メルカリ: Mandiant のサイバー防御ソリューションを活用し、安心・安全なサービス基盤をさらに強化

日本最大規模のフリマサービス「メルカリ」や、スマホ決済サービス「メルペイ」などで知られる株式会社メルカリ（以下、メルカリ）。同社は昨今、フリマ関連事業にとどまらない多角化を推し進めており、2024 年 3 月に「メルカリ ハロ」を立ち上げ、スポットワーク事業に進出したことも話題になりました。そんな同社は 2024 年 4 月、総合的なセキュリティ体制の確認と強化に向けて、Mandiant のサイバー防御ソリューションを採用しています。その経緯と成果について、同社 Security & Privacy Team の担当者に話を伺いました。

利用しているサービス:
Mandiant

利用しているソリューション:
Google Cloud Security

Mandiant ならではの知見と豊富なサービスに期待し採用を決定

メルカリは 2013 年 7 月にサービス提供を開始。その後、かなり早い段階で BigQuery をはじめとするソリューションを導入するなど、Google Cloud を積極的に活用してきました。2016 年末には Google Kubernetes Engine（GKE）を「メルカリ」の運用基盤に採用し、現在は「メルペイ」などの多くのサービスも Google Cloud 上で稼働しています。

このような中、同社のセキュリティ部門は、Google Cloud のセキュリティ専門部隊である、Mandiant のサイバー防御ソリューションを採用。2024 年 4 月から 12 月にかけて、演習プロジェクトなどを実施しています。メルカリ執行役員、VP of Security & Privacy のジェイソン フェルナンデス氏は、その理由を次のように説明します。

近年は、多くのオンライン サービスが不正アクセスなどの脅威にさらされています。メルカリのようなセンシティブな個人情報を多く取り扱う企業には、被害を未然に防ぐ取り組みだけでなく、各種法令遵守や、被害が発生した際の迅速かつ適切な対応に向けた体制作りなども求められるようになりました。フェルナンデス氏によれば、コンサルティング サービス、脅威インテリジェンス、攻撃対象領域の管理、セキュリティ対策やプロセスの検証など、サイバー防御強化のあらゆる段階を支援する Mandiant のサービスを採用することは、その意味でも合理的な選択でした。

「もともと私は、Mandiant が Google Cloud と統合する前から高い専門性と技術力に注目していました。Mandiant は長年セキュリティ問題に取り組んできただけあり、豊富な知見の提供も期待できます。また、各種の演習やインシデント対応訓練、問題が発生した際の IRR （インシデントレスポンス・リテイナー）といった豊富なサービスが用意されていることも、我々のニーズに合致していました。」

Mandiant の採用は、運用コストの節約という面でも有意義でした。Mandiant では事前に年間プリペイド ユニット（一種のチケット）を購入し、脅威インテリジェンスとコンサルティングを利用できる Expertise On Demand（EOD）サービスが提供されています。これは予算枠を賢く使い切りつつ、必要なサービスを、必要なタイミングでフレキシブルに活用することを可能にします。

「レッドチーム演習」でサイバー セキュリティ体制を実践的に検証

EOD の枠組みを活用した取り組みにおいて特に重視されたのは「レッドチーム演習」です。この演習では、 Mandiant の第一線のセキュリティ エキスパートが「レッドチーム」として疑似サイバー攻撃を仕掛け、防御側の「ブルーチーム」が不正侵入に対抗するという、極めて実践的な演習が展開されます。 Mandiant が侵害調査の最前線で観測している攻撃手法などが使われる点も特徴です。メルカリではこれまでも 1～2 年ごとにレッドチーム演習を実施し、サイバー セキュリティ体制を総合的に評価してきました。フェルナンデス氏は、Mandiant との共同作業は、従来の試みをさらに充実させるものになったと語ります。

「レッドチーム演習はメルカリとして 5 回目、前回からほぼ 1 年半ぶりとなりました。今回はここ数年で立ち上げた暗号資産事業やスポットワーク事業で取り扱うセンシティブな個人情報に、攻撃側がたどり着けるかどうかを検証することを主なゴールの 1 つに設定。Mandiant には、これまでのベンダーとは異なる観点で攻撃シナリオを考えていただきました。かなり難しいお願いもしたのですが、Mandiant には柔軟に対応していただき、非常に効果的かつ実戦的なシナリオを作ることができたと思います。多種多様な脅威に対して、我々のセキュリティ体制やツール類がしっかりと機能していることを確認できたのは、大きな収穫でした。」

攻撃シナリオ策定の際には、Mandiant によるサイバー脅威プロファイルも実施されています。フェルナンデス氏と共にプロジェクトをリードした、Security Technical Program Manager のフランチェスカ ベルニル氏は、レポートの価値を高く評価していました。

「Mandiant との取り組みはメルカリ社内、特にセキュリティ チーム内に良い影響をもたらしています。レポートを経営幹部と共有することで、セキュリティの最新トレンドや脅威について幅広く理解してもらう効果もありました。今年の 1 月に入社した私自身にとっても、メルカリのシステムやセキュリティ全体の理解がさらに深まるなど、多くの学びがあったと感じています。」

Google Cloud と Mandiant のさらなる相乗効果に期待

今回のプロジェクトでは、Mandiant の机上演習サービスやインシデント対応プロセス評価サービスなども活用されています。フェルナンデス氏は、活動に求めていたすべての目標を達成できたと力強く総括しました。

「ブランドとして『安心・安全』を掲げるメルカリにとって、セキュリティとプライバシー対策は事業の要となります。一連のプログラムでは、セキュリティ体制を包括的に検証できただけでなく、全社的なセキュリティ意識を一層高めるきっかけも作れたと感じています。その要因の 1 つは Mandiant の EOD ならではの自由度の高さにあります。必要なサービスを必要なタイミングで利用することができ、内容を柔軟にカスタマイズできたことも有効でした。」

今後、メルカリではクレジット残高の範囲でインシデント対応をリハーサルして調整できる仮想環境、ThreatSpace サイバーレンジや Mandiant Threat Intelligence、資格認定プログラム Mandiant Academy などの利用も検討していくとのことです。最後にフェルナンデス氏は、Mandiant とGoogle Cloud に寄せる期待の大きさを語ってくれました。

「将来的には Google Workspace のセキュリティ成熟度評価や、Google Cloud に特化した評価プログラム、Google の専門家によるオンデマンドのサービス提供など、より踏み込んだサービスが提供されるとうれしいですね。メルカリのように Google Cloud を長年利用してきた企業にとって、Mandiant のサイバー防御ソリューションもトータルで活用できるのは理想的ですので、さらなる相乗効果に期待しています。」

株式会社メルカリ
2013 年 2 月 1 日設立。同年 7 月にフリマアプリ「メルカリ」をリリースし、国内ではまだ未開拓だった同市場を切り拓いた。近年は事業領域を拡大しており、決済サービスの「メルペイ」やスポットワーク事業の「メルカリ ハロ」のほか、ビットコイン取引サービス「メルコイン」、B2B 向け EC サービス「メルカリ Shops」なども展開している。従業員数は約 2,120 名（2024 年 9 月末時点）。

インタビュイー（写真左から）
・執行役員 VP of Security & Privacy
　ジェイソン フェルナンデス（Jason Fernandes）氏
・Security Technical Program Manager
　フランチェスカ ベルニル（Francesca Bernil）氏

その他の導入事例はこちらをご覧ください。