「永遠に教科書にならない挑戦を楽しむ」 - メルカリCISO・市原氏:セキュリティリーダーの視座(2/3 ページ)
連載「セキュリティリーダーの視座」第1回は、認証分野で先頭を走るメルカリ CISO 市原尚久氏である。住基カードに搭載したセキュアなICチップOSの開発や日本初のFIDO導入プロジェクトを推進した経験を持つ同氏は、豊富な知識と広い視野を武器にメルカリのセキュリティを牽引する。
説明責任を果たすには、技術的側面だけでは不十分
――LINE時代に直面した課題はありましたか。
市原氏: 2015年にLINE(現・LINEヤフー)へ入り、乗っ取り・スパムなどのグローバル不正対策に注力しました。LINEは、国外でもタイや台湾などで非常に多く利用されています。そのため、攻撃も国際的です。各国拠点と連携し、横断のセキュリティチームを立ち上げて対応しました。
一方で、2021年、いわゆる中国からのアクセスに関する問題の指摘と社会的議論が起き、総務省や個人情報保護委員会と密にやり取りした時期もありました。第三者委員会も設置され、ヒアリングにも真正面から向き合いましたね。
当時痛感したのは、社会的影響力の大きい企業においてインシデントの疑いがある場合には、ログなどによる技術的な説明だけでなく、法的環境、業務環境の状況理解や企業としての解釈、リスク検討経緯、それら全体を包括した説明責任、そのための経営層とのリスク認識の共有と醸成がとても重要である、ということでした。
――その後、メルカリへ移籍されたわけですね。
市原氏: 2022年に移籍しましたが、チームのミッション・ビジョンを作るところから始めて、スタートは順調でした。しかしその後、入社前から組織間に残っていた問題が原因となりマネジャー層の退職者も出ました。
そこで、ひとまず自分がプレイングマネジャーとして現場を支えつつ、カルチャーフィットとモダンな技術スキル重視で採用を始めました。結果としてほぼ新しいチームに生まれ変わり、今はAIセキュリティの専任チームを立ち上げるなど、成熟度は大きく向上しています。
CISOは説明責任とリスクコントロール
――そうした経験を経て現在のお立場なのですね。市原さんはCISOという役割を、どう考えていますか。
市原氏: 私にとっては2つです。
1つは説明責任です。監督官庁、取締役・監査役、CEO・CTO、社員、そしてインシデント時にはお客さまに対して、今のリスクとなぜそこに投資するのかを正しく伝えること。
もう1つはリスクコントロールの最終責任です。優先度の高いリスクを見極め、起こりうる事態とその原因を特定し、必要ならリスクを受容することの可否まで判断・設計することです。もちろんインシデントが発生した際には、最終責任者として対応しなければいけません。
――先ほど、前職時代のお話でもありましたが、説明責任に関して、いつ・何を・どこまで説明するかは難しい問題だと思いますが、その判断はどうしていますか。
市原氏: 当然ですが、状況や場面によって異なります。典型的な例としては緊急の追加投資が必要になった場面です。セキュリティは金額換算が難しいので、やらない場合に起きうる現実のシナリオとその影響を数字で示し、CEO/CFOが正しい判断をできる材料を提供しなければいけません。
逆に今はリスクを受容すると決めるケースもあります。そこでは何を、どの期間、だれの合意で受容するのかを明確にして、何かあったときに「聞いていない」とならないようにしないといけません。
リスクの受容について判断する際は、原則として「永続的に受容してよいリスクなのか」「問題が発生した際に元に戻れないレベルのリスクではないか」という観点を大事にしています。とはいえ、そのリスクも技術の進化などによって日々変わっていきますので、情報収集には力を入れています。
Copyright © ITmedia, Inc. All Rights Reserved.