おい、要件を言葉にしろ - じゃあ、おうちで学べる
はじめに 察しの良いチームが、いちばん危ない。 書かなくても通じてきた、その通じ方が、AIには渡らない。書かれていない常識は、書かれていないというだけの理由で、消える。 要件定義は、長く「面倒だが避けて通れない上流工程」と呼ばれてきました。きちんと書こうとすると時間がかかる。書かなくても、チームが察しで埋めてくれる。だから雑にやっても、なんとかなった。たぶん、それが間違っていたわけではないのだと思います。書かない知恵で、私たちはずっと回してきた。 それが、AIで開発するようになって、通じなくなりつつある気がします。AIには「察し」がありません。書かれていないことは、想像で埋められる。その想像は、私たちのチームの常識とはたぶん一致しない。一致するときもあるかもしれませんが、一致しなかったときの代償が大きすぎる。 それも、信じられない速度で起きます。 人間のチームでは、要件の曖昧さは3週間後に
おい、要件を動くものにしろ - じゃあ、おうちで学べる
はじめに ドキュメントは、書いた瞬間から腐っていく。 読まれない。検証されない。更新されない。それでも、要件と呼ばれ続けている。 第1部では、要件を言葉にする規律について書きました。引き出し、観察し、ジョブを見極めながら、業務領域の言葉で書く。6つの特性を満たし、検証可能な形にする。揺らぎと固執を組み込んで、自分たちの色を要件に乗せる。 そこまでやって、初めて要件文が立ち上がります。ただ、立ち上がっただけでは足りないのだと、最近は思うようになりました。 第1部で扱ったのは「書かれずに死ぬ要件」でした。第2部で扱うのは、もう一段先の死、書かれたのに読まれずに死ぬ要件です。気づいたときには、ドキュメントと現場のあいだに、もう橋が架かっていない。 syu-m-5151.hatenablog.com 要件は、ドキュメントで生きるのではなく、動くものとして生きる必要があるのではないか——というのが、
外部からアクセス可能なhttpsサイトはドメイン設定後「即」攻撃にさらされる件
今日も元気にXを徘徊していたところ、どこにも公開していないサイトなのにめちゃくちゃアクセスが来るというポストがあり、そういえばCT Logとかもウォッチされてるしな。とつぶやいたところ まとめがあるといいな、とのコメントをいただいたので簡単にまとめてみました。(なお当該のポストはCT Log経由の攻撃と断定されているものではありません。)あくまで私が思い出しただけの話ですが、普通に来ますからね。 httpsサイトを新規公開するとすぐに攻撃botがやってきます 大事なことなのでもう一度いいます ステージングでも仲間内だけのページでもやってきます 見出し記法の濫用すみません。今回は注意喚起の側面が強いので、まずは何が起こりうるかを知ってもらうために最初に書きました。 botはやってきて何をするのか?単純にめちゃくちゃアクセスしてきます。サイトによっては数万回、/.envとか/.gitignor
3000円前後のお勧めワイン in 2026 (地域ごとの傾向も踏まえて) - シロクマの屑籠
二日前に書いたワインの文章にはいろいろなご意見が集まって参考になった。で、3000円前後でお勧めのワインや初心者向けのワインを知りたい人が少なくないようにも見えた。 スーパーマーケットで3000円のワインは買わないほうが無難 - シロクマの屑籠 何を買ってはいけないかより、何を買うのがおすすめかで自分を語れよ!!(ドン!!!)2026/05/03 12:24 b.hatena.ne.jp うん、わかった。 よって、今日は2026年におけるお勧めのワインを地域別の傾向も書き添えつつ、紹介してみる。今回のルールは以下のとおりだ。 販売価格は2000~4000円ぐらい、ときどきそれ未満 初心者向けのワインには☆をつけて紹介する コストパフォーマンスに優れたワインは★をつけて紹介する 極端に流通が悪いワインは避け、あるていど入手性が保たれたワインにする 貴腐ワインやドイツハンガリーの極甘口はわから
AIは速度を前払いし、失敗を後払いにする|Kosuke Kuzuoka
