Security Engineer

JD in Japanese follows. 英文の後に和文JDをご覧いただけます。

Position Overview

Work Responsibilities

• As a Security Engineer in the Mercari Security Engineering Team, you will perform security design and process reviews as well as develop and deploy security countermeasures, and execute penetration tests. This is a unique role within Mercari since you will be involved in high-stakes projects across the organization. In addition, you will help us ensure the integration of and compliance with security best practices, frameworks, and regulations in these projects.
  
• Mercari follows the philosophy of “security as code”, so our security engineers are expected to automate and optimize the solutions they develop. That’s why we are looking for people passionate about automation to join our team! Specifically, you will:
  • Review system designs to define necessary security requirements based on threat evaluation and attack trees.
  • Review architecture proposals, such as infrastructure or information flows, and propose security controls to minimize risks.
  • Conduct vulnerability assessments and penetration testing on Mercari’s production and corporate infrastructure.
  • Automate security controls and monitoring.
  • Develop technical solutions to help mitigate security vulnerabilities.
  • Maintain technical & security standards for production and corporate infrastructure services.
  • Educate engineering teams on security practices with hands on workshops, tech talks, and lectures.
  • Participate in the incident response process, identify remediation actions and deploy countermeasures.
  • Collaborate with information security officers, the legal team, and internal auditors on technical security matters.
    
    

Bold Challenges

• Security Engineers at Mercari are responsible for dealing with a vast array of data, logs, and dependencies. You will be able to use cutting-edge and complex cloud infrastructure systems to help us tackle unknown issues.
• With rapidly growing organizations and services, it is extremely important for Mercari to introduce automation and stop depending on manual work as much as possible. This is an exciting opportunity to gain experience helping us build our security systems and solve issues in a fast-paced environment.
  
  

Required Experience

• 4+ years of experience in security domains
• Programming experience with one or more programming languages including but not limited to: Go, Python, PHP, Javascript
• Public cloud infrastructure platforms (GCP, AWS and Azure), as well as container technologies (Docker, Kubernetes)
• Penetration testing, web application security testing, vulnerability scanning, threat-based infrastructure risk assessment
• Security automation and DevSecOps methodologies
• Corporate security solutions (DLP, IAM, MDM, Endpoint security/EDR, CASB, ZeroTrust, MFA)
• Implemented security controls based on security frameworks and regulations (ISO27001, PCI-DSS, CCPA)
• Key management and applied cryptography (TLS, PKI, KMS, blockchain, data encryption)

Preferred Experience

• Bachelor's degree in Computer Science or equivalent practical experience
• Recognized security certifications (CISSP, OSCP, GIAC)
• Experience leading or investigating in incident handling cases, performed computer forensic investigations, or malware analysis
• Good understanding of modern web application architecture
• Experience with software development tools, such as version control systems, integrated development environments (IDE), and CI/CD tools
• SQL Querying (BigQuery, Mysql)
• Effective interpersonal and communication skills
  
  

Screening Criteria

• Foundation in, and in-depth technical knowledge of, security engineering, computer and network security, operating system security, authentication, security protocols and applied cryptography
• Understanding of HTTP, TCP/IP, and standard network and system security technologies fundamentals
• Coding experience in Go, PHP, JavaScript or Python; experience with mobile security is a plus (iOS and Android applications)
• Programming, Domain Driven Design, and Test Driven Design
• Self-motivated and results-oriented
• Good understanding of microservices architecture
• Knowledge of container and orchestration technology like Docker and Kubernetes
• Experience working on cloud infrastructures like GCP or AWS
• Experience working in a DevOps/Agile environment
• Enjoy programming and automation
• Enjoy working across engineering teams to help define architecture requirements and deliver projects securely
• Strong teamwork skills in a diverse environment
  
  

Technical Assessment Criteria

• Technical test
• Technical interview
• Follow-up exercises
• Interview
• Final interview

Language Requirements

• English or Japanese: Independent (CEFR-B2)
  *For details about CEFR, see here
  • The Security Team is a diverse team with members from around the globe. Team members have various levels of Japanese and English proficiency and we value mutual effort, understanding, and support, and we aim to meet in the middle to make everyone feel comfortable regardless of the member’s native language.

