世界基準のテックカンパニーへの成長を視野に、IT基盤の強化プロジェクト「Robust Foundation for Speed（以下、RFS）」に注力しているメルカリグループ。今回は、このRFSの中でも認証認可に関わるIDP（IDプラットフォーム）領域の変革に取り組むメルペイの挑戦について紹介したい。

メルカリのグループ会社であるメルペイに属するIDPチームは、MAU2,000万を超えるフリマアプリ『メルカリ』のプラットフォーム上にあるサービス・機能における認証・認可、アカウントの管理を担ってきた。

今メルカリグループでは、昨年新たにローンチしたEコマースプラットフォーム『メルカリShops』や、スキマ時間を活用し手軽にサービス改善に貢献できる『メルワーク』など、新サービスへの挑戦が果敢に行われている。

メルペイCTOの野澤貴さんは、「新サービスや新機能が続々と生まれる中で、IDP領域の課題も浮き彫りになった」と明かす。この課題解決のための変革に、本腰を入れて動き出したところだという。

メルペイが挑むIDP領域の変革とは、一体どのようなものなのだろうか。CTOの野澤さん、Engineering ManagerのRobert Jerovsekさん、Tech Leadの狩野達也さんに詳細を聞いた。

メルカリグループ成長のコアとなるIDP

──はじめに、IDPチームの役割や、メルカリグループの中の位置付けについて教えてください。

狩野：IDPチームではメルカリグループ全体のアカウント管理と認証認可、それに付随するID周りのセキュリティを担っています。

これらは『メルカリ』のプラットフォーム上にあるほとんどのサービス・機能に関わるもので、各サービス・機能を持つプロダクトチームが、メルカリアカウントの認証認可の詳細を意識することなく開発できる仕組みを提供するのが、僕らの役割です。

ではなぜメルペイにIDPチームが所属しているのかというと、メルペイはもともとマイクロサービスとして立ち上がったプロダクトだったので、お客さまの認証情報をマイクロサービス間でどう共有するかがメルカリよりも先行して議論されていました。そして、そのチームがスケールし、「IDPチーム」と呼ばれるようになりました。

その後、メルカリのアカウントを管理する責務がIDPチームに渡されて、メルペイのIDPチームがメルカリグループ全体のアカウント・認証認可を管理するようになった、というのが経緯です。

野澤：昨年1月のソウゾウ（メルカリのグループ会社）設立を機に、グループ全体でフリマアプリ『メルカリ』を基盤として新サービスを立ち上げる動きが加速しています。

その結果、『メルカリShops』や『メルコイン』など、以前と比べてメルカリのIDを利用するサービスや、そこで管理される情報も多岐にわたるようになりました。しかも、それぞれのサービスで求められるスピード感やセキュリティ水準も異なります。

要件の異なるサービスが並行して開発・運用されている中で、お客さまが『メルカリ』上で各機能を安心して使えるように支援するのがIDPチームの役割。

つまりIDPの領域は、今後メルカリグループがグロースするためのコアといっても過言ではないんです。

「中長期的にスケールできる環境を整えたい」IDPチームの抱えるジレンマ

──今後、メルカリグループの各種サービスをさらにグロースさせる上で、具体的にIDP領域にどのような課題があるのでしょうか。

狩野：よく議論になるのは「汎用性と開発工数」の問題です。

例えば、何か新しいサービスを立ち上げるプロジェクトが発足したとしますよね。その時、プロダクト・プラットフォームチーム側では、サービスや機能は恒久的に運用していくことを前提に考えるため、全体として整合性が取れた状態を実現したいと考えます。

特にIDPの持つサービスは、メルカリのさまざまなサービス・機能で利用されることになるので、開発工数などを考えても、汎用性を考えて設計することのメリットが大きいんです。

ただ、汎用性を考慮した設計をするためには、実際にどんな利用の仕方があり得るのかをプロダクトチームにヒアリングして実態を把握する、さまざまな設計パターンを検討する、それぞれのメリット・デメリットを整理する……といった工程が必要になり、どうしても一定の時間を要します。

一方で、発足したプロジェクトには現実問題、明確な目的とスケジュールがあるため、基本的にはそのプロジェクトとは直接関係のないユースケースまで細かく考慮することは難しい。

すると、「将来的なことを考えればより汎用的な設計にした方がいいことは分かるけれど、ことこのプロジェクトにおいては、そこまで実現する時間はない」といった状況に陥ってしまうことが多いんです。

Robert：似たような話で、セキュリティレベルの議論もありますね。

『メルペイ』、『メルコイン』などのフィンテック領域になると、より高いセキュリティレベルが求められます。とはいえ、セキュリティを堅牢にし過ぎて2回も3回も認証が必要となると、ユーザビリティーが低下してしまう。

そのサービスをどのセキュリティ水準に置くべきで、ユーザビリティにどこまで配慮すべきか。そのためにIDPチームは何を作り、プロダクトチーム側は何を用意すべきで、セキュリティチームはどうすべきなのか。

そういう自分たちのチームだけでは解決できない問題に対して、セキュリティチームやプロダクトチームと議論を重ね、最適な認証認可のあり方を見つけることを考えるのにも時間を要します。「今」この議論に時間をかけるべきなのか、それとも、後からでもいいのか、という判断には苦労しています。

──IDPチームでは、しっかりと議論を重ねて「最適解」を見つけることを重視されているわけですね。

Robert：そうですね。ただ、時間的な問題で、IDPチームとしては最適解とは言えない状態で、サービスをリリースせざるを得ない場合も、これまでになかったわけではありませんでした。

もちろんリリース時期が決まっていて、かつ過去に前例が存在しているような、ソリューションが完璧だとは言えないものの「問題が起こるリスクが低い」と考えられるケースに限りますけどね。

