お客さまが安心、安全にサービスを使えるようにする。メルカリグループにとって「セキュリティの高さ」は非常に重要なひとつのファクターです。セキュリティを高め、安心、安全を提供できてこそ、私たちもGo Bold（大胆）にアクションを起こせるというもの。

2017年11月、セキュリティチームを本格的に立ち上げ、セキュリティの向上に努めること約1年。さらなる「最高のセキュリティ」を目指すべく、2018年10月に、CSO（Chief Security Officer）として伊藤彰嗣がジョインしました。

かつてはプロゲーマーを目指していたという異例の経歴を持つ伊藤。高校卒業後は専門学校でコンピューターサイエンスを学び、2006年にサイボウズへ入社。品質保証担当者、カスタマーサポート、システムエンジニアを経て、クラウドサービスの品質保証責任者になった後、2011年にサイボウズ CSIRT（Cy-SIRT）を立ち上げ、インシデント対応や脆弱性報奨金制度の運用に従事してきました。

2017年からはCSIRTの活動に加え、各チームのセキュリティ施策を支援する「セキュリティ室」を立ち上げ、「100人100様の働き方」をセキュリティの面から推進する活動に取り組むなど、社内、社外の観点から「セキュリティ」について考え、さまざまな取り組みを行ってきています。

そんな伊藤が先日、1月23日にTECH PLAY SHIBUYAで開催されたイベント「Security Leaders Talk #1」に登壇。株式会社サイバーエージェント システムセキュリティ推進グループ マネージャーの野渡志浩さん、LINE株式会社 セキュリティ室 セキュリティエンジニアの中村智史さんと一緒に「最強のセキュリティ組織」について語り合いました。

多くのお客さま（ユーザー）を抱え、常に万全のセキュリティ状態が求められるIT企業3社のセキュリティ責任者たち。彼らは「セキュリティ」をどのように捉え、どのようにチームをつくっているのでしょうか？

セキュリティとは、お客さまと社員の体験を守ること

週の半ば水曜日の夜に、会場の席が埋まるほどの参加者が集まった「Security Leaders Talk #1」。セッションの冒頭、話題にあがったのはセキュリティチームの目的について。各社のセキュリティチームはどのようなミッションを掲げているのでしょうか？

まず口火を切ったのは、伊藤です。彼は「メルカリのセキュリティチームは“2つのことを守る”ために存在している」と語ります。最初に挙げたのが、「顧客体験を守る」という視点。

伊藤：セキュリティの観点から、お客さまがスムーズにメルカリを使ってくれる状態を守りたい。そう思いながら、日夜、セキュリティチームは活動しています。単純にセキュリティを実装するのではなく、“本当にそのセキュリティ対策はお客さまのためになっているのか”を重視し、チームメンバーと密に話しながら実装するか否かを決めています。

伊藤彰嗣（株式会社メルカリ CSO）

次に挙げたのが、「社員の体験を守る」という視点。メルカリのセキュリティチームは社外、社内の両方の体験を守るために存在しているのです。

伊藤：セキュリティチームは社内を守るチームでもある。社員が自分たちの仕事を楽しくやれるかどうか、も大事なファクターだと思っています。コンプライアンスに準拠し、お作法通りやらなければいけない領域はきちんとやりつつ、社員が楽しく働くために生じるリスクをそうしたら軽減できるのか。それも真剣に話し合いながら、いろんなことを考えて仕事していますね。

LINE、サイバーエージェントのセキュリティチームも存在意義は同じ。「お客さまを守るために何ができるのか？」という視点を持って、セキュリティの施策を考え、実行しているとのことです。

中村：チームメンバーと話をするなかで、常に共通しているのは「ユーザーである、お客さまを守る」という視点。LINEはセキュリティベンダーではなく、自社でサービスを提供しているので、その品質を高めるために何ができるのかについて、いつも議論しています。また、お客さまもいろんな年齢層がいるので、その人たちにとって有益な施策を導入する点が共通しています。

野渡：法律を守ることは当たり前ですが、最終的に何を守っているかを聞かれたら“お客さま”であり、セキュリティチームはお客さまの期待を超えるために存在しています。何かセキュリティの施策をやろうとしたときは、必ずお客さまのためになるかどうかを判断基準にする。社内で止められたり、反対されたりしても、その施策がお客さまに悪影響しか与えないと思ったら、絶対に折れないようにしています。

野渡志浩（株式会社サイバーエージェント システムセキュリティ推進グループ マネージャー）

実装しただけで終わらせず、最後まで成果を追いかける

自社でサービスを運営している企業にとって「セキュリティチーム」は欠かせないもの。しかし、セキュリティチームの仕事は決して目立つものではないため、その実態はなかなか見えてきません。各社のチームはどのような状態にあるのでしょうか？

