1 Confidential - Do Not Share What’s Security Engineering Manager? Akitsugu Ito (@springmoon6) 

2 Confidential - Do Not Share 自己紹介 2018 年 10 月メルカリにジョイン。 CISSP。 CSO としてセキュリティチームのマネージャーを務める。 主な責任範囲 - セキュリティ戦略の立案とロードマップの策定 - セキュリティ施策の推進 - チームマネジメント LINE、サイバーエージェント、メルカリが語る。最強のセキュリ ティ組織 https://mercan.mercari.com/entry/2019/02/18/140000 伊藤 彰嗣 / Akitsugu Ito CSO (Chief Security Officer) 

3 Confidential - Do Not Share Opening チーム紹介 

4 Confidential - Do Not Share Mercari Security Team 

5 Confidential - Do Not Share Misson Create New Value with members through security セキュリティを通じてメンバーとともに 新しい価値を生み出す 

6 Confidential - Do Not Share Value 回避可能なリスクに Go Bold に取り組む Go Bold with Manageable Risks Professional として説明責任を果たす Be Accountable as a Professional 成功への道をメンバーとともに切り開く Pave the way to Success with members 

7 Confidential - Do Not Share Strategy - Experience Focus Customer Experience Employee Experience お客様にどんな「価値享受」体験が提供できているか お客様にどんな「課題解決」体験が提供できているか メルカリ組織は充分な「成長」体験の場となっているか メルカリ組織内で十分な「連携」体験がなされているか Go Bold All for One Be Professional 「Experience（＝体験）」を検討・判断の中心に据える 

8 Confidential - Do Not Share 社内外からの信頼を積み重ね、維持する Code of Conduct / 行動規範 - メンバーに対して共感的であり、誠実に活動します - ひとりひとりがオーナーシップを持ち、積極的にアウトプットします - セキュリティが継続可能な状態であることを、説明できるようにします Tenets 

9 Confidential - Do Not Share Roadmap Step 3 セキュリティガバナンス体 制の構築が完了 新規技術に対する研究が 進み、社内外に積極的に アウトプットされている Step 1 開発をセキュリティの視点 から支援する体制が整う Blue Team の構築が完 了する Step 2 既存セキュリティ技術を用 いた資産の保護が完了 セキュリティ組織の習熟度 が高まり外部組織との意見 交換が進む セキュリティガバナンス体制の構築が完了 新規技術に関する研究が進み、社内外に積極的にアウト プットされている 

10 Confidential - Do Not Share Functions Role / Task / Skill 

11 Confidential - Do Not Share Role / Task / Skill Function Role Task Skill 

12 Confidential - Do Not Share Roles Product Support Security Operations Information Security Management Specialist EM / TL 

13 Confidential - Do Not Share Tasks - Product Support Security Testing Security Automation Security Training Incident Response Consulting 

14 Confidential - Do Not Share チーム内で共通言語となるスキルセットを整理する - 適宜 SecBok などを活用 - オンボーディングやトレーニングマテリアルに反映 - 他のチームとのコミュニケーションの際にも活用する 各ロールごとに必要となる専門的な知識は Role 内で議論を重ねる - 各ロールの Roadmap から必要な知識を落とし込んでもらう Skill は新たな Task を行うための源でもある - メンバーが「やりたいこと」を支援する「風土」 Skills 

15 Confidential - Do Not Share Value との関係性 Function Role Task Skill All for One Be Pro Go Bold 

16 Confidential - Do Not Share What’s Security Manager? 最近の活動 

17 Confidential - Do Not Share Manager Mission 互いの専門領域を活かして協働する セキュリティチームは専門性の高い各ドメインの皆さんや、 施策を実施するためのオーナーチームと協働したいと考えます。 より密に活動するため、交換留学といった諸制度を進めます。 全員がセキュリティ対策にオーナーシップを持つ セキュリティ対策は、情報を取り扱う方のみが実施できます。 セキュリティチームは各チーム・メンバーがセキュリティ対策を実施するた めに多方面から支援します。 社内外のエンジニアとの協働を促進する “Give & Give” の精神を大事に、社内外のエンジニアと協働 します。また社外のお客様やエンジニアに向けて積極的に情 報発信し、仲間を増やしていきます。 セキュリティを通じてメンバーとともに新たな価値を生みだすチームをリーディングする。 社内外に対してセキュリティが継続可能であることを、積極的にアウトプットする。 受容可能なリスクを見極める ２線と連携して受容可能なリスク水準を明確にし、 継続可能なセキュリティ対応を行います セキュリティ対策について Professinal として説 明可能な状態を作り維持する 定量的なリスク評価結果に基づいた施策の優先度設定や、 ルールの制定根拠を明確にします 1 2 3 ロードマップ達成に向けた自分の役割 Top Priority 3 1 2 3 スキルの可視化と資格の活用 セキュリティの各 Role は高度に専門化・体系化されており、併せてスキ ルセットの体系化が進んでいます。育成や採用を推進するためにベン ダー資格を有効に活用していきたく、受験や維持費に対する支援を検討 していきたいと考えています。 Need HELP 

