Enterprise Security Engineer(コーポレートセキュリティエンジニア)- Mercari

JD in English follows. 和文の後に英文JDをご覧いただけます。

Introduction

あらゆる価値を循環させ、あらゆる人の可能性を広げる

「地球資源が限られているなか、より豊かな社会をつくるために何ができるか」。2013年、創業者の山田進太郎が世界一周の旅で抱いた課題意識から、フリマアプリ「メルカリ」は生まれました。私たちは、物理的なモノやお金に限らずあらゆる価値を循環させることで、誰もがやりたいことを実現し、人や社会に貢献するための選択肢を増やすことができると信じています。

テクノロジーの力で世界中の人々をつなぎ、あらゆる人の可能性が発揮される世界を実現していきます。メルカリグループの目指すべき方針についてはMercari Culture Docをご覧ください。

選考における機会の平等

メルカリでは、バックグラウンドによって個人の可能性が決めつけられることなく、自由に価値を生みだす機会を手にできる社会の実現を目指しています。そしてメルカリがミッションを実現するために「Diversity & Inclusion」という考え方は不可欠な存在だと考えています。

採用活動においても、メルカリのミッション・バリューに共感する、様々なバックグラウンドの方にジョインしていただけるよう、年齢、性別、性的指向、人種、宗教、身体能力、その他記号に基づくあらゆる差別をなくすことを約束します。詳しくはD&I statementをご覧ください。

（日本語）

ポジション名：コーポレートセキュリティエンジニア

※英語表記のタイトルと少し異なっておりますが、同じポジションとなります。

シニアレベル（アーキテクト）とメンバーレベル（IC）でマッチする方を探しております。

コーポレートセキュリティエンジニアとして、コーポレートエンジニアチームやプロダクト開発チームと綿密に連携し、メルカリグループをリードしていただきます。具体的には、コーポレートIT環境に対するリスク評価、セキュリティ対策の要件定義などの上流工程から、ソリューション導入、運用などの下流工程まで多岐にわたります。幅広い業務に携わりながら、IT環境全体のセキュリティ強化を推進し、ゼロトラストアーキテクチャーの実現に貢献していただきます。

業務内容

• IT環境に関するリスク評価とセキュリティ戦略の策定
  • 脅威モデリングを通してIT環境のセキュリティに関するリスク評価
  • IT環境に必要なセキュリティ対策の要件定義
  • セキュリティに関するポリシーとの整合性調整

• IT環境のセキュリティ対策デザイン
  • 導入ソリューションの選定と比較検討
  • 導入ソリューションの運用設計
  • 運用上の課題整理と解決策の検討
  • 経営層への提案と合意形成

• セキュリティソリューションの実装および運用
  • セキュリティ対策の運用（設定や問い合わせ対応）をコード化し、できるだけ自動化を行う
  • セキュリティベンダとの連携
  • セキュリティ対策のモニタリングや評価

• 企業資産に関わるインシデント対応力の向上
  • セキュリティ対策管理の徹底
  • 脅威検知エンジニアリングチームによる対応プレイブック作成のサポート
  • 緊急対応チームと連携し、社内インフラ関連ドメインのプロジェクトメンバーとして業務遂

大胆なチャレンジ

• クラウドネイティブ環境において、前例のない社員の自由な働き方を支援することができる
• 自由な働き方への積極的なサポートを通じて、最先端のコーポレートITセキュリティを実現することができる
• セキュリティ要件定義などの上流工程から会社のIT環境をデザインし、実際のソリューション導入、運用などの下流工程まで、広い業務に裁量権を持って取り組める
• グローバルなスケールかつ急成長する組織や環境のなかで、ダイナミズムに富んだセキュリティ実装にチャレンジできる

必須条件

• ITに関連するサイバーセキュリティの専門領域における学士号または同等の実務経験。
• クラウド環境におけるITシステムのリスク評価、セキュリティ要件策定、設計の経験
• エンドポイントセキュリティの検討,構築,運営及び改善の経験
• ID管理、認証システムの導入、運用経験
• セキュリティインシデント対応経験(影響分析、調査、対応、再発防止策の検討と実行支援)
• ITインフラに関する深い知識（TCP/IP, ネットワーク, サーバ, 認証、ディレクトリサービス,エンドポイントマネージメント）
• 多様性のある環境で他者との強いチームワークを発揮できる方
• セキュリティ上の脅威やリスクを効果的に提示、伝達し、緩和策や戦略を違和感なく落とし込む能力
• プロジェクトマネジメント経験
• メルカリのミッションとバリューに共感していただける方

