AWS設計プロンプト
シンプルかつ網羅的なAWS設計を生成するAIプロンプトの核心は: 構造化された出力フォーマット:設計書の章立てと各セクションの説明内容を明確に指定 具体的なパラメータ要求:抽象的な説明ではなく、実装に使える具体的な設定値を求める 選定理由の明確化:「なぜその選択をしたのか」の説明を求める 代替案との比較:検討した代替オプションとの比較を含める Well-Architectedの原則適用:AWSのベストプラクティスに基づく設計を促す このアプローチを活用すれば、AIの力を借りつつも、実装に直結する高品質なAWS設計書を効率的に作成できます。何より、設計者の時間を節約しながらも、その専門知識と判断を最大限に活かせるところに大きな価値があります。 ※以下を全量使用すると量が多いので、該当箇所のみの抜粋を推奨 以下の要件に基づいて、詳細かつ実装可能なAWSアーキテクチャを設計してください。各セクシ
AIによるコーディングアシスタント、コーディングエージェント、アプリケーション自動生成サービスまとめ(2025年3月版)
AIによるコーディングアシスタント、コーディングエージェント、アプリケーション自動生成サービスまとめ(2025年3月版) アプリケーション開発の生産性向上において、AIによるプログラミング支援サービスは欠かせないものになろうとしています。 そして市場にはプログラマが入力するコードの補完からコードやテストの自動生成、アプリケーションそのものの自動生成までさまざまなツールやサービスが登場しています。 ここでは多数のツールについてそれぞれの主な機能や目的が分かりやすいように、「コーディングアシスタント」「コーディングエージェント」「アプリケーション自動生成/Text to App」の3つに分類して紹介しましょう。 もしもここで紹介されていないプログラマ向けのAIツールなどがありましたら、X/Twitterやブックマークのコメントなどで教えてください。 AIが、人間のプログラマが書くコードの補完や
事業会社でセキュリティエンジニアをしている@the_art_of_nerdです。 初めてIT業界の資格を取得した2023年3月から2025年3月の2年間で21個のセキュリティ資格を取得することができました。その過程で学んだことや資格を取ることのメリット/デメリットなどを個人の視点からまとめてみたいと思います。 忙しい人向け 資格を多くとることについて メリット 知識の幅を広げることができた 知識を視覚化することができた 経験年数の短さをカバーすることができた 多少なりの自信に繋がった デメリット 資格を取ることがゴールになってしまう可能性 資格だけの人間になってしまう可能性 お金と時間のコストが大きい 資格は意味ない説について どちらでもいいと思います。 スキル面で資格を多くとっていてすごい人、持っていなくてもすごい人どちらも出会ったことがあるので、結局は継続して勉強や成長できればエンジニ
今月9日に開催されたJ2第4節北海道コンサドーレ札幌vsジェフユナイテッド千葉の一戦で会場が凍り付くシーンがあった。 試合終了間際の後半47分に千葉FW呉屋大翔がチーム3得点目を決めると、歓喜を爆発させて客席に駆け寄ろうとした瞬間、ピッチから落下してしまった。 試合会場の大和ハウスプレミストドームでは同様の事案が今回を合わせて3度発生しており、責任の所在が問われている。 そこで同会場の指定管理者である株式会社札幌ドームに取材し、同事案に迫った。 (取材・構成 高橋アオ) 約3メートル弱のコンクリート床へ落下 札幌が本拠地とする大和ハウスプレミストドームのピッチはホバリングステージとなっており、野外で育成した天然芝フィールドを会場の屋内へ移動して試合開催をする。 ホバリングステージとコンクリートの床は約3メートル弱の高低差があり、今回落下防止用の柵を乗り越えた呉屋はコンクリートの床へと落下し
フレームワークはRails、インフラはAWS ECS、チケットには納期を定めず、コミュニケーションは非同期…… 不動産SaaSのマルチプロダクト展開のため全てに筋を通すスタートアップ「Facilo」の流儀 - はてなニュース
Forbes JAPANによる次世代スタートアップ100選1にも選出されたFaciloは、創業CEOである市川紘(こう)さんが長年取り組んできた不動産テックの事業領域において、既存の不動産仲介会社の営業活動を支援するビジネスモデルを選び、顧客への物件紹介や内見といったプロセスでDX(デジタルトランスフォーメーション)を支援しています。 アプリケーション開発においては当初からマルチプロダクト展開を想定し、どのエンジニアでも扱えるようなインフラ環境の設計、保守運用のしやすさを重視したアプリケーションフレームワークの選択、そしてエンジニアの自律性と自主性を重視した開発プロセスを採用するなど、CTOである梅林泰孝さんの思考は一貫したシンプルさを保っています。 この開発姿勢はスピードが重視されるスタートアップにとって有用ですが、実際に徹底するのは簡単なことではないでしょう。Faciloではなぜこのよ
