メルカリには、サービス全体のセキュリティの啓蒙・推進を網羅的に行うため、プロダクト開発チームから独立した「Defence Forceチーム」が存在します。そんな彼らの発足経緯は、こちらのメルカン記事でご紹介しました。
Defence Forceチームは引き続き、メルカリの基礎体力とも言えるセキュリティに特化した機能開発を続けているわけですが…その現在地はいかに?そこで今回のメルカンでは、発足メンバーである八木橋優(@yagihash)と、2021年からメンバーとして加わった濱田順司(@vary3)と井上智士(@butter)、松久保敬人(@Peranikov)を含めた全4名で「現在のDefence Forceチームについて」話し合った様子をお送りします。
前述の記事が公開されて1年ほど経った今、チームのミッションに変化はあったのか。セキュリティのどの部分を強化しようとしているのか…?
この記事に登場する人
-
八木橋優(Yu Yagihashi、@yagihash)新卒入社した大手セキュリティベンダから、ここにはとても書ききれないほどの情熱と野望を抱いて2018年1月にメルカリへジョイン。メルカリ/メルペイ/ソウゾウの多岐にわたるセキュリティエンジニアリングに従事。2019年7月よりDefence ForceのTech Leadとして「安全に使える」サービスの追求に取り組む。クリスマスプレゼントにぶあつめのサーモンが欲しい。Twitter名は@yagihashoo。 -
濱田順司(Junji Hamada、@vary3)2018年9月にメルカリへプロダクトマネージャーとしてジョイン。福岡開発拠点の立ち上げを経験し現在はCRE Camp Head。将来の夢は、花屋かコーヒー農園のオーナーになること。今はまじめに店舗探しをしているところ。 -
井上智士(Satoshi Inoue、@butter)2021年2月にメルカリへジョイン。Defence Forceチームのソフトウェアエンジニアとして開発や改善を行う傍ら、チームの技術力向上(主にGoやKubernetes)にも注力している。自作キーボードにハマっている。Twitter名は@_butterv。 -
松久保敬人(Yuto Matsukubo、@Peranikov)2018年11月にメルカリにジョイン。ソフトウェアエンジニアからテックリードを経て、現在はエンジニアリングマネージャーとしてチームをサポートしている。クラフトビールとボードゲームとカメラが好き。なお、この記事の写真は三脚を使って一人で撮影した。
セキュリティ機能開発に加えて、現在はプライバシー領域もカバー
@Peranikov:今回は、チームのエンジニアリングマネージャー(EM)である僕が聞き手もやりますね。さっそくですが、Defence Forceチームのコンセプトは「セキュリティに特化した機能開発をすること」です。これは、発足当初から変わっていないんですよね?
@yagihash:大枠は変わっていません。変化したところを挙げるなら、けっこうメンバーが入れ替わったことでしょうか。もう1つは、セキュリティ機能開発に加えて、プライバシー領域もカバーするようになりました。
「Defence Forceチームのノベルティをつくるなら鉄アレイがいい」と発言したことがある@yagihashi
@Peranikov:@vary3さんと@butterさんは2021年からDefence Forceチームへジョインしています。今、どんな業務を担当しているんですか?
@vary3:僕は2021年4月からプロダクトマネージャー(PM)として参加しています。今担当しているのは、2022年4月から施行される改正個人情報保護法への準備ですね。メルカリグループ全体のセキュリティを管理するセキュリティチームと、データを管理するData Platformチームなどと調整・議論をしているところです。
@Peranikov:専門性の高いチームと連携しながら、スペックをつめているんですね。
@vary3:ですね。法律はあくまでもガイドライン。新たな法律が施行される場合、過去の事例を見ながら「メルカリならどうするか」をつくりあげていくことになります。当然ながら法律は遵守するけれど、メルカリなりの回答やスタンスを考え、プロダクトに落とし込む役割をPMとして担っている感じですね。
同時に、お客さまの個人データが安心安全に管理されている状態をサービス上でどう表現すべきかを考えています。例えば、お客さまごとにセキュリティスコアを出すなど。お客さまが「自分のデータは安全に管理されている」と感じられるのか、どう提供すべきか。ここも引き続き議論のポイントです!
@Peranikov:@butterさんは?
