SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

【CISO対談】メルカリ市原氏×freee茂岩氏、就任から約1年で見えてきた“理想像”とは

同世代のCISO2人が「セキュリティの在り方」を語り合う

 茂岩祐樹氏がDeNAからfreeeへ、市原尚久氏がLINEからメルカリへ。ともにCISOとして就任して約1年が経過した。この1年でどのような取り組みを行い、どのような変化が現れたのか。また、今後の施策や目標に対して、どこに課題を感じているのか。今回、2人に対談という形で意見交換していただいた。

CISO就任から約1年、企業の枠を超えて邂逅

茂岩祐樹氏(以下、茂岩):私が2022年4月にfreeeに移ってから、約1年が経過しました。freeeにはPSIRTとCSIRTを設けており、最初の3ヵ月はCSIRTのマネージャーとして全体像の把握に務めました。その後、PSIRTも含めたマネージャーになり、プロダクトの方も把握していくのですが、プロダクトの範囲も広く複雑なため少しずつ時間をかけて把握していき、どのようなことができるかを考えて一つひとつ取り組んでいる最中です。

市原尚久氏(以下、市原):私も茂岩さんと同時期の昨年5月にメルカリに入社しています。入社後は、同じくプロダクトや企業理解から始めましたが、メルカリのセキュリティ組織は2018年頃に立ち上がったばかりで、まだまだ成熟した組織とは言えない印象もありましたね。

茂岩:組織という側面では、freeeでは体制強化にも力をいれています。特にCSIRTの人員が少なく、私の入社前はCIOとCISOを兼務していた土佐鉄平(現CIO)を含めて片手で数えるほどの人数で回してました。そこで採用を推進し、現在は20人強と十分な体制になったと思います。

市原:メルカリでは過去のセキュリティ課題、特に外部のコード・カバレッジ・ツール「Codecov」における第三者からの不正アクセスというインシデントを受けて、何に取り組んでいけばよいのかを全員で考え、キャッチアップしています。

 その結果、チームメンバーの中で方向性にブレがあることがわかりました。企業としてのミッションやロードマップはしっかりと共有できていたのですが、“セキュリティチームとしてのミッション”が無かったのです。そこで手初めに「ミッション・ビジョン」を作ろうと提案しました。実際にすべてのチームメンバーを軽井沢に集めて泊まり、組織論や大事にすべき価値は何かといった議論を交わし、セキュリティチームとしての考え方や方向性を統一させ、メルカリのセキュリティとしてのミッションとビジョンを皆で作り上げました。

メルカリ 執行役員 CISO 市原尚久氏
メルカリ 執行役員 CISO 市原尚久氏

 同時に、プロダクトやセキュリティのエンジニアリングチーム、SOC(※メルカリでは、「Threat Detection Engineering」チーム)など、各チームは粒ぞろいのメンバーで機能していたのですが、情報セキュリティやプライバシーなど、ガバナンスを効かせるという観点で取りまとめる必要性もわかりました。そこで、既存の戦略チームを再定義し、戦略的に組織を動かしていけるよう他チームのミッションも明確化しています。

 たとえば、NISTのサイバーセキュリティフレームワーク(CSF)、CIS Controlsなどを活用して自社の立ち位置を確認し、どこの課題にプライオリティをおくべきかを考える。これを大きなミッションとして取り組んでもらうというものです。

茂岩:興味深い取り組みですね。私の場合はセキュリティとは少しずれますが、freeeの各プロダクトに係るシステムの中身や構造の解像度を高めるために、障害報告なども含まれる「プロダクトリスク管理」にも関わることを通じて、できるだけ細かくシステムを理解した上で業務に取り組めるように工夫しています。

市原:真似をしたい取り組みですね。これはfreeeでも同じかもしれませんが、新しいことに挑戦するときに人員の確保が課題になっています。IT業界しかりメルカリでも人材が流動的なため、積極的な採用でヘッドカウントを埋めていくことを続けています。

茂岩:これはfreeeでも課題であり、良い方と出会えるように常に採用はしていますね。

異なる業界・企業文化への対応

市原:ところで茂岩さんはDeNAからfreeeへ移られて、扱っているアプリケーションはもちろん、情報やレベル感も異なるかと思うのですが、そのあたりのギャップをどう埋めていかれましたか。

茂岩:おっしゃる通り、入社直後は会計に係るドメイン知識はもちろん、データ構造などが全然イメージできませんでした。たとえばDeNAはオークションやフリマとわかりやすく、顧客と商品、入札といったデータ構造も何となく想像できるのですが、会計はすぐにイメージできず苦労しました。

freee CISO 茂岩祐樹氏
freee CISO 茂岩祐樹氏

 もちろん、前職からの共通項として企業文化や雰囲気、働き方などには馴染みやすかったですね。今のfreeeを見ていて「10年くらい前のDeNAと一緒だ」とよく言っています。

市原:Web系のサービスを主体とした企業同士、企業文化や雰囲気なども似通っている点はありそうですね。

茂岩:同僚の皆さんも、あまり上下関係を気にしないで自由闊達に発言するようなところはありますね。特にセキュリティでは、自分達の部門だけで完結しない問題がほとんどなので、私自身もいろいろな部署に話を聞きに行ったりお願いしたりするのですが、ハードルがなくて良い文化だと思います。

市原:メルカリも企業文化という側面では前職と似ているため、ギャップを全く感じず、自由度も高いですね。プロダクトについて聞きに行くときの障壁もなかったです。基本的にコミュニケーションもSlackで行われ、恐らくfreeeと同じように“クラウドネイティブ”です。

 茂岩さんと同じように、メルカリの雰囲気は何年か前のLINEと同じだと感じています。一方で両社ともにコンシューマー向けのネットサービスという共通点があるため大きな苦労はしていませんね。もちろん、不正対策という側面などから見たときには実害が異なるため、今までとまったく違う向き合い方をしなくてはいけないとも感じています。

茂岩:前述したお話にありましたが、自社におけるセキュリティ対策の目指す方向性を定めるため、私もDeNA時代はもちろんfreeeでもCSFなどを用いています。メルカリもクラウドネイティブな企業とはいえ、導入の際にハードルの高さなどを感じませんでしたか。

市原:もちろん感じていますね。単にそのまま導入することは難しく、いろいろとカスタマイズをしています。たとえば、あるサービスドメイン特有の考慮すべき要件(Requirement)などがある場合、そこを考慮した形で適宜カスタマイズしていますね。

茂岩:「自社にとって、この部分は弱くても問題ないよね」という箇所は省いていくような考え方ですよね。

市原:そうですね、そこを判断できないと“変なトラップ”にはまってしまうと感じるのです。CSFなどはバイブルでなく単なるリファレンスであり、そうした考え方が大切だと思います。

次のページ
同世代の2人が描く、CISO像とは

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

吉澤 亨史(ヨシザワ コウジ)

元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17933 2023/07/07 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング