Measures

セキュリティ対策

メルカリグループでは、お客さまの情報を保護するために、グループ横断でセキュリティ対策の強化に取り組んでいます。

Measures
Protect

データ保護

メルカリグループで扱うデータ(個人情報含む)は業界標準のベストプラクティスに基づいて安全管理措置を講じています

セキュアデザイン & セキュアプログラミング

セキュリティ要件定義のためのコンサルティング

メルカリのセキュリティチームが社内のセキュリティに関する質問や相談を受け、仕様やセキュリティ要件を定めるために組織横断的に協力してセキュリティ強化に取り組んでいます。

セキュアデザインのためのレビュー

メルカリのプロダクトセキュリティチームは、主要な機能リリースについて、セキュリティ観点からのデザインレビューを実施しています。メルカリグループでは、「シフトレフトセキュリティ」という考え方を開発工程に採用しており、セキュリティチームがソフトウェア開発ライフサイクルの早い段階から携わることで、開発の各ステージを通してプロダクトリリースの品質とセキュリティを担保しています。

セキュアコーディングのベストプラクティス

アプリケーションの品質とセキュリティを確保するために、業界標準のベストプラクティスに沿ってセキュアコーディング ガイドラインを作成し社内で展開しています。

脆弱性診断

リリース前テスト

主要な機能リリースの前にはメルカリのプロダクトセキュリティチームによるリリース前テストを実施しています。
脅威モデリングをベースにした手法を用いて、よくある脆弱性に重点を置き、潜在的な脆弱性を発見し修正対応を推進しています。

セキュリティツールによる自動化

メルカリのプロダクトセキュリティチームでは、潜在的な脆弱性を検出するために、アプリケーションのソフトウェアコンポーネント解析、静的解析や動的解析などのツールを導入しています。発見された脆弱性は、脆弱性管理プロセスに基づき管理し修正対応を推進しています。

外部によるペネトレーションテスト

アプリケーションおよびコーポレート環境のペネトレーションテストを定期的に実施しています。第三者の立場で課題を発見および指摘し、セキュリティ対策を客観的に評価します。

セキュリティトレーニング

社内セキュリティトレーニング

メルカリのセキュリティチームは、全社員に向けて入社時に受講必須のセキュリティトレーニングを提供しているほか、入社後もセキュリティ意識啓発のために、定期的に全社員向けのセキュリティトレーニングを提供しています。
これ以外にも、社内のラーニング管理システムを通してさまざまなセキュリティe-learningコースを提供しています。

セキュリティチャンピオン プログラム

全社員を対象としたセキュリティトレーニングに加えて、開発者向けにセキュリティチャンピオンプログラムを提供しています。
このプログラムは、ハンズオンでセキュリティの重要性を体験・習得し、セキュリティに対してより認識を深めてもらう目的のプログラムです。

脅威モニタリングと対応

モニタリングと分析

不正アクセスやマルウェア感染など、さまざまなイベントをモニタリングしてアラーティングし、セキュリティイベントを検出した場合には迅速に対応しています。
主要システムのログを収集し、自社開発のSecurity Orchestration, Automation, and Response(SOAR)システムを使い、イベントやアラートを一元管理、監視、対応することで、迅速にセキュリティ上の脅威を封じ込めています。

フィッシング対策

セキュリティチームは、悪意のあるフィッシング攻撃からお客さまを守ることを最優先に考えています。可能な限り迅速にフィッシングサイトをテイクダウンできるよう、テイクダウンの自動化に取り組みさまざまな外部機関と協力しています。

日本シーサート協議会メンバー

メルカリグループは日本シーサート協議会に加盟しています。
https://www.nca.gr.jp/member/mercari-sirt.html

情報セキュリティ基本方針

情報セキュリティ基本方針

詳しく見る