メルカリが情報セキュリティ事故対応アワードの優秀賞を受賞! #メルカリな日々

こんにちは!メルカリSecurityチームの伊藤(@yumito)です

6月28日に、チームで「第7回情報セキュリティ事故対応アワード」の授賞式に出席してきました。

左から、Security CISO Officeの@yumito, メルペイ/メルコインCISOの@sowawa, Security Strategy Managerの@jason ※撮影のときのみ、マスクを外しています

情報セキュリティ事故対応アワードとは、セキュリティ事故の対応(インシデント・レスポンス)が素晴らしかった企業を表彰するイベントです。事故発覚から第一報までの期間や続報の頻度、発表内容(原因・事象、被害範囲、対応内容)、自主的な情報公開などを軸に評価されます。

今回、メルカリは2021年5月に公表した「Codecov」への第三者からの不正アクセスによる当社への影響および一部顧客情報等の流出への対応について、優秀賞を受賞しました。このインシデント対応は、セキュリティチームを中心に、Engineering、Product、政策企画、コンプライアンス、PR、カスタマーサポート、経営陣、グループ会社のCEO、コンプライアンス担当など、全社横断のAll for One連携で取り組んでいました。

授賞式ではメルカリを含む受賞企業3社へのクリスタルの授与と各社のプレゼンテーション、審査員によるパネルディスカッションが行われ、メルカリからは、当時メルカリの執行役員CISOとしてインシデント対応を指揮した曾川さん(@sowawa ※現在はメルペイ/メルコイン取締役CISO)が受賞プレゼンテーションを行いました。

メルカリの受賞理由について、審査員からは以下のようなコメントをいただきました

事故原因、対応内容を詳細に明かし、顧客や関係者と真摯に向き合う姿勢を示した。また、ソフトウェアのサプライチェーンに潜むリスクを改めて知らせ、セキュリティ関係者に一考の機会を与えた。

また、受賞後に、参加したメンバーから感想のコメントをもらいました。

@sowawa:今回のインシデントで、お客さまをはじめ関係者のみなさまに多大なご迷惑とご心配をおかけしましたこと、この場をお借りし改めて、お詫び申し上げます。反省と振り返りをすると同時に、より高いセキュリティ意識をもつプロダクトへと進化するための取り組みを現在もメルカリグループでは推進しています。また、社内のみに止まらず、世の中全体のセキュリティインシデント防止やセキュリティレベル向上に役立っていきたいと考えております。

一方でソフトウェアサプライチェーン攻撃のリスクが高くなってきており、どこでも起こり得ることだと今回のインシデントで理解していただけたと思っています。我々だけで安全な社会を保つことはできず、社内外の多くの人たちのサポートによって私たちの社会は成り立っています。我々としても、業界に役立つナレッジを今後も提供しつづけていいきたいと思っていますので、ぜひ皆さんもそこから得た学びを公開し、業界全体の学びにつなげていただければ幸いです。また改めまして、ゴールデンウィーク中にも関わらず今回のインシデントに全力でAll for Oneな対応をしてくれたメルカリグループ全社員に感謝したいと思います。

@Jason:起きてしまったセキュリティインシデントを振り返り、そこからLessons Learnedを学び、他社と知見を共有するこのような活動を継続的にやることが業界として非常に重要で有意義。今回のメルカリの振り返りがよくできたところも反省のところも含めてほかの企業の参考となる事例にでもなれたら嬉しいと思います。

セキュリティチームはそれぞれの分野にスペシャライズされたレベルの高い多様なメンバーで構成されています。
そんなセキュリティチームでは現在、最先端のクラウドセキュリティ技術を駆使し事業と組織の新しいセキュリティスタンダードを築き、メルカリの世界展開をリードする仲間を募集しています!
https://careers.mercari.com/jp/job-categories/security-privacy/
それではまた、次回の#メルカリな日々で!

関連記事 サクッと読める!✨

教員向け”金融教育を考える会”で「mercari educartion」の教材レクチャーを行いました! #メルカリな日々

FY2022 Q2 メルコインのMVPが発表されました!「テレフォンショッキング」で受賞者を紹介! #メルカリな日々

パラアスリートに学び、ともに考える──メルカリアスリートの生の声にふれる社内イベントを開催しました! #メルカリな日々

関連記事 読み応えアリ✨