Making Security Scale: メルカリが考えるセキュリティ戦略 株式会社メルカリ Jason Fernandes

Self Intro / 自己紹介 2018年に株式会社メルカリに入社。 多岐にわたるセキュリティ・プライバシーの取り組みを推進し、C2C, B2C, フィンテック、スポットワーク、越境取引、NFTなどの事業拡大をプロダクト からエンタープライズまで多面的に支援。 テクニカルプログラムマネージャー、エンジニアリングマネージャー、情報 セキュリティ・プライバシーディレクターを歴任したのち、2024年7月VP of Security & Privacyに就任。 mercan blog- 開発経験ゼロ ”だった翻訳担当メンバーがセキュリティチームと出会い、エンジニアの道へ進むまで Jason Fernandes VP of Security & Privacy

Building a Strategy: Inputs, Components, Outputs 戦略を立てるためのインプット, コンポーネント,アウトプット 効果的なプログラムを構築して運用するうえで意識していること 本日の流れ 1 Introducing Mercari メルカリの事業概要を紹介 2 3 Benefits of a Strategy and Conclusions 戦略から得られるメリットとまとめ

メルカリのサービス：多岐にわたる メルコイン メルカリ メルペイ メルカリ ハロ 個人間での不要品の売 買を簡単に行えるフリマ アプリ 「だれでも、すぐに、かん たんに」スポットワークが できる、空き時間おしごと サービス フリマアプリ「メルカリ」 で利用できるスマホ決 済サービス メルカリアプリで完結し、 使わなくなったモノを将 来の資産に替えるビット コイン取引サービス

グループミッション あらゆる価値を循環させ､あらゆる人の可能性を広げる Circulate all forms of value to unleash the potential in all people

安心安全メルカリ 安心 　安全 Safe 　Secure https://about.mercari.com/safety/

Scale with Growth 飛躍成長にスケール Employee Burden 従業員負担を減少 どのような課題に直面しているか Strict Regulation 効率的な法令遵守 セキュリティを強化しつつ、このような課題に取り組むた めにどのように戦略を立てていくか

Inputs for a Security Strategy The Security Strategy Blueprint: From Vision to Implementation Chris Martorella 11 Feb 2025

Inputs: Business Objectives & Goals The Security Strategy Blueprint: From Vision to Implementation Chris Martorella 11 Feb 2025 ● 組織の使命、戦略的方向性、長期的な目 標を理解する ● セキュリティの取り組みがどのようにビジ ネスの成長を支援し、促進できるかを特 定する ● 新しい市場への拡大？統合？パートナー シップ？買収？ Business Objectives & Goals ビジネスの目的と目標 メルカリの事例 ■ 全社OKR ■ グループミッション、ロードマップ ■ グローバル展開への目線 ■ 経営のリスク許容度

Inputs: Compliance and Regulation ● 適用される法律、規制、業界標準を特定 する（例：GDPR、HIPAA、PCI DSS、 DORA、NIS2） ● セキュリティ管理とポリシーがコンプライア ンス要件に合致していることを確認する Compliance and Regulation コンプライアンスと規制 The Security Strategy Blueprint: From Vision to Implementation Chris Martorella 11 Feb 2025 メルカリの事例 ■ ISO27001, PCI-DSS, APPI ■ FISC, JVCEA, 金融分野ガイドライン、 ■ 米国法令(NYDFS、Multi-State MTL) ■ 経済安全保証推進法、能動サイバー法案 ■ 越境事業に関わる各国の法令など

Inputs: Contractual Obligations ● 既存の契約を理解し、セキュリティ関連の条 項と要件を特定する ● 戦略の一環として契約上のセキュリティ義 務を満たすために必要な管理を含める ● 主要顧客が何を求めているかを理解し、取 引をスムーズに進めるために会社が十分に 準備されていることを確認する 契約上の義務 Contractual Obligations メルカリの事例 ■ 加盟店、銀行など主要取引先の質問書 ■ ◯Pay連携などの契約セキュリティ要件　 ■ ログインw/ ◯の契約セキュリティ要件など The Security Strategy Blueprint: From Vision to Implementation Chris Martorella 11 Feb 2025

Inputs: Product and Engineering ● 新しいプロダクトや機能のためのセキュリ ティ要件と管理を確立する ● 移行、新技術導入、マルチクラウド戦略、 組織再編、新しい地域への対応など プロダクトとエンジニアリングの取り組み Product and Engineering Initiatives メルカリの事例 ■ Groundup App ■ データセンターMigration　 ■ 短期間で複数新規プロダクト (B2C, フィンテック、 スポットワーク、越境取引、 NFT) The Security Strategy Blueprint: From Vision to Implementation Chris Martorella 11 Feb 2025

Inputs: Threat Landscape ● 業界、規模、地理的な位置に基づいて組 織の特定の脅威プロファイルを評価する ● 潜在的な影響と発生の可能性に基づいて 脅威に優先順位を付ける ● 現在および将来予想される脅威に対処す るための戦略を策定する 脅威の状況 / Threat Landscape メルカリの事例 ■ E-commerceから暗号資産まで、国家脅威を含む 複数かつ複雑な脅威を考えないといけない ■ 越境事業などのグローバル展開により、変化する地 理的な要素 ■ レッドチーム演習、Threat Landscape Report, チームメンバーの興味深々で最新トレンドを追い尽く す The Security Strategy Blueprint: From Vision to Implementation Chris Martorella 11 Feb 2025