伊藤：メルカリは「0→1」「1→10」ではなく、「0→10」の感覚で日々の仕事に取り組んでいる状態です。「0→1」もそうなんですけど、「1→10」へのグロースもチーム全員が取り組んでいる。大事にしているのは実装しただけで終わりにせず、お客さまの体験が楽しくスムーズにできる、みんなが楽しく仕事ができるなど、成果をきちんと追いかけること。メルカリはそれを短期間でやっているので、チームのみんなには本当に感謝したいですね。

伊藤は2018年10月にメルカリにジョイン。転職してから4ヶ月ほどが経過しました。前職での日々と比べて、笑いながら、こう語ります。

伊藤：メルカリはスピードがとにかく早い。いまは組織のスピードに追いつくためにフルスロットルで活動している状況です。時間の流れは8倍くらい早いですね。一般企業が8ヶ月かかることを1ヶ月でやっている……。なので、もう2年くらい働いた感覚です（笑）。

LINEとサイバーエージェントのセキュリティチームもメルカリと同様に「0→1」、「1→10」に取り組んでいる状況にあると言います。

中村：LINEは新規事業を開拓したり、いろんな会社と組んで事業を展開したりすることが多いので、「0→1」に関しては日常茶飯事です。最近はスマートスピーカーのセキュリティをお願いされて、最初はどうすればいいか分からず困りましたね（笑）。いまLINEのセキュリティチームは「1→10」のフェーズにあり、ようやく社内でセキュリティチームの成果が認められ始め、人も集まるようになってきました。組織のつくり方は他の企業の先輩の動きを見て学んできたのですが、そろそろ「10→100」を目指さないといけない。そうなると、あまり事例が多いわけではないので、どうしようかなと悩んでいる最中です。

中村智史（LINE株式会社 セキュリティ室 セキュリティエンジニア）

野渡：感覚的には「0→1」の仕事が多い。どこにもない新たな技術を開発するのではなく、その会社でやれていなかったことに取り組む。そこに挑戦できる環境かなと思います。とはいえ、「10→100」まではやりきれていない。今後、取り組んでいかなければいけないと思っています。

LINEは報奨金プログラムも。3社3様の「評価施策」

チームの規模を拡大し、取り組める仕事の幅を広げていくためには“採用”はもちろんですが、既存メンバーのパフォーマンス最大化も欠かせません。セキュリティの仕事はメンバーが活躍すればするほど、会社にとっては良くないことが起きていることになります。各社それぞれ、メンバーのモチベーションを高めるために「評価の仕方」を工夫していました。

中村：表彰式みたいなものはないのですが、まずはセキュリティエンジニアの活動に対して、会社が理解を示す態度を見せることが重要。プライベートの活動で、セキュリティ分野に関する技術を競い合う「CTF（Capture The Flag）」の世界大会で決勝に進んだ社員がいましたが、彼の活動は、業務扱いとして渡航費をサポート。仕事の調整をしたうえで「がんばれ」と言って、送り出しました。セキュリティエンジニアに限らず、LINEのエンジニアは海外のカンファレンスへの参加費用のサポートを受けられる制度があり、会社として普段から「あなたの活動は認めてますよ」という風土、文化をつくって背中を押すようにしています。

会場は「TECH PLAY SHIBUYA」

中村：また、セキュリティチーム以外の人も「脆弱性をつくらないでほしい」「セキュリティ意識を高めてほしい」と思っているので、LINEではサービス脆弱性の発見した外部の報告者に報奨金を支払う「LINE Security Bug Bounty Program」を社内にも展開（現在は対応リソースの関係から社内への展開を一時休止中）。社内の人が脆弱性を見つけた場合も報奨金の対象にしています。もちろん、マッチポンプになりかねないので、報告してきた人のチェックもしたうえで判断しています。

伊藤：メルカリはセキュリティに特化して表彰する場はありませんが、四半期に一度、会社の3つのバリュー（Go Bold、All for One、Be Professional）を体現した人を表彰する場がある。表彰内容は個人、プロジェクトで別れており、セキュリティチームはプロジェクトとして表彰されることがあります。たとえば、GDPR（EU一般データ保護規則）が盛り上がったときは、GDPRのプロジェクトにはセキュリティチーム以外にもいろんな人が関わっていて。そのときはプロジェクト全体を祝うムードがありました。

野渡：サイバーエージェントもまだやりきれていないのですが、最強のセキュリティ、良いセキュリティエンジニアの定義を社内で設け、それを超えて行く人を「見える化」しないといけないと思っています。いまは本人と話をして、伝えるくらいしか出来ていませんが、今後は活躍しているメンバーが対外的にも分かるようにしていきたいですね。

