メルカリCISO に聞く DX時代のサイバーレジリエンス

Profile 市原尚久氏 (いちはら・なおひさ)
メルカリ執行役員CISO。東京理科大学大学院理工学研究科経営工学専攻修士課程修了。NTTデータ通信株式会社(現・株式会社NTT データ)、株式会社LINE で複数のセキュリティ関連業務・プロジェクトに携わり、2022年5月メルカリ執行役員CISOに就任。

昨年、累計出品数が40億を突破し、流通取引総額(GMV)が1兆円を超えたフリマアプリ「メルカリ」(運営会社・メルカリ:東京都港区、山田進太郎社長)。オンラインサービス上では日々膨大な数の取引が行われている。サイバー攻撃が巧妙化し情報漏えいのリスクが増すなか、自社のビジネスをどう守っているのか。利便性や生産性を落とさずに安全と信頼を高めるセキュリティ戦略について、執行役員CISOの市原尚久氏に聞いた。

メルカリ
東京都

事例のPoint

❶プロダクトの上流からセキュリティを検討

・プロダクト開発において、セキュリティやプライバシーの検討が後回しになると、安全上の欠陥や脆弱性を抱え込むことになりかねない。企画段階からセキュリティが関与する。
 

❷UX・EXを損なわないセキュリティ

・顧客の利便性や従業員の生産性を落とすセキュリティ対策は安易に導入しない。事業をスローダウンさせない、むしろ、事業を成長させる方向で対策を検討し、選択する。
 

❸多様なコンテンツで多様なセキュリティ教育

・一律のセキュリティ教育ではなく、従業員の業務や役職に応じた多様な教育メニューを展開する。コンテンツも動画や漫画を取り入れ、受講率を高めるよう工夫する。

――メルカリのオンラインフリーマーケットプレイスでは、日々膨大な個人間取引が行われています。どのような考え方でセキュリティに取り組んでいるのですか?
メルカリは2013 年7月にサービスを開始。昨年9月に累計出品数が40億を突破しました。流通取引総額(GMV)は年間1兆円超、今年も直近の四半期で2900億円を超えていますから、昨年を上まわるペースで事業を伸ばしています。

この事業の根幹たるサービスの安全を守り、お客さまのプライバシーを守るのが我々セキュリティ&プライバシーチームの第一の役割。当社には我々のほか商品の不備や返金・返品などにかかるお客さま同士のトラブルを扱う不正対策チームがあり、日々いろいろな問い合わせや相談が来るなかで協力しながら対策を行っています。

一例をあげると、フィッシングメール対策です。フィッシングの被害は現在も多数報じられていますが、メルカリでは2022年頃にフィッシングメールが急増し、実際にお客さまのアカウントが乗っ取られて被害を受けるケースが増加しました。これまでにいくつか手を打ってきましたが、最も効果のある対策の一つが「パスキー」という認証技術の導入です。

高額な商品を出品したり購入したりしたとき、またお金を銀行口座に入れたりするとき、本人確認と追加認証を行います。以前は電話番号にPINコードを送り、それを再度入力してもらうやり方でした。しかしこのやり方は手間がかかるため、ユーザー体験(UX)が悪い。途中で離脱してしまう人が多く出ました。また、このやり方は依然としてフィッシングによりアカウントが乗っ取られるリスクがありました。

そのため2022年から、パスキーに対応した生体認証を使ってログインを行う仕組みの導入を加速しました。パスキーは、メルカリの画面からいったん離れる必要がありません。画面上で指をタップすれば認証が終わるので離脱を防げます。

このように、セキュリティとプライバシーを守りつつ、しかしお客様の利便性を損なわない、むしろ新たな価値を与えて信頼を構築する。それが我々の基本方針です。このことを指して「セキュリティはビジネスのブロッカーではなくイネーブラー(=成長を促進するもの)である」といっています。

●認証機能強化(FIDO/パスキー導入)

画像を拡大 データ提供:メルカリ

このときは既存の認証システムをリプレイス(置き換え)してパスキーを導入したわけですが、サービスが完成した後でセキュリティに対応するのは手間もコストも大変です。そのため現在は、新たにリリースするサービスはパスキー認証を前提とし、企画の時点からセキュリティの知見を入れて開発に取り組んでいます。

セキュリティの検討を後回しにしないこのような考え方は「シフトレフト」とか「セキュリティ・バイ・デザイン」と呼ばれ、プロダクトの主流になってきています。

プロダクトの上流からセキュリティを検討

――プロダクトの企画段階からセキュリティチームが関与していく、と。一般的な組織は「開発・技術」「営業・マーケティング」など、業務ごとに部門が分かれていますが、どう連携を図るのですか?
従来型の組織運営は、例えばエンジニアのチーム、実際にサービスを運用する営業・販売のチーム、我々のようなセキュリティのチームなどが、ミーティングなどでお互いの質問や回答をすり合わせながら開発を進めていくスタイルだと思います。当社もそうなのですが、現在はそのプロセスを自動化していっています。

「DevSecOps(デブセックオプス)」と呼ばれるスタイルで、ソフトウェアの開発、テスト、デプロイ(システムを稼働可能な本番環境に置く)のサイクルを、セキュリティチェックを包含させて高速でまわす。例えば、重要なソースコードの変更のたびにテストを行ったり、デプロイの直前に脆弱性をチェックしたりするのですが、そうした工程を自動化している。いわゆるアジャイル型の開発を、さらに高速化していくイメージです。

――DXが進むなか、新規事業や業務改善に向けアジャイル型でシステム開発やアプリ開発に取り組む企業は多いと思います。セキュリティの検討を後回しにしない考え方は重要ですね。
新商品や新サービスを構想・企画するとき、最初はホワイトボードにデザインイメージを描きますよね。その上にビジネスフローやデータフローをいろいろ考えていくと思いますが、その時点からセキュリティとプライバシーの検討は必要です。

お客さまのデータはどの段階で取るのか、データはどこに置き、どこからアクセスがあるのか、認証と権限はどうするのか。最上流から考えて設計に落とし込んでいかないといけない。最初にミスすると、開発の段階でいくらがんばっても、根幹に欠陥のあるサービスになってしまいます。

●Shift security & Privacy to the Left /シフトレフト

画像を拡大 データ提供:メルカリ

このとき重要なのは、組織論を軸に考えないことです。「組織的に無理」といってしまったら、シフトレフトは進みません。そうではなく、プロダクトはどうあるべきかを先に考える。前提はやはりプロダクトをよくすることで、そのために人がどう働くのかが重要です。

すべてを一気にやる必要はないと思います。セキュリティは、ここだけは絶対に譲れないポイントがありますから、最低限そこは押さえる。詳しい人材がプロダクトに参画するのも一つの方法ですし、人材が少ないならエンジニアの人たちにしっかりと事前レクチャーし、要所でレビューに入る方法もあるでしょう。

いまは本当にサイバー攻撃者側のレベルが高度化しているので、10 年前と同じ感覚でいると、簡単に突破されてしまいます。プロダクトの側もレベルを上げていかないといけない時代です。