歓迎条件

• セキュリティアーキテクト/ITアーキテクトの業務経験
• クラウドネイティブやゼロトラストベースのコーポレートITのシステムアーキテクチャの設計、セキュリティ製品評価やPoC、構築、運用の経験
• クラウドベース環境、Infrastructure as Code、およびデプロイメントパイプラインに関する知識と実務経験
• Go、Python、Javascriptなどの開発言語の知識、およびリビジョン管理ツール（Githubなど）によるコードの管理経験
• 情報システムやアプリケーションの開発および運用管理やシステムセキュリティに関する全般的な知識
• セキュリティ機器や監視基盤（CASB、EDR、DLPなど）の構築・運用経験
• チームマネジメントの経験
• 情報セキュリティ関連の資格保有(CISSP, CEH, SANS GIAC等)
• システムや情報セキュリティ関する監査の実施経験
• 金融事業における業務経験・知識
• PCI DSS、GDPR等のコンプライアンス要件の理解

選考プロセス

• 書類選考
• スキルテスト
• 面接（３~４回）
• リファレンスチェック
• オファー

※最終結果については面接結果とリファレンスチェックの結果をもとに決定致します。

語学力

• 英語：日常会話レベル（必須）,ビジネスレベル（歓迎／CEFR-B2）
• 日本語：流暢レベル（必須／CEFR-C1）
• *CEFRの詳細については、こちらをご覧ください

雇用条件

雇用形態

正社員

• 試用期間：入社後3ヶ月（本採用と同条件)　

オフィス

六本木

• 受動喫煙対策: 屋内全面禁煙
• メルカリには「YOUR CHOICE」というワークスタイルに関する制度があります。オフィス出社をすることも、フルリモートワークを選択することも自由に選択することができます。※一部職種を除く

勤務時間

• フレックスタイム制（コアタイムなし・フレキシブルタイムなし）
  ※一部職種を除くため、ご応募の際にお問合せください。

休日・休暇

• 完全週休2日制（祝祭日、年末年始 等）
• 有給休暇、慶弔休暇、リラックス休暇、Sick Leave

給与

• 月給制（固定残業代含む）
• スキル・経験・能力に応じて決定いたします
• 毎年2回見直し

ベネフィット　

• 各種社会保険完備
• インセンティブ制度
• 社員の家族を含めた支援制度
  ※ 詳しくはこちらのページをご覧ください。

サポート　

• リロケーションサポート
• 言語学習のサポート
• 翻訳と通訳のサポート

　　※ 詳しくはこちらのページをご覧ください。

メディア

コーポレートサイト

• 株式会社メルカリ
• 株式会社メルペイ
• 株式会社ソウゾウ
• 株式会社メルコイン
• 株式会社メルロジ
• Mercari US

当チームの関連記事

• 新しいことを学び挑戦するSecurity Engineeringは、グループのセキュリティを横断的かつ包括的にサポートする
• ビジネスを拡大するために最強のIT環境をつくる。メルカリの“働くを下支え”するCorporate IT Security
• セキュリティって本当におもしろい！──「セキュリティ・キャンプ」で講師を務めた二人による“セキュリティよもやま話”
• Kubernetes Threat Matrixの再構築およびFalcoによる攻撃検知の検証

その他のセキュリティチームの関連記事

• プロダクトライフサイクルのあらゆるフェーズを支援するProduct Securityチーム。メンバーの共通点は「好奇心」
• 次に何が起こるかのリスクを正しく探る。メルカリCSIRTが「脅威インテリジェンスリサーチ」を他人任せにしない理由
• “0→1”フェーズの苦悩も醍醐味も味わった、メルカリの情報セキュリティガバナンスチームが今思うこと
• 情報資産を可視化して、リスクを評価し、ルールを作る──メルカリのセキュリティ文化を構築したGo Boldなプロジェクト
• セキュリティの専門家集団の旗振り役を担う。Security Strategyが目指す、スケーラブルな組織づくり
• 改正法対応から社内浸透まで。プライバシーのプロフェッショナル集団「Privacy Office」の中の人たち
• 仮想チーム「CISO Office」が始動。設立背景からチームミッションまで余すことなく公開
• 新メルカリCISOに元LINE市原尚久が就任「歴史の1ページつくる感覚」世界一セキュアなマーケットプレイス確立に挑む
• Terraform CIでのコード実行制限
• メルカリでのDetection EngineeringとSOAR
• ダイバースを越えた「ボーダレス」へ。メルカリ・セキュリティチームの組織カルチャーと実践
• Security | Mercari Engineering blog
• Security | mercan

