Product Security Engineer - Mercari @ Mercari, inc.

JD in Japanese follows. 英文の後に和文JDをご覧いただけます。

Product Security Engineer - MercariEmployment Status: Full-timeWork Hours: Full Flextime (no core time) Office: RoppongiFor more details, see the Overview of Our Positions section on our Careers site.

About MercariCirculate all forms of value to unleash the potential in all people

"What can I do to help society thrive with the finite resources we have?" The Mercari marketplace app was born in 2013 out of this thought by our founder Shintaro Yamada as he traveled the world. We believe that by circulating all forms of value, not just physical things and money, we can create opportunities for anyone to realize their dreams and contribute to society and the people around them. Mercari aims to use technology to connect people all over the world and create a world where anyone can unleash their potential. For more information about Mercari Group’s mission, see Mercari’s Culture Doc

Organization/Team MissionMercari Engineering Principles

Mercari Engineering Principles are a shared understanding that serves as the foundation of engineering beliefs and behavior at Mercari. The Engineering Principles are designed to complement the organizational identity (Mercari’s mission, values, and culture) from an engineering viewpoint.

These principles ultimately help us achieve Mercari’s mission by defining the ideal state we seek to realize in the long term.

Passion For The ProductGrow TogetherSolve Through MechanismsCollaborate OpenlyFor more details, please see the following link:

Engineering Culture Mercari is looking for a security engineer to join our Product Security Team in Tokyo. The Product Security Team ensures that Mercari products meet security requirements and investigates, tracks, and assists in fixing security issues. The team strives to be a business enabler working on a variety of tasks and applying a risk-based approach to security-related decision making.

As a Product Security Engineer you will be responsible for eliciting and communicating security requirements to product teams, performing threat modeling, design reviews, and security testing. You will also be involved in evaluating, designing, developing, and deploying automated security assessment solutions (DAST, SAST, SCA, etc.) and take on the challenge of ensuring the safety of Mercari’s development lifecycle.

See here for more information about our mission and values.

Work ResponsibilitiesReview product designs to define necessary security requirements based on threat modeling.Review proposed architectures and propose a set of security controls in order to minimize risk.Review source code to find security problems and potential vulnerabilities.Conduct vulnerability assessments and penetration testing on Mercari’s Backend, Web, iOS, and Android applications.Automate security checks and tests so that they can be easily and transparently plugged into the CI/CD pipeline.Develop technical solutions to help mitigate security vulnerabilities.Maintain technical and security standards for Web and mobile application technologies.Educate developers on secure coding practices with workshops, talks, and lessons.Evaluate and investigate suspected security events or incidents and perform remediation in accordance with Incident Response procedures.Collaborate with information security officers, the legal team, and internal auditors on technical security matters. Unique ChallengesWork with a modern, cloud-first development and deployment environment.Ability to work in an heavily AI driven development environment and having to adapt to rapidly changing technologies and new projects.This position will allow you to take full advantage of your skills and experience because you will work on a variety of projects ranging from an online marketplace to payments and IoT.Mercari offers a multicultural environment with colleagues from over 40 different countries and various backgrounds (experiences and skills), so you will be able to discuss and address issues from different perspectives and use that for personal growth. QualificationsRequired Experience/SkillsBachelor's degree or equivalent practical experience.Programming experience with one or more programming languages including but not limited to: Go, PHP, Java, Ruby, Python, Swift, Kotlin, or JavaScript.4+ years of experience analyzing the security of systems (penetration testing, Web application security testing, vulnerability scanning, threat modeling, etc.).Good understanding of modern Web application architecture, TLS, HTTP, TCP/IP, and standard network and system security technologies.Experience with modern software development tools, such as distributed version control systems (git), dependency management, build systems, and CI/CD pipelines.Strong teamwork skills in a diverse environment.Effective interpersonal and communication skills.Preferred Experience/SkillsIn-depth technical knowledge of security engineering, computer and network security, Unix-based operating systems, mobile security, authentication, security protocols, and applied cryptography.Strong experience in securing both backend (Go, PHP) and frontend (Web, JavaScript, iOS, Android) applications with the ability to adopt new frameworks and technologies quickly.Good understanding of development methodologies such as Object-oriented Programming (OOP), Domain-driven Design (DDD), and Test-driven Development (TDD).Good understanding of microservice architecture and related security patterns.Good understanding of the inner workings of OAuth2 and OIDC implementations.Knowledge of container and orchestration technology like Docker and Kubernetes.Experience working with large-scale cloud infrastructure and services (GCP or AWS).Experience with securing large-scale cloud infrastructure through analyzing CSPM alerts from tools such as Wiz.Experience working in an agile and DevOps-centric environment.Language Japanese: Ideal but not requiredEnglish: Independent (CEFR-B2)