@butter:僕は2021年2月にBackendエンジニアとしてメルカリへ入社。同時に、Defence Forceチームへジョインしました。前職でもログイン周りの実装など、セキュリティ関連の機能開発に関わっていました。現在はアプリケーションのコードを書いたりリファクタリングをしたり、テスト向上のための開発をしたりしています。
最近の趣味は自作キーボード、さて次はどの沼へ向かうのか…@butter
@yagihash:@Peranikovさんは?
@Peranikov:僕は2021年10月から正式にDefence ForceチームのEMとして参加しています。チームに所属するエンジニアがまだ少ないので、技術的なディスカッションをしつつ、採用のためのアクションも続けています。
そんななか、最近始めたのが「Tech雑談」です。みんなで気になるテーマを持ち回り制で出し合い、雑談するというものです。というのも、発足当初からDefence Forceチームにいる@yagihashさんのノウハウやセキュリティ・認証周りの知見をメンバーにも広めたかったんですよね。
クラフトビールさえあれば、毎日が「はなきん」になる@Peranikov
@butter:Tech雑談は、僕から@Peranikovさんに相談したものでもありました。在宅・出社が自由になった今、意図的に「雑談しよう」としないとできないことが多い。そんなことを相談したら、Tech雑談を設けてくれたんです。ありがたいですね。
セキュリティ領域での経験は必ずしも必要ではない
@Peranikov:@yagihashさんはセキュリティエンジニアとしてDefence Forceチーム発足時からいたわけですが…@vary3さんと@butterさんはセキュリティ領域での経験を持っていた?
@vary3:いえ、僕はセキュリティ領域未経験でジョインしています。なので、日々キャッチアップしながら業務を進めていますね。先ほどお話ししたように、僕は法律を指針としつつ、お客さまに対してどう義務を果たしていくかを考え、プロダクトに落とし込む役割。乗り越えるべきラインをどこに設けるかなど「答えが見つかりにくい領域」ではありますが、はっきり言ってめちゃくちゃおもしろい!セキュリティやプライバシーは世界的な潮流でもあるので、トレンドを捉えながら動くなんて、今まであまりない体験をしている感じもありますね。
パネルでは伝わりにくいが、身長184センチな@vary3
@butter:@vary3さんのように、セキュリティに関するバックグラウンドが必ずしも必要というわけではありません。だから苦手意識さえなければ、誰でも活躍できるチームだとは思いますね。ようするに、学びたいと思えるかどうかが大事かなと。僕はセキュリティ関連のキャリアを持っていますが、Defence Forceチームではさらに深い領域に立ち会っていますし。
@Peranikov:前職と比べて、チームはどうですか?
@butter:おもしろいと思ったのは、メルカリではマイクロサービスを取り入れているおかげで、各チームに裁量があるところ。前職では、バックエンドとインフラは明確に分かれていました。なので、GCPなどに触れる機会はそんなになかったんです。でも、メルカリでは各チームに裁量があるため、マイクロサービスの立ち上げやコンソールの設定もすべて自分たちで行います。専門性を求められるので大変ですが、ここまで深く入り込んで開発するチャンスはそんなにありません。学びが多いです。
@Peranikov:僕はメルカリで社内向けCSツール開発を行うチームにいたんですが、Defence Forceチームは他とは少し違うなぁと思いますね。例えば、ステークホルダーの多さ。サービスの安心安全や法的要件に関わるところが多いので、プライバシーを管理しているチームやリーガルチームとの連携は欠かせません。そしてみんな、基本的にはやさしいっていう(笑)。
@vary3:本当にそう!みんなやさしいし、ちゃんと話を聞いてくれますよね。それに、Be a Proな人たちばかりだからアドバイスもしっかりしてくれる…!ステークホルダーが多いゆえの苦労はありますが、やりとりを重ねるごとに僕らのなかでも気づきが増えていくのはメルカリならではだなと思います。おかげでDefence Forceチームがグループ内のハブになり、セキュリティのあり方を話すことも少なくありません。
@yagihash:威圧的なやりとりが発生しないのはいいですよね。先日「メルカリグループの3つのバリューのなかで、チームの役割に近しいものは何か」と話したことがありました。僕としては「All for One」が近いんじゃないかと思っているんです。メルカリグループでは、1つのサービスをみんなでつくり上げ、運営しています。だから、同じ方向を見ている。セキュリティに関しても「必要だ」となれば、一緒にやろうとする姿勢を僕も周囲も持っているように感じます。
@Peranikov:過去にメルカリ・メルペイそれぞれでAll for One賞を受賞した人が言うんだから間違いないですね!
