はてなブックマーク

2023年9月15日、警視庁は転職先へ前職の名刺管理システムから取引先などの情報提供を行っていたとして不正アクセス禁止法違反などの容疑で男を逮捕したと発表しました。ここでは関連する情報をまとめます。 個人情報の不正提供容疑で摘発 警視庁は男を不正アクセス禁止法違反、個人情報保護違反の容疑で逮捕。個人情報保護法第179条の個人情報データベース等の不正提供等での摘発は全国で初めて。 東京都千代田区の建設技術者の派遣会社が使用していた名刺管理システム「Sansan」において、男の同僚だった社員のID、パスワードを転職予定の別の人材派遣会社のグループ会社社員へ送信し、2021年6月から2022年9月の8回にかけて名刺情報などのデータベースを閲覧するために不正アクセスしたなどの疑い。*1 *2 *3 男は「転職先での営業活動に使用できると思った」と供述し、容疑を認めている。*4 名刺管理システムには

こんにちは、igaです。 先日、久しぶりにライブで声を出したらのどが枯れてしまいました。 前回に引き続き、Azure OpenAIのセキュリティを向上させるため、ネットワークのアクセス制限について確認します。 今回は、以前検証した独自データを使用する場合のネットワークのアクセス制限について確認します。 acro-engineer.hatenablog.com Azure OpenAIの構成 前回の構成で、Azure OpenAIに対してインターネットからのアクセス制限を行いました。 独自データ（原文の表記はon your data）を使用する場合、構築した直後はデータを保持するCognitive Searchがインターネット上のどこからでもREST APIによるリクエストが受信可能な状態になっています。 Cognitive Searchを利用するためには、通常、APIキーが必要になります。

こんにちは！ファンと共に時代を進める、Web3スタートアップのGaudiyでエンジニアをしている椿（@mikr29028944）です。 今年の8月にお台場で行われた世界最大級のアイドルフェスにて、ユーザーの投稿に反応する「バーチャルAI-DOL（バーチャルアイドル、以下 AI-DOL）」のサービスを同コミュニティアプリ内で提供しました。 このサービスには「ファンが育てるAIアイドル」というコンセプトのもと、次の機能を搭載しました。 ユーザーが投稿すると、AI-DOLが返答する。 ユーザーの投稿を記憶し、それに基づいて会話内容が進化する。 AI-DOLが記憶に基づいて2023のアワード選出をする。 たとえば「今年の初出演アイドルで最も輝いていたのは誰？」と聞くと、それに合致したアイドルを選出理由とともに答えてくれる。 GPT-4登場以降、LLMを使ったAIサービスがたくさん出ていますが、基本

HRテックサービスを提供するカオナビでCTOを務める松下雅和（@matsukaz）さん。R&DやSI、メガベンチャー、スタートアップ、事業会社とITのさまざまな業態で経験を積み、複数のポジションを体験したことで、ソフトウェアエンジニアとして働く上で大切なことを実感してきました。 若い頃にはボトムアップでチーム改善を進めようとしてうまくいかなかった経験もありますが、技術を学ぶ楽しさ・チームで働く楽しさ・プロダクトを世に送り出す楽しさ、そういったソフトウェア開発の世界にあるさまざまな「楽しさ」こそが、コミュニティを含む活動のエネルギーになっています。 以前とは違って組織や開発プロセスの改善をトップダウンで進める役職にある現在、ボトムアップでの挑戦や楽しさドリブンで働いてきたことがどのように生きているのか。松下さんのキャリアを振り返りながら、エンジニアとして技術やプロダクト、チームや組織とどのよ

はじめに 結論 背景 課題 Fine-tuning とは？ Data の準備 Fine-tuning を実施 結果 おわりに 参考 はじめに こんにちは、DROBE の都筑です。 みなさん LLM 使っていますか。今回は GPT-3.5-turbo の Fine-tuning の事例を紹介します。 結論 GPT-4 を利用して得られたデータを使って GPT-3.5-turbo を Fine-tuning する事で、特定のタスクに関しては GPT-4 相当の性能が出る事が確認できた GPT-4 利用時点で使っていたプロンプトをそのまま使った場合の性能が一番高く、token 節約のためにプロンプトの省略をすると性能が劣化した 背景 LLM を利用したサービスの開発において、OpenAI を利用する場合にはモデルの選択肢がいくつかあります。2023年9月現在では、GPT-4 と GPT-3.5-

1. 始めに こんにちは、morioka12 です。 本稿では、バグハントの入門として、主に Web アプリケーションの OSS に焦点をおき、脆弱性の発見・報告・CVE ID の取得について紹介します。 1. 始めに 免責事項 想定読者 筆者のバックグラウンド 2. CVE とは 3. 探す対象の選び方 OSS Topic (Type) 特定の条件で絞る バグバウンティの OSS 4. 脆弱性の検証方法 アプローチ方法 5. 脆弱性の報告先 6. 報告書の書き方 CVSS CWE 7. 脆弱性発見から CVE ID の取得までの流れ 注意点 8. バグハント前のスキル準備 過去の CVE ID やレポート Web Security の場合 9. その他 その後のチャレンジ セキュリティエンジニアを目指す就活生の方へ OSS の開発者の方へ 10. 終わりに 免責事項 本稿の内容は、セキュ

