「スクショ」の商標登録について|GMO MEDIA
このたびは、当社が保有する「スクショ」の商標に関して、多くのご意見・ご関心をお寄せいただき、誠にありがとうございます。 「スクショ」は、当社における事業保全および将来的な活用の可能性を踏まえて取得・管理している商標です。 一方で、「スクショ」という言葉を日常的に使用すること(例:SNS投稿・創作活動など)に対し、当社が商標権を行使する意図は一切ございません。 商標権は、商品やサービスの出所を示す目的での「商標的な使用」に対してのみ効力が及ぶものであり、一般的な言葉としての利用や、個人による表現・創作活動を制限するものではありません。 当社としましては、今後もユーザーの皆さまやクリエイターの皆さまが安心して活動できる環境を大切にしながら、知的財産の適切な運用に努めてまいります。
1. はじめに こんにちは、次世代システム研究室のT.D.Qです。 デザインとコーディングの間にあるギャップを埋める新しいアプローチとして、FigmaでデザインされたウェブUIを自動的にHTML/CSSコードに変換する方法が注目されています。特に、オープンソースのFigma Context MCP(GLipsが公開)と、Visual Studio Code用AIエージェント拡張のRoo Codeを組み合わせることで、デザインからコーディングへのプロセスを大幅に効率化できます。 本記事では、FigmaでデザインされたウェブUIを、GLipsが提供する「Figma Context MCP」とVisual Studio Code拡張「Roo Code」を用いて、効率的かつ正確にHTML/CSSコードに変換・取り込む方法を解説します。 2. MCPとRoo Codeの概要 2-1. Roo Cod
S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - GMO Flatt Security Blog
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。 本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたり、Content-Type の動作や仕様にフォーカスした形で再編を行い、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 また、本ブログで解説をする BSides Tokyoでの発表のもう一つの題である、オブジェクトストレージについては、以下のブログから確認をすることが可能ですので、ご覧ください。 blog.flatt.tech なぜ今、この問題を取り上げるのか? 従来のファイルアップロードにおいて、Content-Type の値を任意の値に設定すること
アプリケーションロジック固有の脆弱性を防ぐ、開発者のためのセキュリティ観点をまとめたスライド(全59ページ)を無償公開しました - GMO Flatt Security Blog
はじめに こんにちは、GMO Flatt Security の小島です。 先週、GMO Flatt Securityでは日本初のセキュリティ診断AIエージェントである「Takumi」をリリースしました。Takumiは高度なセキュリティレビューを自律的に行えるAIです。 今回はこのリリースに関連し、機能開発におけるロジックの脆弱性を防ぐためのセキュリティ観点をまとめたスライドを公開しました。 AIエージェントである Takumi は、ソースコードを元にセキュリティ診断を行いますが、脆弱なスニペットのパターンマッチに留まらず、アプリケーション固有のロジックを理解し、ロジックに潜む脆弱性まで発見します。 GMO Flatt Securityがこれまで脆弱性診断サービスの中でお客様に報告した1000件以上の脆弱性を元に公開したデータで過半数を占めていたのがロジックの脆弱性であり、その重要度は明らか
OpenAI APIを使ってgit commitメッセージやコードレビューをAIに任せましょう! - GMOインターネットグループ グループ研究開発本部