For details about CEFR, see here. Learn More About Mercari GroupCareers site: https://careers.mercari.com/en/ Mercan: https://mercan.mercari.com/en/ Social media: X / Linkedin Mercari’s passkey adoptionThe Art of the Security Double Play: How Mercari Combines Internal Audits and Custom CodeQL Queries to Keep Systems SafeThe Mobile Attack Surface | Mercari EngineeringMapping the Attack Surface from the Inside | Mercari EngineeringDevSecOps: What Is It and Why Is It Gaining Momentum in the Industry? | Mercari EngineeringSecuring the SDLC at Mercari: Solutions for Automated Code ScanningThe Product Security Team: Supporting All Phases of Mercari’s Product Lifecycle | mercan (メルカン)Mercari Appoints Naohisa Ichihara as New CISO: Making a Mark in History with the Goal of Establishing the World’s Most Secure MarketplaceGoing Beyond Diverse to Become Borderless: The Culture of Mercari’s Security & Privacy TeamSecurity | Mercari Engineering blogSecurity/Privacy | mercan Recruiting at MercariAt Mercari Group, we value empathizing with and embodying the mission and values ​​of the Group and each company. To promote the creation of an organization that maximizes the total amount of value exhibited by all members, we would like to understand the experience and skills of each candidate as accurately as possible.

Recruiting cycle at Mercari Group

Application screeningSkill assessment: For engineering positions, you will be asked to complete a skill assessment on HackerRank or GitHub. For non-engineering positions, you may be asked to complete an assessment depending on the position. (The timing of the assessment may coincide with the interview process.)Interview: The number of interviews may vary depending on the position.Reference check: We will ask for online references around the timing of the final interview.Offer: Offers will be determined carefully in consideration of the final interview and the reference check. Learn more about our recruiting process here.

Equal Opportunity HiringHere at Mercari, we work to realize a world in which no one’s potential is limited by their background and everyone has the opportunity to freely create value. We also firmly believe that a mindset of Inclusion & Diversity is essential for us to achieve our mission.

This, of course, extends to our hiring practices as well. Mercari is committed to eliminating discrimination based on age, gender, sexual orientation, race, religion, physical disability, and other such factors so that anyone who shares our mission and values can join us, regardless of their background. For more details, please read our I&D statement.

Please read and acknowledge our Privacy Policy prior to submitting your application.

Product Security Engineer - Mercari雇用形態 正社員勤務時間： フルフレックス（コアタイムなし・フレキシブルタイムなし） オフィス：六本木詳細はキャリアサイトの募集要項よりご確認ください

メルカリグループについてあらゆる価値を循環させ、あらゆる人の可能性を広げる

「地球資源が限られているなか、より豊かな社会をつくるために何ができるか」。2013年、創業者の山田進太郎が世界一周の旅で抱いた課題意識から、フリマアプリ「メルカリ」は生まれました。私たちは、物理的なモノやお金に限らずあらゆる価値を循環させることで、誰もがやりたいことを実現し、人や社会に貢献するための選択肢を増やすことができると信じています。テクノロジーの力で世界中の人々をつなぎ、あらゆる人の可能性が発揮される世界を実現していきます。メルカリグループの目指すべき方針についてはMercari Culture Docをご覧ください。

組織・チームのミッションMercariのEngineering Principles

メルカリのEngineering Principlesは、メルカリにおけるエンジニアリングの信念や行動の基盤となる共通認識です。Engineering Principlesは、組織のアイデンティティ（メルカリのミッション、バリュー、カルチャー）をエンジニアリングの観点から補完するよう設計されています。

これらEngineering Principlesは私たちが長期的に実現したい理想の姿を明確にし、最終的にメルカリのミッション達成に貢献するものです。

Passion For The ProductGrow TogetherSolve Through MechanismsCollaborate Openly詳細については以下のリンクをご覧ください。

エンジニアリングカルチャー プロダクトセキュリティチームのセキュリティエンジニアを募集しています。プロダクトセキュリティチームは、メルカリのプロダクトがセキュリティ要件を満たしていることを確認するだけでなく、セキュリティ問題の調査、追跡、解決を支援します。また、リスクベースアプローチを用いてセキュリティ関連の意思決定を行い、ビジネスイネーブラーとしての役割を果たすなど、多岐に渡る業務に取り組んでいただきます。

プロダクトセキュリティエンジニアとして、プロダクトチームに対するセキュリティ要件の策定・共有、脅威モデリング、設計レビュー、およびセキュリティテストの実施を担当していただきます。さらに、DAST、SAST、SCAといった自動セキュリティ評価の仕組みの検討から設計・開発・展開までを行い、メルカリの開発ライフサイクル全体の安全性を確保するというミッションに挑戦していただきます。

