イランの首都テヘランで行われた「犠牲になった少女たち」と名付けられた集会で、国旗を振る女性たち（2026年4月17日撮影）。(c)AFP 【5月2日 AFP】米国との和平交渉が停滞し、イランが戦闘終結に向けて新たに示した案にドナルド・トランプ大統領が不満を示す中、イラン軍幹部は2日、米国との交戦再開の「可能性が高い」との認識を示した。 イランのファルス通信によると、イランの軍事作戦・統合司令部ハタム・アル・アンビヤ中央本部のモハマド・ジャファル・アサディ氏は、「イランと米国の間での交戦再開の可能性は高い。米国がいかなる約束や合意にも真剣に取り組んでいないことは明らかだ」と述べた。(c)AFP

はじめに 2026 年 5 月 1 日、マネーフォワードが「GitHub への不正アクセス発生に関するお知らせとお詫び（第一報）」を公表しました。GitHub の認証情報が漏えいし、第三者によりリポジトリがコピーされ、ソースコードと一部の個人情報が流出した可能性があるという内容です。同時に、銀行口座連携機能を一時停止する措置もとられました。 この事案は、エンジニア視点で見ると「仕方ない部分」と「明らかにアウトな部分」がはっきり分かれる、教科書のような事例になっています。GitHub 認証情報の漏えい自体は、正直に言ってどの会社でも起こり得ます。一方で、流出したとされる中身に 本番カード保持者の氏名と下 4 桁が 370 件、そして ソースコード内に各種認証キー・パスワード が含まれていたという点は、設計と運用の問題として議論せざるを得ません。 この記事ではセキュリティエンジニアの立場から、

高市早苗首相が、イラン情勢を受けて懸念されている石油化学製品の原料「ナフサ」の供給問題に関し「良い情報をお伝えできる」と述べた中道改革連合の早稲田夕季氏（衆院比例南関東）への２４日の国会答弁を巡って疑心暗鬼が広がっている。２９日から大型連休（ＧＷ）に突入するが、いまだに「良い情報」の詳細が明らかにされず「謎のまま」（野党議員）だからだ。 その一方で首相は、原油不足対策の補正予算編成を明確に否定しており、イラン情勢を背景とした国民の懸念は払拭されていない。与党議員が国会審議の場で「良い情報」の真意をただす場面も生じるなど、しびれを切らすムードも漂う。 ＧＷ前最後となる２８日の閣議でも「良い情報」は議題にのぼらなかった。閣議後会見で新たなエネルギー対策を問われた木原稔官房長官は「安定供給の確保に万全を期す」と従来の説明を繰り返すのみだった。 同日の国会では高額療養費の患者負担上限額の引き上げを

Data-driven link building: lessons from a $708K investment (BrightonSEO talk)

クエリが遅くなった。直そう。ここから問題が始まる プロジェクト管理SaaSを1年ほど運用すると、Issueテーブルが200万行、変更ログテーブルが2000万行を超えてくる。ソフトデリートを採用していれば物理削除されないので、行数は増える一方だ。 最初の兆候はユーザーからの報告だった。「Issue一覧の読み込みが遅くて、フィルターを切り替えるたびに5秒くらい待たされるんですが」。スロークエリログを見ると、フィルター付きのIssue一覧クエリがp95で3秒を超えている。インデックスを追加すれば改善する。スキーマ変更も1つ控えていた。どちらもやること自体は明確だった。 問題は「200万行のテーブルにDDLを打つ」という行為そのものにあった。膨れ上がったテーブルに対するスキーマ変更は、パフォーマンスを改善するための作業が、新たな障害を引き起こす可能性を持っている。治療のための手術が患者を殺しかねな

株式会社renueは、2026年4月10日に四半期イベント「renue SUMMIT」を開催し、AIエージェントを活用したセキュリティ演習を実施しました。全社員がチーム対抗で取り組み、60分の実技時間を設けました。AIエージェントを前提とした業務設計を自社で体現する試みとして位置付けました。 エグゼクティブサマリー 演習の対象は社内で構築した脆弱なサンプルECサイトです。14種の脆弱性を意図的に組み込み、low・medium・high・criticalの4段階で重大度を設定しました。参加者はAIエージェントと仮説ベースで会話しながら、演習環境上で各カテゴリの攻撃パターンを再現しました。対象サイトには顧客情報、注文、法人契約、監査ログなどを含む構造を擬似データで用意し、実在システムに近い情報資産の侵害体験を意図した設計です。 評価軸は「もっとも価値の高い損失を生み出したチームが勝ち」としまし

