はじめに こんにちは。GMO Flatt Security株式会社 セキュリティエンジニアの佐藤(@Nick_nick310)です。 本シリーズの前回記事では、GitHub Actionsに対する初期アクセスの手法と対策を解説しました。まだお読みでない方は、先に前回の記事をご覧いただくことをお勧めします。 GitHub Actionsのセキュリティを考える際、Script Injectionや信頼できないPull Requestのcheckoutといった初期アクセスに関わる問題が注目されることは少なくありません。しかし、実際の侵害を考えるうえでは、攻撃の入口だけでなく、その後にどのような権限昇格が可能かを見ることも重要です。初期アクセス時点では限定的に見える権限であっても、ワークフローの設定や認証情報の性質によっては、より強い権限を持つワークフローやsecretsへ到達できる場合があります

30代後半で金融資産5000万を超えた。資産5000万以上は準富裕層と呼ばれるラインだ(今のインフレ下では諸説ある)。 去年まで2000万前後でウロウロしていたが3000万(アッパーマス層ライン)を一瞬で通過して一気に5000万到達した。 リアルではとても言えない。闇バイト襲撃とか怖いし。最近ちょっと使って減ったけど。 最近の生活 3000万を超えたあたりから毎日100万円以上の値動きがあり毎月の給料ボーナスの入金影響が小さくなっていた。入金したらそりゃ増えるけどしなくてもいいし使い切っても何も困らない。 大金を持て余すので家電のグレードを上げて買い替えた。1人なのに巨大なドラム式洗濯機。身長よりデカい冷蔵庫。セカンド冷凍庫は冷食でパンパン。買い置きのカップ麺が完全メシになった。 秋葉原に通いながらジャンク屋でゲーミングPCとワークステーションにグラボとメモリたっぷり載せた。メモリスロット

PRODUCT HISTORY CONFERENCE 2026 https://lp-prohis.youtrust.jp/

「必要は発明の母」と言われるが、「Raspberry Pi」の価格高騰は、より安価で用途に適した代替品を探す絶好のきっかけとなった。Raspberry Piは優れたボードだが、登場から約15年が経過する中で、筆者が試してきた多くの用途においてはオーバースペックな面もあった。 先日、帯域幅に限りのある環境で作業するに当たり、広告ブロック環境を構築する必要が生じた。反射的にRaspberry Piに手が伸びたが、近年の価格高騰を思い出し、ボードを棚に戻した。

こんにちは。セキュリティエンジニア兼SREの侘美です。 2026年6月、メドピアではClaude Enterpriseの全社導入を完了しました。正社員・契約社員あわせて約130名にアカウントを配布しています。 今回の導入は、自分（セキュリティ）とコーポレートIT（社内のIT機器・SaaS管理を担当）で協力して設計・構築しました。セキュリティ方針やリスク評価は自分が担当し、SSO・SCIM設計やクライアント管理、コネクタ運用といった実装面の細かい検討・構築はコーポレートITのメンバーが中心になって進めています。 全社導入にあたっては「何を使えるようにするか」と同じくらい「何をやらないか」の判断が多く、この記事ではその検討プロセスを共有します。導入を検討している企業の参考になれば幸いです。 全社導入の背景 PoC期間で見えたこと メドピアではエンジニアが先行してClaude Codeを業務に活

背景 先日 超dotnet new に参加した際、@mayuki 先生から「安全に自宅 Web サーバー建てるなら Cloudflare Tunnel が便利」と教えてもらいました。 我が家には Tailscale VPN サーバー用の Raspberry Pi があるし、それを Web サーバーとしても活用するのはアリだなーと思ってやってみました。mayuki 先生は Coolify も併せて薦めていますが、今回そこはスキップ。 この記事は「もし Raspberry Pi が壊れたときの俺的復旧手順書」の第 2 弾として残します。 Web アプリを外部公開するまでの手順 0. Cloudflare を契約 事前条件として Cloudflare のアカウントを作成し、独自ドメインをひとつ以上管理しておきましょう。なんと無料プランで大丈夫。 1. Docker をインストール 今回 Clou

