こんにちは!メルカリSecurityチームの伊藤(@yumito)です
6月28日に、チームで「第7回情報セキュリティ事故対応アワード」の授賞式に出席してきました。
左から、Security CISO Officeの@yumito, メルペイ/メルコインCISOの@sowawa, Security Strategy Managerの@jason ※撮影のときのみ、マスクを外しています
情報セキュリティ事故対応アワードとは、セキュリティ事故の対応(インシデント・レスポンス)が素晴らしかった企業を表彰するイベントです。事故発覚から第一報までの期間や続報の頻度、発表内容(原因・事象、被害範囲、対応内容)、自主的な情報公開などを軸に評価されます。
今回、メルカリは2021年5月に公表した「Codecov」への第三者からの不正アクセスによる当社への影響および一部顧客情報等の流出への対応について、優秀賞を受賞しました。このインシデント対応は、セキュリティチームを中心に、Engineering、Product、政策企画、コンプライアンス、PR、カスタマーサポート、経営陣、グループ会社のCEO、コンプライアンス担当など、全社横断のAll for One連携で取り組んでいました。
授賞式ではメルカリを含む受賞企業3社へのクリスタルの授与と各社のプレゼンテーション、審査員によるパネルディスカッションが行われ、メルカリからは、当時メルカリの執行役員CISOとしてインシデント対応を指揮した曾川さん(@sowawa ※現在はメルペイ/メルコイン取締役CISO)が受賞プレゼンテーションを行いました。
メルカリの受賞理由について、審査員からは以下のようなコメントをいただきました
事故原因、対応内容を詳細に明かし、顧客や関係者と真摯に向き合う姿勢を示した。また、ソフトウェアのサプライチェーンに潜むリスクを改めて知らせ、セキュリティ関係者に一考の機会を与えた。
また、受賞後に、参加したメンバーから感想のコメントをもらいました。
セキュリティチームはそれぞれの分野にスペシャライズされたレベルの高い多様なメンバーで構成されています。
そんなセキュリティチームでは現在、最先端のクラウドセキュリティ技術を駆使し事業と組織の新しいセキュリティスタンダードを築き、メルカリの世界展開をリードする仲間を募集しています!
https://careers.mercari.com/jp/job-categories/security-privacy/
それではまた、次回の#メルカリな日々で!
一方でソフトウェアサプライチェーン攻撃のリスクが高くなってきており、どこでも起こり得ることだと今回のインシデントで理解していただけたと思っています。我々だけで安全な社会を保つことはできず、社内外の多くの人たちのサポートによって私たちの社会は成り立っています。我々としても、業界に役立つナレッジを今後も提供しつづけていいきたいと思っていますので、ぜひ皆さんもそこから得た学びを公開し、業界全体の学びにつなげていただければ幸いです。また改めまして、ゴールデンウィーク中にも関わらず今回のインシデントに全力でAll for Oneな対応をしてくれたメルカリグループ全社員に感謝したいと思います。