DevinとClineをDMMで導入しました〜トライアルから見えた成果の共有〜 - DMM Developers Blog
1. はじめに 2. 制約 3. トライアル成果 発見1. 技術負債の特定とリファクタリング実装の半自動化 発見2. イベントストーミングで設計した画像をもとにドメインモデルと制約の実装 発見3. 指示範囲を明確に絞れば、人より格段に早い 発見4. 開発者の学習効率を上げる Devin or Cline? 4. 25年3月時点での課題 5. 投資対効果と組織スケールの変化 AIツールの投資対効果 AIツールによって変化した組織スケールの方法 今後の展望 1. はじめに こんにちは。DMM.comでプラットフォーム開発本部の副本部長をしている石垣です。 今回は当社で実施したAIエージェント「Devin」と「Cline」の導入検証の結果について共有したいと思います。 DMMグループのクリエイター組織は、現在1,200名近くのメンバーを抱え、エンジニアだけでも1,000名近くのメンバーがいる組織
REST API 設計指針・セキュリティ編
過去2回の記事でREST API 設計指針をまとめてきました。 REST API 設計指針・認証認可編 REST API 設計指針・通信、パラメーター編 今日は第三回かつ最終回のセキュリティ編です。セキュリティは非常に幅広い概念であり、考慮すべきことは山盛りですが、まずは基本的な考え方から。 加害者と被害者の逆転現象 悪意のある第三者からの攻撃などにより何某かのインシデントが発生して、サービスが停止したり、情報漏洩が起きてしまった場合、サービス事業者はステークホルダーにお詫び、時には直接的な金額による賠償を行うことになります。本来システムを攻撃された被害者側ですが、加害者であるかのような扱いをされるケースがあります。一方インシデントの種別によっては世の中が同情的になるケースもあります。この違いについてですが、一般的によく用いられる対策をとっていたかどうかが大きな分岐点となります。 攻撃され
2025年3月21日、「rose87168」と名乗るハッカーがOracleのクラウドサービス「Oracle Cloud」のシングルサインオン(SSO)ログインサーバーから約600万件の顧客データを盗み出して販売しました。これに対し、Oracleは当初「不正アクセスは発生していない」との声明を発表していましたが、Oracleは2025年4月に、不正アクセスの事実を認め、顧客に対してその事実を報告したことが伝えられました。 Oracle (ORCL) Tells Clients of Second Recent Hack, Log-in Data Stolen - Bloomberg https://www.bloomberg.com/news/articles/2025-04-02/oracle-tells-clients-of-second-recent-hack-log-in-data-
マルチテナントなWebサービスでデータベースをBigQueryからPostgreSQLに移行してRow Level Securityを導入した - エムスリーテックブログ
こんにちは。AI・機械学習チームの高田です。 マルチテナント構成のWebサービスでは、データの分離とセキュリティを確保することが非常に重要です。マルチテナント構成とは、1つのシステムやアプリケーションを複数の顧客(テナント)で共有する設計アプローチを指します。 今回は、当社のあるプロダクトで行った2つの改善施策について紹介します。 BigQueryからPostgreSQLへの移行: より効率的なデータアクセスとコスト削減 Row Level Security(RLS)の導入: データベースレベルでのセキュリティ強化 これらの施策により、セキュリティ向上とコスト削減の両方を実現できた事例を解説していきます。 なぜ移行したのか テナントID分離型を採用 移行前のアーキテクチャ 移行後のアーキテクチャ PostgreSQLテーブル構築のためのバッチ処理の実装 PostgreSQLクエリの最適化
開発チームの中でセキュリティを育てる - セキュリティエンジニア派遣の試み - カミナシ エンジニアブログ
どうもセキュリティエンジニアリングの西川です。JAWS DAYS 2025 の帰路でこのブログを書いています。私は空港でブログを書く確率が非常に高いです。なぜか捗るんですよね。 さて、カミナシでは昨年からセキュリティエンジニアを二人追加で採用することができ、業務委託含め5人体制になりました。それを機にセキュリティエンジニアを開発チームに派遣する仕組みを導入したのでそれについて話をしていきたいと思います。 セキュリティエンジニアを開発チームに派遣するとは 派遣するセキュリティエンジニアの目指すところを一言で表すならば「特定のサービス・プロダクト・チームを深く理解したセキュリティエンジニア」です。 派遣されるセキュリティエンジニアは基本的には最初の半年から1年程度は開発チームの1メンバーとして、ともに開発や運用を行います。ですので、障害対応やインシデント対応、お客様からの通常のお問い合わせなど