メルカリのミッション・バリューについての詳細はこちらをご覧ください

業務内容プロダクトデザインのレビューを行い、脅威モデルを基にセキュリティ要件を定義する提案されたアーキテクチャをレビューし、リスクを最小限に抑えるためのセキュリティ対策を提案するソースコードをレビューし、セキュリティ問題および脆弱性を特定するメルカリのバックエンド、Web、iOS、Androidアプリケーションを対象に、脆弱性診断およびペネトレーションテストを実施するセキュリティチェックおよびテストを自動化し、CI/CDパイプラインに簡単かつ透過的にプラグインできるようにするセキュリティ脆弱性を緩和する技術的解決策を開発するWeb、モバイルアプリケーションの技術的基準およびセキュリティ基準を維持するワークショップや講演会、レッスンを通して、開発者のためにセキュアコーディングの教育を実施する疑わしいセキュリティイベントやインシデントを評価・調査し、インシデント対応手順に従いながら修正作業を実施する情報セキュリティ責任者、リーガルチーム、内部監査人と連携して技術的なセキュリティ問題に取り組む ユニークなチャレンジモダンなクラウドファーストの開発・デプロイ環境で働くことができるAI主導の開発環境で働き、急速に変化する技術や新しいプロジェクトに柔軟に対応するというチャレンジを経験できるオンラインのマーケットプレイスや決済事業、IoTなど、多様な領域におけるプロジェクトを担う役割だからこそ、自らのスキルや経験をフル活用することができる40ヶ国以上の国籍や多様なバックグラウンド（経験やスキル）を持つメンバーが集まるメルカリだからこそ、さまざまな視点から課題を捉え、議論することができ、それによって自らを成長させることができる 応募要件求める要件／スキル学士号または同等の実務経験次に記載されている開発言語の内、一つ以上の言語に精通していること：Go, PHP, Java, Ruby, Python, Swift, KotlinまたはJavaScriptシステムセキュリティにおける4年以上の分析経験（ペネトレーションテスト、Webアプリケーションセキュリティテスト、脆弱性スキャン、脅威モデリング等）モダンWebアプリケーションアーキテクチャ、TLS、HTTP、TCP/IP、標準的なネットワーク、およびシステムセキュリティ技術への深い理解分散型バージョン管理システム（git）、依存管理ツール、ビルドシステム、CI/CDなどの、モダンなソフトウェア開発ツールの使用経験多様な環境で働くための高いチームワーク力効果的な対人・コミュニケーションスキル歓迎条件：セキュリティエンジニアリング、コンピュータおよびネットワークセキュリティ、UnixベースのOS、モバイルセキュリティ、認証、セキュリティプロトコル、および応用暗号理論への深い理解バックエンド（Go、PHP）やフロントエンド（Web、JavaScript、iOS、Android）アプリケーションのセキュリティ確保における豊富な経験と、新しいフレームワークや技術を迅速に習得できる能力オブジェクト指向プログラミング（OOP）、ドメイン駆動設計（DDD）、テスト駆動開発（TDD）などの開発手法に対する深い理解マイクロサービスアーキテクチャおよび関連するセキュリティパターンへの深い理解OAuth2およびOIDCの実装や内部動作に関する深い理解DockerやKubernetesなど、コンテナ・オーケストレーション技術の知識大規模なクラウドインフラやサービス（GCPもしくはAWS）の実務経験Wizなどのツールを用いたCSPMアラートの分析を通じ、大規模クラウドインフラのセキュリティを確保した経験アジャイルやDevOps環境での実務経験語学力 日本語：歓迎英語：Independent (CEFR - B2) ※CEFRの詳細については、こちらをご覧ください

メルカリグループについて知る キャリアサイト https://careers.mercari.com/ メルカン：https://mercan.mercari.com/ SNS：X / Linkedin 選考についてメルカリグループではメルカリグループおよび各カンパニーのミッションとバリューへの共感・体現を大切にしています。メンバーが発揮する価値の総量が最大化されるような組織づくりを推進するために、候補者のみなさんの経験やスキルをより正しく理解したいと考えています。

選考の流れ

書類選考技術課題：エンジニアポジションではHackerRankまたはGithubでの技術課題を、エンジニア以外のポジションでは採用ポジションによります（面接タイミングと前後することがあります）面接：ポジションにより、複数回の面接をお願いしますリファレンス：オンライン回答形式のもので、最終選考の前後でお願いしますオファー：最終選考とリファレンスの内容より決定されます

※詳しくは こちらのページをご覧ください 選考における機会の平等 メルカリでは、バックグラウンドによって個人の可能性が決めつけられることなく、自由に価値を生みだす機会を手にできる社会の実現を目指しています。そしてメルカリがミッションを実現するために「Inclusion & Diversity」という考え方は不可欠な存在だと考えています。

採用活動においても、メルカリのミッション・バリューに共感する、様々なバックグラウンドの方にジョインしていただけるよう、年齢、性別、性的指向、人種、宗教、身体能力、その他記号に基づくあらゆる差別をなくすことを約束します。 詳しくは、I&D statementをご覧ください。

なお、ご応募の際にはプライバシーポリシーをご確認ください。