アイキャッチ

新メルカリCISOに元LINE市原尚久が就任「歴史の1ページつくる感覚」世界一セキュアなマーケットプレイス確立に挑む

働き方

LINEでサイバーセキュリティの最前線に立ってきた市原尚久さんが、2022年5月にメルカリへ入社した。今後は同社の執行役員 CISOとして、セキュリティ&プライバシー体制の強化に取り組む。

市原さんが今回メルカリにジョインした理由とあわせて、サイバーセキュリティの分野で「答えのない問い」に挑み続けてきた彼の原動力について聞いた。

メルカリ市原さん

メルカリ
執行役員 CISO

市原尚久さん 大手SI企業でセキュリティのR&D、プロダクト開発、セキュリティコンサルティングなどを手掛けた後、2015年にLINEに入社。各サービスのセキュリティコンサルティング、LINEアカウントのセキュリティ改善、Abuse対策、海外拠点のイシュー対応、ブランディング、グループガバナンス改善に従事。FIDO Allianceボードメンバー、FIDO Japan Working Group副座長等、標準化活動にも参加。22年5月よりメルカリにて執行役員 CISOに就任。同社セキュリティ&プライバシー体制の強化に取り組む

世界一セキュアな CtoC & BtoC マーケットプレイスを目指して

ーーまず、LINEからメルカリへ移籍した背景について教えてください。

LINEには2015年から約6年在籍し、最終的にサイバーセキュリティ室のヘッドを務めました。急成長中の企業をセキュリティの側面から支える仕事は非常にエキサイティングで、「教科書のない世界」に挑む楽しさがありましたね。

そんな中、昨年の2021年の春にLINEの個人情報の取り扱いに関するメディアの報道をきっかけに、社会的な注目を浴びる出来事があったことは皆さんもご存じだと思います。

私はこの件の最前線に立つ一人として対応してきて、多くの学びや気づきがあり、これからのLINEのことや自分自身を見つめ直す時間でもありました。

ちょうどその頃、自分の組織のメンバーやマネジャーたちも成長し、チームとしても成熟してきたことを実感できてきたこともあって、そろそろ新しいことに挑戦すべき時がきたように感じていました。

メルカリ市原さん

メルカリに声を掛けてもらったのは、そんなタイミングでした。

まだまだ成長の余地があり、グローバル展開に今まさに本格的に取り組んでいるメルカリでは、自分の経験を生かせる余地があるのではないか、また新しいエキサイティングな経験ができるのではないか。

そう感じたことが、このタイミングで入社を決めた理由です。

ーー数々の企業からお声掛けがあったと思いますが、その中でもメルカリを選んだ理由は?

決め手の一つとなったのは、メルカリの「Go Bold(大胆にやろう)」というバリューです。

多くのセキュリティエンジニアがそうだと思いますが、私自身は好奇心や探究心が強いタイプなので、大胆なチャレンジが歓迎される組織はとても魅力的でした。

価値観の合う仲間と一緒に働けることは、自身のモチベーションにもつながっています。

ーー今後、特に力を入れていきたいことは何ですか?

まずは目の前に山積している課題を地道に解決しつつ、CtoC & BtoCマーケットプレイスの分野における、世界レベルでのモデルケース確立を目指したいです。

そのために考えていることは大きく二つあります。

一つは、お客さまの情報やデータを扱う環境を、より安全に、適切に利用できる環境にしていくことです。

データの取り扱いについて、いつでも説明責任を果たせる環境、プロセス、体制は、これからメルカリが世界に打って出ていくために欠かせない要素だと考えています。

もう一つは、セキュリティ&プライバシーを、継続的かつスケーラブルに回していけるような仕組み作りです。

例えば、新しいサービスを始める度に人数が倍になってしまうような組織は、スケーラブルな組織とは言えないでしょう。今後のサービス拡大を見据えて、人の数に頼らない体制作りにも挑戦していきたいです。

なお、メルカリのサービスは、これまでの自分の経験とは異なるドメインですし、未知の分野です。また、「世界一安全なCtoC & BtoC マーケットプレイス」の正解がどこかに存在しているわけでもありません。