Intro 我々は、インターネット上において「信頼」できるサービスを、「安全」に使うことに、「安心」を求める。 プライバシーは守られ、不正な取引には加担せず、詐欺被害も受けたくない。 技術的に言えば、通信は暗号化し、個人は匿名化し、データは秘匿し、それによって Secure で Safety で Trustworthy な Web が手に入る。 それを突き詰めた先に、「自由」で理想的なインターネットがある。 本当だろうか? Eve とは誰か Alice と Bob の通信の間にいる Eve は、暗号化されていない通信を覗くことができる。 スノーデンによって告発された PRISM は、「Eve が一人の攻撃者とは限らず、国家そのものであり得る」ことを明るみにした。広域盗聴による監視活動は、国民の安全を守るためという大義のもと実施された。もしかしたら、それによって未然に防がれたテロなども、あっ
Oracleが自社クラウドで発生した深刻なセキュリティインシデントを顧客から隠そうとしてInternet Archiveに削除要求していることが暴露される
2025年3月21日に、「rose87168」と名乗るハッカーがアメリカのソフトウェア企業・Oracleのクラウドサービス「Oracle Cloud」のシングルサインオン(SSO)ログインサーバーから約600万件の顧客データを盗み出して販売しました。これに対してOracleは「不正アクセスは発生していない」との声明を発表していますが、その一方でOracleはrose87168が「侵入の証拠」と主張するページをInternet Archiveに削除するよう要請していることが報じられました。 Oracle attempt to hide serious cybersecurity incident from customers in Oracle SaaS service | by Kevin Beaumont | Mar, 2025 | DoublePulsar https://double
はじめに 3-shakeのSreake事業部でインターンとして活動している小林(@moz-sec)です。第13回目の今回は、KubernetesのAPIトラフィックアナライザである「kubeshark」について紹介します。 kubesharkは、KubernetesのPod、Node、Clusterを出入りするすべてのトラフィックをキャプチャし、リアルタイムで可視化するツールです。 kubesharkとは kubesharkは、WiresharkをKubernetesのためにカスタマイズしたツールです。kubesharkを使うことでトラフィックの分析が可能になり、インシデントの迅速な解決を支援します。 また、REST、GraphQL、gRPC、Redis、Kafka、RabbitMQ(AMQP)、DNSなどといった幅広いプロトコルをサポートしています。 ノード数が4台以下のクラスターであれ
はじめに 非常に簡単に簡易的なRAGを構築することができるnotebookLMに魅力を感じたので、 開発現場においてどんな使い方ができるのかを考えてみようと思います(Geminiで)。 NotebookLMとは? Googleが提供するAIを活用したドキュメント理解・生成ツールです。 複数のドキュメントをアップロードし、それらの内容に基づいて質問したり、 要約を作成したり、関連情報を抽出したりすることができます。 NotebookLM https://notebooklm.google/ NotebookLM Plus(有料版です) https://notebooklm.google/plus エンジニアの業務におけるNotebookLMの活用方法 代表的な業務シーンにおけるNotebookLMの活用方法を考えてみます。 1. 設計・開発フェーズ 要件定義書の理解と質問 複数の要件定義書や
Googleが提案する「Product-Focused Reliability」という考え方 - dackdive's blog
という記事の存在を知り、読んだところ非常に面白かったので内容のメモ。 自分がこの記事を知るきっかけになったのは X のこちらのポスト だが、X を検索すると記事自体は1年以上前からあったぽい。 (記事には公開日は明記されていない) なかなかに文量が多く、かつSREの知識が十分ではない自分にはところどころ理解が難しい部分があった。 NotebookLM に頼りつつ内容をまとめているが、間違いを含んでいるかもしれない。 先にまとめ 重要だと思ったポイント 従来のサービスベースでのSLOには限界がある。サービスはユーザーニーズやビジネスゴールの部分的な解決策に過ぎず、UIとの間に複数のレイヤーが存在するためプロダクト全体をカバーできない これらの限界を克服するために、Google SREチームはプロダクトとエンドユーザーのニーズに焦点を当てた「プロダクトサポートモデル」を導入している。このモデル
