情報資産を可視化して、リスクを評価し、ルールを作る──メルカリのセキュリティ文化を構築したGo Boldなプロジェクト

メルカリのセキュリティ&プライバシーに関するチームを、9回にわたって取り上げた連載『Meet Mercari’s Security&Privacy Team』は、各チームのミッションやそこで働くことの醍醐味を理解いただくきっかけになったかと思います。今回、改めてSecurity Management Teamが力を注いできたプロジェクトである、「PJ-Norway」について振り返っていきたいと思います。

事業や組織のフェーズが変わったり、新しいビジネス展開を始めるたびにルールを継ぎ足してつくられていたのが、少し前までのメルカリの実情でした。その状況を解決するために、情報セキュリティ管理の抜本的な再構築を行ったキーマンのふたりに当時を回顧してもらいながら、新たな土台の上にこれからなにを築いていこうと考えているのかを聞いていきました。

情報セキュリティ管理の再構築にあたり、まず「意思決定プロセス」を整備した

──まずは改めてかんたんにチームの紹介をしてください。

@ryu：前回のインタビューでも説明した通り、Security Management Teamはメルカリグループのセキュリティガバナンスを担当するチームです。今回お話する「PJ-Norway」ではプロジェクトのリードを担当しました。経営層への提案、予算の確保、委託先の選定からはじまり、プロジェクトの進行管理、ルール策定の実働、報告資料の作成まで…当時のSecurity Managementチームのメンバーは僕とEguchiさんの2人だけ…人数が少なかったので、なんでも仕事を分かち合いながら幅広く取り組んでいました（笑）。

@eguchi：私はRyuさんのリードの元、より現場レベルのありとあらゆる作業を進めました（笑）。

──では、早速本題の「PJ-Norway」の話に移っていきますが、プロジェクトがスタートした背景として組織にどのような課題があったのでしょうか？

@ryu：私が入社した2018年頃のメルカリは急成長を遂げていたフェーズで、セキュリティ領域は未成熟な部分が多く見られました。特にセキュリティのベースとなる「ルール」や「ポリシー」といったものは、新しいビジネスを展開するたびに継ぎ足して作られており、それぞれのカバー範囲が不明確であったり、重複や抜け漏れなどが分かりづらい状況に大きな課題感を持っていました。

また、組織の改変も頻繁に行われていたため、ルールの所掌も不明確で制定の背景なども引き継がれていなかったため、それぞれのルールとの依存関係も分からず、ルールのフィジビリティについてもどこまで検証された上で布かれたものなのか不明だったため、修正するにしてもなにから手を付けるべきなのか苦慮していました。

竹脇竜（＠ryu）

@eguchi：ルールやポリシーは色々と存在しているけれど、それらのルールがどういった背景や意図で策定されているのか、どれほど遵守されているものなのか、本質的なリスクコントロールとしてどうしたいのかが不明瞭な状態でしたよね。

──なるほど…状況の複雑さはよく理解できました。では、そうした課題に対してどのように向き合っていったのでしょうか？

@ryu：今後のメルカリのさらなる成長を考えた時、これまでの継ぎ接ぎだらけの状況を看過すると矛盾点や不整合が拡大することは容易に想像され、企業の成長を支えることは難しいというのが私たちの見立てでした。では、これらの課題への対処についてどのようなアプローチが良いのか？

私たちの答えは、「強固な情報セキュリティの基礎を固めるためには、現状のルールをいったん全て廃止。セキュリティのフレームワークに則ってすべて作り直していくのが最適である」という大胆なものでした。そこで、情報セキュリティ管理の抜本的な再構築を行うために発足したプロジェクトがPJ-Norwayです。

@eguchi：まさに基礎に立ち返り、本質的なリスクコントロールのあり方をゼロベースで考え直す「スクラップアンドビルド」のプロジェクトでしたね。

──スクラップアンドビルドするというのは、かなりGo Boldな決断ですよね。ちなみに、いまさらな質問になるのですがプロジェクト名の由来は…?

@ryu：PJ-Norwayというプロジェクト名は、情報セキュリティのイメージとはあまり結びつかないですよね（笑）。前回の記事でも少しお話ししたのですが、北欧のノルウェーにある「スヴァールバル世界種子貯蔵庫」という、地球上の種子を全て保存している場所が由来になっています。現代版のノアの箱舟ですね。プロジェクトの名付けをする際に、メルカリにある全ての情報を一元的管理するという取り組みのイメージと重なったのでこの名前に決めました。この取り組みがいつか会社を救う「ノアの箱舟」になれば、という期待も込めています。