2024.09.27 OpenAI APIを使ってgit commitメッセージやコードレビューをAIに任せましょう! 次世代システム研究室の Y.I です。 OpenAI API を活用してちょっと便利なコマンドを作成したのでご紹介します。作成したものは、「自動Git Commitメッセージ生成」と「コードレビュー」機能です。LangChainやVectorDBなどを利用しなくても、発想次第で便利な機能を作れますので1例としてご覧ください。 機能紹介 Pythonで以下の機能を実現しています。 Git commitメッセージの自動生成 Gitの変更履歴に基づき、適切な日本語のcommitメッセージを生成します。 コードレビューの自動化 Gitの変更履歴に基づき、コードに問題がないかやパフォーマンス改善の提案を行います。 openai apiのtokenを環境変数から取り込み 簡易的ですが
ローカル環境でコード生成を使いたい 〜Continue+Llama.cpp+ELYZA-japanese-CodeLlamaを試してみた〜 - GMOインターネットグループ グループ研究開発本部
2024.01.12 ローカル環境でコード生成を使いたい 〜Continue+Llama.cpp+ELYZA-japanese-CodeLlamaを試してみた〜 ご覧頂きありがとうございます。グループ研究開発本部 AI 研究開発室の N.M.と申します。 ChatGPTをはじめAIに関する大きなムーブメントの起きた激動の2023年が終わり、2024年が始まりました。我々AI研究開発室も日々AI技術を追いかけています。昨年から話題になることの多いGitHub Copilotもその一つであり、特にコードの補完は非常に使い勝手もよく開発や解析のサポートに使うことができます。今回はなるべくローカルに閉じた状態で近しい環境が作れないか試してみたことを紹介します。最後までご覧いただければ幸いです。 TL;DR VSCodeのExtensionであるContinueとELYZA-japanese-Cod
ゆっくりドットコム/インプラントならきぬた歯科 @yukkuridotcom2 「スクショしよ」というLINEスタンプが「権利者からの許諾が証明できない」とリジェクトされたので調べてみたら、GMOメディア@GMOMedia_Inc が「スクショ」を商標登録してた こんな日常会話で使うようなフレーズを商標登録するの、本当に迷惑だからやめて欲しい pic.x.com/5z8UZWJ5Zg 2025-04-20 12:55:25 ゆっくりドットコム/インプラントならきぬた歯科 @yukkuridotcom2 @GMOMedia_Inc 【宣伝】 実はTwitterから訴えられてました! Twitterとの世にも珍しい攻防を、請求異議の訴えや執行抗告の書面付きで公開しちゃいます! 4/25 12:00より公開予定! 予約は以下のリンクからどうぞ! 「誹謗中傷を訴えようとしたらTwitterから訴え
開発組織のためのセキュアコーディング研修の始め方を紹介したスライド(全32ページ)を無償公開しました - GMO Flatt Security Blog
はじめに こんにちは、GMO Flatt Security の小島です。弊社では、KENRO byGMO(ケンロー)という脆弱性への攻撃と修正で学ぶハンズオン演習に特化した、開発者向けのセキュアコーディング学習サービスを開発しています。 flatt.tech 本日はこのサービスに関連して、セキュアコーディング研修を始める上でどのような項目を検討すべきか、そしてその中で最も悩みのタネである外部の学習コンテンツの活用方法についてまとめたスライドを公開しました。 スライドは下記のSpeakerdeckのURLより無料・登録不要で閲覧・ダウンロードいただけます。 https://speakerdeck.com/flattsecurity/secure-coding-handbook この記事では、そのスライドを公開のお知らせを兼ねて、公開の背景や概要について紹介できればと思います。 はじめに スラ
けんすうとはてブ、GMOに風評加害をばら撒く
はてブもデマを元に一斉にGMO叩きしてボロクソに貶してたけど一体どう責任取るわけ? https://b.hatena.ne.jp/entry/s/togetter.com/li/2496592 けんすう2 @kensuu こちらですが、お名前.comさんとやりとりをさせていただいて、色々教えていただいたんですが、結論で言うと「僕の勘違い」でした!大変申し訳ございません! 先方は「我々が誤解させてしまったので・・・」と言っていただいたんですが、完全に僕が悪いので、訂正させてください、めちゃくちゃご迷惑をおかけしてしまいました・・・。 以下に経緯を説明します。 -- # 前提 ・勘違いした理由の一つとして「お名前.comは確かに、何かの文字列のドメインを取得したときに.shopドメインや.siteなどをカートに自動的に入れる機能がある # 仕様について ・お名前では、以前にカートに入れたドメイ
