SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Press

LINEからメルカリCISOに就任した市原氏、見据える先はあくまで「世界基準」

入社して4ヵ月、「教科書がない世界」と称する新天地での改革と今後の抱負を聞く

 国民のコミュニケーションを大きく変えた「LINE」。同社には、セキュリティ上で懸念とされた事例がある。2015年ごろのアカウント乗っ取り問題、2021年中国からのアクセス問題だ。ただ、どちらも今は対処がなされ、過去の話題になった。そして当時、現場当事者としてサイバーセキュリティ室をリードした市原尚久氏は、2022年5月からメルカリでCISOとして新たな活動を始めた。そこで早速、新天地での意気込み、今後のメルカリ、そして日本のセキュリティについて聞いてみた。

LINEで学んだことをメルカリで活かしたい

 市原氏は、LINEに2015年入社し、6年半セキュリティに関する幾多の功績を上げてきた。当時はアカウント乗っ取りの問題が市場で話題になっていた時期だ。システムの脆弱性やLINEの仕様上の僅かなスキを突くなど、非常に巧みなやり方が横行していた。そんな中、認証やアカウントの仕様改善、攻撃者の振る舞い分析などによる乗っ取り阻止をチーム一丸で対応し、2019年に0件を達成。2021年には、中国のグループ会社から個人データへのアクセスの可能性ありということで、総務省や個人情報保護委員会による行政指導を受け、改善措置や報告書の提出などをすることとなった。

 これについて市原氏は「情報管理に懸念がある国からのアクセスをどう考えるか、どういうリスク意識を持っていたかについて突きつけられた事案でした。いろいろ意見はありますが、一方で学びもあったと思っています。何を改善すべきか、あのとき非常にクリアになりました」と当時を振り返る。データで“ビジネスをする”データカンパニーにおいて、データを守るのは当たり前、その上で正しく守っていることをいかに外部にも説明できる状態にするか。メルカリではLINEの経験を活かし、データガバナンスのレベルを上げたいと市原氏は述べた。

画像を説明するテキストなくても可
株式会社メルカリ 執行役員 CISO 市原尚久氏

メルカリCISOとしての役割、まず取り組むこと

 市原氏は現在、メルカリグループ全体のCISOとしての活躍を期待されており、メルカリグループの意思決定を担うヘッドクォーターのセキュリティ部門に所属する。取材時は入社4ヵ月目だったが、セキュリティのミッション・ビジョンの刷新を行ったという。もちろん既に存在はしていたが、このところアップデートされていなかったようで「自分たちは、どういう未来に向かって何に取り組むかの言語化が必要」と主張する市原氏を中心に、メンバーが議論を重ね、8月にリファインを実行した。

 それは、プロダクトの企画・設計の段階からセキュリティ対策を組み込む「バイデザイン(By Design)」、意識せずとも高いセキュリティを可能にする「バイデフォルト(By Default)」、ニーズに合せて高度なセキュリティを柔軟に拡大できる「アットスケール(At Scale)」という3つのキーワードで表される。市原氏は、この価値観に基づいて、自分たちのチームに未来を意識付けしてディレクションしたいと語った。

 セキュリティ関連の業務としては、ユーザーの認証基盤の検証や検討、トラストアンドセーフティと呼ばれる不正対策、改正個人情報保護法に対応するプロセスの見直し、当然ながらインシデントの対応など、やる事は非常に多い。中でも不正の防止を目指すトラストアンドセーフティは、ユーザーが安心してメルカリを利用するために必要な施策だ。前任者からの強い依頼もあり、FIDO認証(パスワードを必須としない新たな認証方法)の導入など含め、不正対策の強化を目指している。そのためメルカリの認証基盤は自社開発だ。自社のコア部分を内製するのは、ユーザーの信頼を獲得する上で重要なことだ。

 また、どのような商品をメルカリで出品禁止とすべきかなど判断に困る例も少なくない。先に紹介した不正対策もどんどん前例が覆る事象だ。こうした“ないないづくしの様子”を「教科書がない世界」と市原氏は称して、案件への対処も疎かにできないと語る。

 CISOとしての業務は激務のようだが、市原氏はわずか数ヵ月でメルカリの状況を理解し、現場をキャッチアップできたと言う。それは前任者を含め、セキュリティのメンバーのウェルカムの心があったからと市原氏は振り返り「資料も良く整理されていて、最初の1~2週間で、チームをここまで成長させたメンバーの努力やアウトプットがよく理解できました」と述べた。

次のページ
メルカリのセキュリティの強化ポイントは

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

森 英信(モリ ヒデノブ)

就職情報誌やMac雑誌の編集業務、モバイルコンテンツ制作会社勤務を経て、2005年に編集プロダクション業務とWebシステム開発事業を展開する会社・アンジーを創業した。編集プロダクション業務では、日本語と英語でのテック関連事例や海外スタートアップのインタビュー、イベントレポートなどの企画・取材・執筆・...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

小山 奨太(編集部)(コヤマ ショウタ)

EnterpriseZine編集部所属。製造小売業の情報システム部門で運用保守、DX推進などを経験。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/16599 2022/09/28 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング