サイバー攻撃の高度化・巧妙化が進み、「個人情報の漏洩」「外部攻撃によるサーバーのダウン」といったニュースを日々耳にするようになっている。

こうした背景から、企業はこれまで以上に情報セキュリティに対するリスクマネジメントを強化する必要に迫られているが、それに対応できる専門組織を持つ企業はそう多くないのが現状だ。

そんな中、日本国内における先進事例として参考にしたいのが、メルカリグループを支える「Security&Privacy Team」の存在だ。

同チームは、2021年の「Codecov」への不正アクセスに起因する顧客情報等の流出に対する対応について、「第7回情報セキュリティ事故対応アワード」で優秀賞を受賞するなど、メルカリグループの成長を支えてきた組織だ。

2022年5月には、新たに元LINEの市原 尚久さんが執行役員 CISO（Chief Information Security Officer：最高情報セキュリティ責任者）に就任。さらに同7月には仮想チーム「CISO Office」を立ち上げ、組織体制を強化している。

市原さんは、メルカリのセキュリティチームについて「プロフェッショナルが集まったセキュリティ組織はどこにでもあるが、メルカリのチームの強みはそのカルチャー。多様性に溢れ、またビジネスの現場と一体となった、雰囲気と関係性のとても良いチーム」だと話す。

今回は市原さんと、同チームで活躍するJason Fernandes（ジェイソン・フェルナンデス）さん、伊藤 由美さんの3名による鼎談を実施。セキュリティチームの役割や、その組織づくりについて詳しくお話を伺った。

セキュリティ業界出身者だけではない、多様な人材が集まるチーム

市原　私は今年（2022年）5月にメルカリにCISOとしてジョインしました。まだ、メンバーに支えてもらいながら色々と学んでいるところではあるのですが、セキュリティやプライバシーに関わる課題への対応、チームのマネジメント、経営層とのコミュニケーションなどに取り組んでいます。

伊藤　私は市原さんの直下で、大まかに言うとセキュリティチームの全体管理や組織づくりに関わっています。現在は、採用活動や新しいメンバーのオンボーディングがメインのタスクです。

メルカリに入社したのは2018年2月ですが、最初は社長室／会長室で秘書をしていました。その後、当時のセキュリティ組織が会長室配下となった際に私が担当するようになり、後に正式に異動しました。

実はこのチームには、私のようにセキュリティ以外の領域からジョインしてきたメンバーも多いんです。今から紹介するジェイソンもまさにそうですね。

ジェイソン　自分は現在、2022年1月に立ち上がったSecurity Strategy Teamのマネジャーをしています。市原さんと一緒にチームの中長期的な戦略やビジョン、ミッションを考えたり、チームの方向性を決めて業務に落とし込んでいくことが主な役割です。

▼左から市原さん、ジェイソンさん、伊藤さん

ジェイソン　メルカリには、2018年の5月に「通訳」「翻訳」担当として入りましたが、入社して2週目にセキュリティチームのミーティングにいきなり入ることになったんです。

通訳の回数が増えるにつれ、セキュリティにも徐々に詳しくなっていき、ある時にはセキュリティのメンバーから「ジェイソン、セキュリティチームに入ったら？」と冗談で言われるほどに（笑）。そして、いつのまにかそれが現実になっていました。

異動した当初はコーディングをゼロから学んで、簡単な自動化をしたり、セキュリティツールの補助機能を開発したりしていたのですが、コーディングは楽しかったとはいえそこまで自分の得意領域ではなかったんですよね。

その点、自分はコミュニケーションは一番得意だと思っていたので、徐々にプログラムマネジメントに関わるようなロールに移行していきました。

ITの世界で組織と個人が成長する重要な要素として、一般的に「People」「Process」「Technology」の三つがよく挙げられますが、実はセキュリティも同じことが言えます。

特に「People」については、必ずしも技術に特化した人だけではなく、プロジェクトの推進ができたり、コミュニケーション能力が高かったり、さまざまなスキルをもった人が求められる領域だと思っています。

セキュリティチームに所属するメンバーは、バックグラウンドやスキルも多様です。価値観が異なることを前提としたコミュニケーションを丁寧に図っているため、組織としてうまくいっていると感じています。

セキュリティとビジネスが、近い距離で一体となれるカルチャー

市原　私は前職でも国際色が豊かなチームにいたのですが、メルカリに来て、より多様性を感じています。本当に世界中のエンジニアが集まっているし、ジェイソンや由美（伊藤）さんのようにセキュリティの仕事を経験してきたわけではないメンバーが、すごく元気に活躍しているのもユニークで面白いなと。

実際、セキュリティ組織としてうまくいくためには、本当に「人」が大事だと思います。もちろんセキュリティのプロフェッショナル集団であればクオリティの高い仕事はできますが、それだけではないということに、こちらに来て改めて気付かされました。何より、セキュリティとビジネスの現場がうまく調和しているんですよね。

セキュリティの仕事をしていると、自分から見えるリスクには気がついたり、直感的に「危ない」という感覚を持てる人は多いのですが、大切なのはそれを相手に正しくわかりやすく伝えられるかどうかです。

