株式会社メルカリ|セキュリティ診断導入事例

日米合算6,000万ダウンロード、月間流通額100億円超の日本最大のフリマアプリにセキュリティ診断を実施

Webアプリケーション脆弱性診断

ネットワークペネトレーションテスト

  • 課題 多くのユーザーに利用され金銭が絡む以上、悪意ある攻撃者に標的にされることが想定され、イギリス市場進出を控えて安心・安全への特別な配慮が必要だった。
  • 解決 複数業者へ相談する中で、詳細な仕様を開示せずともAPI仕様を理解する能力に高い技術力を感じ、サイバーディフェンス研究所へ依頼することになった。
  • 成果 サービスの快適性と信頼性を高いレベルで両立するための取り組みの一つとして、変化し続けるコードやインフラに対応できる技術力を持つ定期診断を位置づけている。
日米合算6,000万ダウンロード、月額流通額100億円を超える日本最大のフリマアプリに対し、セキュリティ診断を実施

日本最大のフリマアプリを提供する(株)メルカリでは、簡単かつ安全にモノを売買できる『メルカリ』を提供する事で、人による価値観の違いから生まれる「捨てる」という行為を無くす事に貢献しています。 メルカリは現在日本・アメリカ・イギリスで展開し、ダウンロード数は6,000万を超え、月間で100億円を超える流通が発生しています。
(ダウンロード数,流通額などは2017年3月時点の値です)

日本最大フリマアプリの信頼性を高めるための専任チーム

1ヶ月で100億円を超える流通が発生する程に多くのユーザーに利用されているサービスですが、金銭が絡む要素がある以上、悪意ある攻撃者から標的にされる事が想定され、お客様に安心して使っていただくために安心・安全には特別な配慮を持っています。
いつでも快適且つ安全に利用できるというサービスの信頼性を向上すべく、インフラの可用性やセキュリティの担保のために日々取り組んでいるのがメルカリSRE(Site Reliability Engineering)チームです。
今回はイギリス市場への進出を控えるタイミングで、取り組みの一環としてサイバーディフェンス研究所へセキュリティ診断を依頼しました。

仕様に依存せず、ネットワーク通信からAPIプロトコルを解析する技術力

SREチームの担当者は前職においてサイバーディフェンス研究所へ診断を依頼した事があります。
その際の出来事として「オフィス外にあるインターホンから社内のネットワークへ侵入,そこからネットワークの特権ユーザーを奪取された」経験があり、その手法から高い技術力を感じていました。
今回、複数の診断業者へ相談しましたが、詳細な仕様を開示せずともAPI仕様を理解する能力を持ったサイバーディフェンス研究所に高い技術力を再び感じ依頼する事になりました。

使い勝手を損なわずに守るべきものを守るために

メルカリSREチームではサービスの快適性と信頼性を高いレベルで両立すべく、安心・安全に提供し続けるための方法をこれからも模索し続けます。
そのための取り組みの1つがセキュリティ診断と考えており、コードやインフラも変化し続ける世の中においては定期的な実施且つ変化に対応できる技術力を持った診断が必要と考えています。

会社名 株式会社メルカリ
ホームページ https://about.mercari.com/
事業内容 フリマアプリ「メルカリ」の企画・開発・運用

ご利用サービスの詳細

セキュリティ診断サービス 他社導入事例

三菱総研DCS株式会社様

サイバーディフェンス研究所からは当社の要件を踏まえた提案をいただいており、コストと診断内容のバランスが適切である点を評価しました。

横河電機株式会社様

ISASecure認証で要求されるペネトレーションテストの資格を有するエンジニアが複数在籍していることから、その高い専門性と豊富な実績に期待してサイバーディフェンス研究所に委託しました。

日揮ホールディングス株式会社様

技術力が高く、様々な組織に対して診断サービスを提供された実績が豊富である点に加え、丁寧かつスピーディにご対応いただいた点が決め手になりました。

株式会社MILIZE様

顧客の将来キャッシュフローや資産状況を扱う金融サービスに対して、高度な手動診断と実戦的なアプローチに強みを持つサイバーディフェンス研究所へ脆弱性診断を委託しました。

株式会社インターネットイニシアティブ様

プライバシー保護のためのサービス「STRIGHT」をお客様に安心してご利用頂くために診断を依頼しました。

アイリス株式会社様

IoT機器などのハードウェアに関する診断サービスを国内で提供している事業者様は多くないため、サイバーディフェンス研究所の診断に期待して依頼しました。

株式会社MICIN様

豊富な経験に基づくサイバーディフェンス研究所の診断サービスによって、1つでも多くの脆弱性が検出される事を期待して依頼させていただきました。

ベルトラ株式会社様

セキュリティレベルの向上を目指し、新サービスのリリースに伴い、サイバーディフェンス研究所による手動診断を実施することを決定しました。

フォースタートアップス株式会社様

以前までは他社に委託してWebアプリケーション診断を実施していましたが、今回はこれまでにない別の観点から診断を行うことで未知の脆弱性を発見できることを期待して依頼させていただきました。

クックパッド株式会社様

セキュリティへの取り組みや想いを自分の言葉で語るエンジニアの人間性に魅力を感じ、サイバーディフェンス研究所にペネトレーションテストを委託しました。

freee株式会社様

最新の攻撃からお客様の情報を守るためには一般的なセキュリティ対策では十分と言えず、攻撃者の思考を持って攻撃を実施するサイバーディフェンス研究所へ診断を依頼しました。

メルカリ株式会社様

詳細な仕様を開示せずともAPI仕様を理解する能力を持ったサイバーディフェンス研究所に高い技術力を感じ、診断を依頼する事になりました。

サイボウズ株式会社様

自社のクラウドサービス「cybozu.com」でお客様へ提供するサービスに対して適切なセキュリティを確保すべく、アプリケーションに対するペネトレーションテストをサイバーディフェンス研究所に委託しました。

株式会社MIXI様

以前より実施してきたWebアプリケーションへのセキュリティ診断に加え、外部、内部からのネットワークへのペネトレーションテストをサイバーディフェンス研究所に委託しました。

株式会社ディー・エヌ・エー様

画一的な脆弱性の列挙ではなく、その脆弱性がハッキングで悪用されることでどのようなリスクにつながるかを認識することができました。

株式会社日立製作所様

DMZに対してインターネット経由で侵入できるか、侵入された場合に被害を食い止めることが可能か等を検証するために、リアルな外部の脅威を想定したペネトレーションテストを依頼しました。

伊藤忠テクノソリューションズ株式会社様

セキュリティ対策が有効に機能しているのか、対策の漏れはないのかを判断するには、脅威の対象である「人」によるペネトレーションテストが必要であると判断しサイバーディフェンス研究所に依頼しました。

お気軽にお問い合わせください

製品やサービスに関するご質問、お見積りのご用命、課題解決のご相談はこちらから
なお、機密性を重視したご依頼は cdiprivacy(at)protonmail.com 宛てのメールでも承ります。
※ (at) は @ に置き換えてください。