世間でエンジニアというと、ITエンジニアだけじゃないでしょ、というツッコミはあるだろうが、ネットの流行に任せて意図的に誤用してみた。ネットって、IT関係者がすごく幅を利かせている場所だと思う。エンジニアという言葉をITでぶんどってしまった。 エンジニア、いやITエンジニアという仕事。おそらく外から見ていると、業務時間中だけではなく仕事が終わった後も、夜や土日もずっと勉強をしていないと生涯勤めあげられないというイメージが強いと思う。 しかも、それだけではなく、食生活や睡眠時間にも気を配り、適切に運動をし、健康にも気を配り続けないといけない、と。 なんてストイックな。 もしかしたら、適切な資産形成を行ったり、世帯を持って子どもを設けたり、家や車を手に入れて文化的な生活を享受して楽しむ心も必要なのかもしれない。友達が数人いて、プライベートでは交流もして、見識を広げなければいけないのかもしれない。

Scalaは難しいと思われたり敬遠されがちである。Scalaの難しさについてTwitterなどでアンケートをとったり、ネットでググって意見を吸い上げてみた。議論の叩き台にするみたいな用途を意図しています。 ご意見や記事募集中です。できればTwitterじゃなくて記事だと嬉しいです。流れていってしまうので・・・ また、私見は私見です。 誰お前 アンケート 言語機能を全部覚えないといけないというドグマ 私見 記号がなんか多い 私見 他言語との差異 私見 implicitまわりが難しい 私見 斧が飛んでくる 私見 ツールまわりが難しい 私見 日本語の記事不足 私見 風評 私見 Scala 3 私見 手軽度がない 私見 ライブラリやフレームワークが関数型寄りすぎる 私見 全体を通して 誰お前 Scalaを10年弱書いています。業務だともっと短いです。 アンケート Scala難しい？僕はScalaの

WebシステムがPostgreSQLにアクセスするときのDBロールはどうしていますか？　postgres みたいな全能ロールをそのまま使う⋯⋯　でも動くシステムにはできるんですが、仮にアプリサーバ側の脆弱性を突かれたときに即DBの全権限まで危険にさらされる構成はインターネットにさらす本番システムではやりにくく、SELECT/INSERT/UPDATE/DELET権限だけ付けたデータアクセス専用のロールを作ってこれを使うのが一般的かと思います。 すると手間になってくるのがテーブルを追加したときにGRANTが必要なことですし、それをうっかり忘れて本番リリース後に権限エラー発生みたいな事故も起こりえます。 本日も超小物のお題をお送りします、エムスリーエンジニアリンググループ、Unit1（製薬企業向けプラットフォームチーム）三浦(@yuba@reax.work) [記事一覧 ]です。 新規テーブ

自分は、仕事でScalaを数年間・プライベートな経験を含めると10年弱のScalaの経験がある、そこそこの熟練Scalaエンジニアだ。チームにメンバーが入ってきたり他人に勧めるたびにScalaの環境構築を教えている一方、最新の知見を反映した記事が無くて他人に勧めづらかったので、自分が書くことにした。 現在ある記事 けっこう古びている 覚えながら書かれていることが多いのでやや曖昧な箇所がある(でもありがとう！) 最新のツールが利用できておらず無駄が多い 網羅的でない 今回目指す内容 最新の知見を活用して最短距離を目指す 何もない状況から一通りのツールが揃う所を目指す Scalaの環境構築は年を追うごとに簡単になってきているので、大多数の読者は引っかからずに進めるようになっているはず。 Scalaは基本的にJVMで動作する言語だ。このため環境構築にはJVMのセットアップも含まれるのだが、それに

こんにちは、MA部MA開発1ブロックの齋藤（@kyoppii13）です。 8/29-8/31に開催されたGoogle Cloud Next '23へ参加してきました。今年は4年ぶりとなるオフライン開催で、アメリカ・サンフランシスコで開催されました。弊社からはMA部の齋藤・松岡・中原の3名が参加しました。 今年は生成AIにフォーカスした内容がとても多く、それに関連する新サービスの発表も多くありました。本記事では、現地での様子と特に興味深かったセッションをピックアップして紹介します。 現地での様子 3日間に渡って開催されたGoogle Cloud Nextの会場はモスコーニ・センターという大きな展示施設で、メインルームではキーノート、他ルームでセッションが発表されるというものでした。発表以外にもワークショップやたくさんの企業ブースがあり大変賑わっていました。 Moscone Center Ma

G-gen 又吉です。Google Cloud (旧称 GCP) の生成 AI (Generative AI) である PaLM 2 を用いて、Cloud Run 上に社内 LLM Web アプリを構築してみました。 はじめに 前提知識 Vertex AI PaLM API Gradio Cloud Runサービスへのアクセス制御 準備 ディレクトリ構成 app.py requirements.txt Dockerfile デプロイ 動作検証 はじめに 今回は、Google Cloud の生成 AI である Vertex AI PaLM API を用いて、社内向け LLM Web アプリを Cloud Run 上にデプロイします。 また、Cloud Run サービスの認証には Identity-Aware Proxy (IAP) を用いることで、社内ユーザーのみがアクセスできる状態を構成で