──おお…壮大な意図が込められていたんですね！プロジェクト自体は、どんなステップを踏んで進められたのでしょうか？ここの設計が肝になると思うのですが。

@ryu：抜本的な再構築をするための準備として最初に取り組んだのは、情報セキュリティにおける会社としての意思決定プロセスを整備することでした。PJ-Norwayが始動する前は、一度決めたことが別のプロセスや会議でひっくり返ってしまうような事象がたびたび発生しており、これではセキュリティのルールを決めたり施策を進めることが難しかったため、まずはここを整備しないと何事も先に進めないと考えたからです。

幸いにもメルカリのセキュリティチームは経営戦略室という組織の中に配備されており、経営中枢への働きかけが行いやすい環境です。担当役員の協力を得て、情報セキュリティに関する委員会を設置して、会社の意思決定機関として整備しました。また、最高意思決定者をCEOに担ってもらうことで、会社全体へのガバナンスが効く状態にまで構築していきました。さらに各組織のVPを所管組織の情報管理責任者として明確に定義して、VP全員に対してその役割と責任を説明することによって会社組織全体での「セキュリティ施策の推進体制も整備」することができました。

準備を整え、いよいよプロジェクトを進めていくのですが、私たちが方針として掲げていたのは「Back to Basic」です。メルカリのセキュリティのベースを作るにあたって、セキュリティの基本に忠実なアプローチで進めることを決め、3段階にフェーズを分けました。まずフェーズ1として、社内の全ての「情報資産を可視化」するところからのスタートです。自分たちがどんな情報を扱っているのか、それがわからない状況で最適なルールを作り出すことは不可能だからです。

実際に、全社でどんな情報を取り扱っているのか洗い出していくのですが、一般の社員の方に単に情報資産の洗い出しを依頼しても正確な情報を得ることはできません。そもそも「情報資産」という言葉そのものにピンとこない方が多いであろうことも想像できました。そこで洗い出しの単位を120以上あるチームに分割して、全てのチームに対して個別にヒアリングを実施するローラー作戦を実施することにしました。

──120以上あるチーム全てですか…。

@ryu：はい。ヒアリングについても「あなたの部署で扱っている情報資産を教えてくだ下さい」といきなり聞くのではなく、まずは各チームでどのような業務を行っているのかを確認し、そこから「こんな情報を扱っているのではないですか？」と聞き出していくというような手法を取りました。こうしたひと手間ふた手間をかけることで、より精度の高い情報資産の洗い出しを実現したわけです。

@eguchi：このフェーズ1の活動が、私たちの現在の情報セキュリティ管理活動の中核となる「情報資産管理」の基礎になっていますよね。PJ-Norway以降もセキュリティ管理活動は永続的に続くものなので、本PJにおける情報資産の棚卸しの第1弾として必要なWhatやHowもですが、2回目、3回目の棚卸し活動も見据え、継続性もかなり意識していました。

江口詩織（＠eguchi）

@ryu：フェーズ2では、洗い出した情報資産に対し、ISO27001やNISTという国際標準のフレームワークをベースとしたリスクアセスメントを実施しました。一般的にはアセスメントはその時点で「できていること」と「できていないこと」を検出してリスクを明らかにするために行うものですが、このプロジェクトでは、メルカリのビジネスプロセスやシステム開発・運用プロセスの中で「できそうなこと」と「できそうもないこと」を洗い出して「現場での現状の把握とルールのフィジビリティの確認」をすることも大きな目的として実施しました。

そしてフェーズ3のルール策定では、これらのインプット情報をもとに、それまでに存在していた全ての規定やマニュアルを調査して、フレームワークにマッピングした上で全廃し、会社のセキュリティのルールを全て作り直すという大工事を行いました。

作業量自体が膨大なのですが、内容の精度についても非常に重視していました。そのため、前フェーズで得られた情報である「可視化された情報資産」と「現場での現状とルールのフィジビリティ」を考慮しながら、メルカリの職場環境においてコントロールすることのリスクはどの程度あるのか、そもそもそのコントロールは必要なのか、コントロールの方法は自分たち会社にフィットしているのか…というような論点を突き詰め、決定していく作業は本当にタフで、プロジェクトメンバーで数か月間にわたり議論を繰り返しながら作り上げていきました。

@eguchi：本プロジェクトのみならず、「ルール制定」という統制活動全般において言えることですが、フィジビリティの低いルールは作っても意味がないので、必要なリスクコントロールとその実装については現場と議論を繰り返しましたよね。さまざまな部門との調整を進める中で本当に白熱した議論などもありましたが、ルールを守るべき現場の方々とあの様な議論を繰り返してきたからこそ今のSecurity Management Teamがあるようにも思います。

@ryu：PJ-Norwayでは、これらの整えた情報をベースとして、最終的にメルカリグループに適用するために最適化された、情報セキュリティの規程体系全て（基本方針、規程、そして12の細則、2つのマニュアル）を刷新して、現在のメルカリグループのセキュリティガバナンスの根幹を築くことができたと考えています。