LLM / 生成AIを活用するアプリケーション開発におけるセキュリティリスクと対策 - GMO Flatt Security Blog
はじめに こんにちは、GMO Flatt Security株式会社セキュリティエンジニアの佐藤(@Nick_nick310)です。 近年、大規模言語モデル(LLM、 Large Language Models)の進化と普及は目覚ましく、多くのサービスや業務プロセスで生成AIとして活用されています。LLMは多大なメリットをもたらす一方で、その特性に起因する新たなセキュリティリスクも指摘されており、安全な活用のためには十分な理解と対策が不可欠です。LLMを自社のサービスや業務に組み込む際、どのようなセキュリティ上の課題に直面する可能性があるでしょうか。 本稿では、LLMを活用したアプリケーションを開発・運用する上で考慮すべき主要なセキュリティリスクについて、国際的な指標である「OWASP Top 10 for LLM Applications」を用いながら解説します。併せて、これらのリスクに対
危険なCookieのキャッシュとRailsの脆弱性CVE-2024-26144 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
高度診断部アプリケーションセキュリティ課の山崎です。 弊社エンジニアの名古屋と山崎がRuby on RailsのActive Storageの脆弱性CVE-2024-26144を報告しました。 本脆弱性はRailsの5.2.0から7.1.0のバージョンに影響するもので、お使いのRailsのバージョンが最新でない場合にはアップデートを推奨します。 本記事では本脆弱性の注意点と、関連してCookieのキャッシュに関する調査内容を紹介します。 TL;DR ・ Set-Cookieヘッダがキャッシュされると別人ログイン問題が発生する ・ RailsのActive StorageでSet-Cookieヘッダがキャッシュ可能な設定であった(CVE-2024-26144) ・ Nginx(+ Passenger), Apache(+ mod_cache)等のキャッシュ機構と合わせて利用すると実際に事故が
「スクショ」が商標登録されていた──そんな投稿がX上で話題になっている。あるXユーザーが「スクショしよ」のLINEスタンプを販売しようとしたところ「権利者からの許諾が証明できない」と審査落ちに。詳細を調べたところ、メディア事業を手掛けるGMOメディアが「スクショ」を商標登録していたことが分かったという。 特許情報プラットフォーム「J-PlatPat」によると、GMOメディアがスクショの商標を出願したのは2014年4月22日、その後15年6月5日に登録された。区分は、ソフトウェア設計やSaaSなどが含まれる第42類に入っている。25年4月には更新申請を出願し、受理されているようだ。 スクショはスクリーンショットの略称として使われ、PCやスマートフォンなどの画面を撮影して画像として保存する機能を指す。デジタルデバイスの普及が進む中で生まれた言葉で、GMOメディアが商標申請を出した14年にはすで
Go, Ruby, Rust等の言語に存在した、Windows環境でコマンドインジェクションを引き起こす脆弱性"BatBadBut" - GMO Flatt Security Blog
※本記事は筆者RyotaKが英語で執筆した記事を、弊社セキュリティエンジニアkoyuriが日本語に翻訳したものになります。 はじめに こんにちは、Flatt SecurityでセキュリティエンジニアをしているRyotaK( @ryotkak )です。 先日、特定の条件を満たした場合に攻撃者がWindows上でコマンドインジェクションを実行できる、いくつかのプログラミング言語に対する複数の脆弱性を報告しました。 本日(2024/04/09(訳者注: これは英語版記事の公開日です))、影響を受けるベンダーがこれらの脆弱性に関するアドバイザリーを公表しました。 その影響は限定的なもののCVSSスコアは非常に高く、混乱が予想されるため、脆弱性に関する詳細を本記事にまとめます。 はじめに TL;DR CVSSスコア 技術詳解 根本原因 CreateProcessのラッパー cmd.exeのパース規則
