LINEで学んだことをメルカリで活かしたい
市原氏は、LINEに2015年入社し、6年半セキュリティに関する幾多の功績を上げてきた。当時はアカウント乗っ取りの問題が市場で話題になっていた時期だ。システムの脆弱性やLINEの仕様上の僅かなスキを突くなど、非常に巧みなやり方が横行していた。そんな中、認証やアカウントの仕様改善、攻撃者の振る舞い分析などによる乗っ取り阻止をチーム一丸で対応し、2019年に0件を達成。2021年には、中国のグループ会社から個人データへのアクセスの可能性ありということで、総務省や個人情報保護委員会による行政指導を受け、改善措置や報告書の提出などをすることとなった。
これについて市原氏は「情報管理に懸念がある国からのアクセスをどう考えるか、どういうリスク意識を持っていたかについて突きつけられた事案でした。いろいろ意見はありますが、一方で学びもあったと思っています。何を改善すべきか、あのとき非常にクリアになりました」と当時を振り返る。データで“ビジネスをする”データカンパニーにおいて、データを守るのは当たり前、その上で正しく守っていることをいかに外部にも説明できる状態にするか。メルカリではLINEの経験を活かし、データガバナンスのレベルを上げたいと市原氏は述べた。
メルカリCISOとしての役割、まず取り組むこと
市原氏は現在、メルカリグループ全体のCISOとしての活躍を期待されており、メルカリグループの意思決定を担うヘッドクォーターのセキュリティ部門に所属する。取材時は入社4ヵ月目だったが、セキュリティのミッション・ビジョンの刷新を行ったという。もちろん既に存在はしていたが、このところアップデートされていなかったようで「自分たちは、どういう未来に向かって何に取り組むかの言語化が必要」と主張する市原氏を中心に、メンバーが議論を重ね、8月にリファインを実行した。
それは、プロダクトの企画・設計の段階からセキュリティ対策を組み込む「バイデザイン(By Design)」、意識せずとも高いセキュリティを可能にする「バイデフォルト(By Default)」、ニーズに合せて高度なセキュリティを柔軟に拡大できる「アットスケール(At Scale)」という3つのキーワードで表される。市原氏は、この価値観に基づいて、自分たちのチームに未来を意識付けしてディレクションしたいと語った。
セキュリティ関連の業務としては、ユーザーの認証基盤の検証や検討、トラストアンドセーフティと呼ばれる不正対策、改正個人情報保護法に対応するプロセスの見直し、当然ながらインシデントの対応など、やる事は非常に多い。中でも不正の防止を目指すトラストアンドセーフティは、ユーザーが安心してメルカリを利用するために必要な施策だ。前任者からの強い依頼もあり、FIDO認証(パスワードを必須としない新たな認証方法)の導入など含め、不正対策の強化を目指している。そのためメルカリの認証基盤は自社開発だ。自社のコア部分を内製するのは、ユーザーの信頼を獲得する上で重要なことだ。
また、どのような商品をメルカリで出品禁止とすべきかなど判断に困る例も少なくない。先に紹介した不正対策もどんどん前例が覆る事象だ。こうした“ないないづくしの様子”を「教科書がない世界」と市原氏は称して、案件への対処も疎かにできないと語る。
CISOとしての業務は激務のようだが、市原氏はわずか数ヵ月でメルカリの状況を理解し、現場をキャッチアップできたと言う。それは前任者を含め、セキュリティのメンバーのウェルカムの心があったからと市原氏は振り返り「資料も良く整理されていて、最初の1~2週間で、チームをここまで成長させたメンバーの努力やアウトプットがよく理解できました」と述べた。