でも、そうした積み重ねがいずれ技術負債になり得るので、IDPチームとしてはもどかしいところです。

狩野：ただ、例え最適解と言える状態でリリースできなかったとしても、後から理想形に持っていけるような設計ができれいれば、（将来的な）汎用性も担保した上で、スピーディーにリリースすることはできると思っています。

また、ある程度汎用性のある機能が整ってくれば、今後多様なサービスが生まれてやりたいことが増えていったとしても、それらの機能を一定活用してもらえるはずなので、開発工数が線形的に増える状態にはならないはずです。ただ、その理想形に対して現状はまだまだ道半ば。

例えば、メルカリShopsのようなクライアントが『メルカリ』の機能を使うとなった時に、『メルカリ』に登録しているアカウントで認証して認可をとって、トークンを発行し、それを利用するという基本的な流れ自体は既にできています。

でも、発行するトークンの権限を管理する部分はまだ未完成で、「この機能を使いたい」「この機能を提供したい」という要望に対して、各プロダクトチームが自律的に機能を選択して利用するという状況を作るレベルには至っていません。

Robert：こうした一連の工程をストレスなく行えるようにするのが当面の目標ですね。組織がスケールしても、スピーディーに、かつ的確なIDシステムを提供できる開発体制を整えていきたいと考えています。

野澤：もっと将来的なことを言えば、IDPチームに限らず共通基盤のチームがAPIを提供してサービス・機能が作れるようなかたちが実現できたら、と思っています。標準的なユースケースのIDシステムを定型化して、それに当てはまるサービス・機能の場合は基盤チームに相談することなく、プロダクト側で実装できるようにしたいですね。

IDシステムや基盤の標準化・汎用化が進めば、基盤側のチームもより中長期的な課題の解決に集中できるようになります。それに、プロダクトチームも用意されているものを使えばいいので、かなりサービスや機能を作りやすくなるはずです。

ただ、それを実現するためにはプロダクトチーム側がIDPや基盤に対する知識や理解を深めることが欠かせません。そうした学習機会を提供するのも、IDPチームや基盤チームのミッションだと言えます。

目の前のものを作るだけではなく、グループ全体として「中長期的に開発をスケールしていく」ための取り組みの重要性に意識を向けていく必要があるわけです。

ビジョンを持って理想のIDPを追求するPM的思考が必要

──今後、メルカリグループが「世界基準のテックカンパニー」を目指す上で、新サービスや新機能のリリースはさらに続くはず。メルペイのエンジニア組織は今後どのようにそれに対応しますか？

Robert：まず、組織強化のための採用は目下の課題です。今IDPチームは総勢11人で、エンジニアが7人、PM3人、EMが1人という状況。MAU2,000万を超える『メルカリ』と、そこに関連するサービスにおけるIDシステムを整備するには、人的リソースが明らかに足りません。

とはいえ、IDや認証認可の領域に経験を持つエンジニアはまだまだ国内では希少です。特に、先ほど申し上げたような「汎用性の高いシステム」を作っていくためには、エンジニア自身に長期的な視点でビジネスを育てる強い意志があることと、PM的な視点があることが欠かせません。

狩野：最も望ましいのは、IDPの分野に理想を持っていること、社内外の複数のユースケースや優先度を把握し、現実的な導入戦略を考えられること。そして、それを他の人に語れることだと思います。

要は、「こういうIDPが理想の在り方なんです！」というビジョンを掲げ、それを成し遂げるためにいま何をすべきで、何をしないのか戦略的に考えて、プロダクトチームに説得力を持って伝えられる人です。

それができれば、ホットなプロジェクトだけでなく、例え計画中のプロジェクトであっても、多岐にわたるユースケースを踏まえた上で、IDPの「理想の在り方」を追求できるはず。ビジョンをしっかりと伝えることができれば、プロジェクトのメンバーを含め、ステークホルダーもきっと納得してくれますし、成功のために力を合わせてくれるはずですから。

──「IDや認証認可の経験を持つエンジニアは国内ではまだ少ない」とのことですが、この領域の開発に取り組む面白さはどのようなところにあると感じていますか？

狩野：権限や認証認可だけでなく、セキュリティやUX、法律の分野までさまざまなことに関連しているので、自分が特に好きだと思える領域を深く掘り下げて学べる面白さがあると思います。

それから、当社の場合はこれだけサービスもユーザーも多岐にわたるので、さまざまなユースケースを知ることができます。これはエンジニアとしてのスキルや経験の幅を広げる上でもかなりプラスになるのではないでしょうか。

Robert：メルカリグループでは「All for One （全ては成功のために）」というバリューを掲げています。

僕らはグループのメンバーが良いサービスを作り続ける上で非常に重要な役割を担っているし、僕らのシステムが何かインシデントを起こしてしまうと、『メルカリ』全体に影響が広がってしまいます。会社のみならず、社会全体に大きなインパクトを与える仕事を任されていると思うと、気が引き締まりますね。

野澤：メルカリグループとしては「世界基準のテックカンパニー」に向けて今後もチャレンジを続け、どんどん新しいサービスを生み出していくつもりです。

IDPの整備を強化できれば、グループ全体で、サービスを開発する側もお客さま側も認証認可に時間をかけず、高いユーザビリティが実現できるようになる。すると、メルペイが掲げている「信用を創造して、なめらかな社会を創る」というミッションの達成にも近づくはずです。

専門的な領域ではあるかもしれませんが、「良いサービスを作りたい」「影響力のある仕事がしたい」というエンジニアが力を発揮できる環境だと思いますね。

取材・文／石川香苗子　撮影／赤松洋太　編集／河西ことみ（編集部）