Back to Basic──情報資産を可視化して、リスクを評価し、ルールを作る

──プロジェクトを進める過程で顕在化した課題がいくつもあったのではないでしょうか？

@ryu：そうですね。1つ目はリソースの確保です。前述のとおりこのプロジェクトを進めるにあたって、私たちが目指している抜本的なセキュリティの再構築をするためには、全社へのヒアリング実施などを多くの稼働を必要とすることは計画段階で分かっていました。プロジェクト開始当時、Security Managementチームは私とEguchiさんしかメンバーがいない状況で、そもそもこのプロジェクトを立ち上げようとしたこと自体、GoBoldだったと思います（笑）。

当然、全てを内製で実施することは到底不可能で、稼働の多くを外部委託に頼らざるを得ない状況でした。セキュリティのガバナンスは直接的・短期的な効果が見えづらい分野なので、ROI（投資利益率）などを考えると難しい投資判断であったと思うのですが、そんな中で担当役員のShujiさんをはじめ、経営層の皆さんには大きな投資を決断いただいたこともまた、GoBoldだったと感じています。

2つ目はどうやったらメルカリに最適化されたルールを作れるかという問題です。セキュリティのルールを作る上で大切なことは、実際に運用する人たちが「できないこと」や「意味のないこと」をルールにしないことだと考えています。実施不可能なルールを作ると現場から信頼を失い、結果として形骸化に繋がってしまうため、ルール策定をするときは実施可能かつ必要なルールであることを確認する必要があると考えています。

これは非常に手間のかかる難しい工程ですが、メルカリという会社に本当に必要かつ最適化されたルールを作ることに一切妥協せずに取り組んでいました。

──この時点（2020年）でメルカリの社員数はどのくらいの規模だったんですか？

@ryu：現在では2,000人を超えるまでの規模になっていますが、当時でも社員数は1,200人を超えている段階でした。企業がここまでの規模となった後に、精緻に情報資産を可視化することは非常に難しく、早い段階から取り組みを行っていた企業以外は諦めてしまうことが多いです。また、ルールの抜本見直しという判断も継ぎ接ぎで積み上げてしまうと、さらに改善の難易度は上がるのはもちろん、社員数の増加や組織や事業拡大が進めば進むほど、実施の難易度も上がります。そういう意味であの時点で根本的な課題を解消する方向に舵を切るという判断の意義が大きかったと感じています。

──このプロジェクトをブレずに進められた要因はなんなのでしょうか？

@ryu：基本に忠実に「あるべき姿」への立ち返りを徹底したことではないでしょうか。PJ-Norwayでは、情報セキュリティを進める上ではベースのフレームワークとしてISO27000を採用し、情報を可視化して、それに対してリスクを評価し、ルールを作るという非常にベーシックな手法を採りました。基本ではあるが、実はこれがしっかりできている会社というのは非常に少ないのが現実です。最も強い組織は基礎を最も大事にする。メルカリのセキュリティもこのような思想で作られています。

@eguchi：今後も成長を続けていくメルカリグループのセキュリティ管理のベースラインに対して、求めるものは何かという観点でISO27000を採用しました。セキュリティにはさまざまなフレームワークが存在しますが、あえて最も基礎的なフレームワークを選定することに意義があると考えました。PJ-Norwayを進めている時点で既にメルカリグループには金融事業がありましたし、今後もさらなる事業展開があることを前提にベースラインを策定する必要がありました。グループ共通のセキュリティベースラインとして、しっかりとしたルールセットやプロセスが存在していれば、事業独自で設ける必要のあるより厳しい追加要件をadd-onで設けることも容易であろうと考えた結果です。

セキュリティ管理の基礎を固めること、それは即ちセキュリティ文化の構築

──PJ-Norwayの実施によって、社内になにか変化が生まれましたか？

@ryu：PJ-Norway後、すぐに何か大きな変化が起こったか、といえば答えはNoであると思います。セキュリティガバナンスは即効性はないものです。ただ、プロジェクトから2年を経た今、振り返ると社内は大きく変化しています。

社内の多くの人が自分が重要な情報を扱う時にどのように扱うべきなのかという点を意識してPJ-Norwayで作ったルールを参照することが習慣化されてきていますし、それに伴ってSecurity Management Teamには非常に多くの問い合わせが寄せられるようになりました。PJ-Norwayで定めた情報の機密性区分であるTop Secretや、Strictly Confidentialなどの用語を社員の方々が日々の業務で交わされている様子などを見て、社員のセキュリティの意識が高まったことを強く感じたりしています。