はじめに「AIは速度をフロントローディングし、失敗をバックローディングする」 Opsera社が25万人のエンジニアを分析した2026年版ベンチマークレポートに記されたこの一文は、AI時代のソフトウェア開発組織が直面している本質的な矛盾を的確に言い当てている(出典: Opsera AI Coding Impact Benchmark Report 2026)。93%の開発者がAIツールを使い、コーディング速度は30〜58%向上した。しかしその代償として、PR レビュー時間は441%増大し、本番インシデント数は242.7%増加し、開発者一人あたりのバグ数は54%増加した(出典: Faros AI Engineering Impact Report 2026)。 AIは組織を速くした。しかし、強くはしていない。 3つの独立した大規模調査が同じ結論を示すStanfordが10万人のエンジニアを対象
【緊急】Cursorに「git clone」するだけでPCが乗っ取られる脆弱性!CVSS 9.9のヤバすぎる攻撃手法 - Qiita
結論から言うと、Cursorユーザーは今すぐバージョン2.5以上にアップデートしてください。 2026年4月28日、AIコーディングツール「Cursor」にCVSS 9.9(NVD評価) の致命的な脆弱性が公開されました。 悪意のあるリポジトリを開いて Cursor の AIエージェントに作業させるだけで、ユーザーが何も承認しなくてもPC上で任意コードが実行されます。 この記事では、CVE-2026-26268 の 実際の攻撃チェーン、サンドボックスがなぜ意味をなさなかったのか、そして AIエージェント時代に開発者が知っておくべきセキュリティモデルの変化を、1次ソースに基づいて詳細解説します。 TL;DR — 30秒で要点把握 項目 内容
AIエージェントを会社で使いたい!→「え、セキュリティどうするの?」 企業導入への技術的アプローチ - Qiita
この記事を読んでほしい人 Claude Code / Cursor / Copilot などの AIエージェントをチームに導入したい 人 情シスから「セキュリティ面の対応は?」と聞かれて 技術的に答えたい 人 「導入したいけどセキュリティが心配」で 手が止まっている 人 AIエージェント導入で必ず聞かれる3つの質問 AIエージェントの導入を提案すると、情シスやセキュリティ部門からだいたいこう聞かれます。 Q1: 「AIが何をしているか見えないけど大丈夫?」 Q2: 「危険な操作を勝手にされない?」 Q3: 「何かあったとき説明できる?」 どれも正当な心配です。AIエージェントはチャットボットと違って、自分の判断でファイルを書き換えたり、コマンドを実行したり、外部に送信したり します。つまり「画面に出る応答」の裏で、別の何かが動いている可能性があります。 本記事では Aigis という OS
俺が振り込め詐欺にあったケースだと、偽警察から直接電話があったわけじ..
俺が振り込め詐欺にあったケースだと、偽警察から直接電話があったわけじゃないってのが一番大きかったかな。 よく振り込め詐欺について注意喚起があった場合、「警察が直接電話することはない」って言うじゃん? だから振り込め詐欺側も認識をアップデートしていて、クレカ会社を名乗ってたんよ。 まずクレカ会社から電話があって、お客さんのカードが不正利用されてる可能性があるぞって話をされてたわ。アプリで使用履歴を見たらそんなものはないし、特にそんな形跡はねえぞってツッコミ返して、色々グダグダ話していたら、最終的に勝手にクレカ会社系列の銀行に口座を作られてて、その口座に紐づける形でクレカが作られてる可能性があるって話に誘導されたわけ。 で、ここからがポイントで、近年多発してるからクレカ会社の最寄の警察署に担当者がいて、そちらの方に電話して被害届を出してくれと。で、電話をその偽警察に転送されたわけで。 だから、
偽警察から具体的に11億の振り込め指示があったわけじゃないと思う
https://b.hatena.ne.jp/entry/s/news.web.nhk/newsweb/na/na-k10015112951000 一体どうやって、11億も騙し取ったんだ?みたいなコメントがちょくちょくあるけど、実際に振り込め詐欺にあった俺の経験から話すと、偽警察は具体的に11億円振り込めって指示したわけじゃないと思うよ。 簡単な話で、「口座の金をチェックするから、一旦こちらが指示する口座に全額振り込んでくれ」という内容なんじゃないかと思う。 これだと金額の大小に関係なく騙せるからな。突然、具体的に11億振り込め!!って話なら警戒するだろうけど、あくまでもチェックのために一時的に預かるという話に誘導されたなら、信用しちゃったんじゃないかな。 そして金に関わる話だから、おそらく偽警察経由で、偽金融庁の話を持ち出されていると思う。俺の時もそうだった。金はあくまでも金融庁の方で一