生成 AI をもっと気軽に、安全に使うための「chakoshi」をリリースした話 - NTT Communications Engineers' Blog
chakoshi とは なぜ生成 AI の安全性が求められるのか 生成 AI の安全性の現状 生成 AI の安全性対策案 日本語に特化した入出力チェックができる chakoshi chakoshi の特徴について 日本語の性能が高い カスタマイズ性が高い 終わりに 初めまして。イノベーションセンターの山本(@yyo616)です。普段は生成 AI に関連する新規プロダクトの開発や技術検証をしています。先日、生成 AI の安全性向上サービス「chakoshi」と、生成 AI の回答精度を高めるためのドキュメント変換サービス「rokadoc」のベータ版をリリースしました。そこで本記事では chakoshi の方に焦点を当てて紹介させていただきます。rokadoc については、こちらの記事をご覧ください。 chakoshi とは chakoshi は「AI をもっと気軽に、安全に」活用するためのサ
JAWS DAYS 2025で「AWSのセキュリティ運用の自動化」について登壇しました - NRIネットコムBlog
はじめに 登壇内容 セキュリティ・ガバナンス運用の課題 セキュリティ運用の自動化例 FW系リソースの自動更新 AWSサービスのみで作成する完全自動化パターン チャットツール起点とした自動化パターン AWSサービスのみで作成する自動化パターン 更新したFWはどのように管理するのか GuardDuty Malware Protection for S3を最大限活用するための自動化 Configを活用した自動修復機能とそのポイント ケース1:とにかく堅牢な環境を作成する ケース2:コストが増加しにくい環境を作成する ケース3:マルチアカウント環境で運用 まとめ はじめに こんにちは、大林です。2025年3月1日に開催されたJAWS DAYS 2025 に「AWSアカウントのセキュリティ自動化、どこまで進める? 最適な設計と実践ポイント」というタイトルで登壇してきました。聴講してくださった方々、本
先日起きた tj-actions や reviewdog のセキュリティインシデントのレポートを読みました。 その内容を個人的な検証結果や感想を挟みつつかいつまんで書きたいと思います。 詳細は原文を読んでください。 なお、侵害された repository 及び tag は全て修正され、盗まれた Personal Access Token (PAT) も revoke されているはずです。 攻撃の流れ tj-actions/changed-files が侵害されるまでに複数の PAT の流出及びリポジトリの侵害が連鎖的に起こっています。 つまり tj-actions/changed-files が直接的にいきなり侵害されたというより、複数のリポジトリをいわば踏み台のようにして侵害したという感じでしょうか。 攻撃者は PAT が盗まれたりした GitHub Account とは別に複数の Gi
NEW! 2025.03.26 働き方 アジャイル牛尾剛えふしん 納期、不確実。 予算、不確実。 完成度、不確実。 アジャイル開発に対し、経営層*が眉をひそめるのは、こうした予測不可能な状況下での意思決定を迫られるからではないだろうか。 事実、「ウォータフォールはやめて2024年の開発をやろう!」と題された牛尾 剛さんのnoteでの発信に対し、「アジャイルはいいんだが、それだと経営者などの非エンジニアからの理解が得られないので納得できるように言語化してほしいんだよな」と懸念を示した藤川真一(えふしん)さんのポストは、テック界隈で大きな反響を呼んだ。 柔軟性とスピードを謳うアジャイル開発が成熟しつつある一方で、経営視点では「扱いづらさ」が拭えないのはなぜか。経営層と開発現場の溝にあるものとは? 米マイクロソフトのエンジニアで『世界一流エンジニアの思考法』著者の牛尾さんと、BASEでエンジニア
2025年3月10日、SNSプラットフォームのX(旧Twitter)は一時アクセス障害が発生し利用できない状態になりました。X社のイーロン・マスクCEOは障害原因がサイバー攻撃によるものと明らかにし、複数のセキュリティ組織などはDDoS攻撃によるものであった可能性をあげています。ここでは関連する情報をまとめます。 Xで断続的に発生した半日にわたる広範なアクセス障害 Xでアクセス障害が始まったのは2025年3月10日19時頃(日本時間)で、その後一時復旧するなどしたが翌11日までは断続的に接続しづらい状況が継続した。*1 障害発生中は、アプリとWebサイト双方で投稿などの表示が遅延したり、接続できなくなるなどの事象が日本や米国、英国、フランス、インドなど広域で生じた。*2 3月10日12時~0時までサイト全体停止と記載(Xのインシデント履歴より) Ciscoの観測チームであるThousand
