Security Engineer (Product Security)

JD in Japanese follows. 英文の後に和文JDをご覧いただけます。

Position Overview

Work Responsibilities

• Mercari is looking for a security engineer to join our Product Security Team in Tokyo. The Product Security Team ensures that Mercari products meet security requirements and investigates, tracks, and assists in fixing security issues. The team strives to be a business enabler working on a variety of tasks and applying a risk-based approach to security-related decision making.
• As a Product Security Engineer you will be responsible for eliciting and communicating security requirements to product teams, performing threat modeling, design reviews, and security testing. You will also be involved in evaluating, designing, developing, and deploying automated security assessment solutions (DAST, SAST, SCA, etc.) and take on the challenge of ensuring the safety of Mercari’s development lifecycle.
  
  

Bold Challenges

• Work with a modern, cloud-first development and deployment environment.
• This position will allow you to take full advantage of your skills and experience because you will work on a variety of projects ranging from an online marketplace to payments and IoT.
• Mercari offers a multicultural environment with colleagues from over 40 different countries and various backgrounds (experiences and skills), so you will be able to discuss and address issues from different perspectives and use that for personal growth.

Roles and Responsibilities

• Review product designs to define necessary security requirements based on threat modeling.
• Review proposed architecture and propose a set of security controls in order to minimize risk.
• Review source code to find security problems and potential vulnerabilities.
• Conduct vulnerability assessments and penetration testing on Mercari’s Web, iOS, and Android applications.
• Automate security checks and tests so that they can be easily and transparently plugged into the CI/CD pipeline.
• Develop technical solutions to help mitigate security vulnerabilities.
• Maintain technical and security standards for Web and mobile application technologies.
• Educate developers on secure coding practices with workshops, talks, and lessons.
• Evaluate and investigate suspected security events or incidents and perform remediation in accordance with Incident Response procedures.
• Collaborate with information security officers, the legal team, and internal auditors on technical security matters.

Required Experience

• Bachelor's degree or equivalent practical experience.
• Programming experience with one or more programming languages including but not limited to: Go, PHP, Java, Ruby, Python, C/C++, Objective-C, Swift, Kotlin, or JavaScript.
• 2+ years of experience analyzing the security of systems (penetration testing, Web application security testing, vulnerability scanning, threat modeling, etc.).
• Good understanding of modern Web application architecture, TLS, HTTP, TCP/IP, and standard network and system security technologies.
• Experience with modern software development tools, such as distributed version control systems (git), dependency management, build systems, and CI/CD pipelines.
• Strong teamwork skills in a diverse environment.
• Effective interpersonal and communication skills.

Preferred Experience

• In-depth technical knowledge of security engineering, computer and network security, Unix-based operating systems, mobile security, authentication, security protocols, and applied cryptography.
• Strong experience in securing both backend (Go, PHP) and frontend (Web, JavaScript, iOS, Android) applications.
• Good understanding of development methodologies such as Object-oriented Programming (OOP), Domain-driven Design (DDD), and Test-driven Development (TDD).
• Good understanding of microservice architecture and related security patterns.
• Knowledge of container and orchestration technology like Docker and Kubernetes.
• Experience working with large-scale cloud infrastructure and services (GCP or AWS).
• Experience working in an agile and DevOps-centric environment.

Screening Criteria

• Technical experience
  
• Communication skills
• Culture fit to both the team and Mercari as a whole

Language Requirements

• English or Japanese: Independent (CEFR - B2)
• (either Japanese Independent (CEFR - B2) + English Basic (CEFR - A2) OR English Independent (CEFR - B2) + Japanese Basic (CEFR -A2)
  For details about CEFR, see here

募集要項

業務内容

• プロダクトセキュリティチームのセキュリティエンジニアを募集しています。プロダクトセキュリティチームは、メルカリのプロダクトがセキュリティ要件を満たしていることを確認するだけでなく、セキュリティ問題の調査、追跡、解決を支援します。また、リスクベースアプローチを用いてセキュリティ関連の意思決定を行い、ビジネスイネーブラーとしての役割を果たすなど、多岐に渡る業務に取り組んでいただきます。
• また、プロダクトセキュリティエンジニアとして、セキュリティ要件を抽出しプロダクトチームへ伝達するだけでなく、脅威モデル、デザインレビュー、そしてセキュリティテストを実施。さらには自動セキュリティアセスメントソリューション（DAST、SAST、SCA等）の評価、設計、開発、デプロイに関わり、メルカリの開発ライフサイクルの安全性確保にもチャレンジしていただきます。
  