Introduction

Circulate all forms of value to unleash the potential in all people

"What can I do to help society thrive with the finite resources we have?" The Mercari marketplace app was born in 2013 out of this thought by our founder Shintaro Yamada as he traveled the world. We believe that by circulating all forms of value, not just physical things and money, we can create opportunities for anyone to realize their dreams and contribute to society and the people around them. Mercari aims to use technology to connect people all over the world and create a world where anyone can unleash their potential.For more information about Mercari Group’s mission, see Mercari's Culture Doc.

Equal Opportunity Hiring

Here at Mercari, we work to realize a world in which no one’s potential is limited by their background and everyone has the opportunity to freely create value. We also firmly believe that a mindset of Diversity & Inclusion is essential for us to achieve our mission.

This, of course, extends to our hiring practices as well. Mercari is committed to eliminating discrimination based on age, gender, sexual orientation, race, religion, physical disability, and other such factors so that anyone who shares our mission and values can join us, regardless of their background. For more details, please read our D&I Statement.

Position Overview

As an IT Security Specialist, you will work closely with the product divisions and teams to lead security initiatives within the Mercari Group. This position handles a wide range of tasks, from upstream processes like assessing risks facing the corporate IT environment and defining requirements for security measures, to implementing solutions and other downstream processes. You will also work to strengthen security for the IT environment as a whole and contribute to implementing zero-trust architecture.

（英語）

Job Posting Title: Enterprise Security Engineer

We are looking for two profile of candidates:

• Senior / Architect level
• Mid-career / Individual Contributor

Mercari is undergoing an internal transformation as the group is moving from a startup to a company with multiple group companies. Our IT infrastructure needs to adapt to these changes. A major ongoing initiative is to manage our infrastructure like our production with a Corporate SRE team. The security team is supporting this initiative.

As an Enterprise Security Engineer, you will work closely with the Corporate Engineering team and production teams to lead security initiatives within the Mercari Group. This position handles a wide range of tasks, from upstream processes like assessing risks facing the corporate IT environment and defining requirements for security measures, to implementing solutions and other downstream processes. You will also work to strengthen security for the IT environment as a whole and contribute to implementing zero-trust architecture.

Mission and key goals

• Secure our infrastructure, corporate environment and services
• Identify risks and resolves issues through scalable solutions
• Maintain and update a secure enterprise platform vision and roadmap

Work Responsibilities

• Formulating risk assessments and security strategies relating to the IT environment
  • Assessing risks relating to the security of the IT environment through threat modeling and regular reviews.
  • Defining requirements for security measures necessary for the IT environment
  • Ensuring consistency with security policies
  • Maintenance and ownership of the corporate IT security roadmap
  • Document and be able to report about the state of maturity of our infra against a defined standard.

• Designing security measures for the IT environment
  • Selecting and comparing solutions to be implemented
  • Planning operations for solutions to be implemented
  • Identifying problems in operations and considering solutions
  • Proposing solutions and building consensus with senior management

• Implementing and running security solutions
  • Running security measures (setting configurations, answering questions, etc.) as code and through automation.
  • Liaising with the IT team and security vendors
  • Monitoring and evaluating security measures
  • Coordinate with the IT team for the review and release of security configurations and countermeasures.
• Improve incident handling capabilities related to Enterprise assets.
  • Master the management of our security countermeasures
  • Support the Threat Detection Engineering team in creating response playbooks
  • Act as subject matter expert for enterprise infrastructure related domains, in collaboration with the emergency response team.

