株式会社ブレインパッドの2025年新卒研修資料です。LLM・生成AIについて扱っています。 データサイエンティストや機械学習エンジニアだけでなく、ビジネス職も受講する研修の資料です。 ※ 本資料の公開は、ブレインパッドをもっとオープンにする取り組みOpenBPの活動です。 [OpenBrain…

Intro 前回は、Nx の事例をベースに「パッケージを公開する側」の対策について解説した。 今回は、「パッケージを使う側」、もっと言えば「OSS を使う上で開発者が考えるべきこと」について考察する。 OSS の危険性 npm 起因のサプライチェーン攻撃が確認されたことで「npm は危険だ」という話になると、「npm を禁止すべき」といった極端な話になったりする。 前回のブログで紹介したような対策を行うなら、多少は良くなるかもしれない。しかし、それらは全てパッケージ公開者に委ねられる。自分が公開者として実施するなら、自分が原因で攻撃が発生することは防げるだろう。 一方、攻撃に必要な突破口は 1 つあれば良い。npm にある全てのパッケージが対策されない限り、npm を主語とした安全が担保される日は来ない。 この広大な依存関係の中には、闇落ちした開発者が、それまでの善良なコードを、自分の意志

仕事における "根回し" がなんとなく苦手という人をちょいちょい見る。 なんだかフロー化されていない属人的で儀式的なやりとりみたいな感覚を持ってしまう人もいるかもしれないが、根回しはただ物事を円滑に進めるために必要な報連相を事前にやるというだけである。 根回しという言葉はもともと園芸用語で、樹木の移植にあたって事前に根の一部を処理して新しい根の発生を促す作業のことを指す。いいも悪いもない。 要はただの進め方のひとつで、ポイントを押さえれば誰でもできるしできるようになっておいたほうがいい。入門として押さえるポイントを雑に書き出してみる。 1. 話す人を決める まず事前に話をしておいた方がいい人を組織のレポートラインや力学を理解して見極める必要がある 意思決定者などキーパーソンが明確ならその人と話しておくとよい 組織によっては、もしかしたらメンツを立てるために話を通すみたいな力学もあるかもしれ

はじめに こんにちは、IT本部IT戦略部テクニカルオペレーショングループの山田です。 認証基盤は、当社のセキュリティと日々の事業活動を支える、最も重要なITインフラの一つです。こうした重要なシステムは、事業の成長や技術トレンドの変化に合わせ、常に最適な状態であり続けるための定期的な見直しが欠かせません。 このような背景から、私達は長年パートナーとして利用してきた認証基盤「Okta」について、現状の評価と今後の方向性を検討するプロジェクトを立ち上げました。 この記事は3部構成を予定しており、今回は第1回目です。それではよろしくお願いします。 私たちの目指す姿 まず前提としてお伝えしたいのは、Oktaが非常に優れたプロダクトであるということです。当社では2012年から10年以上に渡って社内の認証基盤としてOktaを使用しており、迅速なカスタマーサクセスと高度なセキュリティレベルの担保に大きく貢

こんにちは、TRUSTDOCKのよもぎたです。GASでSlackbot作ってるおじさん化が激しい最近の私ですが、本来の所属は情報セキュリティ部です。たまにはそれっぽい記事も書いてみたいと思います。 概要 この記事は、こちらのツイートで話題の「1PasswordやBitwardenやiCloud等のパスワードマネージャーへのクリックジャッキング攻撃」について、いま私たちが出来ること、私が理解できたことをまとめた記事です。

関連記事 東大の松尾・岩澤研、「大規模言語モデル講座」の資料を無料公開　LLMの理論から実践まで体系的に解説 東京大学の松尾・岩澤研究室は、大規模言語モデル（LLM）に関する講義資料を無料で公開した。同研究室が2024年9月から11月にかけて実施した講座「大規模言語モデル講座2024」で使用したもの。 “6分で分かる”ビジネスパーソン向け「AIエージェント入門資料」、パナソニックコネクトが公開 パナソニックコネクトは、「6分でわかるビジネスパーソンのためのやさしいAIエージェント入門」と題した資料を公開した。AIエージェントの特長や仕組みなどを、全24枚のスライドで解説している。 “目”を持つAI「VLM」のまとめ資料、ソフトバンクのAI開発企業が公開　基礎やトレンドを全95ページで紹介 ソフトバンクの子会社でAIの研究開発などを手掛けるSB Intuitionsは、大規模視覚言語モデル（

アラフィフの自分が、同世代に共有したいと思うキャリア論について、いくらか構造立ててまとめてみたスライドです。中年期を迎えた頃合いでは、これまでの自分が無意識にそなえてきた人生観やキャリア観を、少し距離をおいて眺めてみる機会をもつと楽になれるかもなと思うところがあって、それが一人からでもやりやすいよう意識…