10,000リクエストを166msで送信する、Race Conditionの新手法のリサーチについて - GMO Flatt Security Blog
※本記事は筆者RyotaKが英語で執筆した記事を、弊社セキュリティエンジニアShion1305が日本語に翻訳したものになります。 はじめに こんにちは、Flatt SecurityでセキュリティエンジニアをしているRyotaK(@ryotkak)です。 2023年にPortSwigger社のJames Kettle氏は、同社の記事でSingle-packet attackという新しい攻撃手法を提案しました。これはネットワークのジッター値に関係なくレースコンディションを悪用できるというものです。 Smashing the state machine: the true potential of web race conditionsより引用 最近私は、同時に約10,000件のリクエストを送信することで安定して成立するレースコンディションを発見し、Single-packet attackを適用
GMOペパボは、2025年入社の新卒エンジニアを対象とした「バイブコーディング(Vibe Coding)」研修の取り組みについて、ブログにて公表した。 Vibe Codingとは、「雰囲気に身を任せて、コードの詳細に気を払わず、“自然言語だけで指示をして”コーディングする」手法。OpenAIの共同創設者である、アンドレイ・カーパシー(Andrej Karpathy)氏が提唱したものだ。進化が著しい、AIを活用したコーディングツールや開発環境を前提とした、AI時代に対応するソフトウェア開発の手法である。 GMOペパボでは、これまでの新卒研修においても、その時で一番良いとされるエンジニアリング手法が学べるよう、幅広い技術要素を組み入れてきた。今年の研修でVibe Codingを採用した理由は2つあるという。 ひとつ目は、「今後のエンジニアリングについて考えてもらう」ためだ。現在では、LLMに自
おかげさまで10年働かせてもらいました。 振り返れば、前職のQtnetで働いているときに、当時の委託先に所属していた森本さんというエンジニアが、Perlを書いているのを見て、完全にビビッときてしまい、プログラマを目指したのがきっかけだった。 それからPerlのオライリー本や、牧さんの書いたモダンPerlを読みあさったり、当時Qtnetのフットサルチームの練習日を決めるアプリとしてコントローラーにすべてのロジックが載っているRailsアプリケーションを書いたりしていた。 その後、いくつかの会社を選考を受けたが、コードをかけると言い張っても、すぐに見抜かれてしまいうまくいかず、最後に当時住んでた家から一番近くて自社サービスやっていたペパボに応募したところ、潜り込むことが出来て、それから10年です。 ペパボでは、面接に行くとビーサン履いた英輔さんが面接官で出てきて、これがWEB業界のノリ!!とか
GMOグループでメディア事業を手掛けるGMOメディアは4月22日、「スクショ」の商標登録について声明を発表した。あるXユーザーが「スクショしよ」という文言が入ったのLINEスタンプを販売しようとしたところ「権利者からの許諾が証明できない」と審査落ち。調べたところ、GMOメディアが2015年6月にスクショの商標登録を取得していると分かり、X上ではその理由を気にする声が上がっていた。 ついて、同社は「日常的に使うことに対して、商標権を行使する意図は一切ない」と述べている。同社の声明によると「『スクショ』は、当社における事業保全および将来的な活用の可能性を踏まえて取得・管理している商標」と説明。SNSや創作活動において「スクショ」という言葉を日常的に使うこと対して、同社が商標権を行使する意図はないと続けた。 「商標権は、商品やサービスの出どころを示す目的での『商標的な使用』に対してのみ効力が及ぶ
Takumiは、Slackでいつでもセキュリティ診断を頼めるAIです。ソースコードや仕様を理解し、自律的に診断します。
