- @IT
- クラウド
- Cloud Native Central
- 暗号資産やスポットワークにも参入 メルカリが構築...
暗号資産やスポットワークにも参入 メルカリが構築するプロダクトセキュリティの中身:@IT Network Live Week 2025 冬(1/2 ページ)
スポットワークや暗号資産など、事業の幅を急速に広げるメルカリ。こうした機動的な事業展開を支えるのは、包括的で強固なプロダクトセキュリティだ。ゲーミフィケーションも取り入れた同社の取り組みにつき、責任者が語った。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Webサービスは、日夜さまざまな攻撃にさらされている。 その中でプロダクトの改善・拡張や新サービスの立ち上げを機動的に行っていくには、堅固なセキュリティ基盤が不可欠だ。スポットワークや暗号資産など、新事業を急速に展開するメルカリにとって、これは必須中の必須と言っていい。
2024年10月と2025年1月の@IT主催オンラインセミナー「@IT Network Live Week」には、メルカリでVP of Security & Privacyを務めるジェイソン・フェルナンデス(Jason Fernandes)氏が登壇。「開発を加速するプロダクトセキュリティとは」と題し、メルカリの事業を支えるセキュリティ体制や開発を加速するプロダクトセキュリティ、モバイルアプリやWebアプリにおける具体的なセキュリティ対策を解説した。
メルカリの多岐にわたる事業を支えるセキュリティ&プライバシーチーム
「あらゆる価値を循環させ、あらゆる人の可能性を広げる」をグループミッションに、日本最大のフリマサービスを展開するメルカリ。セキュリティチームは、このグループミッションを実現するために強く意識していることが2つある。1つ目は、将来にわたる事業のサポート、2つ目は、セキュリティやプライバシーの担保だ。フェルナンデス氏はこう話す。
メルカリVP of Security & Privacy、ジェイソン・フェルナンデス氏「人や社会に貢献して新しい価値を生み出せるものであれば、今後どんな事業が出てもおかしくはありません。広範にサポートする可能性があります。また、人や社会に貢献する上で、事業の大きな価値としてセキュリティやプライバシーが考慮され、十分に担保されたプラットフォームを世の中に提供する必要があります」(フェルナンデス氏、以下同)
実際、フェルナンデス氏が2018年に入社してからも、メルカリは決済事業の「メルペイ」や、BtoCのマーケットプレース、スポットワーク事業の「メルカリ ハロ」、暗号資産事業の「メルコイン」など、急速なペースで多くの事業に参入した。
「事業成長とともにセキュリティ&プライバシーの機能も成長させ、その基盤を構築してきました。メルカリはブランドバリューとして『安心・安全』を掲げています。お客さまに『安心』『安全』と思っていただけるプロダクトを提供するためにも、セキュリティ&プライバシー体制の構築は欠かせません。加えて、メルカリには組織としての3つのバリューがあります。『Go Bold 大胆にやろう』『All for One 全ては成功のために』『Be a Pro プロフェッショナルであれ』です。これらはプロダクト開発だけでなく、セキュリティ&プライバシーの業務にも取り入れています。イノベーションを大胆に推進し、社内外の利害関係者を巻き込み、ミッションの成功に向けて連携しながら、専門性の高い集団を作って業務に取り組んでいます」
セキュリティ&プライバシーチームには独自のビジョンとミッションがある。それは「セキュリティとプライバシーが最初から確保される仕組みをスケーラブルに提供していくこと」であり、「協力的なセキュリティとプライバシーを通じて、ステークホルダーの価値を創出し、信頼を築いていく」ということだ。
「このビジョンとミッションを達成するために、組織成長に伴ったスケール(Scale with Growth)、従業員の負担の減少(Employee Burden)、法令要件の効率的な順守(Strict Regulation)という3つの課題に取り組んできました」(フェルナンデス氏)
ビジネス貢献に向けてシフトレフト、ゴールデンパス、従業員中心設計などに取り組む
セキュリティ&プライバシー組織は、セキュリティチームとプライバシーチームに分かれており、セキュリティチームは大きく5つのチームで構成されている。組織成長とクラウド基盤のセキュリティを担う「プラットフォームセキュリティ」、アプリケーション開発のセキュリティを担当する「プロダクトセキュリティ」、社内ITを担当する「エンタープライズセキュリティ」、自動化中心のSOC(Security Operation Center)を提供する「脅威検知/対応」、セキュリティ保証業務を担う「セキュリティマネジメント」だ。さらにフェルナンデス氏の直下には、セキュリティ&プライバシー全体を管理する「セキュリティプラニングチーム」がある。
フェルナンデス氏は、この中からプロダクトセキュリティではどのような考え方に基づいて、ビジネスのブロッカーではなくモメンタムとなるようなサービス提供を心掛けているのかを解説した。
Copyright © ITmedia, Inc. All Rights Reserved.
Cloud Native Central 險倅コ九Λ繝ウ繧ュ繝ウ繧ー
- 「GitOps」を提唱したWeaveworksの閉鎖が物語る、オープンコアモデルの難しさ
- Istioのトラフィック制御ならブルーグリーンデプロイメント、カナリアリリース、フォールトインジェクション、サーキットブレーカーは簡単にできる
- クラウドインフラの要件定義と設計を実際にやってみよう
- 暗号資産やスポットワークにも参入 メルカリが構築するプロダクトセキュリティの中身
- 「Docker Desktop」バージョン4.22公開 ネットワーク速度4倍、メモリ使用量半減などパフォーマンスを改善
- Microsoftが基本無料の「Microsoft 365 Copilot Chat」を発表 これまでのCopilotとの違いはどこか
- AIプロジェクトの主要なデータリスクを軽減するには
- DevOpsを企業が効果的に実践するための8つのステップ
- 何でもかんでも「クラウドサービスだから利用禁止」にしないためには? クラウド時代のセキュリティ運用の在り方を考える
- AIの導入についてCIOが知っておくべき5つのこと
- 「日本企業の半数が、従来型の仮想化基盤の近代化に失敗する」「コストが減るどころか増える可能性もある」その理由は?
- 需要が急増するAIエンジニア、どんなスキルが必要なのか
- 「Docker Desktop 4.38」公開 「Docker AI Agent」はコンテナ管理をどう簡単にする?
- 2028年までにシニアレベルのセキュリティリーダーの3分の1が空席に――人材不足が悪化するメカニズム
- 利用料金を賢く節約しよう Google Cloudのコスト管理術
- エッジコンピューティングとエージェント型AIが変革する運用の将来
- Cloud SpannerでグラフDB機能「Spanner Graph」、ベクトル/全文検索を合わせて発表、日本で完結する構成も可能に
- 「Podman」で始めるコンテナ管理 コンテナイメージを取得し、コンテナを実行してみよう
- “脱Docker”として注目の「Podman」と無料の管理ツール「Podman Desktop」とは Dockerとの違いは?
- AIプロジェクトの主要なデータリスクを軽減するには
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。