Security Engineer, Product Application Security

Tokyo, Japan · Engineering · EN/JP expand job description ↓


Mercari is looking for a security engineer to join our Security team in Tokyo. One of Mercari security team’s goals is to have development teams engaged with the security team as early as possible in the software development life cycle.

As a security engineer, you will perform threat modeling, code reviews, and security testing to minimize risks and ensure compliance. You will also collaborate with Mercari engineers from a variety of teams to architect and deliver projects securely. If necessary, you are even allowed to send a pull request to fix the bug as an example for developers. In addition, in this role, you will have an opportunity to improve Continuous Integration process for security, build automated test suites, integrate static analysis testing, creating tools to automate security tasks.



また、必要であれば開発者への例としてPull Requestを送り、バグを修正していただきます。さらに、このポジションでは、継続的インテグレーションの実装、自動テストスイートの構築、SASTの自動化の実施、セキュリティタスクの自動化ツール作成などに取り組んでいく機会もあります。

Successful candidate will have a chance to rotate between one or more of the following concurrent tasks:


▼Job Description

  • Review designs to define necessary security requirements based on threat models and attack trees.
  • Review proposed architecture, such as infrastructure or information flows, and proposes a set of security controls in order to minimize risk.
  • Review source code to find security bugs and coding errors.
  • Conduct vulnerability assessments and penetration testing on Mercari’s Web, API, iOS and Android Applications.
  • Automate security checks and tests so that they can be easily and transparently plugged into the current CI/CD pipelines.
  • Develop technical solutions to help mitigate security vulnerabilities.
  • Maintain technical & security standards for web application and mobile application technologies.
  • Educate developers on secure coding practices with workshops, talks, and lessons.
  • Evaluate and investigate suspected security events/incidents and perform remediation in accordance with Incident Response plan/procedures.
  • Collaborate with information security officers, legal team, and internal auditors on technical security matters.


  • 脅威モデルおよびアタックツリーに基づく必要なセキュリティ要件を定義するためのデザインや要件のレビュー
  • インフラストラクチャやデータフローなど、提案されたアーキテクチャのレビューおよび、リスク軽減に向けたセキュリティコントロール機能の提案
  • セキュリティバグやコーディングエラーを発見するためのソースコードレビュー
  • メルカリのWeb、API、iOS、およびAndroidのアプリケーションの、セキュリティテストとペネトレーションテストの実施
  • 開発フローに簡単かつ透明性を保ちながら組み込めるセキュリティチェック、セキュリティテストの自動化
  • セキュリティ脆弱性を緩和する技術的解決策の開発
  • Webアプリケーションおよびモバイルアプリケーションの技術的基準およびセキュリティ基準の維持
  • ワークショップ、講演、レッスンなどを通じた、安全なコーディング実践のための開発者への教育
  • インシデントレスポンスプラン・手順に基づき、セキュリティイベントおよびインシデントの評価、調査およびその対応
  • 情報セキュリティオフィサー、法務、内部監査役と連携した、技術的なセキュリティ案件の対応


▼Minimum Requirements

  • Bachelor's degree or equivalent practical experience.
  • Have strong programming skills with one or more programming languages including but not limited to: Go, PHP, Java, Ruby, Python, C/C++, Objective-C, Swift, Kotlin, or JavaScript.
  • 2+ years of experience analyzing the security of systems (penetration testing, Web Application security testing, vulnerability scanning, threat modeling, etc.).
  • Good understanding of modern web application architecture, HTTP, TCP/IP, and standard network and system security technologies.
  • Familiar with software development tools, such as version control system, integrated development environment (IDE), and CI/CD tools.
  • Strong teamwork skills in a diverse environment
  • Effective interpersonal and communication skills

▼Additional Qualifications

  • Foundation in, and in-depth technical knowledge of, security engineering, computer and network security, operating system security, mobile security, authentication, security protocols and applied cryptography.
  • Have strong experience in securing PHP, Go, JavaScript, iOS, and Android applications.
  • Good understanding of development methodologies such as Object-Oriented Programming,Domain Driven Design, and Test Driven Design.
  • Self-motivated and results-oriented.
  • Good understanding of microservices architecture.
  • Knowledge of container and orchestration technology like Docker and Kubernetes
  • Experience working on cloud infrastructure like GCP or AWS
  • Experience working in a DevOps/Agile environment
  • Enjoy programming and automation.
  • Enjoy working across engineering teams to help architect and deliver projects securely.

▼Our Ideal Candidate

・The ability to learn the latest security information and share their knowledge to others outside the company


  • 何らかの言語での強いプログラミングスキルを持っていること(以下は例): Go、PHP、Java、Ruby、 Python、 C/C++、Objective-C、 Swift、KotlinまたはJavaScript
  • 2年以上のシステムセキュリティにおける分析経験(ペネトレーションテスト、Webアプリケーションセキュリティテスト、脆弱性スキャン、脅威モデリング等)
  • モダンWebアプリケーションアーキテクチャ、HTTP、TCP/IP、標準的なネットワークおよびシステム・セキュリティ技術への深い理解
  • バージョン管理システム、統合開発環境(IDE)、そしてCI/CDツールなどのソフトウェア開発ツールに馴染みがあること
  • チームプレイヤーであること(特に重視)
  • 効果的な対人およびコミュニケーションスキル


  • セキュリティエンジニアリング、コンピュータおよびネットワークセキュリティ、システムオペレーションセキュリティ、モバイルセキュリティ、認証、セキュリティプロトコルおよび応用暗号学に関する基礎的理解と、それらのうち特定分野に関する深い技術的理解があること
  • PHP、Go、JavaScript, iOSおよびAndroidアプリケーションの堅牢化に関する豊富な経験
  • オブジェクト指向プログラミングおよびドメイン駆動設計(DDD)への深い理解
  • 自発的および結果重視で課題に取り組む姿勢
  • マイクロサービスアーキテクチャへの深い理解
  • DockerやKubernetesなどのコンテナおよびオーケストレーション技術に関する知識
  • GCPやAWSなどのクラウドインフラストラクチャを取り扱った経験
  • 開発・運用部門間の連携やアジャイル開発を行う環境で働いた経験
  • プログラミングや自動化を楽しめること
  • 開発者たちと共に、安全なプロダクト開発に楽しんで取り組めること




▼Contract Type


 Probationary Period: 3 months (salary same as above)



▼Work Hours

・Fixed working hours 10:00-19:00

 Flex time (core hours 12:00-16:00, 60 minute lunch)


・Annual salary, paid monthly

・Based on your experience, skills and potential

・Reviewed twice a year


・5-day work week (Sat/Sun off)

・National holidays, paid time off, summer/New Year's vacation, congratulatory leave, compassionate leave








 フレックスタイム制度あり(コアタイム:12:00~16:00 [休憩60分] )









・Health insurance

・Incentive program

・Employee stock ownership plan

・Full transportation coverage

・Custom PC

・Dual screen if needed

・Company smartphone

・Visa support

・New Employee Benefits at Mercari「mercibox












Mercari Engineering Blog


Do you have a LinkedIn account? Import your resume and save time!

Personal information
Your Profile
Application Details
Please upload resumes and other documents as PDF files in order to avoid text display issues. / 履歴書・職務経歴書は、文字化け等の問題を避けるため可能な限りPDF形式にてアップロードしてください。
I agree to the Recruitment Privacy Policy. ( / 採用活動におけるプライバシーポリシーに同意します。(
I agree to the EU General Data Protection Regulation (GDPR). / EU一般データ保護規則 (GDPR) に関するプライバシーポリシーに同意します。(