きっかけは、メルカリのセキュリティエンジニア・八木橋優のFacebook投稿でした。
「徳丸本」とは、Webセキュリティの第一人者であり、現在は情報システムの監査やコンサルティングを行うEGセキュアソリューションズ株式会社の代表取締役である徳丸浩さんの著書についた愛称。かくして、社内メンバーでひっそりと行う予定だった輪読会は、徳丸さんというビッグゲストを迎えて開催されることになったのです。
同じWebセキュリティ界隈としてつながりはあったものの、それほど深いやりとりはなかったという2人。ですが、今回の輪読会をきっかけに、甘いものを食べながらじっくり話し合う対談が実現しました。
▷メルカン記事バージョンはこちら
「より内側」にいるインハウスならではのセキュリティ体制
徳丸:今日は「メルカリではどういったセキュリティ対策が行われているのか」を聞きたいと思っています。私の仕事はセキュリティコンサルティングなので、仕事柄、事業会社の方々と話す機会が多く、それぞれアプローチがまったく違っていてどれも興味深いです。
八木橋:僕もキャリアスタートがセキュリティコンサルタントだったのでわかるのですが、企業によってガバナンスの効かせ方がぜんぜん違いますよね。メルカリでは、会社のカルチャーとしてかっちりとしたルール自体が少ないです。それはセキュリティに対しても同じ。もちろん、セキュリティ管理を疎かにするという意味ではなく、ルールで縛り付けるようなやり方はしないという考えがあるため、そのようなカルチャーになっています。
徳丸:外から見た印象でも、メルカリにはガバナンスをがっちり効かせている感じがありません。ガイドラインなどもまったくないのでしょうか?
八木橋:今のメルカリでは、セキュリティ管理に関しては必要最低限のルールしか設定していません。なので、基本的にはみんな自由にやっていますね。
徳丸:なるほど、イメージどおりでした。では、セキュリティテストもあまり行われていない?
八木橋:ケースバイケースですね。メルカリでは、プロジェクトの性質上「ここには大きな問題が起こる要因はないだろう」と事前にわかるものと、逆に「これはちゃんとチェックしておくべき」ものがあります。その重要度によってセキュリティ管理にかけるパワーをコントロールしていますね。
徳丸:重要度ごとに対応しているとは、インハウスならではですね。セキュリティコンサルティングは企業やサービスを深く理解し、セキュリティ対策を行いますが、どうしても「より内側」には手を出せません。なかにいるからこそできる対応もありそうですね。
八木橋:そうですね。とはいえ、このやり方で今のところ問題はありませんが、会社やサービスの成長にあわせて変わっていくのだろうなと思っていたりしますね。
インハウスでは「コミュニケーション能力」が求められる?
徳丸:重要度がそれほど高くないセキュリティ管理は、どのようにしているのでしょうか?
八木橋:例えばSQLインジェクションやXSS。これらはさすがにエンジニアのなかでも認知されている上に、よっぽどの理由がない限りはフレームワークやテンプレートエンジンのデフォルトの機能で対策しているので、基本的なところは気を使わなくてもしっかり押さえられる環境ができています。
徳丸:なるほど。とはいえ、新機能を追加するとき、あらかじめ仕様をチェックしていたにも関わらず、実装のタイミングでセキュリティが危ういことに気づくパターンもありますよね? メルカリではこういったこともコードレビューで取り除けるようになっているのですか?
八木橋:メルカリでは四半期ごとにプロジェクトが動いていて、プロジェクト初期のビジネススキームや業務フロー、機能改修や追加について共有するタイミングで、気になる仕様があれば、その場で指摘したり代案を出したりするようにしています。権限上では止められるかどうか別ですが、代案を出せない場合はストップをかけていますね。
徳丸:ストップをかける役割は、セキュリティエンジニア?
八木橋:そうです。セキュリティエンジニアがその役割を担います。こちらの記事でも話しましたが、このような場面ではコミュニケーション能力が必要になります。
徳丸:そうですね。会社の規模によって異なりますが、セキュリティコンサルティング会社ではコミュニケーションをそれほど必要としない場合があります。というのも、分業が可能なので、お客さまとのやりとりはコミュニケーションが得意なコンサルタントが担うからですね。しかし、インハウスとなると、話はまた別です。セキュリティ管理の説明をエンジニアだけでなく、非エンジニアにすることも想定したやりとりが求められます。
八木橋:インハウスの場合でも、組織の規模によってはセキュリティテストのみに特化したポジションも必要になるかもしれません。しかし、少なくともいろいろなメンバーとともにビジネスをやるなかでコミュニケーション能力は必須です。
「サービスの成長とともにどう変化するか?」にあるやりがい
徳丸:我々セキュリティエンジニアの仕事は、企業やサービスをリスクから守ること。メルカリは「制約を課さず、必要最低限だけをおさえている」ということでしたが、やはり企業のフェーズによってはルールを決めなければならないタイミングがくる可能性もあります。八木橋さんは、メルカリでどういったセキュリティ環境を目指しているのですか?
八木橋:僕は、エンジニアが自由にコードを書き、創造性あることにパワーを集中できる環境をつくりたいです。ここは気持ちのせめぎ合いがあるところですが、そのような環境を目指すために、必要最低限のルールを持つべきだと思っています。
徳丸:そうなのですね。
八木橋:メルカリは、事業の幅こそまだ広くないですが、ビジネスのロケーションでは日本だけでなく、アメリカ、イギリスにも会社があります。そうすると、アメリカとイギリスそれぞれをコントロールするためにも共通で使える何かは必要になるはず。だからこそ、必要最低限のルールを設けたい。
徳丸:ルールを強いるのではなく、信頼できるエンジニアたちの裁量にゆだねたい気持ちは私もよくわかります。セキュリティコンサルティングを行う立場上、インハウスのように中の中まで入り切ることはできませんが、スタンスは同じです。ぜひその環境をつくってもらいたい。けれど、今後新メンバーがどんどん入ってくることで「ぜんぜんわかっていないじゃないか!」というパターンも出てくる可能性が高まるだけに、まさに正念場ですね。
八木橋:そうなんです。メルカリはどんどんフェーズが変わっている段階でもあるので「今は必要ないけれど、将来的には必要になるかもしれないこと」がたくさんあります。そのためにも整備しておくべきことはまだまだ残っていて、今まさにそれを1つずつ着手しているところですね。
徳丸:セキュリティエンジニアは、組織やサービスの成長とともにやり方も体制も変えていきます。そのたびに「いかにルールで縛らず、開発にコミットできる環境をつくるか」に立ち戻ります。ここが一番頭を悩ませるところでありますが、その時々での最善策を考えることも、我々のやりがいでもあるんですよね。
プロフィール
徳丸浩(Hiroshi Tokumaru)
1985年に京セラ株式会社へ入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社(現EGセキュアソリューションズ株式会社)を設立。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓発活動を行っている。
八木橋優(Yu Yagihashi)
大学卒業後、大手セキュリティベンダに入社。セキュリティコンサルタントとして主に金融業界の技術的課題解決に携わる。2018年1月にメルカリへジョインし、メルカリ/メルペイ/ソウゾウの多岐にわたるセキュリティエンジニアリングに従事。
関連する募集職種
mercari – Jobs: Security Engineer, Product Application Security – Apply online