セキュリティもプライバシーも、大事なUXの1つ
@yagihash:このまま話を続けると、僕はセキュリティもプライバシーもUXの1つだと思っていて。
@Peranikov:セキュリティとプライバシー、そしてUXを切り離して考えないということ?
@yagihash:そうです。セキュリティとUXって、対立構造が生じやすかったりします。でも、本来はそうじゃないはずだというのが僕の考えです。メルカリに限らず、サービスにおいて安心安全が担保されていることは大前提。そのための取り組みとUXがトレードオフになると言われがちですが、むしろ安全に使える状態こそ、いいUXなんじゃないかと思っているんです。
@butter:どんなにいいUXでも、安心安全な状態じゃないと厳しいですよね…。
@vary3:その考えは、もっと前面に打ち出したいですね。一般的に、セキュリティの優先度が上がるのは「何かが起きてから」が多い。しかし、安心安全にサービスを使っていただく状態を維持するには「セキュリティの優先度が高い」が前提であるほうがいい。その認識をより広げることは、僕らのミッションかもしれませんね。
@yagihash:そういう意味では、僕らのチームはやりたいことも「やれること」もたくさんあるんです。プロダクト開発のなかにありながら「セキュリティ領域」に特化するために独立して動ける体制になっているのはそのためです。今後、セキュリティもプライバシーもお客さまを守るために重要度が増していきます。そしてトレンドの移り変わりも早い。プロダクト的にも技術的にもエキサイティングになっていくわけですが…地味なんですよね。
(一同笑)
@yagihash:「僕らのやっていることは超おもしろい」と伝えたい気持ちは強いんです。しかしながら、いかんせん言えないことのほうが多くて伝えられないジレンマは常にあります(笑)。
@vary3:わかりますよ。セキュリティ領域って、技術の結晶だと思うんです。トレンドの移り変わりがあるということは、技術的な挑戦も多いということ。そこに、チャレンジの余地がありますよね。
@Peranikov:確かに、他チームに比べて目に見えづらいアウトプットかもしれません。でも、サービス全体を支える大事な部分です。そして、Defence Forceは「守る」ために、あえて積極的に攻めていく姿勢もあります。けっこうクリエイティブなことをしているわけです!
@butter:今、サービスの大事な部分としてセキュリティやプライバシーに責任感を持って向き合えるメンバーが集まっています。これも、とてもいいことですよね。
やりたいことは「個人情報管理状態」の透明化
@Peranikov:これから、Defence Forceチームとしてやりたいことは?
@yagihash:僕らは、個人データの取り扱い状況をより透明化するためのプラットフォームをつくろうとしています。そのために、メルカリのアーキテクチャにどう組み込むかを、視野を広く持って取り組もうとしています。
@butter:開発としても、これからますますおもしろくなると思っています。ちなみに、Defence Forceチームのエンジニアはほぼ僕一人なので、手を動かせる人が少なくて…ぜひ仲間になってくれる人に来てほしいです!個人的には、技術的な会話をフランクにしたいです!
@vary3:PM目線としては、@yagihashさんが話していたように、お客さまにとってやや不透明な「自分の個人情報がどう扱われているか」部分の透明化を進めたいですね。適材適所で情報を伝えられればお客さまの安心に繋がるし、メルカリのレピュテーションも上がる。そこを、きちんとやりたいですね。
@Peranikov:みなさん、めちゃくちゃいいですね!僕は、プライバシー周りは今後サービスをつくるうえで一定基準を求められるようになると予想しています。正しくサービスをつくるために、無視できない領域になると言いますか。だから、絶対に力を入れておかなくちゃいけない。法改正を前に「どうすべきか」を考え、動けるのは今のフェーズがチャンス。気になる方は、ぜひカジュアルにお話ししましょう!(その際はパネルではなく、実物でお迎えします)