TL;DR ステートレスなJWTはそもそもセッションの代替では無い アクセストークンとしての利用が基本で数分レベルの短寿命な有効期限で利用 従来のセッションに近い概念はリフレッシュトークン。てか、リフレッシュトークンはセッションでも(たぶん)良い ユースケース的にモノリスには不要。SPAでMSAな時にメリットが出て来る。 はじめに Webで認証システムといえばセッション！ と言う感じのレガシーおじさんなのですが、最近はJWTとかも出てきてとても気になっていました。新しいものは使ってみたくなりますよね？ なので以前軽く調べてみたたのですが「JWTは危ない」とか「JWTをセッションに使うな」的な記事が大量に出て来ます。 co3k.org qiita.com 一方で反論記事もあり色んな議論が渦巻いています。そもそも利用を推奨する記事も多い。 auth0.hatenablog.com この辺りで「

こんにちは。 CTO室/Platform開発チームでSREを担当している富田(@Cooking_ENG)です。 ファインディの「Platform開発チーム」は全社横断のSREの役割を担っています。当社のサービスがどれほどの負荷に耐えられるかを把握し、性能の問題を表面化・改善することで、ユーザーに安定したサービスを提供できる状態を目指しています。 そこで、Grafana Labsが提供するGrafana Cloud k6を採用し、負荷試験環境をゼロから構築しました。今回は、Findy Conferenceを対象に負荷試験を実施しています。 Findy Conferenceは、テックカンファレンスに特化したプラットフォームサービスです。 conference.findy-code.io この記事では、負荷試験ツールの選定から、本番トラフィックを再現するシナリオの作成、Grafana Cloud

こんにちは、せーのです。 社内ドキュメントを AI エージェントに渡したい、という相談をよく受けます。Wiki もある、Notion もある、共有ドライブもある、という状態で「どう構造化すればいいの？」と悩んでいる方、多いと思います。 2026年6月12日、Google Cloud が Open Knowledge Format（OKF） v0.1 を GitHub で公開しました。AI エージェント向けの「知識共有フォーマット」です。 私は普段、Obsidian Vault にメモを書き、CLAUDE.md や AGENTS.md を置いて、コーディングエージェントにコンテキストを渡しています。ディレクトリ構造と Markdown リンクでナレッジを繋ぐ、いわゆる「LLM-wiki パターン」です。OKF を読んでみたところ、まさにこのやり方を形式化しようとしている、という印象を受けまし

このリポジトリは何か shanraisshan/claude-code-best-practice は、GitHub Trending 1位を獲得し、現在5万スター近くまで伸びている Claude Code のベストプラクティス集です。 中身を一言でいうと、設定ファイルを配るテンプレート集ではなく、「Claude Code をうまく使うための知識」をリンク付きで整理したリファレンス です。大きく次の3パートで構成されています。 概念リファレンス（CONCEPTS） — Subagents / Commands / Skills / Hooks / MCP / Memory など、Claude Code の各機能が「どこに置くファイルで、何をするものか」を一覧化 Tips & Tricks（82個） — Prompting / Planning / Context / CLAUDE.md /

2026年6月9日、人工知能学会全国大会（JSAI2026／Gメッセ群馬）の2日目に、私たちINFOSTA（情報科学技術協会）が企画したセッション 「生成AI・プレプリント時代における研究成果公開の再設計 ― トップカンファレンス文化はどこへ向かうのか」 を開催しました。オーガナイザの一人として登壇し、趣旨説明と司会を務めた立場から、当日の議論をご報告します。 開催前に、私たちはこのnoteで「生成AIによって研究における『書くこと』『読むこと』『評価すること』の境界が揺らぎ始めている」と書きました。 当日の議論は、その予感が想像をはるかに超える速度で現実になっていることを、私たち自身に突きつけるものでした。会場には立ち見も出る盛況で、AI研究の最前線にいる方から学術情報流通を支える情報専門職まで、立場の異なる参加者が90分間、文字どおり前のめりで議論を交わしました。本記事ではそのエッセン