先日、比較的広く使われているGitHub Actionsであるtj-actions/changed-filesに不正なコードが混入された問題があった。インシデントの発生した原因は後で詳しい人が書いてくれると思うけれど、少なくとも今(2025-03-16)の理解では、bot用のPersonal Access Token(PAT)が適切に管理されていなかったことによるものらしい。 なので対策としてはPATの管理方法に向くのが筋だとは思うのだが、オープンなPRとその作者のPATがあれば悪意のある変更を入れられるんじゃないか、というのが気になってしまった。例えば過去に何度もコントリビュートしてくれている人のPRに自動生成ファイルが含まれていたとき、その人が作成した repo の権限を持ったPAT*1が運悪く漏洩していたなら、第三者が後からコミットを書き換えられるのではないか。レビューするときに自動
日本のサイバーセキュリティの底上げに向けた産学官連携「Japan Cybersecurity Initiative」を設立
Google は、2024 年 3 月にサイバーセキュリティ研究拠点を日本に設立して以来、政策対話や人材育成、研究支援などの取り組みを行ってきました。このたび、より体系的に、日本企業のサイバーセキュリティ意識の向上と専門人材の育成を支援する「Japan Cybersecurity Initiative」を立ち上げます。Japan Cybersecurity Initiative では、日本社会が直面するサイバーセキュリティ上の課題を共に克服するために、経済産業省と連携した全国の中小企業向けの普及啓発活動の実施、エンタープライズ参画団体へのサイバーセキュリティの最新事例の提供に加え、官民連携の新たな有識者会議を設立します。 経済産業省の施策と連動した全国の中小企業向けの普及啓発活動と新トレーニングプログラムを提供 IT 資産を多く保有する民間企業にとって、サイバーセキュリティへのリスクはもは
GitHub Actionsの外部ActionでVersionTagを使ってるものを一括でCommitHashにしたい。 - KAYAC Engineers' Blog
こんにちは。今年からグループ情報部という部署にいる 池田(@mashiike) です。 背景 先日、GitHub Actionsの tj-actions/changed-files にセキュリティインシデントがありました。実は、 reviewdog/action-setup 経由らしいという話が直近の話題です。 nvd.nist.gov www.wiz.io サプライチェーン攻撃が本格的に心配になってきた今日このごろです。 さて、このような状況で、GitHub Actionsの外部actionへの攻撃に対する対策はどうしたら良いのでしょうか? そんなとき、ちょうど次の記事が公開されまして、「へぇーRenovateとDependabotならCommitHash直指定でも自動で上げてくれるんだ〜」と知りました。 developer.hatenastaff.com やっぱり、対策はCommitH
マイクロソフト、AIエージェントがセキュリティ対応を自動化。Security Copilotエージェント群を発表
マイクロソフトは、Security Copilotの機能を拡張し、フィッシングの検出や情報漏洩の警告、ユーザーやアプリの振る舞いの監視、脆弱性の修復、脅威の分析などを自律的に行うたAIエージェント群を発表しました。 Security Copilotはもともと、セキュリティ担当者がインシデント対応などの場面で生成AIが支援してくれる機能を提供しています。 今回このSecurity Copilotの新機能として、セキュリティ担当者の管理下で自律的にセキュリティ対応を行うAIエージェントが以下の6種類追加されました。 Phishing Triageエージェント フィッシングに関する警告を優先度に応じてトリアージする Alert Triageエージェント 機密情報などの重要なデータを監視し、情報漏洩などに関するインシデントに優先度付けを行うと同時に、管理者からのフィードバックによって学習しトリアー
EKSの権限整備のため、K8sのRBACについて勉強した話 - freee Developers Hub
こんにちは、SREの久保木です。一年弱ぶりにまた記事を書きます。 以前はfreeeに入って割とすぐの頃で、Project間の依存関係を表す図を自動生成したりしていました。 その後はfreeeで使われているTerraform Codeを一括整備するためにTFLintを導入しつつCustom Ruleを実装したり、この手のLinter導入にありがちな最初の間は警告が多すぎて無視されてしまう問題に対処するために全部のCodeを手入れしたり(すごい量でした……)、結果的にfreeeのInfrastructureのIaC周り全般の知識を得られたのでそれを用いてSecurity Riskのある問題の対処をしたり、最近はPSIRTやSRE内のCloud Governance Teamと連携してAWSのResourceの管理状態を見直したりと、いろんなふわっとした課題、ちょっと手をつけづらい課題を探しては