Bold Challenges

• Support the freedom of employees to choose whatever work style is best for them through a cloud-native environment
• Provide active support for diverse work styles within and outside of Japan and the US.
• Work on a wide range of tasks, from upstream processes like defining security requirements to designing the company’s IT environment and actually implementing solutions
• Take on the challenge of implementing dynamic security in a rapidly-growing global organization and environment

Required Experience

• Bachelor's degree or equivalent practical experience in core cybersecurity domains related to IT.
• Experience assessing risks and formulating/designing security requirements for cloud based IT systems
• Experience analyzing, building, administrating, and improving endpoint security
• Experience implementing and operating identity and role management, as well as authentication systems
• Experience handling security incidents (impact analysis, investigation, response, consideration of and support for implementing preventative measures)
• Extensive knowledge of IT infrastructure (TCP/IP, networks, servers, authentication, directory services, endpoint management)
• Strong teamwork skills and the ability to collaborate with others in a diverse environment.
• Ability to effectively present and communicate security threats and risks to any audience and impress upon them the mitigation techniques and strategies
• Experience managing projects
• Shared belief in Mercari’s mission and values

Preferred Experience

• Experience working as a security architect or IT architect
• Experience leading or managing teams
• Certifications related to information security (CISSP, CEH, SANS GIAC, etc.)
• Understanding of compliance requirements such as PCI DSS and GDPR
• Knowledge of and experience working in a cloud-based environment, infrastructure as code, as well as deployment pipelines
• Knowledge of development languages like Go, Python or Javascript and management of code through revision control tools (like Github)
• Knowledge of and experience working in financial or crypto asset businesses
• General knowledge of information system/application development/management and system security
• Experience carrying out audits regarding systems and/or information security
• Experience building and operating security devices and monitoring infrastructure (CASB, EDR, DLP, etc.)

Recruitment process

• CV screening
• Technical test
• Interview (3 - 4 times)
• Reference check
• Offer

*We will decide based on the feedback on the final interview and the references.

Screening Criteria

• Does the candidate have the necessary experience and knowledge to carry out the work required of this position?
• Is the candidate flexible in their thinking and capable of adapting in a constantly-changing environment?
• Can the candidate proactively find issues with the current situation, identify the problem, and work to resolve it?
• Does the candidate have the logicality and communication skills to explain the background and purpose of security initiatives to their counterparts in various levels and build consensus?

　*See this page for details.

Language Requirements

• English: Conversational (required), business level (preferred)
• Japanese: Near-native level (required)

Working Conditions

Employment Status

Full-time

• Probationary period: First 3 months after joining the company. (During this period your contract conditions will be the same as that of a permanent employee.)

Office

Roppongi

• Smoking is prohibited within our offices
• Mercari has introduced a work style policy called “Your Choice.” Each member is free to choose whether they want to work in the office or work fully remote. *Exceptions made for certain kinds of work.

Work Hours

• Full flextime (no “core time” or “flex time”)
  *Does not apply to all positions

Holidays

• Two days off per week (as well as national holidays, New Year's break, etc.)
• Paid leave, congratulatory and bereavement leave, relax days, sick leave

Salary

• Annual salary paid in 12 monthly installments (including fixed overtime allowance)
• Based on skills, experience, and abilities
• Reviewed twice a year

Benefits

• Complete health and social insurance
• Incentive program
• Support systems, including those that benefit the employee’s family members
  *See this page for details.

Other Support

• Relocation support
• Language learning support
• Translation/interpretation support
  *See this page for details

Corporate Sites

• Mercari, Inc.
• Merpay, Inc. [Japanese]
• Souzoh, Inc.
• Mercoin, Inc.
• Mercari US

Relevant Articles about the team

• Mercari’s Security Engineering Team: Taking on New Challenges and Supporting a Broad Scope of Functions Across a Flat Team Structure
• Building a Robust IT Environment to Grow the Business The Corporate IT Security Team supports the very foundations of Mercari
• Restructuring the Kubernetes Threat Matrix and Evaluating Attack Detection by Falco

Relevant Articles about other teams in the security division

• The Product Security Team: Supporting All Phases of Mercari’s Product Lifecycle
• Mercari’s Threat Detection Engineering Team: Continuously improving to provide autonomous cyber threat detection and response at scale
• Accurately Identifying Upcoming Risks: Why Mercari’s CSIRT Makes Sure to Conduct Its Own Threat Intelligence Research
• Mercari’s Privacy Office: adapting to amended laws and spreading awareness in the organization
• The CISO Office: A Deep Dive into the Background, Mission, and More of the Virtual Team Supporting Mercari’s CISO.
• Mercari Appoints Naohisa Ichihara as New CISO: Making a Mark in History with the Goal of Establishing the World’s Most Secure Marketplace
• Going Beyond Diverse to Become Borderless: The Culture of Mercari’s Security & Privacy Team
• Who Watches the Watchmen? Keeping an Eye on Our Monitoring Systems
• Security | Mercari Engineering blog
• Security | mercan