概要 仮想化技術はいたるところで利用されています。クラウドサービスなどで、自由度の高いサーバ環境を即座に利用できるのは仮想化技術があってこそです。ソフトウェアで疑似的にマシンを再現したものを仮想マシンと呼び、仮想マシンを実現するソフトウェアをハイパーバイザと呼びます。 本書では、ハイパーバイザをステップアップ式に実装していくことで、ハイパーバイザによる仮想化技術がどのように実現されているのかを理解していきます。ハードウェアデバイスを操作する側、操作される側の両方の実装を行うことで、仮想化技術と密接に関係している低レイヤの技術を深く理解できます。 目次 第1章　仮想マシンとハイパーバイザ 1.1　仮想マシンとはなんだろう ハードウェアとソフトウェアの基本的な関係 命令セットアーキテクチャ リソースの管理と権限レベル リソースを抽象化し再分配する 1.2　ハイパーバイザの目的とメリット 1.3

こんにちは、@ketancho です。 この度、Udemy にて 「10日間で学ぶ サーバーレス on AWS：ハンズオンで身につけるモダンアーキテクチャ入門」 を公開いたしました！🎉 www.udemy.com こちらは既に公開している AWS 講座 「手を動かしながら2週間で学ぶ AWS 基本から応用まで」 の受講生の方からも要望が多かった AWS の「サーバーレス」に特化した入門講座です。 AWS の知識を前提条件としていませんので、AWS が初めてという方も「10日間で学ぶサーバーレス on AWS」からご受講いただくこともできますし、「2週間で学ぶ AWS」の次のステップとして「10日間で学ぶサーバーレス on AWS」をご活用いただくこともできると思います。 この記事の最後に、この講座をお得にご受講いただける講師クーポンを用意していますので、ぜひ最後までご覧いただければ嬉しい

2025年7月現在、MCPは2024-11-05、2025-03-26、2025-06-18の3つのバージョンを経て進化し、私達は手元のMCPクライアントとなるCursorやClaude CodeやVSCodeからnpxコマンドやuvコマンドやDockerコンテナによってMCPサーバーを起動したりRemote MCPサーバーに接続するなど日常的に使うようになりました。 実際に私自身がよく利用しているMCPライブラリであるMCP Servers - Cursorを見てみると多くのサービスが独自にMCPサーバーの提供に投資している様子が伺え、エコシステムは拡大していっています。 例: Notion、Figma、Linear、GitHub 特にAtlassian Remote MCP Server betaはサービスが公式に提供するMCPサーバーの中で、最も先進的なものの一つです。 Cursor

DDoS攻撃の仕組み・目的・防御を整理してみた話 対象読者とこの記事のスタンス この投稿は、以下のような方を対象にしています： Web サービスやインフラの開発・運用をしている方 DDoS 攻撃に興味はあるが、まだ体系的に理解できていない方 CDN や WAF を使っているが、攻撃の仕組みまで深く知らない方 ✅ この記事で触れること DDoS 攻撃の分類（L3/L4 と L7） UDPリフレクション攻撃の仕組みと例 攻撃者の目的・心理戦 CDN や WAF の有無での影響 DDoS 防御の現実的な設計選択肢 ❌ この記事で触れないこと 各クラウドサービス（AWS/GCP等）での設定手順 WAF ルールの具体的チューニング方法 攻撃ツールの使用や再現 DDoS攻撃とは？ DDoS（Distributed Denial of Service）攻撃は、複数の端末から一斉にサーバーへリクエストを送

はじめに 「ソケット通信ってなんやねん」、そう思った経験はみなさんもあると思います。 私もそのうちの一人です 👍 個人的に初学者の方がつまづくポイントが多い概念なのかなと感じていました。 本記事では、そのモヤモヤを解消すべくソケットの基礎概念に触れていこうと思います。 この記事を読み終わった後、皆さんはソケットを理解し、ウキウキになれるはずです！ では、一緒に「見えない通信」の扉を開きましょう〜 👽 対象読者 ソケット通信を基礎から理解したい方！！ ソケット通信とは何か？ まず、ソケットとは何なのかみていきましょう。 ソケットとは ソケット は、オペレーティングシステム (OS) が提供する、プロセス間通信のエンドポイント、つまり「出入り口」のことです。 同じコンピュータ内の異なるプログラム同士、あるいは、ネットワークを介した異なるコンピュータ上のプログラム同士がデータのやり取りをする

