JD in Japanese follows. 英文の後に和文JDをご覧いただけます。

Product Security Engineer - Mercari

• Employment Status: Full-time
• Work Hours: Full Flextime (no core time)
• Office: Roppongi

For more details, see the Overview of Our Positions section on our Careers site.

About Mercari
Circulate all forms of value to unleash the potential in all people

"What can I do to help society thrive with the finite resources we have?" The Mercari marketplace app was born in 2013 out of this thought by our founder Shintaro Yamada as he traveled the world. We believe that by circulating all forms of value, not just physical things and money, we can create opportunities for anyone to realize their dreams and contribute to society and the people around them. Mercari aims to use technology to connect people all over the world and create a world where anyone can unleash their potential. For more information about Mercari Group's mission, see Mercari's Culture Doc

Organization/Team Mission
Mercari Engineering Principles
Mercari Engineering Principles are a shared understanding that serves as the foundation of engineering beliefs and behavior at Mercari. The Engineering Principles are designed to complement the organizational identity (Mercari's mission, values, and culture) from an engineering viewpoint.

These principles ultimately help us achieve Mercari's mission by defining the ideal state we seek to realize in the long term.

• Passion For The Product
• Grow Together
• Solve Through Mechanisms
• Collaborate Openly

For More Details, Please See The Following Link

• Engineering Culture

Mercari is looking for a security engineer to join our Product Security Team in Tokyo. The Product Security Team ensures that Mercari products meet security requirements and investigates, tracks, and assists in fixing security issues. The team strives to be a business enabler working on a variety of tasks and applying a risk-based approach to security-related decision making.

As a Product Security Engineer you will be responsible for eliciting and communicating security requirements to product teams, performing threat modeling, design reviews, and security testing. You will also be involved in evaluating, designing, developing, and deploying automated security assessment solutions (DAST, SAST, SCA, etc.) and take on the challenge of ensuring the safety of Mercari's development lifecycle.

See here for more information about our mission and values.

Work Responsibilities

• Review product designs to define necessary security requirements based on threat modeling.
• Review proposed architectures and propose a set of security controls in order to minimize risk.
• Review source code to find security problems and potential vulnerabilities.
• Conduct vulnerability assessments and penetration testing on Mercari's Backend, Web, iOS, and Android applications.
• Automate security checks and tests so that they can be easily and transparently plugged into the CI/CD pipeline.
• Develop technical solutions to help mitigate security vulnerabilities.
• Maintain technical and security standards for Web and mobile application technologies.
• Educate developers on secure coding practices with workshops, talks, and lessons.
• Evaluate and investigate suspected security events or incidents and perform remediation in accordance with Incident Response procedures.
• Collaborate with information security officers, the legal team, and internal auditors on technical security matters.

Unique Challenges

• Work with a modern, cloud-first development and deployment environment.
• Ability to work in an heavily AI driven development environment and having to adapt to rapidly changing technologies and new projects.
• This position will allow you to take full advantage of your skills and experience because you will work on a variety of projects ranging from an online marketplace to payments and IoT.
• Mercari offers a multicultural environment with colleagues from over 40 different countries and various backgrounds (experiences and skills), so you will be able to discuss and address issues from different perspectives and use that for personal growth.

Qualifications
For details about CEFR, see here.

• Required Experience/Skills

• Bachelor's degree or equivalent practical experience.

• Programming experience with one or more programming languages including but not limited to: Go, PHP, Java, Ruby, Python, Swift, Kotlin, or JavaScript.
• 4+ years of experience analyzing the security of systems (penetration testing, Web application security testing, vulnerability scanning, threat modeling, etc.).
• Good understanding of modern Web application architecture, TLS, HTTP, TCP/IP, and standard network and system security technologies.
• Experience with modern software development tools, such as distributed version control systems (git), dependency management, build systems, and CI/CD pipelines.
• Strong teamwork skills in a diverse environment.

• Effective interpersonal and communication skills.

• Preferred Experience/Skills

• In-depth technical knowledge of security engineering, computer and network security, Unix-based operating systems, mobile security, authentication, security protocols, and applied cryptography.

• Strong experience in securing both backend (Go, PHP) and frontend (Web, JavaScript, iOS, Android) applications with the ability to adopt new frameworks and technologies quickly.
• Good understanding of development methodologies such as Object-oriented Programming (OOP), Domain-driven Design (DDD), and Test-driven Development (TDD).
• Good understanding of microservice architecture and related security patterns.
• Good understanding of the inner workings of OAuth2 and OIDC implementations.
• Knowledge of container and orchestration technology like Docker and Kubernetes.
• Experience working with large-scale cloud infrastructure and services (GCP or AWS).
• Experience with securing large-scale cloud infrastructure through analyzing CSPM alerts from tools such as Wiz.

• Experience working in an agile and DevOps-centric environment.