  

大胆なチャレンジ

• モダンなクラウドファーストの開発・デプロイ環境で働くことができる
• オンラインのマーケットプレイスや決済事業、IoTなど、多様な領域におけるプロジェクトを担う役割だからこそ、自らのスキルや経験をフル活用することができる
• 40ヶ国以上の国籍や多様なバックグラウンド（経験やスキル）を持つメンバーが集まるメルカリだからこそ、さまざまな視点から課題を捉え、議論することができ、それによって自らを成長させることができる

役割および業務内容

• プロダクトデザインのレビューを行い、脅威モデルを基にセキュリティ要件を定義する
• 提示されたアーキテクチャのレビューを行い、一連のセキュリティコントロールを提示してリスクを最小限に抑える
• ソースコードをレビューし、セキュリティ問題および脆弱性を特定する
• メルカリのWeb、iOS、Androidアプリ上で脆弱性評価およびペネトレーションテストを実施する
• セキュリティチェックおよびテストを自動化し、CI/CDパイプラインに簡単かつ透過的にプラグインできるようにする
• セキュリティ脆弱性を緩和する技術的解決策の開発
• Web、モバイルアプリケーションの技術的基準およびセキュリティ基準を維持する
• ワークショップや講演会、レッスンを通して、開発者のためにセキュアコーディングに関する教育を実施する
• 疑わしいセキュリティイベントやインシデントを評価・調査し、インシデント対応手順に従いながら修正作業を実施する
• 情報セキュリティ責任者、リーガルチーム、内部監査人と連携して技術的なセキュリティ問題に取り組む

必須条件

• 学士号または同等の実務経験
• 次に記載されている開発言語の内、一つ以上の言語に精通していること：Go、PHP、Java、Ruby、Python、C/C++、Objective-C、Swift、KotlinまたはJavaScript
• 2年以上のシステムセキュリティにおける分析経験（ペネトレーションテスト、Webアプリケーションセキュリティテスト、脆弱性スキャン、脅威モデリング等）
• モダンWebアプリケーションアーキテクチャ、TLS、HTTP、TCP/IP、標準ネットワーク、およびシステムセキュリティ技術への深い理解
• 分散型バージョン管理システム（git）、依存管理ツール、ビルドシステム、CI/CDなどの、モダンなソフトウェア開発ツールの使用経験
• 多様な環境で働くための高いチームワーク力
• 効果的な対人・コミュニケーションスキル

歓迎条件

• セキュリティエンジニアリング、コンピュータおよびネットワークセキュリティ、UnixベースのOS、モバイルセキュリティ、認証、セキュリティプロトコル、および応用暗号理論への深い理解
• バックエンド（Go、PHP）およびフロントエンド（Web、JavaScript、iOS、Android）アプリの安全性確保の経験
• オブジェクト指向プログラミング（OOP）、ドメイン駆動設計（DDD）、テスト駆動開発（TDD）などの開発手法に対する深い理解
• マイクロサービスアーキテクチャおよび関連するセキュリティパターンへの深い理解
• DockerやKubernetesなどの、コンテナ・オーケストレーション技術に精通している方
• 大規模なクラウドインフラやサービス（GCPもしくはAWS）の実務経験
• アジャイルやDevOps環境での実務経験

選考のポイント

• 技術経験
• コミュニケーション能力
• チームおよびメルカリのカルチャーフィット

語学力

• 英語もしくは日本語：Independent(CEFR-B2)
• （Independent (CEFR B-2)の日本語力＋Basic(CEFR - A2)英語力もしくはIndependent (CEFR B-2)の英語力＋Basic(CEFR - A2)の日本語力
  ※CEFRの詳細については、こちらをご覧ください