GMOあおぞら銀行は10月7日、9月30日に発生した誤送金問題への対応に当たり、誤送金先の一部で残高不足により送金取消できないケースがあるとし、対応を呼び掛けた。 残高不足の誤送金先に対して、残高を確認して組み戻しに応じるか、振込元に返金してほしいという。合理的な理由なく返金されない場合は、法的手続きを取る可能性も示唆している。 30日の誤振込はシステム障害が原因。複数の振込先に一度で振り込みできる「一括振込」機能で、個別の振込先に一括振込の合計額が送金された。 誤送金された受取人からの返金はおおむね行われているが、一部残高不足で送金取消ができないケースがあるとし、協力を呼び掛けた。送金元である同社顧客にも、受取人に返金を呼び掛けてるよう求めている。 同社は「度重なる連絡にもかかわらず、合理的な理由なく返金に応じていただけない場合は、法律に基づき、当社から返還請求の手続きを取る場合がある」
DevSecOps文化を育てる:少しずつ、でも着実にチームと前進するために / 開発者向けブログ・イベント | GMO Developers
はじめに:文化は、導入するものではなく、育てていくもの この記事は、複数のチームが関わる中規模〜大規模な開発組織で、DevSecOpsを推進しようとしている方々に向けて書いています。 横断チームのマネージャーとして、組織をまたいで文化を育てるという難易度の高いテーマに向き合ってきました。 DevSecOpsという言葉に初めて出会ったとき、定義や概念には納得感がありました。 でも、いざ現場に落とし込もうとすると、「で、うちのチームでは何から始めるべきなのか?」が見えてこない。 本や記事では「継続的な価値提供」「セキュリティのシフトレフト」などの美しいフレーズが並んでいます。 しかし、それをどう実現するか──現場と一緒に、泥臭く、迷いながら、どこまで進めるのか? その答えは、自分たちで見つけるしかありませんでした。 この記事は、私たちがその中で見えてきたもの、失敗したこと、気づいたことを丁寧に
GMOインターネットグループ株式会社(代表取締役グループ代表:熊谷 正寿)は、2024年8月1日(木)に、月額990円(税込)から利用できる画像生成AIサービス『ConoHa AI Canvas』の提供を開始いたしました。 『ConoHa AI Canvas』は、世界中で人気の高いオープンソース画像生成AI「Stable Diffusion XL」と最新GPUを採用し、ウェブブラウザ上で簡単に高品質な画像生成を楽しむことができます。初心者でも直感的に操作ができ、生成した画像はクラウド上で一元管理可能です。また、生成枚数や機能制限なく、高品質な画像を好きなだけ生成できます。 【新サービス提供の背景】 画像生成AIは、国内市場規模が2028年度に280億円に達すると予測される成長市場です。(※1)「ConoHa byGMO」ユーザーアンケートでも、95.8%が画像生成AIの存在を知っており、4
10年後に訪れる「サイバー犯罪捜査の限界」とは?元・インターポール捜査官がGMOに楽園を見た理由 | レバテックラボ(レバテックLAB)
10年後に訪れる「サイバー犯罪捜査の限界」とは?元・インターポール捜査官がGMOに楽園を見た理由 2024年12月17日 GMOサイバーセキュリティ byイエラエ株式会社 福森大喜 2002年に国内大手セキュリティ企業に入社後、不正検知システムの開発、インシデントレスポンスチーム、Webアプリケーションのセキュリティ検査などに従事。2006年にはサイバーセキュリティ企業の立ち上げに携わりCTOを務める。世界最高峰のハッキングコンテスト「DEF CON CTF」決勝戦に2009年から5年連続出場した後、2014年にインターポールサイバー犯罪捜査部門に民間からの出向者として世界初登用。サイバー犯罪捜査を行う傍らインターポールに加盟国のサイバー犯罪捜査官の技術的指導にあたる。2016年、2021年には韓国のセキュリティ技術者エリート養成所BoB (Best of the Best) の特別講師も
実務で担当するまでに独学した、攻撃者視点のセキュリティ|GMO Flatt Security株式会社
こんにちは、GMO Flatt Security セキュリティエンジニアの @k1rnt です。 現在私は、業務として手動脆弱性診断を担当しています。 今回の記事では、私がサイバーセキュリティに興味を持った後にGMO Flatt Securityに入社するまでに行った独学の内容と、入社してからの独学でのコンテンツと実務での違い、また弊社の制度の一つである資格支援制度について紹介します。 独学コンテンツサイバーセキュリティに興味を持った元々ソフトウェアエンジニアとして働いていた私ですが、学生の頃から攻撃者目線でのサイバーセキュリティの分野に強く関心があり、ある日X(旧Twitter)にてコミュニティの募集を見かけ、参加しました。 セキュリティの基礎知識は学生時代にCTFやAndroidの解析、PC弄りによって少し持っていたものの、具体的に何から始めれば良いのかはよく分かっていませんでした。ま