ログラスにおけるSREの現状と未来
この記事は毎週必ず記事がでるテックブログ Loglass Tech Blog Sprint の83週目の記事です! 2年間連続達成まで残り24週となりました! はじめに はじめまして。2024年10月にログラスにジョインした見形(mekka)と申します。 以前は某ToB系のSaaSでSREのEMをしていました。 現在はクラウド基盤チームにてインフラだったり、運用周りのあれこれを担当しています。 あれ、SREじゃないの? というツッコミはブログの中でも記載していこうと思います。 ログラスはスタートアップの組織であり、運用周りはまだまだ整備が必要な状態です。 そんなところが楽しそう(大変なことも多いですが)と思いジョインしていますが、本当にやることは山積みです。 そんな中でも将来を見据えるとSREのプラクティスや文化を広めることはとても大切で、しっかりと地に足をつけて活動していかなければならな
「Oracle Cloud」のSSOログインサーバの侵害を巡る問題が深刻化している。コンピュータ情報サイト「Bleeping Computer」が2025年3月21日(現地時間、以下同)に報じたこのインシデントは、脅威アクター「rose87168」が600万件の認証データおよび暗号化されたパスワードを窃取したと主張し、ハッキングフォーラムで販売を試みたことから始まっている。Oracleは一貫して侵害は発生していないとの立場を取っているが、後に明らかになった情報によってその主張の正当性に疑問が生じている。 Oracle Cloudのインシデント セキュリティメディアがOracleの隠蔽工作を主張 Bleeping Computerはさらに複数の企業が流出したデータの正当性を認めたことを2025年3月26日に報じている。脅威アクターは、影響を受けた企業や政府機関のドメインリストやLDAPデータ
PHPerKaigi 2025 感想
PHPerKaigi 2025 day1 - day2 に参加しました。これまで観た各トークセッションの感想です。順序はタイムテーブル順。 今後アーカイブで観た分は、Xのメンションで感想をお送りするかもしれません。優先的に見るべきセッションがあれば自薦他薦を問わず是非教えて下さい。 PHPによる”非”構造化プログラミング入門 -本当に熱いスパゲティコードを求めて- (資料) by きんじょうひでき逆説的に「普段の開発で避けるべきこと」を知る 使う: gotoや標準関数は使う プロポーザルの時点で、聴くことを決めていた。 1年ほど前から読んでいるPHP自体のソースコードでgotoが多く使われている。世界最高峰のプログラマーが集まるリポジトリで「過去の遺産」と言える書き方が出てくることに驚いたが、詳しい人に聞いても、どうやらそれが「ベストな書き方」のようだ。該当の箇所をgotoを使わず書き直し
「トレンド通りの開発=自社の正解」とは限らない。エンジニアの“腕っぷし”を最大限に生かす方法【Facilo CTO 梅林泰孝】 | レバテックラボ(レバテックLAB)
TOPインタビュー「トレンド通りの開発=自社の正解」とは限らない。エンジニアの“腕っぷし”を最大限に生かす方法【Facilo CTO 梅林泰孝】 「トレンド通りの開発=自社の正解」とは限らない。エンジニアの“腕っぷし”を最大限に生かす方法【Facilo CTO 梅林泰孝】 2025年3月12日 株式会社Facilo CTO 梅林 泰孝 Googleに新卒入社。サイバーエージェントに転職後、AirTrackの開発責任者として開発・プロダクト戦略にも携わり、国内最大規模の位置情報プラットフォームに成長させる。SmartNewsのTechLeadとしてシリコンバレーで米国エンジニアチームを立ち上げ、MAU2000万超のPush通知基盤をマネジメント。Faciloを共同創業後、2025年に帰国。 X(@ystk_u) 次々とトレンドやベストプラクティスが更新されていくソフトウェアエンジニアリングの
ブラウザの拡張機能といえば、翻訳ツールやタブ管理、スクリーンショットなどさまざまな便利な機能がある。インストールして業務で活用している人も多いのではないだろうか。実は、2024年末に一部のChrome拡張機能が攻撃者によって改ざんされ、悪意のあるバージョンが配信されていたことをご存じだろうか。これは「防ぎようのない被害」といえるものだった。 誰もが被害に遭う可能性のあるサイバー攻撃から、身を守る方法はあるのだろうか。「被害に遭わないようにすること」ではなく「被害が起きた後の対応」がより重要になる、と話すのはSBテクノロジーのセキュリティリサーチャー辻伸弘氏だ。インシデントが起きた後に重要なことや、必要な組織体制づくりについて聞いた。 拡張機能がいつの間にか「悪意のある」バージョンに 2024年末、Chrome拡張機能が悪意のあるものに書き換えられる被害が相次いで発覚した。最初に明るみに出た