未公開AI「Claude Mythos」の謎。正しい読みは「ミソス」か「ミュトス」か | Business Insider Japan
こちらはBusiness Insider Japanの無料ニュースレターに掲載されたコラムです。無料ニュースレターでは、日替わりで編集部員がコラムを執筆しています。Tech Insiderの振り返りコラムは、毎週金曜日に配信しています。ニュースレター(無料)に登録する先日、アンソロピック日本法人の広報から届いたメールをXに投稿したところ、大きな反響がありました。 内容は、現時点では未公開のAIモデル「Claude Mythos」の日本でのカナ表記と読みが「クロード・ミュトス」である、というものです。 Anthropicの広報担当者からメールが なるほろ? 先日Anthropicが発表いたしました「Claude Mythos」につきまして、日本語でのカナ表記を下記の通りご案内いたします。 正式表記(英語) Claude Mythos 日本語でのカナ表記・読み仮名 クロード・ミュトス — ゆう
品質の言語化のススメー早期テストの原則をClaude Code Agent Skillsで実現する試み - LayerX エンジニアブログ
LayerX QAエンジニアの小山です。 昨今、AIコーディングアシスタント(特にClaude Code等)の進化により、コードの実装やテスト追加のスピードが飛躍的に向上しています。しかし、AIにコードを書かせる際に「どこまで厳密なエラーハンドリングが必要か」「テストはどの程度書くべきか」といったことに迷われた経験はないでしょうか? 今回は、バクラク事業部の品質の定義やテスト戦略などを言語化し、Claude Codeが動く際にリスクの高い箇所を守るように動いてもらい、テストも同時に生成してもらう、早期テストで時間とコストを節約する試みについてご紹介します。 ソフトウェアテストの原則「早期テストで時間とコストを節約する」 筆者はJSTQB FLの公認コースのトレーナーを15年ほどしているのですが、JSTQB FLシラバスの中に「テストの原則」として7つの原則があります。その中の1つとして「早
マネーフォワードのGitHub不正アクセス事件をエンジニア視点で読み解く — なぜソースコードに本番カード情報と認証キーが入っていたのか
はじめに 2026 年 5 月 1 日、マネーフォワードが「GitHub への不正アクセス発生に関するお知らせとお詫び(第一報)」を公表しました。GitHub の認証情報が漏えいし、第三者によりリポジトリがコピーされ、ソースコードと一部の個人情報が流出した可能性があるという内容です。同時に、銀行口座連携機能を一時停止する措置もとられました。 この事案は、エンジニア視点で見ると「仕方ない部分」と「明らかにアウトな部分」がはっきり分かれる、教科書のような事例になっています。GitHub 認証情報の漏えい自体は、正直に言ってどの会社でも起こり得ます。一方で、流出したとされる中身に 本番カード保持者の氏名と下 4 桁が 370 件、そして ソースコード内に各種認証キー・パスワード が含まれていたという点は、設計と運用の問題として議論せざるを得ません。 この記事ではセキュリティエンジニアの立場から、
高市首相 ナフサ由来の化学製品 年越えて供給継続できる見込み | NHKニュース
高市総理大臣は、プラスチックなどの原料となる「ナフサ」に由来する化学製品について、中東以外からの調達を進めるなどした結果、年を越えて供給を継続できる見込みになったと明らかにしました。 政府は30日…
Claude Code に仕事を譲った日——残ったのは「判断」と「責任」だった
はじめに 私はもともとIS(インサイドセールス)、いわゆる営業サイドの人間だった。 コードは書けない。SQLも知らない。ターミナルを開いたこともなかった。そんな自分が、ある日開発部のCRE(Customer Reliability Engineering)チームに異動した。 CREの仕事は、お客様からの技術的な問い合わせを調査して回答すること。「承認フローが変わってしまった」「エクスポートが終わらない」「メールが届かない」——毎日そういった問い合わせがJiraに積まれていく。 調査には、本番DBへのクエリ実行、Rails/Reactのコードリーディング、ログの解析が必要になる。正直に言うと、最初は「自分にできるのか」という不安しかなかった。 でも今、私のPCでは毎時0分にClaude Codeが自動で起動し、Jiraから新しいチケットを拾い、コードとDBを調査し、回答ドラフトまで作ってSl
