市原尚久氏

本講演は、DevOps環境におけるセキュリティ拡張に関するメルカリの取り組みを紹介します。柔軟性、生産性、高いアウトプットと製品のセキュリティ保証を両立するためのセキュリティテストや運用の自動化、セキュリティチャンピオン制度、過去のインシデントから培ってきたセキュリティ文化、などを紹介します。

メルカリのセキュリティ組織は、事業成長のブロッカーではなく「イネーブラー」であり続けるため、経営層、Product、Engineering部門とAlignし、サイバーセキュリティ対策の高度化と共に、社内のセキュリティカルチャー醸成に取り組んでいます。本講演では、これらのメルカリの挑戦を事例を交えてご紹介いたします。

本講演では、メルカリがこれまでに取り組んできたプロダクト開発におけるセキュリティ保証やセキュリティテストの自動化、CI/CDパイプラインのセキュア化、柔軟性と拡張性の高い脅威モニタリング環境の構築などのエンジニアリングの取り組みについてお話します。そのほか、NIST CSF.CIS Controlsなど国際標準に基づくセキュリティ&プライバシーの成熟度評価と可視化の取り組み、過去のインシデントなどから社内に培ってきたセキュリティ文化についてもご紹介します。