だからこそ、やれることはいくらでもあると考えています。

ーーこの10年を振り返り、セキュリティ分野の重要性や難易度はどのように変化してきたと思いますか。

メルカリ市原さん

攻撃側のスキルが高くなるにつれ、守り側の不利な状況が拡大しているのが現状です。それに伴い、どの企業でも「レジリエンス(回復力)」の重要性が高まっています。

レジリエンスとは、攻撃されたり問題が発生したりすることを前提に、「攻撃を予め予測したり、攻撃された状況にいかに迅速に対応し、回復できるか」に重きを置く考え方です。

しかし、一つの企業だけでレジリエンスの強化に取り組むのには限界があります。これからの企業には社外のコミュニティーとの情報連携を含めた、オープンな活動が大切になるでしょう。

また、ビジネスのスピードがどんどん加速している状況下、セキュリティ部門がその足を引っ張らない存在であることは非常に重要です。

私自身は「セキュリティを担う組織は、ブロッカーではなくイネーブラー(※)であるべきだ」と考えています。(※)ある事象の成功・目的達成を可能にする人・組織・手段

ビジネスのスピードを落とさないために、どんなチャレンジができるのかを率先して追求する。そんなセキュリティエンジニアの攻めの姿勢が強く求められていると感じます。

過去の経験から学んだ、これからのデータカンパニーのあるべき姿

ーー先ほどお話しされていた、2021年春に起きたあの出来事は、セキュリティ組織をリードする立場としても大きな経験だったと思いますが、市原さんの価値観にどのような影響を与えましたか?

社内のセキュリティーチームと、お客さまやメディア、公的機関などを含む社外の人たちとの間でサービスに対する認識をそろえることの重要性を痛感しました。

自分たちと社会との間に認識のギャップがある状態では、何か問題が発生したときに企業の信頼が失墜しかねませんから。

メルカリ市原さん

また、前職での経験は、これからのデータカンパニーのあり方について考えるきっかけにもなりました。

セキュリティに携わる方なら多くの方が知っていると思いますが、データの扱いに関する規制は日本よりも欧米の方が進んでいます。

一方、日本では法規制を欧米の水準に少しずつ近づけている段階にあるため、多くの日本企業は欧米の水準からすれば、まだ期待には十分に応えられていないと言えます。

メルカリが世界で戦うことを目指している以上、欧米の水準でのデータガバナンスの整備に速やかにチャレンジしていく必要があると考えています。

ーー世界進出を前提としたセキュリティ体制の構築が、今後大きなテーマとなりそうですね。

そうですね。昔は「データをいかに守るか」が重要でしたが、今はデータを守るだけではなく、「いかにビジネスに活用するか」が重要な時代になりました。

データを扱う側は、その扱いがお客さまの期待通りになっているかを常に把握する必要がありますし、さらに期待を超えたい場合には、どのように許可を得るか対応しなくてはなりません。後者に関して、多くの企業は一個ずつ対応しているのが実態だと思います。

しかし私たちは、その段階を乗り越えたいと考えています。データガバナンスの仕組み自体をデジタル化し、よりスケーラビリティのあるサイバーセキュリティを実現していきたいです。

また、メルカリは信頼とオープンな情報をもとにした「Trust & Openness」な組織づくりを目指しています。

組織だけでなく、サービスにおいてもお客さま同士の信頼が前提となっているため、われわれは組織とサービスの「信頼」を後方から支えていける存在になれたらと考えています。

「相手が理解するまで粘り強く伝える」対話力は必須スキル

ーー市原さんはこれまで、サイバーセキュリティ分野でキャリアを歩み続けていますが、その原動力は何なのでしょうか?