知らないと危険!Cookieのセキュリティリスクと対策 / 開発者向けブログ・イベント | GMO Developers
この記事は「GMOインターネットグループ Advent Calendar 2024」19日目の記事です。 こんにちは、GMO NIKKOの横内です。普段はRuby on Railsを使った開発やプロダクトの脆弱性診断などセキュリティ関連の業務をしています。今回はWebブラウザで広く利用されているCookieの脆弱性について書いていきたいと思います。 はじめに 今回この記事を書こうと思った経緯としては、最近の業務でCookieについて理解を深める機会がありそれを共有しようと思ったからです。Cookieは普段あまり意識することなく使用していますが、適切な設定を行わなければ容易に脆弱性になりうることを再確認し、今回ブログにて共有しようと思った次第です。 Cookieの基礎知識 Cookieは、ウェブサイトがユーザーのブラウザに保存する小さなテキストファイルで、ユーザーの情報や設定を保持するために
【NW設定自動化】をAnsible+ChatGPTで知識ゼロからできるのか?試してみた【前編】 / 開発者向けブログ・イベント | GMO Developers
Ansibleでネットワークを構成管理・自動化、なんて話を多く聞く昨今!NWエンジニアの皆さん如何お過ごしでしょうか。NWエンジニアはプログラムに触れる機会が少なめで、”コードを書いて自動化”みたいなアクションが苦手な方が多いのではないでしょうか? そんな中、AIツールも流行ってて『ChatGPTでプログラムを書ける』と聞きます。「じゃあ、ChatGPTにAnsibleやらせれば、とっつきやすく簡単にできるんじゃないの?」と思い、実際にやってみました。 今回はそんなAnsible+ChatGPTの実験レポートをお届けします。【NW設定自動化】をAnsible+ChatGPTで知識ゼロからできるのか?ー前編はshowコマンド編です。 いちおうツール説明 ChatGPTとは? ChatGPTのロゴ、WikipediaCommonsより引用 言わずと知れたOpenAI社の作った生成AI。基本は言
2024年10月30日をもって、約3年間勤めたGMOペパボを退職します。 入社したのは2021年7月なのでした。 ryuichi1208.hateblo.jp ペパボでは主にSREとして、サービスの信頼性に関する施策の考案と実践を担当してきました。入社時にはSREの概念は認知されていましたが、当時はまだ改善の余地が多く、日々多くの課題に取り組んでいました。 特にアラート対応は大変で、一晩に3〜4回もアラートが鳴ることがありました。携帯を投げ捨てたくなるほど頻繁に通知が鳴っていたのを今でも覚えています。「このままでは日中の業務に支障が出るやん...」と思い、オンコール当番に入るタイミングで、アラート整備を進めました。 実際、記事にも取り上げていただき、PagerDutyの整備やアラート内容の見直し根本対応の実施などで、最近では月単位で深夜の呼び出しがゼロの日も増えました。(逆に少し物足りない
上場廃止ラッシュ2025 東証の淘汰がついに始まる! コーポレートガバナンス・コードの導入から10年を迎える2025年、企業改革に対応できない上場企業が市場から強制退場を迫られる。東京証券取引所の経過措置期間が25年3月で終了し、新たな上場維持基準が適用されるからだ。さらに政策保有株式や親子上場の解消も進み、安定株主を失った企業は同意なき買収を容赦なく突き付けられる。あらゆる上場企業が安穏としていられない、淘汰の時代が本格到来する。その最前線に迫る。 バックナンバー一覧 GMOインターネットグループが、米国で900億円超の巨額賠償訴訟を起こしていることが分かった。グループを率いる熊谷正寿会長兼社長の“肝いり”で始めた仮想通貨マイニング事業が失敗し、米企業とトラブルを抱えている。特集『上場廃止ラッシュ2025』(全11回)#6で、その詳細をお届けする。(ダイヤモンド編集部副編集長 重石岳史)