3月20日、海外のインフラエンジニアIan Miell氏が「Why I'm No Longer Talking to Architects About Microservices(私がマイクロサービスについてアーキテクトと話をしなくなった理由)」と題した記事を公開した。この記事では、マイクロサービスを組織に導入するにあたっての課題と不満を述べており、海外で大きな反響を呼んでいる。 3月20日、海外のインフラエンジニアIan Miell氏が「Why I'm No Longer Talking to Architects About Microservices(私がマイクロサービスについてアーキテクトと話をしなくなった理由)」と題した記事を公開した。 この記事では、マイクロサービスを組織に導入するにあたっての課題と不満を述べており、海外で大きな反響を呼んでいる。 以下に、その内容を紹介する。
トップの動向を押さえなさい――。駆け出しの頃、先輩記者からニュースを追う姿勢をこう教わった。技術分野の話であれ業界の話であれ、トップの取り組みは2位や3位の取り組みだけでなく、その技術分野全体、業界全体にも影響を及ぼすことがある。だから何はともあれトップの動向をしっかりつかんで報じるべきだ、という理屈である。 当たり前といえば当たり前の教えだが、新人記者には走る方向を定めてもらっただけでもずいぶん助かった。教えに忠実なのか、それから20年以上たった今でもいろいろなトップの動向が気になっている。そうした中、2025年2月にピンときた出来事があった。小池百合子都知事が施政方針演説において、次のように発言したことだ。 「都民の重要な情報やインフラを守るため、様々な攻撃を想定した対応や訓練を重ねるほか、一元的に対処するセキュリティセンターを立ち上げてまいります。オール東京の対策強化に繋げ、デジタル
GitHub Actionsの侵害・サプライチェーンリスクを軽減:pinactを使ってアクションをバージョンではなくハッシュ値で指定 | DevelopersIO
GitHub Actionsでファイルの差分などを得るサードパーティーアクション tj-actions/changed-files が侵害され、バックドアが仕込まれ、Gitタグも書き換えられました。 Semgrep | 🚨 Popular GitHub Action tj-actions/changed-files is compromised Harden-Runner detection: tj-actions/changed-files action is compromised - StepSecurity 結果的に、 tj-actions/changed-files をタグのバージョン指定で呼び出していた場合、この侵害の影響を受けたことになります。 GitHubの公式ドキュメント"Security hardening for GitHub Actions"に従い、アクションを可
はじめに こんにちは、株式会社スマートラウンドVP of Reliabilityの@shonansurvivorsです。SREやコーポレートIT等を担当しています。 弊社プロダクトであるsmartroundは、セキュリティ等に関する第三者評価であるSOC2 Type2監査を受け、その保証報告書を受領しました(以降、「SOC2 Type2取得」と表現します)。 smartroundはAWS上で稼働しており、AWSの各種設計・運用についても、SOC2 Type2の求める水準に対応していく必要がありました。本記事では、そのためにどのような取り組みを行なっているかを解説します。 SOC2 Type2とは SOC2とは、クラウドサービス等のセキュリティに関する内部統制を、外部の監査法人が評価する枠組みです。米国公認会計士協会(AICPA)が定めたトラストサービス規準に基づいて評価が行われます。 SO
【読売新聞】 東北新幹線「はやぶさ・こまち21号」の連結器が走行中に外れた重大インシデントを受け、JR東日本は8、9日も異なる編成をつなげる「連結運転」を取りやめる。秋田新幹線は盛岡―秋田駅、山形新幹線は一部を除いて福島―新庄駅で折
企業に対するサイバー攻撃は質、量とも悪化する一方だ。セキュリティ人材が不足する中、運用負荷を下げつつ効果的な防御策がほしい。Microsoftが勧める2つの方法を紹介しよう。 IT環境の健全性が企業価値を図る物差しになっている。米国の証券取引委員会は企業にサイバーセキュリティのリスク管理や戦略、ガバナンス、インシデントの情報を年次レポートで開示するよう求めている。今後、日本国内でも同様に、セキュリティ対策状況の公的な開示要求がますます高まっていくだろう。また、欧州連合(EU)のAI規制法をはじめとする新たな法規制にも対応する必要がある。セキュリティ人材の負荷は高まる一方だ。 セキュリティ運用を単純化 押さえておくべき2つのトレンド こうした法規制にも対応しながら対策を強化するには、今のセキュリティ運用をできるだけ単純化する必要がある。そのために押さえておくべき2つのトレンドがあるとMicr