コミュニケーションの結節点になる人を増やし、より大きな成果を得る

「まだまだ、やらなければいけないことがある」。最強のセキュリティ組織をつくりあげるためには、数多くの課題が残っていると3名は口を揃えて言います。しかし、その課題は各社、少し異なります。

野渡：技術的なセキュリティ対策は得意で、エンジニアとしての経験を積んできたメンバーが多い私たちのチームでは想像がつきやすいのですが、今後は企業のシステムセキュリティリスクを捉えて対策していかなければいけない。自分の得意分野はセキュリティ対策の過不足も含めて把握できている一方、企業全体のリスク管理という面では社内の関係者が納得してくれるレベルで仕事ができる自信がないので、そこが得意な人たちを探しているところです。チームとして、もうひとつ次の段階に進まなければいけない、と強く感じています。

中村：ありがたいことに、LINEはこれまで即戦力となるスター選手に多く来ていただいているのですが、その人たちがいなくなったらどうするのか。リカバーの問題は将来、生じると思っています。会社の成長に合わせて組織を大きくしていったら、こういう問題は起こるうるもの。そこをどうカバーしていくか。最近はセキュリティエンジニアを新卒採用し、育てていくようにしていますが、仕組みをつくらないといけないな、と危機感を持っています。

本格的なチームの立ち上げから1年弱。人数も増えてきていますが、伊藤は現在、メルカリのセキュリティチームは「3つのことが足りない」と言及します。

伊藤：コーポレートのセキュリティ、コミュニケーションの結節点になる人、ユーザー体験を向上させるためのエンジニア。この3つが足りていないと思っています。セキュリティチームは各エンジニアの人たちが頑張ってくれているので、エンジニアが頑張ってくれているものを私たちが最大化する。いろんな人とのコミュニケーションのハブになる人が増えていけば、チームのアウトプットが大きくなっていくので、そういうメンバーを増やしていきたい。チームとして、より大きな成果を出せるようにしていきたいですね。

イベントの最後、セキュリティエンジニアのキャリアパスについても触れました。

伊藤：セキュリティエンジニアも、まずエンジニアであることが大事。エンジニアの文脈でセキュリティという、ひとつのスキルを持っているエンジニアはどう評価されていくべきなのか。またセキュリティのテックリードはどういうものなのか。エンジニアが技術スキルを伸ばしていくのと同じように、セキュリティエンジニアがスキルの幅を広げ、深みを増していったときに、組織のなかで、どういう存在になるのか。それが組織できちんと合意形成できている状態をつくっていくことが大切だと思います。

伊藤：私は最近、社内コミュニケーションにかなりの時間を割いています。少しずつ合意をとっていくことも大切ですが、メルカリの場合はグローバルなメンバーの比率も高いので、ちゃんとコミュニケーションをとって、自分が将来的にどのようなキャリアを進みたいのか、2〜３年後どうありたいか。そのコミュニケーションの結節点になる人間がちゃんと組織にインプットしていくサイクルを繰り返すことが、キャリアパスをつくるうえで大事だと思っています。

時間にして約2時間、セキュリティ組織について語り合った今回のイベント。メルカリのセキュリティチームはお客さま、社員の体験を守るため、今後もGo BoldかつBe Professionalにセキュティと向き合っていきたいと思います。

プロフィール

伊藤彰嗣（Akitsugu Ito）

株式会社メルカリ CSO。前職はサイボウズ株式会社で「サイボウズ CSIRT（Cy-SIRT）」を立ち上げ、インシデント対応や脆弱性報奨金制度の運用、セキュリティ室の立ち上げなど、さまざまな活動をリード。2018年、CSOとしてメルカリに入社。

野渡志浩（Yukuhiro Nowatari）

株式会社サイバーエージェント システムセキュリティ推進グループ マネージャー CyberAgent CSIRT。セキュリティベンダーやSIerにて脆弱性検査サービスの立ち上げやセキュリティコンサルティング業務に従事。その後、EC事業を運営する企業にてセキュリティエンジニアとしての経験。その後、サイバーエージェントに入社。CyberAgent CSIRTの立ち上げや各種サービスのセキュリティ強化支援、インシデントハンドリングを担当。

中村智史（Tomofumi Nakamura）

LINE株式会社 セキュリティ室 セキュリティエンジニア。2011年入社。セキュリティ組織では古参メンバー。現在は、不正対策の社外連携、セキュリティエンジニア採用や育成、脆弱性診断業務の管理などを担当している。

関連記事

Mercari, inc. – Jobs: Engineering Manager, Product Security – Apply online
Mercari, inc. – Jobs: Security Engineer, Corporate IT Security – Apply online
Mercari, inc. – Jobs: Information Security Officer – Apply online