“セキュリティ原理主義”に陥らない文化醸成法とは　「教科書のない」人材育成に挑むメルカリとfreee

外部環境にあわせて「セキュリティ人材像」もアップデート

岡本拓也（以下、岡本）：ここでは「メルカリ×freee CISOが探る、セキュリティ人材育成・文化醸成への道筋」と題して、議論していければと思います。まずは自己紹介をお願いします。

茂岩祐樹氏（以下、茂岩）：2022年4月にfreeeに入社しました。CISOに就任してから1年半しか経っておらず勉強中の日々です。freeeは「スモールビジネスを、世界の主役に。」をミッションに掲げ、会計を中心としたSaaSを提供している企業です。会計以外にも人事、労務など、企業のバックオフィスをサポートするSaaSサービスを展開しています。セキュリティだけではなく広くエンジニアも募集しております。

市原尚久氏（以下、市原）：茂岩さんと近いタイミングで、2022年5月からメルカリのCISOを務めております。現在はセキュリティとプライバシーの全体をとりまとめております。セキュリティ部門にはグローバルなメンバーが揃っており、半分ほどが海外の社員です。

岡本：最初のテーマは「セキュリティ人材とは」です。経済産業省の資料^[1]によると、セキュリティ人材と一口に言ってもかなり広範で、求められる役割やスキルも異なります。どのように定義して、どのような人材を求めていくべきなのか。お二人はセキュリティ人材をどのように捉えていますか。

茂岩：上記にあるような整理の仕方も1つだと思いますが、セキュリティ対策に着手する際には少人数でスタートする企業が大多数です。つまり、（分野毎に担当者をつけるのではなく）最初は“なんでも屋”なのです。私がDeNAでセキュリティに取り組みはじめたときは、大ざっぱに文系と理系に分け、セキュリティ課題の中から大きく影響を及ぼしそうなものから取り組んでいました。

市原：企業ごとにケイパビリティも違いますし、立ち上げ時は「最優先課題に限られたリソースでどう取り組むか」を考えなければならず、まずは地盤固めから始めます。少し成熟するとプロダクトやサービス、企業ミッションなど、経営層として何を大事にするのかも視野に入ってきますよね。もちろん、企業として成長したときには、こうした資料が参考になると思いますが、決して鵜呑みにするのではなく、いったん咀嚼し、自社の組織体系と照らし合わせながら戦略的に見極めていくことが大事です。

　また、セキュリティ人材の定義も5年前、10年前から変化していると思います。クラウド然り、あらゆる開発環境そのものが大きく変化しています。この定義自体もダイナミック（動的）なものだと意識しなくてはなりません。どんどん変化していく世界や開発環境、技術にフィットしていく人材像を考えてアップデートしていく必要があります。

茂岩：私がセキュリティに取り組みはじめた2010年当時、前職ではモバイルゲームビジネスが大きくなり、海外展開を検討するタイミングでした。日本よりもサイバー攻撃が激しい環境下、どれだけスピーディーに事業展開させながらもセキュリティを担保できるかということにフォーカスしました。その後、プライバシー関連の法制度が世界的に整備されはじめると、海外のプライバシー法制度やドキュメントに対応する必要がでてくるなど、今までとまったく異なるスキルセットが必要になりました。ビジネスの環境変化や、自社がどこに軸足を置くかにあわせて「どのような人材が必要なのか」と、環境をつぶさに見ながら体制を変化させていくことが大切です。

市原：外部環境の変化はここ数年でとても大事な要素です。個人情報保護法の改正はもちろん、EUのGDPR（EU一般データ保護規則）、カリフォルニア州のCCPA（カリフォルニア州消費者プライバシー法）などにも関心を向けなければいけません。また、法律以外にも、世論の動向も注視すべきです。たとえば、直近では経済安全保障推進法が成立しており、どこまでの対応が求められるのかは具体的に見えず、事業者に判断を委ねられている部分も多いです^[2]。

　前職のLINEでは、法制度のようなハード面での要件よりも、ソフト面である“世論”に上手くフィットできず、色々な指摘を受けてきました。今は、世の中の温度感も考慮しなくてはいけない時代だと実感しています。

茂岩：非常に共感しますね。セキュリティを考えるときには、必ず「技術」「法律」「倫理」を3本柱としてバランスがとれているかを常に気にしています。