「第7回 情報セキュリティ事故対応アワード」において優秀賞を受賞したメルカリ。受賞インタビューやその後の講演からは、一般的な企業では考えられない高いレベルのセキュリティ文化が明らかになった。

アプリケーション開発者を巻き込み、全社員が一体となってセキュリティを業務に組み込む同社の文化はどのようにしてできあがったのか。また、同社はこれからのセキュリティ業界の在り方をどう捉えているのか。

元メルカリのCISOで現在はメルペイ/メルコインの取締役CISOを務める曾川景介氏、2022年5月にメルカリ執行役員 CISOに就任した市原尚久氏の対談から探っていきたい。

  • メルペイ/メルコインの取締役CISOの曾川 景介 氏(左)とメルカリ執行役員 CISOに就任した市原 尚久 氏(右)

ICカードのOS開発、決済系サービスの立ち上げ……メルカリを支えるCISO2人のこれまで

——まずはじめにお二人のご経歴について伺えますか。

市原氏: 大学院修了後、新卒でNTTデータへ入社しました。セキュリティに携わるきっかけは、エンジニアとして公共系ICカードのOS開発を担当したことでした。

1999年頃だったのですが、当時は「ICカードは安全」という前提意識がある一方で、「その安全をどのようにつくるか」という問いに対する明確な解は世の中にありませんでした。特に日本には、そうした経験がある企業も、認証の仕組みもない状況。そこで、私はその領域の最先端であった欧州へ何十回も足を運び、技術コミュニティに入り込んで現地のやり方を学んでいきました。

自分で設計からコーディングまで行い、厳しい意見のレビューをもらって……ということを繰り返しながら、5年ほど掛けて、欧州では標準的に使われていたセキュリティ評価基準(Common Criteria)のEAL4+, EAL5+という高い水準のセキュリティ認証を、日本企業として初めて取得することができました。 こうした経験のなかで、プロダクトやソフトウェアのセキュリティの考え方を叩き込まれましたね。

その後は、Webやモバイル、NFCに関するセキュリティコンサルティングに従事し、2015年にLINEへ入社。アカウント乗っ取り対策や各種サービスのセキュリティ対策、インシデント対応など、セキュリティ担当者として幅広く活動した後、2022年5月にメルカリへ参画しました。

曾川氏: 市原さんは、大学で定理証明に関する研究を行っていたのも強みだと思います。

ICカードの回路や内部のソフトウェアは、安全であることが証明済みでなければなりません。定理証明は、目標とする仕様を数学の定理として証明するという考え方で、まさにOS開発に活きるものです。

市原氏: すごい方向からコメントがきましたね…(笑)。

でも、まさにそのとおりです。OSって状態遷移の塊みたいなもので、EN規格の中でも「OSがどのような状態になっても安全な状態に落ちる」と証明することが要求されています。組み込み系ではよくある話なんですよね。

バグが許されない開発においては、途中で電源を抜くとか、違うボタンを押してしまったとか、どんなに変な操作をしても、デッドロックに陥ったり、アクセス制御不能になったりといった不具合を起こさないようにするため、「形式手法」という手法で、検証しながら開発を進めていきます。 それをICカードのOSに適用した形です。

——ありがとうございます。ICカードのOS開発だけでも記事になりそうですが……、続いて曾川さんお願いします。

曾川氏: 大学院修了後に米シリコンバレーのFluxFlex社でクレジットカード決済サービス「WebPay」を立ち上げ、子会社のウェブペイのCTOとして開発を行っていました。同社がLINEグループに買収された後はLINE Payの開発に従事し、2017年にメルカリグループへ参画しました。

メルカリにはグループ会社のソウゾウで新規事業担当として入社しましたが、気づけばまたメルペイという決済サービスを生み出していました。WebPay、LINE Payに続き、私にとって3つ目の決済サービスの立ち上げでした(笑)。

なので、私はセキュリティというより、FinTech業界のエンジニアとしてのバックグラウンドのほうが強いですね。

そんな中で、セキュリティに強い問題意識を持つようになったのは、キャッシュレス決済サービスの不正利用が大きな問題になった2019年です。従来からセキュリティは重要なテーマであったことは変わりなのですが、その頃から私がセキュリティに関連する仕事の割合が増えていったように思います。その後メルカリのCISOとしてメルカリ全社のセキュリティを担当するようになりました。 現在、メルカリのCISOは市原さんにお任せし、自分はメルペイとメルコインのCISOを担当しています。もちろんグループ会社として市原さんの手伝いをすることもありますし、逆にメルペイ/メルコインのサポートをしてもらうこともあります。

——LINEに在籍されていた時期が重なっていますが、お二人の出会いのきっかけは何だったのでしょうか。

市原氏: LINEでは一緒に仕事をする機会がなかったので、2019年にキャッシュレス決済サービスの事業者が集まる会議で出会ったのがきっかけでしたね。会議で曾川さんの提案を聞いていて、自分の考えと方向性が似ているな、話が合うな、と思ったことを覚えています。

曾川氏: 私がメルカリのCISOとなって日々のインシデント対応を進める中、市原さんも同じようにセキュリティやプライバシーの課題に直面されている様子を目の当たりにして、シンパシーを感じていました。お互い大変な時期ではあったのですが、「いつか一緒に働けたらいいですね」という話はずっとしていました。

市原氏: お互いの対応が落ち着いたタイミングで、メルカリへの参画に至ったという形ですね。