はてなブックマーク

はじめに こんにちは。GMO Flatt Security株式会社でコーポレートセキュリティエンジニアをしています、hamayanhamayanです。 様々な企業で生成AIの活用が進んでいることと思います。その流れは当社も例外ではなく、今年に入ってから、生成AIの全社的な利用、生成AIを利用した診断業務の効率化、生成AIを活用した製品開発と、怒涛のように生成AIの利活用が進んでいます。 そんな中でコーポレートエンジニアは、ビジネスの前進に必要な生成AIの利活用は止めたくない、しかし、企業の責任としてセキュリティやガバナンスは疎かにできないという板挟みの中にいると思います。私も例外ではなく様々な情報を集め、リスク評価を行い、社内整備を進めてきました。 本稿は、私がその過程で得た知識を凝縮した記事となります。生成AIに馴染みの無い方にも手にとって貰えるよう初歩的な部分から説明していて、また、内

こんにちは！カイゴジョブの開発をしております@katorieです。普段はRuby on Railsを使ってプロダクトの改善や新機能開発に取り組んでいます。 すでにこのブログでは弊社の学生支援によってRubyKaigi 2025に参加した学生の皆さんのレポートが公開されておりますが、ご覧いただけましたでしょうか？ 私からは、子連れで参加したRubyKaigi 2025についてお伝えしたい思います。あくまで私個人の感想とともに一例としてのご紹介になりますが、RubyKaigi に参加するスタイルのひとつとしてどなたかの参考になることを願っています。 なぜ子どもを連れてRubyKaigiに参加するか 今回RubyKaigiに子どもを連れて参加したのには、いくつか理由があります。 まず単純に、「行きたい」という気持ちがありました。RubyKaigiは、Rubyに関わる開発者にとって年に一度のお祭り

始めに こんにちは、GMO Flatt Security株式会社 セキュリティエンジニアの森岡(@scgajge12)です。 最近、AWS Community Builders (Security) の更新審査を通過して2年目に突入したため、早速 AWS に関するブログを執筆しました。 本稿では、Amazon Bedrock を活用して生成 AI アプリケーションを開発する際に気をつけるべきセキュリティリスクや対策について紹介します。 また、GMO Flatt Security は LLM を活用したアプリケーションに対する脆弱性診断・ペネトレーションテストや日本初のセキュリティ診断 AI エージェント「Takumi」を提供しています。ご興味のある方はリンクよりサービス詳細をご覧ください。 目次 始めに 免責事項 Amazon Bedrock とは 生成 AI アプリケーションにおけるセキ

blog.tinect.jp 上掲リンク先で、AIと付き合う際に決して忘れてはならないことを書いた。AIが進歩したからといって判断を丸投げしてはいけない。判断の主体性や責任性はこれからも人間が引き受けなければならないし、AIが普及すればするほど、AIに問いを立てる能力、ひいてはリテラシーが求められるのは避けられない。 しかし現実には、AIに判断を丸投げしたがる人はいようし、丸投げするしかない人、丸投げするのがコスパの良いこととみる人もいるだろう。「人間はもっと無責任な動物だ」「今までのネット社会だって、リテラシーが欠如しまくっていたじゃないか」という声も聞こえてきそうだ。 もっともな指摘だ。だけど、AIの進歩は人間にますます高い能力を要求するようになり、人間側がそれについていけるかどうかに関係なく社会に定着するだろう。たくさんの人間を置いてけぼりにするようにAIが進歩し続けたら社会がどうな

(日本語版は下記です） Hello, I'm Tim Mansfield, Tech Lead in LayerX's AI & LLM division. (「マンスフィールド」 which honestly is tiring to type into forms, heh.) I've been doing product development in Silicon Valley for over 25 years, working at Google and YouTube back in the 00’s, as well as serving as tech lead, engineering manager, or CTO at various startups across EdTech, GreenTech, FinTech, thisTech and thatTech