こんにちは！ デジタルペンテスト部で、セキュリティコンサルタント📚とかテクニカルコミュニケーター🤝とかをやっているMi*です🤗💓 早速仕事の話でめんごです🥹🙏 わたしの普段の仕事では、お客様などに対して「ペネトレーションテストとはどういうものか」を説明する場面が多くあります。そのときによく使うキーワードが「攻撃者視点」です。例えば脆弱性診断のようなセキュリティテストと対比して、「攻撃者視点で、攻撃者の目的の達成可否を調査するテスト」といった説明をするのですが、ここでふと思うわけです。「攻撃者視点」って、どんな視点？そもそも「攻撃者」ってどんな人・・・？ 攻撃者・・・攻撃をする人？ てかまじ久しぶり！みんな元気だった？？ 多くの人にとって未知の存在であるサイバー攻撃や攻撃者といった存在の解像度を高めてくれる存在の一つに、サイバー攻撃に関するナレッジベースやフレームワークがあります

「どんなスキルを習得すればCTOになれるか」は、答えを出すことが非常に難しいテーマのように思われます。実際、世の中に「エンジニアとしてのスキルを向上させるためのノウハウ」はあふれていますが「CTOになるためのノウハウ」を見かけることはほとんどありません。 このブログでは連載形式で、CTO候補の育成方法について考えていきます。今回は第一弾として、CTOという役割について私が感じている課題意識と、CTOに求められるスキルの全体像について記述します。連載で次に何を書くかは、読者からのアンケートを募ってテーマを選んでいきたいと思います。こういった連載は新しい取り組みで、不安と期待が入り混じったような気持ちです。 アンケートの回答はこちらから このブログの想定読者 いつか CTO になりたい人 エンジニアリング組織のリーダー格以上 キャリアアップを狙っているいちエンジニア エンジニアを育成する立場の

こんにちは。X（クロス）イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 Terraform で Amazon RDS インスタンス/クラスターを作る時に、password または master_password 属性に指定したマスターユーザーのパスワードが tfstate ファイルに平文で残ってしまう問題がありました。 （参考） https://speakerdeck.com/harukasakihara/sekiyuanaterraformfalseshi-ifang-ji-mi-qing-bao-wokodonihan-mezuhuan-jing-gou-zhu-surunihadousitaraiifalse しかしこれも過去の話。Terraform AWS Provider v4.61.0 からこの問題を解消する方法が提供されているので、それについ

jqがjqlang organizationに移譲され、数名の新たなメンテナーを入れた開発体制に移行してから三か月が経ちました。 私にとってこの三か月はとても濃厚で、これまでのOSS活動の中でも特に大変な期間でした。 itchyny.hatenablog.com github.com リポジトリの管理権限をいただいてからまずやったことは、既存のissueやPRの整理でした。 500ほどのissueとPRに目を通し、ラベルをつけて、解決済みのものを閉じて、直近で入れたいものを独断でリリースマイルストーンに入れていきました。 この整理がついた頃には他のメンテナの活動も活発になり、私の作ったマイルストーンのissueやPRを確認してくれました。 そして先日、ようやく1.7をリリースしました。 1.6から実に五年弱、一時は開発が完全に止まってしまいプロジェクトの存続を危ぶむ声も上がるような状況から

巷で chatGPT の便利な使い方のエントリは溢れているため、何番煎じかという感じではありますが、個人的に便利(かつ他の手段で代替が効きづらい)と思ってる用法を 3 つほど紹介します。 リストのぬけもれ探し チェックリストやソフトウェアの要件など、リストを網羅的に作ろうとする作業はしばしば発生します。こういった手動作成しているリストに対し｢完全であるか = 抜けがないか｣を自信を持って言えることは少なく、悪魔の証明的であると思います。 何かを手動でリストアップしているときに、リストに抜けがないかを chatGPT にチェックしてもらいます。ポイントとしては、人間がある程度リストアップしておき、それをそのまま伝えて｢この方向性で洗い出してるこのリストの抜けを教えて｣というふうに聞くことで、自分が想定しているリストアップの方向性を伝えるところだと思います。こうすることで違う方向のリストアップ

この記事はScalaプロジェクトをMaven Central Repositoryにリリースして全世界から使えるようにする手順をまとめたものである。作業は大別してSonatype側とビルドツール側とに分かれる。今回はビルドツールとしてMillを利用したが、作業の過半は同じである。数時間でこの作業は終わるし、Sonatype側の作業は一度だけやればよい。 用語 方針と前提 Sonatype側の作業（Group IDを作るときに1回だけ必要） Sonatype JIRAへの登録 Issue作成 ダミーリポジトリ作成 認証完了 PGP鍵の準備（こちらも1回だけ作成すればよい） Millの場合 （sbtの場合） Nexus Repository Managerで様子を見る Nexus Repository Managerで様子を見る代わりに・・・ 使う 参考文献 ScalaはJVM言語だから、もち