• Language

• Japanese: Ideal but not required

• English: Independent (CEFR-B2)

Learn More About Mercari Group

• Careers site:
• Mercan:
• Social media: X / Linkedin
• Mercari's passkey adoption
• The Art of the Security Double Play: How Mercari Combines Internal Audits and Custom CodeQL Queries to Keep Systems Safe
• The Mobile Attack Surface | Mercari Engineering
• Mapping the Attack Surface from the Inside | Mercari Engineering
• DevSecOps: What Is It and Why Is It Gaining Momentum in the Industry? | Mercari Engineering
• Securing the SDLC at Mercari: Solutions for Automated Code Scanning
• The Product Security Team: Supporting All Phases of Mercari's Product Lifecycle | mercan (メルカン)
• Mercari Appoints Naohisa Ichihara as New CISO: Making a Mark in History with the Goal of Establishing the World's Most Secure Marketplace
• Going Beyond Diverse to Become Borderless: The Culture of Mercari's Security & Privacy Team
• Security | Mercari Engineering blog
• Security/Privacy | mercan

Recruiting at Mercari
At Mercari Group, we value empathizing with and embodying the mission and values of the Group and each company. To promote the creation of an organization that maximizes the total amount of value exhibited by all members, we would like to understand the experience and skills of each candidate as accurately as possible.

Recruiting cycle at Mercari Group

• Application screening
• Skill assessment: For engineering positions, you will be asked to complete a skill assessment on HackerRank or GitHub. For non-engineering positions, you may be asked to complete an assessment depending on the position. (The timing of the assessment may coincide with the interview process.)
• Interview: The number of interviews may vary depending on the position.
• Reference check: We will ask for online references around the timing of the final interview.
• Offer: Offers will be determined carefully in consideration of the final interview and the reference check.

Learn more about our recruiting process here.

Equal Opportunity Hiring
Here at Mercari, we work to realize a world in which no one's potential is limited by their background and everyone has the opportunity to freely create value. We also firmly believe that a mindset of Inclusion & Diversity is essential for us to achieve our mission.

This, of course, extends to our hiring practices as well. Mercari is committed to eliminating discrimination based on age, gender, sexual orientation, race, religion, physical disability, and other such factors so that anyone who shares our mission and values can join us, regardless of their background. For more details, please read our I&D statement.

Please read and acknowledge our Privacy Policy prior to submitting your application.

Product Security Engineer - Mercari

• 雇用形態 正社員
• 勤務時間: フルフレックス(コアタイムなし・フレキシブルタイムなし)
• オフィス:六本木

詳細はキャリアサイトの募集要項よりご確認ください

メルカリグループについて
あらゆる価値を循環させ、あらゆる人の可能性を広げる

「地球資源が限られているなか、より豊かな社会をつくるために何ができるか」。2013年、創業者の山田進太郎が世界一周の旅で抱いた課題意識から、フリマアプリ「メルカリ」は生まれました。私たちは、物理的なモノやお金に限らずあらゆる価値を循環させることで、誰もがやりたいことを実現し、人や社会に貢献するための選択肢を増やすことができると信じています。テクノロジーの力で世界中の人々をつなぎ、あらゆる人の可能性が発揮される世界を実現していきます。メルカリグループの目指すべき方針についてはMercari Culture Docをご覧ください。

組織・チームのミッション
MercariのEngineering Principles

メルカリのEngineering Principlesは、メルカリにおけるエンジニアリングの信念や行動の基盤となる共通認識です。Engineering Principlesは、組織のアイデンティティ(メルカリのミッション、バリュー、カルチャー)をエンジニアリングの観点から補完するよう設計されています。

これらEngineering Principlesは私たちが長期的に実現したい理想の姿を明確にし、最終的にメルカリのミッション達成に貢献するものです。

• Passion For The Product
• Grow Together
• Solve Through Mechanisms
• Collaborate Openly

詳細については以下のリンクをご覧ください。

• エンジニアリングカルチャー

プロダクトセキュリティチームのセキュリティエンジニアを募集しています。プロダクトセキュリティチームは、メルカリのプロダクトがセキュリティ要件を満たしていることを確認するだけでなく、セキュリティ問題の調査、追跡、解決を支援します。また、リスクベースアプローチを用いてセキュリティ関連の意思決定を行い、ビジネスイネーブラーとしての役割を果たすなど、多岐に渡る業務に取り組んでいただきます。

プロダクトセキュリティエンジニアとして、プロダクトチームに対するセキュリティ要件の策定・共有、脅威モデリング、設計レビュー、およびセキュリティテストの実施を担当していただきます。さらに、DAST、SAST、SCAといった自動セキュリティ評価の仕組みの検討から設計・開発・展開までを行い、メルカリの開発ライフサイクル全体の安全性を確保するというミッションに挑戦していただきます。