18 Confidential - Do Not Share ● People Management (40%) ● System Risk Manager (10 - 15 %) ○ Incident Commander ○ Responsibility to reduce system risk ● English Training (5%) ● Meeting w/ Managers (5%) ● Objective Progress Management (5%) ● Others ○ Make roadmap and various materials ○ Meeting w/ other teams ○ Hiring Tasks - Security Engineering Manager 

19 Confidential - Do Not Share Calibration Performance Review 今 Q の活動について、事 実とアウトプットをマネー ジャとメンバーで確認する ミーティング。 Peer Review 各メンバーの活動につい て、最低３名からの評価を 受ける 360 度フィードバッ クの一種。 Calibration Performance Review の 結果をマネージャーがまと め、１人３ー５分で経営陣 に全員の活動を説明する。 結果を受けて、評価者が議 論し評価結果が決まる。 Feedback Calibration の結果を受け て、メンバーに対して結果 をフィードバックする。マ ネージャーとメンバーが納 得するまで議論を繰り返し ていく。 

20 Confidential - Do Not Share Manager Feedback What is it? Why? How will it be used? ● マネージャーの強みと弱みを理解し、マネージメントレベルを高め、結果を最大 化する取り組み ● 評価結果はチームメンバーに公開。チーム内でのフィードバックミーティングを 行い、問題点を解決する。 ● HR は問題解決のための議論を補佐する。 ● Q単位で開催されるマネージャー向けの 360 度フィードバック ● 全てのマネージャー、ディレクター、執行役員が対象 

21 Confidential - Do Not Share Trends for each value/management function Ans. 2019 Jan. - Mar. 2018 Oct. - Dec. Diff Go Bold 3.94 4.36 -0.42 All For One 4.11 4.31 -0.20 Be Professional 4.32 4.55 -0.23 Roadmap and OKRs 4.15 4.58 -0.43 Task management and assignment 3.93 4.14 -0.21 Utilization and training 4.13 4.22 -0.09 Feedback and communication 4.03 4.50 -0.47 Culture creation 4.10 4.27 -0.17 Demeanor / 振る舞い 4.47 4.78 -0.31 

22 Confidential - Do Not Share Items with a large gap between expectations and current status Items Quo/現状 Expectations/期待 Gap/ギャップ Shares important information in a timely manner 3.73 4.40 -0.67 De-prioritizes anything deemed unnecessary to the team’s success 3.53 4.13 -0.60 Gives me constructive feedback 4.07 4.53 -0.47 Makes decisions based on mid- to long-term goals (roadmap) without fixating on short-term issues 4.00 4.40 -0.40 Clearly explains the context and significance behind decisions 4.20 4.53 -0.33 

23 Copyright © 2019 Mercari. All rights reserved. Discuss to improve ● What is the specific thing you want me to leave? ○ Managerが決める必要があることを減らす ■ Technical な仕様の決定はエンジニアに任せる ■ Risk Acceptance Line は Manager が決める ■ 一定の水準を明確にして、水準に従っている限りは Manager が判断しない ○ MTG 多すぎる ■ 結果として MTG で Manager が得た情報が Feedback されるまでに時間がかかる ■ キックオフと判断が必要となるミーティング以外は参加を控える ● What kind of thing is better about the share of information? ○ MTG 背景 ■ マネージャーしか知らない情報があることで、結果として時間がかかっている ■ マネージャーだけで参加するのではなく、メンバーと一緒にミーティングに参加する ○ 会社全体で起きていることをシェアして欲しい ■ チーム外との情報格差ができないようにして欲しい 

24 Confidential - Do Not Share What’s the Security Engineering Manager ? バリューの体現者 コミュニケーションの結節点 

25 Confidential - Do Not Share What’s the Security Engineering Manager ? https://www.atmarkit.co.jp/ait/articles/1903/29/news017.html 韮