近年、サイバー攻撃はますます激しさを増している。特に個人情報や決済情報などを扱う事業者は注意が必要だ。もっとも、セキュリティ対策はそう簡単ではない。仮に自社のセキュリティで一定の対策を取れていたとしても、カバーしきれていないサプライチェーンなどが狙われる恐れもあるからだ。

そうした状況において、国内最大規模のフリマアプリを展開するメルカリはどのようなセキュリティ戦略を採っているのか。

9月27日、28日に開催された「TECH+ セキュリティ2022」にメルカリ 執行役員 CISOの市原尚久氏が登壇。メルカリのセキュリティ戦略と、それを支える社内文化について語った。

セキュリティチームが重視する「信頼と連携」

メルカリはフリマアプリ「メルカリ」やスマホ決済サービス「メルペイ」などを運営する企業だ。特に前者は、サービス開始から9年で年間流通総額8,816億円、月間利用者数は2,040万人に達する。近年は「新たな価値を生みだす世界的なマーケットプレイスを創る」をミッションに海外にもサービスを展開。日本発のグローバルテックカンパニーとして成長を遂げている。

そんなメルカリの根幹を支えるのが「セキュリティ&プライバシー」チームだ。一般的にはIT部門の立ち位置となる組織にあるが、メルカリではグループCEO配下であるManagement Strategy Officeの一部であり、ビジネスの最先端に立ち、メルカリグループ全社やそのプロダクトを俯瞰する。組織は大きく「セキュリティエンジニアリング」「セキュリティストラテジー」「セキュリティガバナンス」チームに分かれており、CISOの市原氏が全体を統括している。

  • メルカリのセキュリティ&プライバシーチームの組織図

メルカリはサービスの特性上、個人情報を取り扱うこともあり、セキュリティは最重要事項だ。サービスや会社の信頼性はもちろん、事業の存続はセキュリティ&プライバシーチームにかかっていると言っても過言ではない。

ではセキュリティ&プライバシーチームとは、どのような組織なのだろうか。

市原氏によると、セキュリティ&プライバシーチームを1つにまとめ上げているのは、「ステークホルダーの価値を導き出し、信頼を築く」という理念、そして「セキュリティとプライバシーが最初から確保される仕組みをスケーラブルに提供する」という行動指針だ。これらを一言で表すと、「Build Trust & Collaborate(信頼を構築し連携を深める)」となる。セキュリティ&プライバシーチームの仕事は、他部門との信頼および連携が欠かせないというわけだ。

成長を加速する「性善説カルチャー」とは?

なぜ、市原氏はそのような方針で組織を運営するのか。

その背景にあるのは、「セキュリティはビジネス戦略とアライン(密接に連携)し、ビジネスの可能性を拡大させるものである」という考え方だ。また、同氏は「セキュリティのアプローチは組織全体のプロセスを改善し得る」とも言う。一見するとビジネスサイドとは無関係に思えるセキュリティ領域だが、実際にはサービスの拡大や企業の将来にも関わってくる重要な立ち位置にあるのだ。

では、セキュリティ部門はどのようにして他部門との連携を深め、信頼を築いていけばいいのか。

市原氏が挙げるメルカリの強みが、「性善説」を基にしたカルチャーである。

「一般的にセキュリティを確保するためにはさまざまな規制を行うことが必要だと考えられがちですが、メルカリではメンバーを縛るルールを必要以上に設けず、信頼を前提に情報の透明性を保つことを大切にしています。このメルカリのカルチャーを“Trust & Openness”と呼んでいます」(市原氏)

信頼をベースにしているからこそ成立するメルカリのカルチャー。無論、どんな企業でもこのやり方が可能なわけではない。同社がTrust & Opennessを実現できているのは、その下地となる「多様なコミュニケーション」があるからだ。

「メルカリのセキュリティ&プライバシーチームは10カ国以上の外国籍のメンバーが半数を占めるなど、ダイバーシティを大事にしています。チームや組織の垣根を越えて自由に議論や意見交換ができるオープンドアやチームビルディングなどの施策を実施しており、積極的なコミュニケーションを通して信頼関係の構築を行っているのです」(市原氏)