医療機関等はサイバー攻撃に備え「適切なパスワード設定、管理」「USB接続制限」「2要素認証」等確認を—―医療等情報利活用ワーキング(2) | GemMed | データが拓く新時代医療
医療機関等へのサイバー攻撃が拡大しており、各医療機関でサイバーセキュリティ対策を強化する必要がある。厚生労働省は「サイバーセキュリティチェックリスト」を公表し、これを活用した「各医療機関等での自主点検」「都道府県による立入検査でのサイバーセキュリティ対策確認」を求めている—。 2025年度版のチェックリストでは、最近のサイバー攻撃事例を踏まえて「パスワードの適切な設定、管理」「USB接続制限」「2要素認証」「院内規定の整備」などをチェック項目に追加する—。 3月13日に開催された健康・医療・介護情報利活用検討会の「医療等情報利活用ワーキンググループ」(以下、ワーキング)では、こうした内容も了承されています(電子カルテ情報共有サービスのモデル事業等に関する記事はこちら)。 最近のサイバー攻撃事例を踏まえて、セキュリティ対策のチェックリスト充実 質が高く、効率的な医療提供を可能とするために「医
約3人でセキュリティ監査を乗り越えた話
セキュリティ監査とVantaの導入 クラウドサービスを提供する企業にとって、データの機密性や可用性を担保するために、SOC2やISMSなどのセキュリティ認証が必要になる場合があります。しかし、これらの認証には厳しい要件があり、対応には多大な労力が必要となります。そこで、効率的に監査対応を進めるために、私たちはSaaSツール Vanta を導入しました。 Vanta導入で得られたメリット セキュリティ監査プロジェクトが初めてという立場から、特に効果を実感したポイントを以下にまとめます。 1. 自動テスト機能で要件チェックがスムーズに 進捗状況の可視化 Vantaでは、監査対応すべき各項目の進捗がプラットフォーム上で常に確認できます。未対応の項目は一覧表示されるため、何をすべきかが一目で把握できます。全体の進捗度合いは、パーセンテージでも表示されており、現在位置がわかります。 SaaS連携によ
ランサムウェアをはじめとしたサイバー脅威が高度化・複雑化し、世間でも大きな話題を集めている。組織がランサムウェア被害に遭う可能性が「万が一」ではなくなっている今、インシデントを適切に対応するためにはCSIRTのような専任組織を立ち上げ、しっかりと運用することがますます重要になっている。 一方で企業の中には「CSIRTをはじめとしたインシデント対応に特化した組織を立ち上げられていない」「CSIRTを構築したもののうまく運用できていない」「セキュリティ業務を統括する責任者がいない」「責任者にどのように旗を振ってもらえばいいか分からない」などセキュリティ対策に当たる組織の構築・運用において悩みを抱えるところも多い。 そこで「ITmedia エンタープライズ」では現役のCSIRT担当者を招き、2024年のサイバーセキュリティ状況や気になったトピックを振り返りつつ、それらが自社のCSIRTに与えた影
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
2年間で21個のセキュリティ資格を取ってわかったこと
J2ジェフユナイテッド千葉FW呉屋大翔の落下…責任の所在はどこにあるのか指定管理者の株式会社札幌ドームに直撃|Qoly サッカーニュース
Oracleがログインデータが流出したセキュリティインシデントを公式に認める
Web における Security, Safety, Trust の相対性 | blog.jxck.io
「kubeshark」でKubernetesのトラフィックをリアルタイムに可視化する
開発現場におけるnotebookLMの使い方を考えてみる
tj-actions のインシデントレポートを読んだ
経営層がアジャイルにモヤるワケとは? 牛尾剛×えふしん対談から探る
2025年3月に発生したXへの大規模サイバー攻撃についてまとめてみた - piyolog
GitHubでコミットの署名を必須にする - Plan 9とGo言語のブログ
IPA、「企業組織向けサイバーセキュリティ相談窓口」開設。インシデント発生時の相談など受け付け
Oracle CloudのSSOログインサーバへの侵害で新報道 「Oracleが隠蔽を図った」と主張
防ぎようのないサイバー攻撃、「被害後の対応」で大差が出る! 「Chrome拡張機能」改ざんで最大約40万人被害か
【海外記事紹介】マイクロサービスについてアーキテクトと議論するのはもうウンザリ
東京都の新たな取り組み「サイバーセキュリティセンター」に期待
SOC2 Type2取得のためのAWS設計・運用
東北新幹線の重大インシデント、前回と「同じ事業者の同じ車両形式」…連結取りやめで激しい混雑
Microsoftが語る セキュリティ運用を軽くする2つの方策とは
それぞれのCSIRT組織 各社はどんな体制で、どんな活動をしてきたか?