こんにちは、Speeeでビジネス領域のAIガバナンスプロジェクトのオーナーをしております 長山と申します。普段はバントナー事業部で、クライアント企業のDXに伴走支援しております。また本記事でご紹介する取り組みでは、日々、「AIをもっと活用したい」という現場の声と「安全に使おう」という組織としての要請の間でバランスを取る挑戦をしています。 皆さんの組織でも、「このAIツールは使っていいの？」「この情報を入れても大丈夫？」「新しいAIツールを試したいけど申請方法が分からない...」といった声がありませんか？ ツールの進化が加速度的に進む今、組織としてAIをどう取り入れていくかは、単なるIT管理の問題を超えた経営課題になっています。 この記事では、Speeeで今年1月から取り組んでいるAIガバナンスプロジェクトについて、その背景から現在の取り組み、そして見えてきた課題や展望までをお伝えします。

アジャイルな開発チームで仕事をするデザイナーには、どういったマインドセットが求められるのでしょうか。アウトプットへのこだわりを抑えて、チームのメンバーとして果たすべき役割があります。またAIによるUIの生成が可能になってきた現在、その役割も大きく変化し始めています。 同じ美術大学に1学年違いで学んだ平野友視（@hiranotomoki）さんと大輪俊行（@ohwatoshiyuki）さんは、現在それぞれ法人向けSaaSを展開する事業会社でアジャイルな開発組織に所属しています。アジャイルな現場におけるデザイナーに必要な姿勢や考え方、そしてこれからの在り方について語り合いました。 アジャイルでは完成品ではなく価値を届ける アジャイルに馴染めるデザイナーとそうでないデザイナー 影響の少ないところから始めて4年で8割をリプレイス デザイナーとAIだけで実現するプロトタイプやデモシステム この先生き残

こんにちは。Findy Tech Blog編集長の高橋（@Taka_bow）です。 本記事は「エンジニア達の人生を変えた一冊」シリーズの第4弾となります。エンジニアとしてのキャリアや技術的な視点に大きな影響を与えた一冊とは？それぞれの思い入れのある本から、技術への向き合い方や成長の軌跡が垣間見えるかもしれません。 今回は佐藤さん、中村さん、甲斐さんの3名のエンジニアに、人生を変えた一冊を紹介していただきます。 まずはファインディのテクノロジーを統括するCTO佐藤さんからです！幅広い知見を持つ佐藤さんが、エンジニアとしての原点となった一冊とは？大学時代に出会った運命の本が、その後のキャリアをどう形作ったのでしょうか。 ■ 佐藤将高さん / CTO ■ ファインディ株式会社のCTOを務めています。トップバッターを務めさせていただきます！ コンピュータの構成と設計 コンピュータの構成と設計 MI

この記事で得られる3つのポイント 「つぶしが効く」エンジニアになる: 表面的な技術習得ではなく、根本原理の深い理解と問題解決能力が長期的な市場価値を創出する AI時代の新たな役割: テクノロジーと人間の強みを組み合わせ、AIとの効果的な協働を設計・実現できる「アーキテクト」としての視点 計画的偶発性の活用: 不確実性を受け入れ、専門性と横断性のバランス、継続的学習、そして「偶然を必然に変える」姿勢の重要性 はじめに みなさん、こんにちは！本日はアカリクの就職ラウンジイベント＠会津大学に来ていただき、ありがとうございます。「AI時代に市場価値を高めるキャリア戦略」というテーマでお話しさせていただきます。口頭で補足しながらいろいろやっていきます。よろしくお願いします。 acaric.jp 現役エンジニアとして日々AIの進化と自身のキャリアパスに向き合う中で、私が得た気づきや思考を皆さんと共有で

2025年5月13日から5月14日にかけてサンフランシスコで開催されたAIエージェント開発のテックイベント「LangChain Interrupt」。Day 2のプロダクトキーノートに続き、AIエージェント開発における最重要課題の一つである「評価 (Evaluations、以下Evals)」に焦点を当てたセッションが行われました。 スピーカーは再びLangChainのCEOであるHarrison Chase氏が務め、なぜEvalsが重要なのか、そしてLangChainがこの分野でどのような取り組みを進めているのかについて、解説を行いました。 品質こそが最大のブロッカー Harrison Chase氏は、約6ヶ月前に実施したAIエージェントビルダー向けの調査結果から話を始めました。その調査で、より多くのAIエージェントを本番環境に導入する上での最大のブロッカーとして、圧倒的多数が挙げたのが「

