メルカリ、包括的なセキュリティ強化に向けてMandiant製品を採用 得た成果とは？：セキュリティソリューション

メルカリが包括的なセキュリティ対策に向けて、Google Cloudの子会社であるMandiantの製品を採用した。各種製品に加えてレッドチーム演習といった実践的なサービスを柔軟に利用できる点も決め手となったという。

[後藤大地，有限会社オングス]

　グーグル・クラウド・ジャパンは2024年12月16日、メルカリが包括的なセキュリティ対策に向けGoogle Cloudの子会社であるMandiantの製品を採用したと発表した。

　メルカリは「メルペイ」をはじめとした多くのサービスを「Google Cloud」で稼働させている。Mandiant製品がGoogle Cloudでの利用にマッチしたことから今回の採用に至ったという。

メルカリはMandiantとの共同レッドチーム演習で何を得たのか？

　センシティブな個人情報を多く取り扱うメルカリでは、被害を未然に防ぐ取り組みだけでなく、各種法令順守や被害が発生した際の迅速かつ適切な対応が取れる体制作りなども求められる。そのためコンサルティングサービスや脅威インテリジェンス、攻撃対象領域の管理など、あらゆるセキュリティ対策を支援できるMandiantのサービスが採用の決め手になったという。

　この他、メルカリのジェイソン・フェルナンデス氏（執行役員　VP of Security＆Privacy）は「Mandiant製品の採用は運用コストの節約という面でも有意義だった。Mandiantでは事前に年間プリペイドユニット（一種のチケット）を購入し、脅威インテリジェンスとコンサルティングを利用できる『Expertise On Demand』（EOD）を提供している。予算枠を賢く使い、必要なサービスを必要なタイミングでフレキシブルに活用できる」と述べる。

　メルカリはMandiantの各種サービスの中でも、特にレッドチーム演習を重視したとしている。この演習ではMandiantのセキュリティ専門家が「レッドチーム」として疑似サイバー攻撃を仕掛け、防御側の「ブルーチーム」が不正侵入に対抗する。

　同社はこれまでも1〜2年の間隔でレッドチーム演習を実施し、セキュリティ体制を総合的に評価してきたが、Mandiantとの共同作業によって、この試みがより充実するものになったという。

　フェルナンデス氏は「レッドチーム演習では、ここ数年で立ち上げた暗号資産事業やスポットワーク事業で取り扱う個人情報に攻撃側がたどり着けるかどうかを検証した。Mandiantには、これまでのベンダーとは異なる観点で攻撃シナリオを考えてもらい、非常に効果的かつ実戦的なシナリオを作成できた。この演習によって多種多様な脅威に対する当社の対策が有効に機能していることを確認できたのは大きな収穫だった」と語る。

　メルカリはこの結果をレポートにまとめて共有することで、経営幹部にセキュリティの最新トレンドや脅威について理解を促せたとしている。

　「メルカリにとってセキュリティとプライバシー対策は事業の要だ。一連のプログラムでは、セキュリティ体制を包括的に検証できただけでなく、全社的なセキュリティ意識を一層高めるきっかけも作れた。その要因の一つはMandiantのEODならではの自由度の高さにある。必要なサービスを必要なタイミングで利用でき、内容を柔軟にカスタマイズできたことも有効だった」（フェルナンデス氏）