事前準備（初回のみ） Slackの履歴をAPI経由で取得するには、以下の2ステップを行っておきます。 1. Slack APIアプリを作成してUser Tokenを取得 手順： Slack API Apps にアクセス 「Create New App」→「From scratch」を選択 任意のアプリ名（例：Slackログ取得Bot）とワークスペースを選択 → Create 左メニュー「OAuth & Permissions」をクリック 「Bot Token Scopes」の下の「Add an OAuth Scope」をクリックし下記のOAuth Scopeを追加 channels:history アプリ (この例ではSlackログ取得Bot) が追加されているパブリックチャンネル内のメッセージやその他のコンテンツを閲覧する権限 channels:read ワークスペース内のパブリックチャ

こんにちは、@ketancho です。 この度、Udemy にて 「手を動かしながら2週間で学ぶ AWS 基本から応用まで」 を 2025 年最新版にアップデートの上、再公開いたしました！🎉 www.udemy.com こちらの講座は、2018年から2019年にかけて8ヶ月公開し、その間に1万人を超える方にご受講いただいた講座になります。初学者の方の AWS はじめの一歩はもちろん、業務で AWS を使ってはいるけど体系的に学んだことがないという AWS 初学者〜中級者の方の勉強・学習に、もってこいの講座になっています。 この記事では、この 「手を動かしながら2週間で学ぶ AWS 基本から応用まで」 について、講座中に使用しているスライドも交えながら、ポイントを絞って紹介させていただきます。 また、記事の最後に、公開を記念し、お得にご受講いただける講師クーポンを用意しておりますので、よろ

鳴り止まないアラート対応の中で学んだ 監視改善の進め方 / team based monitoring improvement from alert

はじめに 昨今、AI の進化により、様々な分野での応用が進んでいます。特に、自然言語処理(NLP)の分野では、RAG( Retrieval-Augmented Generation)が注目されています。RAG は、情報検索と生成を組み合わせた手法であり、特に大規模言語モデル(LLM)と組み合わせることで、その性能を大幅に向上させることができます。 また、NativeRAG や GraphRAG, AgentRAG などさまざまな RAG のバリエーションが登場しており、これらは特定のユースケースやデータセットに対して最適化されています。 今回は、RAG の基本的な概念から、RAG のプロジェクトの進め方、精度向上の方法に至るまで詳しく解説します。 みなさんの GenAI Application の開発に役立てていただければ幸いです。 本記事は 5 万文字を超える大作となっております。 お時

はじめに こんにちは。GMO Flatt Security株式会社 ソフトウェアエンジニアの梅内(@Sz4rny)です。 一つ前の記事である「MCPにおけるセキュリティ考慮事項と実装における観点（前編）」では、MCP Server / Client のリスクについて紹介しました。本記事では、すこし観点を変えて「AI と認可制御」について検討します。 LLM を組み込んだサービスを実装している人も、LLM が組み込まれた開発支援ツールを使っている人も、おそらく一度は「AI にどの程度権限を与えてよいのか」という疑問に頭を悩ませたことがあるのではないでしょうか。本記事では、このテーマについて深堀りします。 また、GMO Flatt Securityは日本初のセキュリティ診断AIエージェント「Takumi」や、LLMを活用したアプリケーションに対する脆弱性診断・ペネトレーションテストを提供してい

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに この記事では、私が直近1～2年間で複数のプロジェクトリーダーや職能別リーダーを務めた経験をもとに、リーダーとして「やるべきこと」や「意識すべきこと」を言語化しました。 初めてリーダーを務める際、「こんなふうに体系的に整理された記事があればよかったのに」と思ったことから、本記事を執筆しています。 すべてのチームやプロジェクトに当てはまるわけではないかもしれませんが、特に新米リーダーの方にとって、何かしらのヒントになれば幸いです。 やるべきこと 進捗は極力可視化 進捗状況や現在のステータスを、誰でも把握できるようにしました。 「誰

MCP logo ©︎ 2024–2025 Anthropic, PBC and contributors | MIT license はじめに 本記事は、セキュリティエンジニアのAzaraこと齋藤とコーポレートセキュリティエンジニアのhamayanhamayanが、社内で行ったディスカッションを元に記述した記事です。 本記事は、MCP の利活用の際に考えるべき、セキュリティに関する考慮事項や、脅威の想定、実装時気にすべき観点などについてまとめたシリーズの前編になります。前編では、MCPに関する基本的な事項を扱いながら、利用者側の目線でMCPに対するセキュリティを考えていきます。社内での利活用の際に参考になれば幸いです。 また、GMO Flatt Securityは日本初のセキュリティ診断AIエージェント「Takumi」や、LLMを活用したアプリケーションに対する脆弱性診断・ペネトレーショ