「永遠に教科書にならない挑戦を楽しむ」 - メルカリCISO・市原氏:セキュリティリーダーの視座(3/3 ページ)
連載「セキュリティリーダーの視座」第1回は、認証分野で先頭を走るメルカリ CISO 市原尚久氏である。住基カードに搭載したセキュアなICチップOSの開発や日本初のFIDO導入プロジェクトを推進した経験を持つ同氏は、豊富な知識と広い視野を武器にメルカリのセキュリティを牽引する。
「AI-Native」を支えるためのモニタリング
――昨今ではAI活用が加速していますよね。CISOとして気にしていることはありますか。
市原氏: AIによる地殻変動はすごいですよね。自分が生きている間にこんなに世の中がひっくり返るようなことが起きるのかって驚いています。今後はAIのその上に何が載ってくるのか、それ次第で大きく変わるものがたくさんあると思います。
これまでも、当たり前だと思っていた前提が突然崩れるケースは何度も見てきました。だからこそ自分も組織もアップデートし続ける。アメーバのように柔軟であることが、振り落とされないために重要だと思っています。
メルカリとしては「AI-Native」な会社への転換を宣言しており、全社的にAI活用のPoCが進められています。そうした環境なので、社内ユーザーの意識は高く、利用方法について自ら問い合わせをもらうケースが多数あります。また、先ほど触れたAIセキュリティチームが、個人アカウントのシャドーAIを使っていないか、機密情報を送っていないかなど、社内でログをモニタリングしています。それでもやはりヒヤリ・ハット事案はいくつか出てきます。
そうした情報を踏まえて、リスクが高ければ止めるし、必要なら外部ソリューションも使ってスケールさせます。CTOやリージョン統括(SVP)とも定期的にミーティングし、ガバナンス設計などを機動的に決めています。
シャドーAIについては特に注意していますね。AIのモデルはさまざまで、情報の取り扱いについて”やんちゃ”なサービスもあるので、気を付けた方が良い時期でしょう。
ユーザーの安全を守るために先進的な認証導入
――社外向けサービスに関してCISOとして対応していることはありますか。
市原氏: メルカリは、FIDOアライアンスとW3Cが共同で規格化したパスキー認証の対応を進めています。ユーザーはパスキー認証登録後にパスワード認証を使えない、いわばパスキー認証の必須化に着手しています。世界的にもまだ少数のアプローチです。
さらにiPhoneではマイナンバーカードを用いたセルフアカウントリカバリーを導入しました。パスキー認証が使えない場合でも、本人確認のうえ自分で復旧できます。
マイナンバーカードというICチップ付きの公的IDが広く普及しているという日本の強みを活かし、安全と利便性を両立するサービスを目指しています。こうした取り組みも私たちセキュリティチームで主導しています。
――メルカリは、FIDOアライアンスのボードメンバーにも入っています。その活動がサービスにも反映されているかたちですね。
市原氏: FIDOアライアンスには、NTTドコモ、LINEヤフーなどの日本企業や、Apple、Meta、Googleなどのグローバルな先進企業も参加しています。2025年10月にもサンディエゴで会合がありましたが、そうした企業と情報交換できるのは大きなメリットです。
また、メルカリ内には、コンシューマーディプロイメントWGのグローバル座長を務めるメンバーもいます。世界の議論を直接持ち帰ることで、パスキー必須化やセルフアカウントリカバリーといった体験設計に素早く反映できています。
私個人の経験を振り返ると、ICチップで世界標準のセキュリティを学び、NTTドコモで日本初のFIDO導入した経験が、今の認証強化に活きている感覚があり、感慨深いですね。
「Enjoy Your Challenge」セキュリティでも挑戦を楽しむ
――国際的な会議での議論や過去のインシデント対応の経験は、今の業務にどう影響していますか。
市原氏: 技術面についてはこれまで説明したとおりですが、インシデント対応などで多くの方々に説明する際には、技術的に正しい説明だけでは通らない局面があります。
そこで必要なのは、当局とのコミュニケーションや社内のメンタルケアまで含めたマネジメントです。こちらは過去の経験が活かせていると思います。
――グローバルでさまざまな活動をしてきた市原さんですが、これからのセキュリティ担当者に対して何かメッセージはありますか。
市原氏: 私の座右の銘は「Enjoy Your Challenge」です。大変なこともたくさんありましたが、チャレンジしたその先には違う景色が必ずあります。私自身は、挑戦を避けずに楽しむ意識で進んでいくことが、その後の力につながったと思っています。
もう一つは、共感して支え合える仲間を日頃から作っておくこと。セキュリティの業務は慣れも必要ですが、良い意味で悲観せずに潔さを持って臨むことが大事です。メルカリでも難しいジャッジはありますが、「どうにかする・どうにかなる」という前向きなマインドを大事にしています。
セキュリティは永遠に教科書にならない挑戦の連続。だからこそ、挑戦を楽しむことが大事なんです。
Copyright © ITmedia, Inc. All Rights Reserved.