また、PJ-Norwayで土台を築けていたことで、昨年発生したcodecovインシデントでは、当局対応などで、当社のセキュリティガバナンスが整備されていることの説明責任を果すことができましたし、他社の中国からの顧客情報アクセスの事案においても、当社で同様の事案が発生していないかを情報資産台帳をベースに即座に洗い出して速やかな対応を可能にしました。PJ-Norway以前のように、「情報資産台帳なんて作ってどうするの？」というような声はもうすっかり聞かれなくなったことも変化なのかもしれないですね。

メルカリのセキュリティガバナンスは、PJ-Norway後の啓発や日々のやり取りなどの中で、徐々に会社に浸透して、現在では文化として着実に醸成されてきています。

@eguchi：そうですね、セキュリティ管理の基礎固めは、まさにセキュリティ文化の構築といっても過言ではないかもしれません。先ほどRyuさんが話していた「最も強い組織は基礎を最も大事にする」と関連するのかもしれませんが、東証プライム市場への移行などを経て、メルカリグループは「当たり前のことを当たり前にやり続ける」ことを、より意識しなければならないフェーズになってきたように思います。PJ-Norwayで策定したルールや整備したプロセスは、そのために必要な基礎固めとして非常に意義のあるプロジェクトだったように思います。

──その固められた基礎のうえに、これから何を構築していくのでしょうか？

＠eguchi：基礎に立ちかえり、やるべきことをしっかりやりとげるというチャレンジはまだ続いていると感じています。PJ-Norwayで作った土台も常にアップデートが必要で、時代とともに変化してゆく環境に対応するルール整備に「完成形」というものはないのかもしれません。また、会社の規模が大きくなるにつれ、セキュリティ管理上必要なルールやプロセスが意識せずとも守られる文化がより求められてきています。そういった意味では、作ったルールやプロセスを常に改善していき、メルカリグループらしいルールやプロセスの実装のHowをもっと考えていきたいです。

──メルカリグループは常に変化のフェーズと言えますが、Security Managementは今後どんな貢献ができますか？

@ryu：メルカリグループは仮想通貨事業であるメルコインのサービスローンチや、クレジットカード事業であるメルカードの発行開始など、そのビジネス領域を次々に拡大させています。それに伴い、現在のグループ全社のベース基準よりもさらに強固なセキュリティの確立に取り組んでいます。

また、現在はデータを効率的かつ安全に活用するための管理体制やルールであるデータガバナンスを推進しているフェーズにあります。これらに対応して、従来のデータセキュリティに留まらない、より先進的なデータ管理の仕組みの構築に取り組むことができると思います。

@eguchi：一方で、これまで作ってきたルールのアップデートや、情報資産管理、委託先セキュリティ管理などの基礎的なセキュリティ管理プロセスもスケーラビリティなどを鑑み、常に改善していかなければならないフェーズです。そういった意味では、Security Managementの領域はさらにチャレンジングでワクワクするフェーズに入ってきたとも言えますね。

──なるほど、新章突入ですね。では、どんな人にとって挑戦しがいがあると考えていますか？

@ryu：とにもかくにも変化が早いので、新しいことにチャレンジするスピリットのある方にとってはやりがいを感じられる環境だと思います。また、メンバーの役職などに関わらず、今回お話したプロジェクトのような大きな仕事が任せられる環境でもあるので、自分が関わる中長期的に関わる施策によって会社を変えて変えていけることを実感したい方にも、ぜひ挑戦していただきたいです。

@eguchi：セキュリティ管理の領域のみならずですが、過去の成功事例にとらわれすぎず、ゼロベースでHowの検討を行い、実行に移すためのコミュニケーションを取ることができる方にとっては、とても刺激的な環境だと思います。

──最後におふたりが大切にしている仕事観をうかがって締めたいと思います。

@ryu：セキュリティチームの間でよく出てくるキーワードに「ビジネスイネイブラー」という言葉があります。セキュリティはビジネスのブロッカーであると思われてしまうことも多いのですが、私たちは単なるセキュリティの専門家や評論家ではなく、ビジネスサイドがやりたいことをどうやったら安全に実行することができるのか、その他の部分で難しい問題がある時も、どうすればそれを克服することができるのかということを考え、提案し、そして実現させるイネイブラーでありたいと思っています。

＠eguchi：そうですよね。 目の前のビジネスを支援するという観点での「ビジネスイネイブラー」は、メルカリのバリューでいうAll for Oneで、この観点はセキュリティのような「守り」の領域では非常に重要ですよね。私たちは、このAll for Oneであることはもちろんですが、目の前の課題に対するWhyをしっかり考え抜き、Go BoldなHowを提案し続けられるセキュリティ管理プロフェッショナルでありたいとも思っています。