こんにちは、せーのです。 2026年6月、Loop Engineering という言葉が一気に広がりました。Boris Cherny 氏の "I don't prompt Claude anymore. I have loops running that prompt Claude"、Addy Osmani 氏の Loop Engineering、日本語では Zenn の設計論 など、概念と設計の整理は充実しています。 一方で、「結局 Claude でどう実装するのか」 に踏み込んだ記事はまだ少ない、と感じています。6 つのプリミティブや L1/L2/L3 の話は理解できても、コピペで動くコードや、実際に試した時のハマりどころが無いと手が止まりますよね。 私は普段、Claude Code では次のような使い方をしています。 Skill をたくさん作り、定型処理はその中の script に外

「Fable 5」停止から2日、MicrosoftのナデラCEOがXに「エコシステムなきフロンティアは不安定」と投稿 米Microsoftのサティア・ナデラCEOは6月14日（現地時間）、Xに「A frontier without an ecosystem is not stable」（エコシステムなきフロンティアは不安定）と題した論考を投稿した。米AnthropicのAIモデル「Claude Fable 5」および「Claude Mythos 5」が米政府の輸出管理指令により全ユーザー向けに停止されてから2日後の投稿で、Fable 5への言及はない。 Fable 5とMythos 5は6月9日に一般提供が開始されたが、Anthropicは6月12日に米政府から輸出管理上の指令を受け、外国籍者へのアクセス遮断を求められた。外国籍者のみをリアルタイムで識別することが技術的に困難なため、全ユー

Gemma4 めちゃくちゃ安いですね・・・！！ そこそこ日本語が使えて、ツールコールもできるなら、AI エージェントとして RAG を組んだら面白いんじゃないか？ と思い、Amazon Bedrock AgentCore + S3 Vectors を使って RAG を構築してみました。 せっかく LLM が安いなら、ベクトルストアも安くしたいですよね。S3 Vectors はストレージ課金と Query API 課金に加えてクエリ時に処理されるベクトル量に応じた料金が発生しますが、少量ドキュメントならかなりお安く済みます。Gemma 4 31B + S3 Vectors で、RAGってなんだか高そう・・・試しづらい・・・を払拭すべくテンプレートを作りました。今回のリポジトリはこちらです。 実際の動作はこんな感じです。 AIと協力しながら作りましたが良き感じに仕上がりました。 これを使ってみ

最初に表明しておくと、自分はCloudflareの社員である。 AIエージェント時代にCloudflareは最適なプラットフォームである！今回はCloudflareがなぜAIエージェントに向いているかを紹介する。 AIエージェント時代のアーキテクチャ AIエージェントを構築するためのアーキテクチャについて考えてみる。 クラウドはAI時代を想定していない Cloudflareは今年の4月に出したブログ記事で強く言っていてる。 インターネットは元々、AI時代を想定してつくられていません。クラウドも同様です。 スマートフォンの登場で端末が大量に増えた。一つのアプリケーションをたくさんのクライアントに配信しなくてはいけない。そこでコンテナの技術を使ってアプリケーションをスケールさせた。1対多だ。これがいわゆる「クラウド」である。 AI時代では1対1になる。それぞれのエージェントが一人のユーザーを担

はじめに AI 時代になって、コードを「書く」コストはずいぶん下がりました。 その一方で、「読む・理解する」コストはむしろ上がっている気がしています。 AI が一気に生成した大量の Markdown、巨大な PR の diff、初見のリポジトリ、長い設計メモや仕様書……。 こうした「理解しないといけない対象」の量と速度が増えて、認知負荷の高まりがあちこちで叫ばれていますよね。 もちろん「AI に要約させればいい」のですが、これにも地味な不満がありました。 出てくる見せ方が毎回似偏る（AI 臭い文章）。箇条書きのテキスト、など。 あとで別の角度から見たくなると、また同じ対象を丸ごと AI に食わせ直す必要がある そもそも頭への入り方は人によって違う。マインドマップが刺さる人もいれば、シーケンス図でスッと入る人もいる そこで、この認知負荷を少しでも下げるアイデアとして、解析対象の情報を YAM