人によって、見えている世界は全然違いますから。例えば、ビジネスでは目の前の売上や利益に目がいくでしょうし、PRであれば、常にレピュテーションリスクは考えますよね。

市原　このように、立場によって見えている世界が違うことを咀嚼した上で、自分が伝えるべきことを伝えてコミュニケーションを取る、ということは色々な場面で大事になります。特にセキュリティはキャリアを積めば積むほど、さまざまな部門の人と話すようになりますので。

セキュリティ組織とプロダクト組織が対立せず、いかに調和するかが大事だと思いますね。

例えばプロダクトをリリースするタイミングになって、「診断をしてみたら脆弱性がありましたので、ここを直してください」「それはコストがかかるからできません」…みたいなやりとりではなく、事前にお互いに綿密な連携をしていて、盤石な体制でリリースできる状態が理想かなと。

一般的にうまくコトが進まない原因には「距離感」があると思っているのですが、その点、メルカリではセキュリティと現場がとても近い場所にいるんですね。その背景にあるのは、やはりメルカリのパワフルなカルチャーだと思っていて。

「Go Bold（大胆にやろう）」「All for One（全ては成功のために）」「Be a Pro（プロフェッショナルであれ）」というメルカリの三つのバリューが社内に深く浸透していて、1日に何回もこの言葉を耳にするんです。みんなの思考や行動に根付いているので、具体的な企業活動の中にも反映されているんですよね。

セキュリティの世界には「シフトレフト」という言葉があります。これは、プロダクト開発の初期段階からセキュリティが積極的に関わっていくことで、リリースのスケジュールを妨げないようにするというものですが、現場が「All for One」の姿勢を持っているので、とてもスムーズなんですよ。

プロダクトやサービスの成功に向けて、プロダクト側だけが頑張ればいいというのではなく、セキュリティやPR、コンプライアンスといった多様な役割が一体となって取り組んでいく、というカルチャーがありますね。

新組織「CISO Office」として、メルカリのビジネスを共に推し進める

ジェイソン　2022年の7月からは組織体制も一新し、「CISO Office」という仮想チームとして新たなスタートを切りました。

▼仮想チーム「CISO Office」の組織像（同社提供）

ジェイソン　簡単に言うと、組織はエンジニアリング側の「Security Engineering」と、スペシャリスト側の「Security Governance」の大きく二つに分かれています。

これほど大きな組織になると、各チームがサイロ化したり、全体像が見えなくなったりするので、みんなが同じ方向性に向かって歩んでいけるように「Security Strategy」という組織内の連携を高めるチームがあります。

メルカリの中には、CtoCのマーケットプレイスに加えて、物流事業のメルロジ、決済事業のメルペイ、暗号資産事業のメルコイン、そしてネットショップサービスのメルカリShopsなど、非常に多くのビジネスを展開しています。私たちはそのすべてを跨いでセキュリティを担保する組織として、各部門から依頼や要請を受けながら網羅性高く動いていくことが求められています。

市原　プロダクトに関するセキュリティはもちろん、コーポレートセキュリティや、サービス上の不正行為に対する対応支援、加えて、グローバルにビジネスをエクスパンションしていく中で、スケールできる仕組みやシステムをあらかじめ準備しておくことも重要だと思っています。

私が入社する前ですが、2021年にCodecovに起因する個人情報の漏洩事故（※詳しくはこちら）があったこともあり、経営層も含めてさまざまな部門が高いセキュリティ意識を持っていますし、我々への期待も非常に高いですね。

良い雰囲気と信頼関係を作るチームビルディングとオンボーディング

市原　プロフェッショナルが集まったセキュリティ組織はどこにでもあると思うのですが、改めてメルカリの強みのひとつはやはりカルチャーだと思います。

伊藤　新しいメンバーもどんどん入ってきているので、チーム内でなるべくコミュニケーションを取れる場所を作る努力はしています。例えばワークショップだったり、オフサイトミーティングだったり。

チームはとても仲が良いのですが、普段はエンジニアとノンエンジニアのチームそれぞれの業務が忙しく、距離が生まれがちなので、全員で交流できる機会を提供することで、なめらかに連携できるようにしていきたいと心がけています。

経験豊富でスキルの高いメンバーたちですが、よりExpandするためにはチームビルディングが重要です。チームで挑むことで個人では達成できないことに向かうことができ、効率化やモチベーションの向上に繋がると思っています。

先日は久しぶりに1泊2日のオフサイトを軽井沢で開催し、ほぼ全員が参加してくれました。こうした取り組みを通じて、関係性もどんどん良くなってきていますね。

▼軽井沢オフサイトの様子（同社提供）

市原　オフサイトの雰囲気も、チームの多様性が反映されているので、いわゆる「社員旅行」みたいな感じじゃないんです。みんなでボードゲームをやったりするような、とてもカジュアルな雰囲気で。

伊藤　本当にミックスなカルチャーの集合体で、今は10ヵ国以上のメンバーで成り立つチームになりました。なので、何か企画をするときには、みんなをインタラクトできるようなものをやはり考えます。

