対策

セキュリティの取組み

サービスを安全に保つための取り組みや、お客さまの情報や資産を守るために行っている対策をご紹介します。

対策

データ保護

メルカリグループが取り扱うデータ(お客さまの個人情報を含む)は、業界のベストプラクティスに従って保護しています。

安全な設計と安全なプログラミング

セキュリティ要件

社内のチームが関係者と密に連携しながらプロダクトに必要なセキュリティ要件を定義しています。また、疑問や懸念がある場合はセキュリティチームに相談してアドバイスを求めることをすべての従業員に推奨しています。

プロダクトのセキュリティ対策

新機能や大規模な機能変更、主要なリリースを行う際は、プロダクトセキュリティチームによるセキュリティレビューを行なっています。プロダクトセキュリティチームはソフトウェア開発のライフサイクル初期段階から関与し、開発の各段階においてサービスの品質とセキュリティを担保しています。デザインレビューはもちろん、コードレビューや脆弱性を自動的にテストするツールも使用してセキュリティレビューを強化しています。具体的にはSAST(静的アプリケーションセキュリティテスト)、DAST(動的アプリケーションセキュリティテスト)、SCA(ソフトウェア構成解析)などのツールを活用しています。

安全なコーディングのベストプラクティス

アプリケーションの品質とセキュリティを確保するため、セキュリティチームでは業界のベストプラクティスに基づき安全なコーディングに関する社内トレーニングやセキュリティチャンピオンプログラムの実施を行なっています。

セキュリティテスト

リリース前テスト

新機能や大規模なリリース、機能の重要な変更がある場合は、潜在的な脆弱性を見つけて排除することを目的に、プロダクトセキュリティチームがリリース前テストを行っています。

セキュリティツールによる自動化

プロダクトセキュリティチームでは、静的および動的な分析を頻繁に行うためのツールを管理し、アプリケーションの潜在的な脆弱性を検出しています。

第三者評価

インシデント対応のプロセスや検出能力を改善し、客観的に問題を発見するため第三者によるレッドチーム演習を実施しています。

セキュリティ研修

社内セキュリティ研修

毎年、全従業員を対象に情報セキュリティ研修とプライバシー研修を必須とし、全エンジニアに対して安全なコーディングの研修を実施することで、開発プロセス全体で最良のセキュリティ対策が実施されるようにしています。

また、社内のeラーニングシステムを通じて、ポジションに応じたさまざまなオンラインコースを提供しています。

セキュリティチャンピオンプログラム

社内のセキュリティトレーニングプログラムに加え、エンジニアにはセキュリティチャンピオンプログラムへの参加を奨励しています。このプログラムでは参加者が実践的なセキュリティ経験を積み、日々の業務にセキュリティに関するベストプラクティスを組み込めるようなるため、自分の担当領域のセキュリティに対してより大きな責任を持つことができるようになります。

机上演習

インシデント対応の準備を確認するため定期的に机上演習を実施しています。実際のセキュリティインシデントをシミュレーションすることでインシデント対応プロセスの潜在的な課題を特定し、意思決定の練習やコミュニケーション手段の効果を検証しています。

脅威のモニタリングと対応

検知とモニタリング

セキュリティチームでは、不正アクセスの試行やマルウェア感染といった攻撃のさまざまな兆候を監視しています。重要なセキュリティ事象に迅速に対応し、潜在的な脅威については徹底的な調査を行います。

社内で開発し維持管理しているSecurity Orchestration, Automation and Response(SOAR)ツールを用いてアラートを一元管理し、監視・対応することで、迅速に脅威に適応し対応できるようにしています。

インシデント対応

迅速かつ効果的にインシデントを管理するため、インシデント対応プロセス、プレイブック、その他関連文書を整備しています。

メルカリグループは一般社団法人日本シーサート協議会、及びForum of Incident Response and Security Teams (FIRST)のメンバーです。

インシデント対応

フィッシング攻撃からユーザーを保護することはメルカリのサービスの安全とセキュリティを維持するために非常に重要です。

そのため、外部の機関と連携し、フィッシングサイトを速やかに対処するための対策を整えています。

外部機関との連携

日本シーサート協議会(NCA)

Forum of Incident Response and Security Teams (FIRST)

サイバーセキュリティ委員会サイバーセキュリティ強化ワーキング・グループ

OpenID ファウンデーション・ジャパン

FIDO Alliance

情報セキュリティ基本方針

情報セキュリティ基本方針

詳しく見る