メルカリのミッション・バリューについての詳細はこちらをご覧ください

業務内容

• プロダクトデザインのレビューを行い、脅威モデルを基にセキュリティ要件を定義する
• 提案されたアーキテクチャをレビューし、リスクを最小限に抑えるためのセキュリティ対策を提案する
• ソースコードをレビューし、セキュリティ問題および脆弱性を特定する
• メルカリのバックエンド、Web、iOS、Androidアプリケーションを対象に、脆弱性診断およびペネトレーションテストを実施する
• セキュリティチェックおよびテストを自動化し、CI/CDパイプラインに簡単かつ透過的にプラグインできるようにする
• セキュリティ脆弱性を緩和する技術的解決策を開発する
• Web、モバイルアプリケーションの技術的基準およびセキュリティ基準を維持する
• ワークショップや講演会、レッスンを通して、開発者のためにセキュアコーディングの教育を実施する
• 疑わしいセキュリティイベントやインシデントを評価・調査し、インシデント対応手順に従いながら修正作業を実施する
• 情報セキュリティ責任者、リーガルチーム、内部監査人と連携して技術的なセキュリティ問題に取り組む

ユニークなチャレンジ

• モダンなクラウドファーストの開発・デプロイ環境で働くことができる
• AI主導の開発環境で働き、急速に変化する技術や新しいプロジェクトに柔軟に対応するというチャレンジを経験できる
• オンラインのマーケットプレイスや決済事業、IoTなど、多様な領域におけるプロジェクトを担う役割だからこそ、自らのスキルや経験をフル活用することができる
• 40ヶ国以上の国籍や多様なバックグラウンド(経験やスキル)を持つメンバーが集まるメルカリだからこそ、さまざまな視点から課題を捉え、議論することができ、それによって自らを成長させることができる

応募要件

• 求める要件/スキル

• 学士号または同等の実務経験

• 次に記載されている開発言語の内、一つ以上の言語に精通していること:Go, PHP, Java, Ruby, Python, Swift, KotlinまたはJavaScript
• システムセキュリティにおける4年以上の分析経験(ペネトレーションテスト、Webアプリケーションセキュリティテスト、脆弱性スキャン、脅威モデリング等)
• モダンWebアプリケーションアーキテクチャ、TLS、HTTP、TCP/IP、標準的なネットワーク、およびシステムセキュリティ技術への深い理解
• 分散型バージョン管理システム(git)、依存管理ツール、ビルドシステム、CI/CDなどの、モダンなソフトウェア開発ツールの使用経験
• 多様な環境で働くための高いチームワーク力

• 効果的な対人・コミュニケーションスキル

• 歓迎条件:

• セキュリティエンジニアリング、コンピュータおよびネットワークセキュリティ、UnixベースのOS、モバイルセキュリティ、認証、セキュリティプロトコル、および応用暗号理論への深い理解

• バックエンド(Go、PHP)やフロントエンド(Web、JavaScript、iOS、Android)アプリケーションのセキュリティ確保における豊富な経験と、新しいフレームワークや技術を迅速に習得できる能力
• オブジェクト指向プログラミング(OOP)、ドメイン駆動設計(DDD)、テスト駆動開発(TDD)などの開発手法に対する深い理解
• マイクロサービスアーキテクチャおよび関連するセキュリティパターンへの深い理解
• OAuth2およびOIDCの実装や内部動作に関する深い理解
• DockerやKubernetesなど、コンテナ・オーケストレーション技術の知識
• 大規模なクラウドインフラやサービス(GCPもしくはAWS)の実務経験
• Wizなどのツールを用いたCSPMアラートの分析を通じ、大規模クラウドインフラのセキュリティを確保した経験

• アジャイルやDevOps環境での実務経験

• 語学力

• 日本語:歓迎

• 英語:Independent (CEFR - B2)

※CEFRの詳細については、こちらをご覧ください

メルカリグループについて知る

• キャリアサイト
• メルカン
• SNS:X / Linkedin

選考について
メルカリグループではメルカリグループおよび各カンパニーのミッションとバリューへの共感・体現を大切にしています。メンバーが発揮する価値の総量が最大化されるような組織づくりを推進するために、候補者のみなさんの経験やスキルをより正しく理解したいと考えています。

選考の流れ

• 書類選考
• 技術課題:エンジニアポジションではHackerRankまたはGithubでの技術課題を、エンジニア以外のポジションでは採用ポジションによります(面接タイミングと前後することがあります)
• 面接:ポジションにより、複数回の面接をお願いします
• リファレンス:オンライン回答形式のもので、最終選考の前後でお願いします
• オファー:最終選考とリファレンスの内容より決定されます

※詳しくは こちらのページをご覧ください

選考における機会の平等
メルカリでは、バックグラウンドによって個人の可能性が決めつけられることなく、自由に価値を生みだす機会を手にできる社会の実現を目指しています。そしてメルカリがミッションを実現するために「Inclusion & Diversity」という考え方は不可欠な存在だと考えています。

採用活動においても、メルカリのミッション・バリューに共感する、様々なバックグラウンドの方にジョインしていただけるよう、年齢、性別、性的指向、人種、宗教、身体能力、その他記号に基づくあらゆる差別をなくすことを約束します。

詳しくは、I&D statementをご覧ください。

なお、ご応募の際にはプライバシーポリシーをご確認ください。