「第7回 情報セキュリティ事故対応アワード」において優秀賞を受賞したメルカリ。受賞インタビューやその後の講演からは、一般的な企業では考えられない高いレベルのセキュリティ文化が明らかになった。

アプリケーション開発者を巻き込み、全社員が一体となってセキュリティを業務に組み込む同社の文化はどのようにしてできあがったのか。また、同社はこれからのセキュリティ業界の在り方をどう捉えているのか。

元メルカリのCISOで現在はメルペイ/メルコインの取締役CISOを務める曾川景介氏、2022年5月にメルカリ執行役員 CISOに就任した市原尚久氏の対談から探っていきたい。

  • メルペイ/メルコインの取締役CISOの曾川 景介 氏(左)とメルカリ執行役員 CISOに就任した市原 尚久 氏(右)

ICカードのOS開発、決済系サービスの立ち上げ……メルカリを支えるCISO2人のこれまで

——まずはじめにお二人のご経歴について伺えますか。

市原氏: 大学院修了後、新卒でNTTデータへ入社しました。セキュリティに携わるきっかけは、エンジニアとして公共系ICカードのOS開発を担当したことでした。

1999年頃だったのですが、当時は「ICカードは安全」という前提意識がある一方で、「その安全をどのようにつくるか」という問いに対する明確な解は世の中にありませんでした。特に日本には、そうした経験がある企業も、認証の仕組みもない状況。そこで、私はその領域の最先端であった欧州へ何十回も足を運び、技術コミュニティに入り込んで現地のやり方を学んでいきました。

自分で設計からコーディングまで行い、厳しい意見のレビューをもらって……ということを繰り返しながら、5年ほど掛けて、欧州では標準的に使われていたセキュリティ評価基準(Common Criteria)のEAL4+, EAL5+という高い水準のセキュリティ認証を、日本企業として初めて取得することができました。 こうした経験のなかで、プロダクトやソフトウェアのセキュリティの考え方を叩き込まれましたね。

この記事は
Members+会員の方のみ御覧いただけます

ログイン/無料会員登録

会員サービスの詳細はこちら