で担当されている方はあまり多くないと思うのですが、どちらかを現職で担当されていれば、セキュリティの担当であればCorporate ITをこうしたいという想いがあるといいですね、逆もしかりです。また、私みたいに「メルカリ大好き！」みたいな気持ちなど、ご自身のコアとなる想いをお持ちの方は活躍できると思います。

──「スキル」「カルチャーフィット」加えて「想い」ですね。逆にどんな方には向いていないと思いますか？

@ghayashi：正直にお話すると、上意下達な仕事の仕方、考え方に慣れていると活躍しづらい環境かと思います。なにか施策を打ち上げ、遂行する際も、根拠や理由・背景の説明はあらゆる場面で求められ、合意形成を行いながらキーパーソンを巻き込んでいく必要があります。その際に「言われたから」「決まっているから」ではメルカリのメンバーを動かすことができず、頓挫してしまいます。

@helosshi：ここまでお話させていただいているように、Corporate IT Securityは幅広い領域を扱っています。全てを習熟して、全てを説明できる必要はないですが、フットワーク軽く議論をしにいける人、サクッと手が動く人はとてもフィットすると思います。というのもメルカリの事業環境は非常に速いスピードで変わり、新しい企画やプロジェクトがあらゆるところで生まれ、並行して動く。なので、自分から動きをキャッチできるような人は向きますし、一方的に待ってしまう人は向かないなと思います。

──今のメルカリの事業フェーズは、なかなか外から見えにくい部分はあるかと思います。採用候補者の目線で見たとき、どんな活躍の機会やチャンスがありそうでしょうか？

@ghayashi：今、メルカリは飛躍のフェーズだと考えており、セキュリティ面での高度化でも、これまでとは異なるアプローチ・施策が必要なタイミングに差し掛かっています。いわゆるメガベンチャーから大企業へ脱皮する只中です。そんな時期にありながら、よくある抑制や抑圧の色が強いセキュリティ対策ではなく、新しいアプローチを考えて生み出し実装していく、ある種「貴重な体験」が味わえると思います。helosshiさんは入社して5年が経ちますが、今だからこそ感じるフェーズの変化みたいなものはありますか？

@helosshi：去年末から今年にかけて、メルカリの経営陣にも姿勢や体制の変化があり、私たちのレポートラインであるCISOが最近変わったのは大きな変化ですね。さらには、昨年のCodecovのインシデントを経て、経営層からもCorporate IT Securityも力を入れていかなければならないという期待をされてます。そういう状況下で動けるというのはまたとない機会だと思います。

メルカリグループ、新経営執行体制への移行および役員業務分掌の一部変更のお知らせ

ビジネス拡大していくための最強のIT環境をつくる

──では、みなさんの今後の展望…いや、野望について教えてください。

@ghayashi：野望ってすごいっすね（笑）。そうですね… 真面目に話すと、メルカリで働く皆が安心・安全に、ストレスなく業務できて、それがどんな規模の組織になっても問題ない、最強のIT環境をつくり上げていきたいという想いはあります。実際には利便性とセキュリティは多くの場所でぶつかってしまうのですが、そこはチューニングを経て、メルカリらしい環境にしていきたいですね。引いては、メルカリを利用するお客さまにも遠巻きながら還元できればいいなと思います。

@helosshi：そうですね。これからもビジネスが拡大していけるように、経緯に敬意を持ち、会社や社員がやりたいことをドンとできる度量の大きい、セキュアなIT環境をつくっていきたいです。それには社員のみなさんのご協力も引き続き必要です！これからもよろしくお願いします！そして、これからを一緒につくっていってくださる、あなた！あなたをお待ちしています！

──「経緯に敬意」はみんなが意識したいことですね！最後に読者に向けてメッセージを！

@ghayashi：私はセキュリティベンダやメーカーなど複数の立場からセキュリティを担当してきました。「モダンな環境でもっといいものをつくりたい！」「自分だったらこうしてみたい！」など、自分なりの熱い想いがある方、ぜひお話させてください。

@helosshi：一緒にキャッチボールしましょう！

──キャッチボールしましょう！ありがとうございました！