データ保護
メルカリグループで扱う個人情報(氏名、電話番号など)や決済情報は、システム内の通信経路では全て暗号化されています。
また、各データは業界標準のベストプラクティスに基づいて暗号化またはハッシュ化された後、システム上に保存されます。
個人情報などの重要情報へのアクセスは全て管理されており、必要な場合にのみ必要最低限のアクセスが許可されます。
セキュアデザイン & セキュアプログラミング

コンサルティング
セキュリティチームは、社内のセキュリティに関する質問や相談を受けるコンサルティングを行っており、他チームと協力してセキュリティ強化に取り組んでいます。
セキュアコーディング ガイドライン
アプリケーションの品質とセキュリティを確保するために、OWASPアプリケーションセキュリティ検証標準 4.0に基づいたセキュアコーディング ガイドラインに従ってアプリ開発を行っています。
セキュアデザイン レビュー
プロダクトセキュリティチームは、全ての主要な機能リリースについて、セキュリティレビューを実施しています。メルカリグループでは、「シフトレフト」の考え方をセキュリティ対策でも採用しており、セキュリティチームがソフトウェア開発ライフサイクルの初期段階から携わることで、開発の各ステージを通して全リリースの品質とセキュリティを担保しています。
脆弱性評価

リリース前テスト
主要な機能リリースの前にはプロダクトセキュリティチームによるリリース前テストが行われます。
テストでは、脅威モデリングをベースにした手法を用いて、OWASP Top Tenに重点を置き、潜在的な脆弱性を発見し取り除きます。
この厳しいセキュリティスタンダードを満たさない限り、リリースすることはできません。
エンドツーエンド(E2E)セキュリティテスト
プロダクトセキュリティチームでは、各サービスへのE2E セキュリティテストを実施しています。
また、自社開発のE2Eセキュリティテスト自動化ツールも開発者に提供しており、潜在的な脆弱性を開発プロセス初期で発見できるようにしています。
自動脆弱性スキャン
プロダクトセキュリティチームでは、潜在的な脆弱性を検出するために、アプリケーションの静的解析と動的解析を定期的に実施しています。このスキャンで発見された全ての脆弱性は、脆弱性管理ワークフローに従って管理され、速やかに修正されます。
脆弱性管理ワークフロー
アプリケーションで発見された脆弱性は、速やかに修正できよう厳重なワークフローに従って管理されます。脅威モデルをベースに脆弱性修正の優先度を決め、その優先度と緊急度に基づいて修正を担当する開発チームとSLAを合意しています。セキュリティチームは、全ての脆弱性をフォローアップし、スピーディーな修正が可能な状態を確保します。
外部委託ペネトレーションテスト
認定を受けた外部委託先が、アプリケーションおよびコーポレート環境のペネトレーションテストを定期的に実施しています。第三者の立場で課題を発見および指摘し、セキュリティ対策を客観的に評価します。
セキュリティトレーニング

社内セキュリティトレーニング
セキュリティチームは、全社員に向けて入社時に受講必須のセキュリティトレーニングを提供しているほか、入社後もセキュリティ意識啓発のために、定期的に全社員向けのセキュリティトレーニングを提供しています。
これ以外にも、社内のラーニング管理システムを通してさまざまなセキュリティe-learningコースを提供しています。
セキュリティチャンピオン プログラム
セキュリティチームは、上記の全社員を対象としたセキュリティトレーニングに加えて、開発者向けにセキュリティチャンピオンプログラムを提供しています。
このプログラムは、各ドメインの開発者がハンズオンでセキュリティの重要性を体験・習得し、各開発ドメインのセキュリティに対してより認識を深めてもらうものです。
詳細は、こちらのメルカン記事をご参照ください。
脅威モニタリングと対応

モニタリングと分析
セキュリティチームは、不正アクセスやマルウェア感染など、攻撃のさまざまなイベントやアラートをモニタリングしています。重大なセキュリティイベントを検出した場合には迅速に対応し、潜在的な脅威を徹底的に調査します。
(セキュリティエンジニアリングチームが社内開発し運用している)Security Orchestration, Automation, and Response(SOAR)ツールを使い、イベントやアラートを一元管理、監視、対応することで、迅速にセキュリティ上の脅威を封じ込めています。
フィッシング対策
セキュリティチームは、悪意のあるフィッシング攻撃からお客さまを守ることを最優先に考えています。可能な限り迅速にフィッシングサイトをテイクダウンできるよう、各プロセスを自動化するほかさまざまな外部機関と協力しています。
情報発信と外部機関との協力
サイバー防災(セキュリティ意識啓発キャンペーン)
メルカリグループは、各インターネット通信事業会社と協力して、毎年「サイバー防災」を開催しています。
https://www.cyber-bousai.jp/
日本シーサート協議会メンバー
メルカリグループは日本シーサート協議会に加盟しています。
https://www.nca.gr.jp/member/mercari-sirt.html