近年、サイバー攻撃はますます激しさを増している。特に個人情報や決済情報などを扱う事業者は注意が必要だ。もっとも、セキュリティ対策はそう簡単ではない。仮に自社のセキュリティで一定の対策を取れていたとしても、カバーしきれていないサプライチェーンなどが狙われる恐れもあるからだ。
そうした状況において、国内最大規模のフリマアプリを展開するメルカリはどのようなセキュリティ戦略を採っているのか。
9月27日、28日に開催された「TECH+ セキュリティ2022」にメルカリ 執行役員 CISOの市原尚久氏が登壇。メルカリのセキュリティ戦略と、それを支える社内文化について語った。
セキュリティチームが重視する「信頼と連携」
メルカリはフリマアプリ「メルカリ」やスマホ決済サービス「メルペイ」などを運営する企業だ。特に前者は、サービス開始から9年で年間流通総額8,816億円、月間利用者数は2,040万人に達する。近年は「新たな価値を生みだす世界的なマーケットプレイスを創る」をミッションに海外にもサービスを展開。日本発のグローバルテックカンパニーとして成長を遂げている。
そんなメルカリの根幹を支えるのが「セキュリティ&プライバシー」チームだ。一般的にはIT部門の立ち位置となる組織にあるが、メルカリではグループCEO配下であるManagement Strategy Officeの一部であり、ビジネスの最先端に立ち、メルカリグループ全社やそのプロダクトを俯瞰する。組織は大きく「セキュリティエンジニアリング」「セキュリティストラテジー」「セキュリティガバナンス」チームに分かれており、CISOの市原氏が全体を統括している。
-
メルカリのセキュリティ&プライバシーチームの組織図
メルカリはサービスの特性上、個人情報を取り扱うこともあり、セキュリティは最重要事項だ。サービスや会社の信頼性はもちろん、事業の存続はセキュリティ&プライバシーチームにかかっていると言っても過言ではない。
ではセキュリティ&プライバシーチームとは、どのような組織なのだろうか。
市原氏によると、セキュリティ&プライバシーチームを1つにまとめ上げているのは、「ステークホルダーの価値を導き出し、信頼を築く」という理念、そして「セキュリティとプライバシーが最初から確保される仕組みをスケーラブルに提供する」という行動指針だ。これらを一言で表すと、「Build Trust & Collaborate(信頼を構築し連携を深める)」となる。セキュリティ&プライバシーチームの仕事は、他部門との信頼および連携が欠かせないというわけだ。
![ソフトウェアサプライチェーン攻撃からいかに自組織を守るか? - メルカリ事故対応からの教訓 [事故対応アワード受賞]](/techplus/article/20220701-2381238/index_images/index.jpg/iapp)
