メルカリグループで扱うデータ（個人情報含む）は業界標準のベストプラクティスに基づいて安全管理措置を講じています

メルカリのセキュリティチームが社内のセキュリティに関する質問や相談を受け、仕様やセキュリティ要件を定めるために組織横断的に協力してセキュリティ強化に取り組んでいます。

メルカリのプロダクトセキュリティチームは、主要な機能リリースについて、セキュリティ観点からのデザインレビューを実施しています。メルカリグループでは、「シフトレフトセキュリティ」という考え方を開発工程に採用しており、セキュリティチームがソフトウェア開発ライフサイクルの早い段階から携わることで、開発の各ステージを通してプロダクトリリースの品質とセキュリティを担保しています。

アプリケーションの品質とセキュリティを確保するために、業界標準のベストプラクティスに沿ってセキュアコーディング ガイドラインを作成し社内で展開しています。

主要な機能リリースの前にはメルカリのプロダクトセキュリティチームによるリリース前テストを実施しています。
脅威モデリングをベースにした手法を用いて、よくある脆弱性に重点を置き、潜在的な脆弱性を発見し修正対応を推進しています。

メルカリのプロダクトセキュリティチームでは、潜在的な脆弱性を検出するために、アプリケーションのソフトウェアコンポーネント解析、静的解析や動的解析などのツールを導入しています。発見された脆弱性は、脆弱性管理プロセスに基づき管理し修正対応を推進しています。

アプリケーションおよびコーポレート環境のペネトレーションテストを定期的に実施しています。第三者の立場で課題を発見および指摘し、セキュリティ対策を客観的に評価します。

メルカリのセキュリティチームは、全社員に向けて入社時に受講必須のセキュリティトレーニングを提供しているほか、入社後もセキュリティ意識啓発のために、定期的に全社員向けのセキュリティトレーニングを提供しています。
これ以外にも、社内のラーニング管理システムを通してさまざまなセキュリティe-learningコースを提供しています。

全社員を対象としたセキュリティトレーニングに加えて、開発者向けにセキュリティチャンピオンプログラムを提供しています。
このプログラムは、ハンズオンでセキュリティの重要性を体験・習得し、セキュリティに対してより認識を深めてもらう目的のプログラムです。

不正アクセスやマルウェア感染など、さまざまなイベントをモニタリングしてアラーティングし、セキュリティイベントを検出した場合には迅速に対応しています。
主要システムのログを収集し、自社開発のSecurity Orchestration, Automation, and Response（SOAR）システムを使い、イベントやアラートを一元管理、監視、対応することで、迅速にセキュリティ上の脅威を封じ込めています。

セキュリティチームは、悪意のあるフィッシング攻撃からお客さまを守ることを最優先に考えています。可能な限り迅速にフィッシングサイトをテイクダウンできるよう、テイクダウンの自動化に取り組みさまざまな外部機関と協力しています。

メルカリグループは日本シーサート協議会に加盟しています。
https://www.nca.gr.jp/member/mercari-sirt.html