メルカリグループが取り扱うデータ（お客さまの個人情報を含む）は、業界のベストプラクティスに従って保護しています。

社内のチームが関係者と密に連携しながらプロダクトに必要なセキュリティ要件を定義しています。また、疑問や懸念がある場合はセキュリティチームに相談してアドバイスを求めることをすべての従業員に推奨しています。

新機能や大規模な機能変更、主要なリリースを行う際は、プロダクトセキュリティチームによるセキュリティレビューを行なっています。プロダクトセキュリティチームはソフトウェア開発のライフサイクル初期段階から関与し、開発の各段階においてサービスの品質とセキュリティを担保しています。デザインレビューはもちろん、コードレビューや脆弱性を自動的にテストするツールも使用してセキュリティレビューを強化しています。具体的にはSAST（静的アプリケーションセキュリティテスト）、DAST（動的アプリケーションセキュリティテスト）、SCA（ソフトウェア構成解析）などのツールを活用しています。

アプリケーションの品質とセキュリティを確保するため、セキュリティチームでは業界のベストプラクティスに基づき安全なコーディングに関する社内トレーニングやセキュリティチャンピオンプログラムの実施を行なっています。

新機能や大規模なリリース、機能の重要な変更がある場合は、潜在的な脆弱性を見つけて排除することを目的に、プロダクトセキュリティチームがリリース前テストを行っています。

プロダクトセキュリティチームでは、静的および動的な分析を頻繁に行うためのツールを管理し、アプリケーションの潜在的な脆弱性を検出しています。

インシデント対応のプロセスや検出能力を改善し、客観的に問題を発見するため第三者によるレッドチーム演習を実施しています。

毎年、全従業員を対象に情報セキュリティ研修とプライバシー研修を必須とし、全エンジニアに対して安全なコーディングの研修を実施することで、開発プロセス全体で最良のセキュリティ対策が実施されるようにしています。

また、社内のeラーニングシステムを通じて、ポジションに応じたさまざまなオンラインコースを提供しています。

社内のセキュリティトレーニングプログラムに加え、エンジニアにはセキュリティチャンピオンプログラムへの参加を奨励しています。このプログラムでは参加者が実践的なセキュリティ経験を積み、日々の業務にセキュリティに関するベストプラクティスを組み込めるようなるため、自分の担当領域のセキュリティに対してより大きな責任を持つことができるようになります。

インシデント対応の準備を確認するため定期的に机上演習を実施しています。実際のセキュリティインシデントをシミュレーションすることでインシデント対応プロセスの潜在的な課題を特定し、意思決定の練習やコミュニケーション手段の効果を検証しています。

セキュリティチームでは、不正アクセスの試行やマルウェア感染といった攻撃のさまざまな兆候を監視しています。重要なセキュリティ事象に迅速に対応し、潜在的な脅威については徹底的な調査を行います。

社内で開発し維持管理しているSecurity Orchestration, Automation and Response（SOAR）ツールを用いてアラートを一元管理し、監視・対応することで、迅速に脅威に適応し対応できるようにしています。

迅速かつ効果的にインシデントを管理するため、インシデント対応プロセス、プレイブック、その他関連文書を整備しています。

メルカリグループは一般社団法人日本シーサート協議会、及びForum of Incident Response and Security Teams (FIRST)のメンバーです。

フィッシング攻撃からユーザーを保護することはメルカリのサービスの安全とセキュリティを維持するために非常に重要です。

そのため、外部の機関と連携し、フィッシングサイトを速やかに対処するための対策を整えています。

日本シーサート協議会（NCA）

Forum of Incident Response and Security Teams (FIRST)

サイバーセキュリティ委員会サイバーセキュリティ強化ワーキング・グループ

OpenID ファウンデーション・ジャパン

FIDO Alliance