人間レビューはもう不要? AI と人間のレビューの線引きを決めた話
はじめに こんにちは!Acsim 開発チームの笹沢です。 AI 駆動開発の浸透でコードの生産量は飛躍的に増えました。一方、人間がレビューに割ける時間は変わらないため、レビュー待ちで PR がスタックする場面が以前より増えていきました。 私たちのチームでは「人間のレビューを必須とするもの」と「AI レビューで OK とするもの」を線引きし、セルフマージ制度として日々の開発に組み込みました。直近では PR の 約 8 割が人間レビューを介さずにマージできています。マージまでのリードタイムも短縮されています。 この記事では、セルフマージ制度の設計と運用上の工夫、導入後の変化を紹介します。AI レビューが十分使えるレベルになった今、自チームのレビュー運用を見直したい方の参考になれば嬉しいです。 すべての PR に人間レビューは必要か 最近の AI レビューはコード品質の担保という意味では十分使える
大規模案件のSlackにAI社員3人を常駐させたら、2年目が参画1週間で設計根本に踏み込んだ
実際の画面とは異なるサンプルイメージです チームのSlackにAI社員を3人常駐させています。 社員5人で、2週間動かしました。 誤解を招きそうだからちゃんと書いておきます。 2週間です。半年でも1年でもなく、2週間。 それでも書きたくなるくらいのことが起きたので、この記事を書いています。 SIerの大規模開発で扱う資料は毎週溜まります。 仕様書の背景、顧客の痛点、過去の判断の残り香。 新しく参画したメンバーは、これを数週間かけて読み込むのがいつもの景色です。 そこに、このAI社員3人が入りました。 すると、2年目のメンバーが参画1週間でSKILLを直し、2週間で設計根本に疑問を出してきた。 正直、びびりました。 自己紹介・大規模現場の話を軽く 私はNTTデータグループ 技術革新統括本部のITアーキテクト(課長代理)で、大規模システムのモダナイゼーションに携わっています。 全社の高難度案件
Anthropicはなぜ異次元の速度で開発できるのか|すてぃお
「Anthropic(Claudeを作っている会社)、開発が速すぎる」 最近、周りのエンジニアと話していると、この話題がよく出ます。僕も同じことを思っていて、いろいろ調べているうちに、単に「AIを使っているから速い」という一言では説明できない構造があることが見えてきました。 例えば、下記になります。 2026年Q1の3ヶ月で120以上の機能をリリース(18時間に1機能) エンジニア1人あたり1日約5PR(Pull Request、コードの変更を提出する単位) 社内では毎日60〜100回のリリース Claude Coworkは約10日で構築 Claude DesignはOpus 4.7のリリース翌日に公開 普通のソフトウェア開発企業の感覚からすると、明らかに異次元です。この記事では、公開されているインタビューや内部研究、関係者の発言をもとに、「なぜこんなことが可能なのか」というのを調べた限り
実はここまでできるCoworkハンズオン — Claude Codeに行く、その前に を経て|まつにぃ
なぜ「Claude Codeに行く、その前に」なのかClaude Codeは、とても強力なエージェントツールです。ローカルファイルを編集でき、コマンドを実行でき、Git操作やMCP連携まで扱えます。実際、開発寄りの業務に限らず、あらゆる業務に適用できるエージェントツールの最有力な選択肢になってきています。 ただし、強い権限を持つツールは、そのまま業務に入れると、考えておくべきことも増えます。どのファイルまで触ってよいのか、社外秘情報や顧客情報をどう扱うのか、意図しない変更が起きたときにどう説明するのか。特に非エンジニアを含む組織展開では、便利さだけではなく、権限設定や運用の説明が必要になります。 今回あえて「Claude Codeに行く、その前に」と置いたのは、Code系のツールを否定したいからではありません。 むしろ逆で、強力なツールに進む前に、まずはAIと一緒に業務を進め、どこまで任せ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【検出率100%】セキュリティ診断、Claude Codeに全部やらせる時代が来た
トランプ氏支持率34%、今任期で最低 生活費高騰に不満=調査