はじめに こんにちは、GMO Flatt Security株式会社セキュリティエンジニアの松井（@ryotaromosao）です。 近年、LLM（大規模言語モデル）が目覚ましい進化を遂げており、それを利用したLLMアプリケーションが急速に増加しています。特に、AIチャット機能やエージェント機能が既存のサービスに搭載されるのを目にする機会も多いと思います。 しかしながら、LLM APIを用いたアプリケーションを提供する事業者にとって、「高額なAPIの利用料金を請求されたらどうしよう」という不安は大きいのではないでしょうか。 私も自社開発のセキュリティ診断AIエージェントのTakumiを使って脆弱性診断やリサーチ活動をしていますが、そのLLM APIの利用料金にはいつもビクビクしています。 まだ最適化が為されていなかった、Takumiの開発中の話ではありますが、脆弱性のリサーチ中に「このリポジ

生成AIと共存するコンテンツ制作の新しいパラダイム JADEブログ編集部の船津です。 正直に言うと、AIツールに関してはずっと複雑な気持ちを抱えていました。「コンテンツ制作にAIを使ってみたものの、結局時間がかかる」「質の高いコンテンツを作りたいけど、AIに丸投げはできない」。そりゃそうですよね、日々のコンテンツ制作で、同じ感情を抱えている方は多いかもしれません。 そんな方にとって、もしかしたら解答あるいは選択肢の一つになりそうなツールに直近で出会えました。「StoryHub」がそれです。5月15日に開催されたStoryHubのイベントで感じたのは、これはある意味理想形だなー、ということと、一次情報を集めるためにかいた汗が無駄にならないツールだな、ということ。といいますか、コンテンツを発信する者にとって、そこしか差別化要素はないな、とも。 この記事では、自分の情報発信を変えてくれる可能性が

こんにちは。ソフトウェアエンジニアの坂井 (@manabusakai) です。インターネットの根幹を支えるドメインと DNS の仕組みが好きです。 ところで、みなさんの会社ではドメインや DNS レコード（リソースレコード）をどのように管理されていますか？ カミナシでは以下のような課題を抱えていました。 運用・管理面 複数のレジストラでドメインが取得されていたため、異なる管理画面の操作方法や請求書の連携で手間がかかっていた DNS レコードのほとんどが手作業で追加され、それらのレコードが登録された経緯や目的の記録が残されていないものが多数あった。加えて、棚卸しの実施が不十分で、必要性が不明確なレコードが多数存在していた セキュリティ面 一部のレジストラにおいては、きめ細やかな権限管理機能が提供されておらず、ID とパスワードを共有せざるを得ない状況であった。結果として、CTO がこれらに関

はじめに こんにちは、GMO Flatt Security株式会社セキュリティエンジニアの石川(@ryusei_ishika)です。 近年、ChatGPT や Gemini などの大規模言語モデル（LLM）をはじめとする生成 AI の活用が急速に進んでいます。その一方で、これらの AI モデルに対する新たな攻撃手法である「プロンプトインジェクション」が注目を集めており、そのセキュリティリスクが問題視されています。 この記事では、プロンプトインジェクションが実際にどのような脅威となり得るのか、具体的な事例を交えながらそのリアルなセキュリティリスクを解説します。さらに、開発者や経営者が取るべき具体的な対策についても、分かりやすくご紹介します。 また、GMO Flatt Securityは日本初のセキュリティ診断AIエージェント「Takumi」や、LLMを活用したアプリケーションに対する脆弱性診