例えば、クロスファンクショナルに議論ができるようにランダムにスモールグループを作り、チームのビジョン・ミッションについて議論するワークショップや、無意識バイアス研修なども行いました。

また最近では、日本語／英語の語学向上に取り組むメンバーも多いため、「Language Exchange Program」というバディを組んでお互いの業務を母国語ではない言語で行うプログラムを独自で行なっています。

市原　チームづくりということでは、オンボーディングも素晴らしいと思います。私が入社する直前には、オンボーディングということでメンバーのほぼ全員がオフィスに集まってくれて。

そこで初めてみんなと顔合わせたのですが、すごく良い雰囲気でしゃべりやすかったんですよ。それがとても印象的で、今でもよく覚えています。

伊藤　メルカリの人事として用意しているオンボーディングプログラムはもちろんあります。ただその上で、やはりチームで新しい人をウェルカムすることが大事だと思っていて。

市原さんをCISOとして迎え入れるにあたっては、一度みんなで話をする場所が必要だと思ったので、しっかり顔合わせの時間を設けました。

市原　あの場所があったことは助かりましたね。加えて、ジェイソンみたいな明るいキャラクターもいるからどんどん話しかけてくれるし（笑）。

一同　（笑）

市原　それと、入社して最初にもらったのが、「市原さんに読んでもらいたい資料リスト」で。スプレッドシートにそれぞれの部門のプロジェクトや、ヒストリーや、もう何十、百近いようなドキュメントが…

ジェイソン　200ぐらいですね（笑）

市原　200（笑）。でも、自分でやろうと思っていたことがいきなり目の前に初日から全部準備されていたので、結構びっくりしたんです。

伊藤　会社としての受け入れチェックリストに加えて、各チームがそれぞれのオンボーディング・ブックを作っていて、新しいメンバーの受け入れを準備しますし、受け入れたチームが隣のチームにちゃんと紹介するようにしています。人数が増えてきたからこそ、こういったことを怠ってはいけないと思っています。

ジェイソン　市原さんだけではなく、以前にオーストリアとハンガリーの新しいメンバーがコロナでなかなか日本に入国できなかったことがあって。そのときには、日本に来れない期間でもしっかりチームビルディングをして、信頼関係を作っていきましたね。

時差が7〜8時間あったのですが、当時のメンターが自分の業務時間を合わせて、一緒に動いたり。おかげで外国からリモートで働いても（一度も会ったことがなくても）、チームの一員として溶け込みやすかったと思います。これがまさにAll for Oneの姿勢なのかなと。

市原　いや、待てよ。ちょっといい話ばっかりじゃないか。これでいいんでしょうか（笑）

一同　（笑）

一人ひとりの可能性を狭めない、「ボーダレス」なチームへ

伊藤　そもそも採用については、メルカリのカルチャーにフィットしていて、グローバルマインドを持っている人を採用することって、簡単なことではないんですよね。

ですのでチームとしてもしっかりコミットして力をかけているので、新しく入った人たちがより活躍できるような環境を作ることには、私としてはこれからもしっかりフォーカスしていきたいと思っています。

市原　私は、やはりメンバーがわくわくしながら日々仕事ができる環境であったり、より今の文化にアドオンするようなカルチャーを作っていけたらと思っています。

最近「ボーダレスプレイヤー」という言葉をよく使っています。というのも、人ってわりと狭い世界で仕事をしがちといいますか、自分の仕事の範囲を狭めがちで、それはもったいないと思っていて。

その点メルカリでは、これまで話してきたようなカルチャーの中にいろいろな価値観を持っている人たちがいて、ここで経験できるセキュリティの仕事って本当に可能性があると思っているんです。

だからこそ、自分の範囲を決めずに、ボーダレスに、自由に働く。一人ひとりがそういった意識をもってカルチャーを作っていけたら、最強のチームになるんじゃないかなと。

伊藤　「ボーダレス」っていいですね。グローバルやダイバーシティといったことはもう定着していて、当たり前になってきているので、そこからさらに先を見て拡大していく感じが良いと思いました。

市原　由美さんやジェイソンもそうですが、自主的にどんどん動いて自分のポジションを作り上げてきているんですよね。彼らのようなポジションは、これからのセキュリティ組織にはめちゃくちゃ大事だなって思っています。何かこの役割に名前をつけたいんですよね。

ジェイソン　メルカリってある意味、みんなが決まったタイトルで働いているわけじゃないと思っていて。単に「由美が由美の仕事をやる」「ジェイソンがジェイソンのやることをやる」という感じで、それぞれが自分の活躍できるところで活躍しているのかなと。

みんな遠慮せずに新しい世界に飛び込んでいくので、その分カオスになる面もありますが、会社全体としてより多くのことにチャレンジできていると思います。

「ボーダレス」ということでいうと、「会社」もボーダーですよね。今後はメルカリ流のセキュリティ＆プライバシーを日本に限らず世界に共有しながら、他の会社からも学んでいきたいですね。

文化は変わっていくものなので、私たちの文化も徐々に変わっていくでしょうし、それを共有しながら外部からの刺激も取り入れることで、ずっと変化し続けていくのかなと思っています。（了）