Let’s Encryptの短期証明書は、90日証明書の延長くらいの感覚で入るとかなり厳しいです。 サブドメインを含む複数の証明書を短い間隔で発行・更新する構成では、証明書発行まわりのレート制限に引っかかりやすくなります。短期証明書では更新回数が増えるので、その影響がかなり表面化しやすくなります。 まずステージング環境で試した方がよい 開発やテストでは、本番ではなくステージング環境を使った方がよいです。本番と同じ種類の挙動をかなり緩い制限で試せるので、証明書の切り方や更新方法を確認する段階では先にこちらを使う方が安全です。 環境 ACME directory URL 短期証明書はレート制限に当たりやすい 短期証明書は有効期限が160時間しかなく、Let’s Encryptは3日ごとの更新を勧めています。90日証明書より更新回数が大きく増えるので、レート制限に当たりやすくなります。 特に厳し

GoでよくDockerfileとComposeを書いてるんですが、いい感じの書き方が固まってきたので共有します。 コード例 もあるのでご自由にどうぞ！ 1. マルチステージビルドにする もう当たり前だと思うので割愛しますが、マルチステージビルドは必須です。 ビルドに必要なものと、実行に必要なものを分けるだけで、最終イメージのサイズと攻撃面をかなり抑えられます。 2. Distrolessを使用する 実行イメージは小さいほど扱いやすいですが、単にAlpineを選べばよいわけでもありません。 Alpineだと実効性能が落ちるケースもあるらしいので、Distrolessを選びましょう。 静的リンクできるGoのバイナリなら、static 系の最小構成イメージでそのまま動かせます。 更に nonroot タグを使って、最初から非rootで動かすのもおすすめです。 また必要なら cosign でイメー

自作したタスク管理アプリ「長い長いノート」 このアプリを、エンジニアではない人間がAIコーディングツールだけで作りました。 私はライターです。コードを自分でゼロから書く力はないし、読めているのかも正直自信がない。そんな人間が、Claude Codeを使ってWebアプリを開発し、本番環境にデプロイして、実際にユーザーに使ってもらうところまでやりました。 かかった期間は約4ヶ月。Claude Codeの前で手を動かした時間は合計で約20時間（調べ物やバグの再現確認にかけた時間は含まない）。これはその全記録です。 作ったもの 「長い長いノート」というタスク管理アプリです。普通のTodoアプリとの違いは一つだけ。タスクを完了すると、自動的にタイムラインに記録されること。チェックを入れたタスクが消えずに、日付付きで下に積み上がっていく。だから「あれいつやったっけ？」がいつでも検索できる。 技術スタッ

自動車業界の巨人、トヨタ自動車が、自社製ソフトウェアの核心部を自ら構築するという、極めて野心的かつ戦略的な一歩を踏み出した。ベルギーで開催された世界最大級のオープンソースイベント「FOSDEM 2026」において、Toyota Connected North America (TCNA) は、Flutterを基盤としたオープンソースの3Dゲームエンジン「Fluorite」を発表したのだ。 これは一見すると「車載エンターテインメントの強化」と見えるが、その核心は、トヨタが自社のデジタルコクピット（HMI：Human Machine Interface）における支配権を握り、UnityやUnreal Engineといった既存の巨大ゲームエンジンへの依存を脱却するための、周到に準備された技術的独立宣言といえる。 なぜ世界一の自動車メーカーが、あえてゲームエンジンを自社開発するに至ったのか。その背

はじめにTechnology Innovation Groupの八木です。 フューチャー社内の有志メンバーでログ設計ガイドラインを作成し公開しました！ ログは、システムの稼働状況を可視化し、トラブルが発生した際に迅速に原因特定するための生命線になります。しかし、その重要性の一方で、プロジェクトごとに設計がバラバラになりがちだったり、とりあえず標準出力しているだけになっていたりと、十分に活用しきれていないケースも多く見受けられます。 本記事では、今回公開したログ設計ガイドラインの背景や、現場で役立つ設計のポイントを抜粋してご紹介します。 ガイドライン作成のモチベーションこれまで、ログ設計は個々のエンジニアの経験則や、プロジェクトごとの慣習に委ねられることが多くありました。しかし、システムが複雑化し、マイクロサービスやクラウドネイティブな構成が当たり前になった現代において、ログの役割は「単なる

「このコード、セキュリティ的に大丈夫かな……」 PRレビューのたびに、なんとなく不安になる。SQLインジェクション、XSS、CSRF——知識としては知っている。でも、自分のレビューで本当に脆弱性を潰しきれているかと聞かれたら、正直自信がない。 そしてある日、こんなニュースが流れてきた。 「自律型AIハッカーツール Shannon、既知の脆弱性に対して96%の成功率でexploitを自動生成」 ——あ、もう僕らの出番ないじゃん。 はじめに 結論から少しだけ言うと、AIがセキュリティを自動化する時代だからこそ、僕ら開発者のセキュリティ"感覚"がむしろ重要になる——と今は思っている。 「え、逆じゃない？」と思った人、もう少しだけ付き合ってほしい。 AIセキュリティツールが本気を出し始めた まず、今何が起きているのかを整理したい。 GitHub Trendingで1位になったShannonは、自律

