フリマアプリを提供するメルカリでは、ビジネスの成長に貢献する”Enabler”であり続けるため、経営層や事業部門、開発部門と密に連携し、業務・プロセス・システムの自動化、高度化に取り組んでいる。

9月12日~15日に開催されたオンラインセミナー「TECH+ EXPO for セキュリティ 2023」では、メルカリ 執行役員 CISO 市原尚久氏が同社のセキュリティ組織「Security & Privacy」の理念と実際の取り組みについて紹介した。

メルカリの「安心・安全」をつくる取り組み

2013年7月にサービスを開始したメルカリは、グループミッション「あらゆる価値を循環させ、あらゆる人の可能性を広げる」を掲げ、C2Cのマーケットプレイスとしてビジネスを拡大させてきた。市原氏によると、サービスの特徴は「使いやすさ」「誰もが楽しく夢中になれる体験」「安心・安全」の3つである。

中でも、Security & Privacyに大きく関連するのが「安心・安全」だ。AIによる違反検知システムや生体認証によるサインインといったユーザーの安心・安全に向けた機能開発に力を入れるほか、業界全体の健全化を目指し、インターネット知的財産権侵害品流通防止協議会(CIPP)やEC事業者協議会、日本サイバー犯罪対策センター(JC3)などにも参加している。

  • メルカリがユーザーに向けて提供している安心・安全な環境

Security & Privacyでは、下記のような理念と行動指針を掲げている。

• Mission/理念 – Build trust & drive value for stakeholders through a collaborative approach to security and privacy. (協力的/All for One的なセキュリティ&プライバシーを通じて、ステークホルダー(協業する他部門、カンパニー、エグゼクティブ、プロダクト、お客さま)の価値を導出し、信頼を築いていく)

• Vision/行動指針 – Security and privacy by design, by default, and at scale. (バイデザイン(シフトレフト)にセキュリティとプライバシーを導入できる仕組み、開発環境・プロダクト環境・業務環境・データ活用環境などにセキュリティとプライバシーが最初から確保される仕組みを、スケーラブルに提供していく)

“by design, by default, and at scale”の実現に向けた事例

市原氏は、具体的な取り組みを基にVisionの言葉について紐解いた。以下ではそれぞれの代表的な事例を見ていきたい。

by-design

市原氏は、by designについて「ソフトウエア開発の上流工程でセキュリティの取り組みに着手していく考え方。頻度高く検証していくことが重要」だと紹介する。上流工程で見つからなかった脆弱性があっても、後の段階で発見して事故を未然に防ぐことが目的だ。

  • 早期段階から脆弱性のリスクを取り払えるような工夫をしている

また市原氏は、その他の取り組みの一例として、脅威モデリングをあげる。 「システム分析を行うなかで潜在的な脆弱性がどこに生まれそうか、単一障害点はどこかを明確にしています。システムのアーキテクチャを決めていく工程で技術的な負荷が生まれないか、攻撃者の目線からどこに攻撃ポイントがありそうかといったことも含めて検討しています。これはセキュリティ部門だけでなく、プロダクトや開発部門とともに取り組むことが大切です」(市原氏)

  • メルカリで実践している脅威モデリングの例

by-default

by defaultは、昨今注目されているDevSecOpsが代表例となる。DevSecOpsは、DevOpsとセキュリティが一体化した取り組みで、市原氏は「QAやセキュリティチェックなどを待たずに効率的な開発ができるようになる」とそのメリットを説明する。

  • メルカリが実践するDevSecOps

また、情報セキュリティのプロセスにおいてもby defaultな取り組みが行われている。従来の情報セキュリティ部門では、情報資産台帳の棚卸をはじめ、ISO27001(ISMS認証)や各種法令を基にWhatおよびHowを考えるといった伝統的なプロセスや仕組みが存在していた。

しかし、市原氏は「従来のプロセスは運用自体が目的化している側面もあった。業務環境がクラウドへ移行し、ネットワーク環境が複雑になるなかでは、モダナイズしていく取り組みが必要」だと指摘する。

そこでメルカリでは、Slack内でオペレーションが完結するワークフローを構築したり、メールやExcelでの運用を撤廃したりと、従業員のUXや心理的受容性をより重視したプロセスの構築に取り組んでいるという。

「スプレッドシートを社内に大量に配布して回収するような労力のいる作業を自動化したいのです。例えば、ワークスペース上の個人情報を含むファイルを自動検出することで、最新の情報の場所やオーナーなどの状況把握ができるダッシュボードをつくりました。こうすることで、スプレッドシートを各担当者に入力してもらう作業が軽減できるのではと考えています」(市原氏)

さらに、GitHubのリポジトリオーナーに対し、脆弱性やシークレットの管理状況などセキュリティ上の健康状態をスコアリングする仕組みを自社開発して提供する取り組みも進めているそうだ。

at-scale

at scaleを目指した取り組みとしてメルカリでは、セキュリティ運用業務の効率化・自動化を実現するSOAR(Security Orchestration, Automation and Response)プラットフォームの大部分を自社開発している。一般的にはサードパーティのソリューションやオープンソースのツールを利用するが、内製すればベンダー非依存となるため、柔軟性やスケーラビリティを確保しやすい。

市原氏はこの他にも、「オペレーションを自動化・自律化することによりヒューマンコストを最適化できる」「Detection as Code(コードベースで検出を行う)」「クラウドネイティブで構築しているためフルクラウドである自社システムにフィットしやすい」といった特長やメリットを挙げた。

  • SOARプラットフォームのイメージ図

Enablerであるために大切な”Trust & Openness”というカルチャー

市原氏は「事業成長のEnablerであるために大切なのは、信頼関係」だと語る。

メルカリのSecurity & Privacyは、さまざまなステークホルダーとの関わりを持っており、それらとの連携体制や信頼関係の構築を重要視している。具体的には、コアビジネスプロジェクトに関する会議への参加、メンバーレベルの会議やチームビルディングの実施など、開発部門やプロダクト部門と密に連携している。また、部門共通のOKR(Objectives and Key Results)を設定するなど、コラボレーションが進む工夫もされている。

こうした取り組みがスムーズに進むのは、“Trust & Openness”というメルカリのカルチャーによるところも大きい。

市原氏は「会社全体として相互の信頼関係を大切にしており、メンバーを縛るルールも必要以上に設けていない。これにより、各個人のケイパビリティを発揮しやすい環境が生まれ、組織間の連携もしやすくなる」と、組織カルチャー醸成の重要性を強調し、講演を締めくくった。