Inputs: Security Risks ● リスクをその重大性と潜在的なビジネスへ の影響に基づいて優先順位を付ける ● リスク軽減戦略を策定し、適切なセキュリ ティ対策を実施する ● 進化する脅威と脆弱性に対応するための継 続的なリスク管理プロセスを確立する セキュリティリスク Security Risks メルカリの事例 ■ 外部・内部の定期的なリスクアセスによって特定 JIRAベースのリスクレジスターで管理し、対応を促 進 ■ 主要リスクをレビューしてOKRやプロジェクトに紐づ ける ■ 組織横断の協力が必要なものは、組織レベルで OKR設定 (E.g. CTO OKR） The Security Strategy Blueprint: From Vision to Implementation Chris Martorella 11 Feb 2025

Components: Foundations, Pillars, Roof The Security Strategy Blueprint: From Vision to Implementation Chris Martorella 11 Feb 2025 土台となるVision ＆Mission 柱となるKey Initiatives 屋根となるGoals and Objectives ■ 組織が将来達成したいと望むことを見据えた宣言 ■ セキュリティチームの目的、その存在理由とコミュニティや顧客に どのように価値を提供するかを説明する ■ 主要な重点分野または取り組み ■ 根幹となる考え方や哲学 ■ すべてを俯瞰する目標 ■ Project / OKR

Components: 土台となる Vision ＆Mission 土台となるVision ＆Mission ■ 組織が将来達成したいと望むことを見据えた宣言 ■ セキュリティチームの目的、その存在理由とコミュニティや顧客にどのように価値を提供するかを説明する Security and privacy by design, by default, and at scale セキュリティ＆プライバシー・バイ・デザインを導入、開発環境・プロダクト環境・業務環境・データ活用環境 などにが最初から確保される仕組みを、スケーラブルに提供していく Build trust & drive value for stakeholders through a collaborative approach to security and privacy 協力的 / All for One的なセキュリティ＆プライバシーを通じて、ステークホルダー（協業する 他部門、カンパニー、プロダクト、お客様など）の価値を創出し、信頼を築いていく

Components: 柱となるKey Initiatives -Philosophy 柱となるKey Initiatives ■ 主要な重点分野または取り組み ■ 根幹となる考え方や哲学

Components: 柱となるKey Initiatives - Teams 柱となるKey Initiatives ■ 主要な重点分野または取り組み ■ 根幹となる考え方や哲学

Components: 柱となるKey Initiatives - Others 柱となるKey Initiatives ■ 主要な重点分野または取り組み ■ 根幹となる考え方や哲学 ● Business, Systems, and Assets ○ 何を守るのかをわかった上での優先順位付、効果的な対策 ○ Device, Identities, SaaS, Data ● Compliance as a Baseline ○ コンプライアンスがあくまで最低ベースラインとなる ○ その上で何が効果的なのかは各会社の特性次第 ● Big Impact and Pareto Principles ○ 80/20ルール ● Flexibility, Adaptability, Persistence ○ 飛躍的な成長を目指す会社はペースが早い、臨機応変に優先順位を合わせて、 Big Betは できるときにする ○ 地味な運用であっても日次の改善も徹底 ○ できなかった施策もいつか実施タイミングがくるので諦めずに

Output: 運用していく High Levelカンパニー OKR Company Direction Security & Privacy Div OKR 各チームの OKR 実質的なリスク Big Impact / Pareto 準拠が必要な法令要件 Compliance Baseline その他のチームと の共同OKR 共通プロジェクト 各チームの運用 継続的なセキュリティ態勢改善 各チームの Daily Sync 月次での OKR Checkin セキュリティ委員会への報告 監査委員会への報告 各社のリスクコンプラ 委員会での報告 SlackでOpenかつ頻繁な コミュニケーション Open Door、Security Championsなどによる拡散 最近は AI/LLMや自動化による 簡易化 Div Roadmap Group Vision / Mission / Roadmap 各チームの PJ 各チームの OKR 各チームの PJ 各チームの OKR 各チームの PJ 各チームの OKR 各チームの PJ Etc.

Output: Organizational Benefits Organizational benefits / 組織的利点 Operational Benefits / 運用的利点 Cultural Benefits / 文化的な利点 ■ より明確な方向性と焦点 ■ コミュニケーションと協力の強化 ■ 意思決定の改善 ■ リソースの最適化 ■ より良い説明責任 ■ 従業員のエンゲージメントと Purpose ■ セキュリティ第一の考え方 The Security Strategy Blueprint: From Vision to Implementation Chris Martorella 11 Feb 2025

Conclusions /まとめ ● The Challenge of Scaling Security: 多くの会社にとって事業のスピードに合わせてセキュリティプログラ ムを拡大させるに伴い、厳格な法令要件を効率良く満たしながら従 業員の負担を低く抑え、実施することは困難である ● Build a Strategy to Scale: スケールするためには戦略を立てる必要がある。そのためのInput, Component, Outputを考慮して、会社の特性やEsotericな部分 に照らし合わせ、一定のFrameworkや考え方に基づ区ことで自社 に合ったものが作れる ● E.g. Automatic Centric, Employee, Centric, Artisanal → Industrial ● Benefits of Strategy: 組織的に、運用的に、文化的に戦略を立てることは組織がスケール するにつれて大きなメリットがあるが、まだ組織が小さかったり早す ぎる段階で作るのは本末転倒なこともあるため、ただ急いで作れば 良いというわけではない。この講演が、皆さまの組織におけるセキュ リティ戦略の参考になれば幸いです。

ご清聴ありがとうございました Thank you for listening