「セキュリティ、ちゃんとやってる？」 この質問、正直めちゃくちゃ怖い。 SQLインジェクション対策？　やってる。XSS対策？　エスケープしてる。CSRF？　トークン入れてる。 ——でも、「ちゃんと」って何だ？ OWASPのチェックリストを上から順に潰して、ESLintのセキュリティプラグインを入れて、dependabotのアラートを処理して。やることはやっている。はずだった。 自分のコードに自律型AIハッカーをけしかけるまでは。 はじめに セキュリティは「そこそこ意識している」つもりだった。 でも今は、コードを書くときの思考回路がまるっきり変わった。守る側の視点だけでコードを書いていた頃には、絶対に気づけなかったことがある。 きっかけは、GitHub Trendingで爆発的に伸びていた「shannon」という自律型AIハッキングツールだった。1日で+3,000スター以上。AIエージェント

この時代において cron は、軽量・シンプル・依存関係なしという 非常に優れた設計でした。 cron の「通知」はログではなくメール cron は「ログを溜める」より「異常を通知する」発想でした。典型的には stdout/stderr をメールで送るのが当時の設計です。 2. crontab の何が問題だったか？ cron は長年使われてきましたが、現代のサーバ運用では次の問題が顕在化しました。 問題① 実行されたか分からない（状態がない） cron には「実行履歴」という概念がありません。 成功したか？ 実行されたか？ 何秒かかったか？ これらを OS 側で追跡しません。 問題② ログが自動で残らない（可観測性が低い） cron は標準でログを「保存」しません。 そのため実務ではよく次のようになります。 出力先は人力 ローテーションも自前 失敗検知も自作 運用が属人化しやすいのが問題で

生成 AI の登場でプログラミングをはじめとした知的作業の方法が大きく変わってきています。 特に2025年は、調査やアイデア生成のタスクにおいて、生成AIの実用度が増したように思います。ChatGPT Pro 5.2 の登場と、着実な NotebookLM の進歩＋Gemini 3とNano Bananaは、調査や情報の構造化という観点でとても大きな進展でした。 アイデアの作り方については、過去、2023年に「Climate Tech スタートアップの始め方」という記事でまとめたことがあります。今回は、生成AI以後の、2026年2月時点でのお勧めの「アイデアの探索方法」をまとめてみたいと思います。 🎯 この記事のゴール この記事では、アイデア（仮説）を作るステップを細かく分けながら、その途中で生成AIをどう使うかについてお話しします。 アウトプット目標は「この仮説を元に人に会いに行けば、

「Claude Code」は、CLI上で動くLLMによるAIエージェントツールです。本連載は12月5日に発売された『Claude CodeによるAI駆動開発入門』に書ききれなかった応用的な内容や最新のアップデートについて解説します。書籍をあわせて読むとさらに理解が深まることでしょう。 今回は知っているようで知らない、Claude Codeの「CLAUDE.md」について深掘っていきます。 CLAUDE.mdとは記憶である 前提としてClaude Codeは、立ち上げた際、つまりセッション間で、そのコードベースやユーザーとの過去のやり取りを基本的に覚えていません。しかしセッションを立ち上げるたびに、膨大なコードベースを毎回走査して理解していくのも現実的ではありません。 そのため、コードやルールなどを理解する起点として存在しているのがCLAUDE.mdです。 これはエンジニアにとってのREAD

前回のあらすじ Cloudflareを導入したのに、75%が直接アクセス（バイパス）されていた話を書きました。 対策として、iptablesでCloudflare以外からのアクセスをDROPしました。 # Cloudflare IPv4 のみ許可 sudo iptables -A INPUT -p tcp --dport 80 -s 173.245.48.0/20 -j ACCEPT # ... 他のCloudflare IPレンジ sudo iptables -A INPUT -p tcp --dport 80 -j DROP

あけましておめでとうございます！ 駅伝企画 第四区走者の みにせら (minisera) です。 普段は顧客体験チーム（CRE）でサーバーサイドエンジニアをやっています。 上ちょ（@psnzbss） から受け取ったタスキを持って走り抜けます！よろしければ前記事もどうぞ。 blog.smartbank.co.jp この記事ではクレジットカード番号（PAN: Primary Account Number）がシステム内に紛れ込むのを検出・防止する仕組みについてお話しします。「カード番号っぽい文字列」を見つけ出すアルゴリズムをGoで実装し、大量の誤検知と格闘した経験から、段階的にリリースしていく中で得られた知見を共有できればと思います。 なぜクレジットカード番号の検出が必要なのか 想定されるリスク クレジットカード番号検出の技術解説 1. 正規表現による候補抽出 2. 正規化 3. Luhnアルゴ