メルカリ市原さん

この世界には、誰も歩んだことのない道を切り開いていける面白さがあるんですよね。

仕事の責任は大きいし、課題も山積みですが、その先でどんな世界が待っているかが分からないからこそ、「歴史の1ページを作っているような感覚」があります。大げさに聞こえるかもしれませんが、この表現が自分としてはしっくりくるんです。

セキュリティの分野では、これまで以上に敵がものすごいスピードで進化しています。その対処法を見つけていく過程で、セキュリティに携わっている人は、時に探究心や好奇心を駆り立てられる。

さらに、過去の成功例を参考にしながら敵の進化に追いつけるようなアプローチを考えて、チャレンジして、時には失敗して……ということを速いスピードで繰り返していると思います。

このような時代の中で、優れたセキュリティを追求してアップデートし続けていくためには、当たり前のことですが、優れたチームの存在が不可欠です。

セキュリティは協力し合えるチームがあって初めて機能するものですから、セキュリティエンジニアは独りよがりであってはいけません。

同じ方向を向いて進める、モチベーションを刺激し合えるようなチームの存在が、私にとっての大きな原動力になっています。

ーーテクノロジーの進化も、企業の成長スピードもますます速まる中で、これからのセキュリティエンジニアに求められるスキルはどう変わっていくと思いますか?

基礎的な技術を極めることは当然として、これからはデータ分析のさまざまな手法や機械学習などを扱えるスキルは、重要性が増してくると思います。

例えば最近の攻撃者は、人間の思考では実態のつかみにくい、一見ランダムに見えるような振舞いをしながら攻撃を仕掛けてきます。

しかし大量のパラメーターを用いてデータ分析すれば、相手の実態をつかむヒントを得られることがあります。なので、攻撃側の特徴をつかむために複雑な攻撃パターンを解析する事は、問題を解決に早く導けるかもしれません。

そして、インシデントや攻撃の解析に限らず、目の前にあるデータを使って数理的、統計的な解釈でコミュニケーションができる、解決の道筋を見いだせるスキルは、これからのサイバーセキュリティ分野で役立つ場面が多くあるでしょう。

メルカリ市原さん

また、セキュリティエンジニアは技術力以外の力も身につける必要があると思います。

それは、自分自身が理解していることを相手に分かりやすく伝えられることと同時に、相手の主張するコンテキストを丁寧に理解して、たとえ主張や意見が異なったとしても、底辺で相互の理解と信頼の関係が築けるような高いコミュニケーション力です。

どのようなコンテクストがあり、どのぐらい重要性がある話なのかを、エンジニアでない方が相手であっても分かりやすく伝え、相手と同じ目線に立って、会話できることが大事だと思います。

会社によっては、技術に長けている人とコミュニケーションを取る人が分かれているケースもありますが、技術的な知識や、問題の状況を深く理解がしているセキュリティエンジニアこそ、ときにはコミュニケーションの先頭に立ち、相互理解や課題解決を前に進める役割を担うべきだと考えています。

その方が相手への伝わり方や説得力という意味でも深みがある場合もありますし、セキュリティエンジニア自身のバリューも間違いなく上がるでしょう。

ーー技術面だけでなく、コミュニケーション力を含めてバランス良くスキルを伸ばしていくことが大切なのですね。

ええ。それともう一つ。これまでたくさんのセキュリティエンジニアを見てきた中で感じたのは、伸びるセキュリティエンジニアとは「自分で自分をアップデートできる人」だということです。

周囲から言われたことをやるだけではなく、自ら習得するべき技術を見つけて、自分のポテンシャルを自分で引き上げていく。そんな動きが自然とできる人は、これからの時代の幅広い変化に対応できる人になれるでしょうね。

自分で自分をアップデートできる人は、人と積極的に関わり合う意志を持っていると思います。外部のコミュニティーに入るなどして、自分と同じような志を持つ人と交われる場を大切にしている人は、それだけ自分に足りないものを知る機会も多いはずです。

そんな技術力にも人間力にも長けたセキュリティエンジニアを、メルカリでは数多く育成していけたらと思っています。

メルカリ市原さん

取材・文/一本麻衣 撮影/桑原美樹

Xをフォローしよう

この記事をシェア

RELATED関連記事

RANKING人気記事ランキング

JOB BOARD編集部オススメ求人特集





サイトマップ