CISO就任から約1年、企業の枠を超えて邂逅
茂岩祐樹氏(以下、茂岩):私が2022年4月にfreeeに移ってから、約1年が経過しました。freeeにはPSIRTとCSIRTを設けており、最初の3ヵ月はCSIRTのマネージャーとして全体像の把握に務めました。その後、PSIRTも含めたマネージャーになり、プロダクトの方も把握していくのですが、プロダクトの範囲も広く複雑なため少しずつ時間をかけて把握していき、どのようなことができるかを考えて一つひとつ取り組んでいる最中です。
市原尚久氏(以下、市原):私も茂岩さんと同時期の昨年5月にメルカリに入社しています。入社後は、同じくプロダクトや企業理解から始めましたが、メルカリのセキュリティ組織は2018年頃に立ち上がったばかりで、まだまだ成熟した組織とは言えない印象もありましたね。
茂岩:組織という側面では、freeeでは体制強化にも力をいれています。特にCSIRTの人員が少なく、私の入社前はCIOとCISOを兼務していた土佐鉄平(現CIO)を含めて片手で数えるほどの人数で回してました。そこで採用を推進し、現在は20人強と十分な体制になったと思います。
市原:メルカリでは過去のセキュリティ課題、特に外部のコード・カバレッジ・ツール「Codecov」における第三者からの不正アクセスというインシデントを受けて、何に取り組んでいけばよいのかを全員で考え、キャッチアップしています。
その結果、チームメンバーの中で方向性にブレがあることがわかりました。企業としてのミッションやロードマップはしっかりと共有できていたのですが、“セキュリティチームとしてのミッション”が無かったのです。そこで手初めに「ミッション・ビジョン」を作ろうと提案しました。実際にすべてのチームメンバーを軽井沢に集めて泊まり、組織論や大事にすべき価値は何かといった議論を交わし、セキュリティチームとしての考え方や方向性を統一させ、メルカリのセキュリティとしてのミッションとビジョンを皆で作り上げました。
同時に、プロダクトやセキュリティのエンジニアリングチーム、SOC(※メルカリでは、「Threat Detection Engineering」チーム)など、各チームは粒ぞろいのメンバーで機能していたのですが、情報セキュリティやプライバシーなど、ガバナンスを効かせるという観点で取りまとめる必要性もわかりました。そこで、既存の戦略チームを再定義し、戦略的に組織を動かしていけるよう他チームのミッションも明確化しています。
たとえば、NISTのサイバーセキュリティフレームワーク(CSF)、CIS Controlsなどを活用して自社の立ち位置を確認し、どこの課題にプライオリティをおくべきかを考える。これを大きなミッションとして取り組んでもらうというものです。
茂岩:興味深い取り組みですね。私の場合はセキュリティとは少しずれますが、freeeの各プロダクトに係るシステムの中身や構造の解像度を高めるために、障害報告なども含まれる「プロダクトリスク管理」にも関わることを通じて、できるだけ細かくシステムを理解した上で業務に取り組めるように工夫しています。
市原:真似をしたい取り組みですね。これはfreeeでも同じかもしれませんが、新しいことに挑戦するときに人員の確保が課題になっています。IT業界しかりメルカリでも人材が流動的なため、積極的な採用でヘッドカウントを埋めていくことを続けています。
茂岩:これはfreeeでも課題であり、良い方と出会えるように常に採用はしていますね。
異なる業界・企業文化への対応
市原:ところで茂岩さんはDeNAからfreeeへ移られて、扱っているアプリケーションはもちろん、情報やレベル感も異なるかと思うのですが、そのあたりのギャップをどう埋めていかれましたか。
茂岩:おっしゃる通り、入社直後は会計に係るドメイン知識はもちろん、データ構造などが全然イメージできませんでした。たとえばDeNAはオークションやフリマとわかりやすく、顧客と商品、入札といったデータ構造も何となく想像できるのですが、会計はすぐにイメージできず苦労しました。
もちろん、前職からの共通項として企業文化や雰囲気、働き方などには馴染みやすかったですね。今のfreeeを見ていて「10年くらい前のDeNAと一緒だ」とよく言っています。
市原:Web系のサービスを主体とした企業同士、企業文化や雰囲気なども似通っている点はありそうですね。
茂岩:同僚の皆さんも、あまり上下関係を気にしないで自由闊達に発言するようなところはありますね。特にセキュリティでは、自分達の部門だけで完結しない問題がほとんどなので、私自身もいろいろな部署に話を聞きに行ったりお願いしたりするのですが、ハードルがなくて良い文化だと思います。
市原:メルカリも企業文化という側面では前職と似ているため、ギャップを全く感じず、自由度も高いですね。プロダクトについて聞きに行くときの障壁もなかったです。基本的にコミュニケーションもSlackで行われ、恐らくfreeeと同じように“クラウドネイティブ”です。
茂岩さんと同じように、メルカリの雰囲気は何年か前のLINEと同じだと感じています。一方で両社ともにコンシューマー向けのネットサービスという共通点があるため大きな苦労はしていませんね。もちろん、不正対策という側面などから見たときには実害が異なるため、今までとまったく違う向き合い方をしなくてはいけないとも感じています。
茂岩:前述したお話にありましたが、自社におけるセキュリティ対策の目指す方向性を定めるため、私もDeNA時代はもちろんfreeeでもCSFなどを用いています。メルカリもクラウドネイティブな企業とはいえ、導入の際にハードルの高さなどを感じませんでしたか。
市原:もちろん感じていますね。単にそのまま導入することは難しく、いろいろとカスタマイズをしています。たとえば、あるサービスドメイン特有の考慮すべき要件(Requirement)などがある場合、そこを考慮した形で適宜カスタマイズしていますね。
茂岩:「自社にとって、この部分は弱くても問題ないよね」という箇所は省いていくような考え方ですよね。
市原:そうですね、そこを判断できないと“変なトラップ”にはまってしまうと感じるのです。CSFなどはバイブルでなく単なるリファレンスであり、そうした考え方が大切だと思います。