幸せな家族はどれもみな同じようにみえるが、不幸な家族にはそれぞれの不幸の形がある。 アンナ・カレーニナの法則 (Anna Karenina principle) とは、成功の状態は一つしかないが、失敗の状態は無数にありうるという、トルストイの小説『アンナ・カレーニナ』の有名な冒頭に由来する法則です。機械学習においては、ヤミニ・バンサルらの研究 [Bansal+ NeurIPS 2021] をはじめとする、モデルの表現（埋め込み）についての以下の観察が知られています。 機械学習におけるアンナ・カレーニナの法則：性能の良いモデルはどれもみな同じような表現をもっているが、性能の悪いモデルにはそれぞれ性能の悪い表現がある。 機械学習では、「アーキテクチャや訓練方法が異なっていても、良いモデルは自然と同じようになる」という上の句に相当する現象に焦点が当てられることが多いです。 この法則は異なるモダリ

LLMの使い方で、よく使っているのが、人間が制作したものをAIに簡単にチェックしてもらう、ということ。 以前作った、ブログを批評してくれるイルカは毎日常用している。 1つの文章を見てもらうだけでなく、2つの文章間に齟齬や、矛盾がないか見てもらう、ということも、たびたびやっている。 人にドキュメントを見せる前などはとくにそう。 同僚にチェックしてもらう前に、ちょっとした誤字とか、ここが意味不明です、みたいなところにつっこんでもらうと、最低限の品質を保てると考えている。 2つの文章を見比べるシチュエーションは、以下のようにいろいろと考えられる。 実装とテストの内容に齟齬がないかチェックしてもらう 実装とドキュメントの内容に齟齬がないかチェックしてもらう エンジニア向けと企画メンバー向けのドキュメントを見比べてもらう 自分のもとに届いた、受け取った情報と、自分の返答の流れがおかしなことになってな

TL;DR 社内の開発情報にアクセスするMCPサーバーを作成して、AI開発ツールが業務知識を活用できるようにしてみた。 具体的なツール事例（DBスキーマ参照、コード検索など）と、AIに活用させるための命名、レスポンス、権限などの考え方とコツを紹介。 TL;DR はじめに MCPとは MonotaROでのMCP DBスキーマを使ったコード生成 既存ソースコードからの業務知識抽出 共通モジュールの使用例の検索 MCPツール実装のコツ プロセスの状態に依存せずツールを利用できるようにする できるだけ具体的なツール名をつけてパラメータを修飾する レスポンスとしてinformativeなフィードバックを返す (なるべく)実行ユーザーの権限を使う まとめ はじめに MonotaROでは、ドメインモデリングでリアーキテクチャに挑むと同時に、モノタロウのAI駆動開発の全貌をご紹介しますのようにAIツールを

AIブームである。私のような場末のエンジニアにまで、AI案件の話が飛んでくる始末だ。 AI案件とは、だいたいにおいて、「ChatGPTのようなAIに我が社の長年の課題（属人化している業務や、時間のかかる業務）を代替させ、業務効率化を図る」という趣旨になっている。 ところで、案件の決裁権を握っているおじさんたちにとって、AIとはChatGPTのことだ。つまりは日本語を理解し、なんだか賢そうな返答を返し、全てを解決してくれそうなふいんきのあるチャットボットのことである。 さて、どうやってAI（LLM)に建築物の構造計算の検証や、ブランド品の値付け査定や、Webデザインをさせたらいいだろうか？ 哀れなプロンプトエンジニアたちが、あの手この手でプロンプトを調整することで、LLMはそれらしい返答を返してくれる。それらしい数字、それらしい値段、どこかで見たことのあるHTML。だが、実際それを業務に反映

はじめに こんにちは。GMO Flatt Security株式会社 ソフトウェアエンジニアの梅内(@Sz4rny)です。 一つ前の記事である「MCPにおけるセキュリティ考慮事項と実装における観点（前編）」では、MCP Server / Client のリスクについて紹介しました。本記事では、すこし観点を変えて「AI と認可制御」について検討します。 LLM を組み込んだサービスを実装している人も、LLM が組み込まれた開発支援ツールを使っている人も、おそらく一度は「AI にどの程度権限を与えてよいのか」という疑問に頭を悩ませたことがあるのではないでしょうか。本記事では、このテーマについて深堀りします。 また、GMO Flatt Securityは日本初のセキュリティ診断AIエージェント「Takumi」や、LLMを活用したアプリケーションに対する脆弱性診断・ペネトレーションテストを提供してい