募集要項

業務内容

• メルカリのセキュリティ・エンジニアリングチームの一員として、セキュリティデザインおよびプロセスのレビューをはじめ、セキュリティ対策の構築・展開、ペネトレーションテストなどに取り組んでいただきます。メルカリのセキュリティエンジニアは組織が抱えるハイステークスなプロジェクトに関わる社内でも特殊な役割です。各プロジェクトがセキュリティベストプラクティスやフレームワーク、法規制を組み込んで遵守するようサポートしていただきます。

• また、メルカリは「コードによるセキュリティの確保」の考え方を大切にしています。どのためセキュリティエンジニアは、開発したソリューションを自動化・最適化する役割が期待されているため、自動化・最適化に強い熱意を持った人材を求めています。具体的な業務内容は以下の通りです。
  • システムデザインのレビューを行い、脅威評価および攻撃ツリーを基にセキュリティ要件を定義する
  • インフラや情報フリーなどの、アーキテクチャに関わる提案のレビューを行い、セキュリティコントロールを提案してリスクを最小限に抑える
  • メルカリのプロダクション・コーポレートインフラ上で、脆弱性評価およびペネトレーションテストを実施する
  • セキュリティコントロールおよびモニタリングを自動化する
  • セキュリティ脆弱性を緩和する技術的解決策の開発
  • プロダクション・コーポレートインフラサービスの、技術的基準およびセキュリティ基準を維持する
  • ハンズオン形式のワークショップ、技術共有会、レクチャーを通して、エンジニアリングチームのためにセキュリティプラクティスに関する教育を実施する
  • インシデント対応プロセスに関わり、修正アクションの特定し対策を展開する
  • 情報セキュリティ責任者、リーガルチーム、内部監査人と連携して技術的なセキュリティ問題に取り組む

大胆なチャレンジ

• メルカリのセキュリティエンジニアは、膨大なデータ、ログ、依存関係を扱う役割を担います。そのため最先端かつ複雑なクラウドインフラシステムを使用しながら、未知の問いに挑戦することができます
• 急成長・急拡大する組織とサービスを持つメルカリだからこそ、自動化に取り組みマニュアル作業への依存を減らすことは非常に意義のあることです。早いスピードを維持しながら、セキュリティシステムの構築のみならず課題解決をすることは、とてもエキサイティングな経験を得られると考えています

必須条件

• 4年以上のセキュリティドメインにおける経験
• 次に記載されている開発言語の内、一つ以上の言語に精通していること：Go、Python、PHP、Javascript.
• パブリッククラウドインフラプラットフォーム（GCP、AWS、Azure）およびコンテナ技術（Docker、Kubernetes）の経験
• ペネトレーションテスト、Webアプリケーションセキュリティテスト、脆弱性スキャン、脅威ベースのインフラリスク評価の経験
• セキュリティの自動化およびDevSecOps手法の経験
• コーポレートセキュリティソリューション（DLP、IAM、MDM、エンドポイントセキュリティ/EDR、CASB、ゼロトラスト、MFA）
• セキュリティフレームワークおよび法規制（ISO27001、PCI-DSS、CCPA）に基づいたセキュリティコントロールの実装経験
• 暗号鍵の管理および応用暗号理論（TLS、PKI、KMS、ブロックチェーン、データ暗号化）

歓迎条件

• 学士号（コンピュータサイエンス）または同等の実務経験
• セキュリティ関連資格（CISSP、OSCP、GIAC）
• インシデント対応案件の指揮・調査経験、コンピュータフォレンジック調査およびマルウェア解析の実施経験
• モダンなWebアプリケーションアーキテクチャへの深い理解
• バージョン管理システム、統合開発環境（IDE）、CI/CDツールなどの、ソフトウェア開発ツールに精通している方
• SQLクエリ（BigQuery、Mysql）
• 効果的な対人・コミュニケーションスキル

選考のポイント

• セキュリティエンジニアリング、コンピュータおよびネットワークセキュリティ、OSセキュリティ、認証、セキュリティプロトコル、および応用暗号理論への深い理解
• HTTP、TCP/IP、 標準ネットワーク、システムセキュリティの技術に対する理解
• Go、PHP、JavaScript、もしくはPythonを用いての開発経験　モバイルセキュリティ（iOSおよびAndroidアプリ）の経験（尚可）
• プログラミング、ドメイン駆動設計、テスト駆動設計
• 自発的かつ成果志向の方
• マイクロサービスアーキテクチャへの深い理解
• DockerやKubernetesなどの、コンテナ・オーケストレーション技術に精通している方
• クラウドインフラ（GCPもしくはAWS）の実務経験
• DevOpsやAgile環境での実務経験
• プログラミングおよび自動化が好きな方
• さまざまなエンジニアリングチームと連携して、アーキテクチャ要件定義、およびプロジェクトの安全な安全な実現をサポートしてくれる方
• 多様な環境で働くための高いチームワーク力

技術課題のポイント

• 技術テスト
• 技術面接
• フォローアップエクササイズ
• 面接
• 最終面接

語学力

• 英語または日本語: Independent (CEFR-B2)
  *CEFRの詳細については、こちらをご覧ください
  • セキュリティチームはとても多様なチームで、さまざまな国のメンバーで構成されています。チームメンバーの日本語力・英語力はさまざまで、お互いの努力、理解、サポートを大切にしながら、母国語に関係なく誰にとっても心地よい環境構築に努めています。