Wi-Fi情報に加え、客室や施設についての詳しい情報を確認できる「こだわりレビュー」も提供する。ユーザーは、ベッドの硬さや枕の使い心地、コンセントの口数、シャワーの水圧などの室内設備の他、サウナ情報(ドライ、ミスト、オートロウリュ)や、コインランドリー、領収書のインボイス制度への対応、周辺のコンビニ情報などについて投稿できる。レビューを投稿したユーザーには、GMOインターネットグループの共通ポイント「GMOポイント」を付与するという。 関連記事 経産省、さくらインターネットに最大500億円の助成金 計算資源整備で GMOは最大19億円、KDDIは102億円 経済産業省は4月19日、AIの開発に必要な計算資源の整備に向け、国内IT5社に最大725億円を助成を行うと発表した。クラウド事業の基盤を持つさくらインターネット、GMOインターネットグループ、KDDIなどを支援する。 生成AIで月10万
SREが明かす!システム監視における動的閾値設定の適応例 / 開発者向けブログ・イベント | GMO Developers
お疲れ様です。技術ブログを久しぶりに投稿します。SREチームのキム・ドンヒョンです。 SREチームは、信頼性の高いシステムを提供するため、様々な活動を通じてシステムをサポートしています。その中でもシステムの監視と通知活動は、SREチームの重要な業務の一つです。今回は、サービスの安定性を確保するための重要な活動の一つである閾値設定について詳しく説明します。 基本的な監視と閾値設定 基本的なシステムの監視は、システムのパフォーマンスが特定の閾値を超えたり下回ったりしたときに警告を発することです。こうした監視により、システムは自己フィードバックを受けて安定した正常状態を保つことができます。例えば、エアコンのように室内温度を一定に保つ必要があるシステムでは、温度が一定の範囲を外れるとイベントを発生させたり、必要な動作を行ったりしてシステムの安定性を維持します。このような閾値設定は、システムの特性に
GitLab 2024年バグバウンティプログラムの全貌:データから読み解く脆弱性トレンド|GMO Flatt Security株式会社
本記事では、上記サマリーの情報と日々のセキュリティリリースを元に、2024年GitLabのバグバウンティプログラムにおける全体的な規模感や検出された脆弱性の傾向を紹介します。 バグバウンティ最前線の事例のキャッチアップとして、普段セキュリティ業務に当たられている方や、バグバウンティに興味がある方の参考になれば幸いです。 そもそもバグバウンティとは?バグバウンティとは、企業や組織が自社の製品やサービス上の脆弱性を発見して報告してくれたセキュリティ研究者やホワイトハッカーに対し、報奨金を支払う制度です。 バグバウンティと診断の違いやメリット・デメリットを分かりやすく解説した弊社ブログの寄稿記事が参考になると思います。 GitLabのバグバウンティプログラムGitLabは、HackerOneを利用してバグバウンティプログラムを運用しています。プログラムの対象としては、GitLabの主なコードベー
【RubyKaigi 2025クイズ解説】GitLabの事例に学ぶ、Webアプリケーションの重大な脆弱性 - GMO Flatt Security Blog
GMO Flatt Securityの大崎です。RubyKaigi 2025の弊社ブースで「バグバウンティクイズ」に回答いただいた皆様ありがとうございました。 私はブースには立ちませんでしたが、今回作問を担当しました。各脆弱性の解説ブログとして本記事を執筆させていただきます。 ブースでも主に紹介させていただいたセキュリティ診断AIエージェント「Takumi」に関しては以下のバナーより詳細をご覧ください。 バグバウンティクイズ in RubyKaigi 2025とは? 言わずと知れたRuby製アプリケーション・GitLabはバグバウンティプログラムを運用していて、その中で2024年に報告された脆弱性に支払った年間報奨金総額はなんと100万ドル(約1億5000万円)以上でした。GitLab程優秀なRubyist達によって開発されていそうなプロダクトであっても、脆弱性対策は避けては通れないという
「これが上場企業のクリエイティブ?」疑問から始まった、自走できるデザイナー組織づくりの旅 / 開発者向けブログ・イベント | GMO Developers
GMOインターネットグループが今年4月から開始する、年間を通してデザイン・クリエイティブの発信を強化する施策「Creator Synergy Project」の取り組みとして、本ブログでもデザイナー・クリエイターへのインタビュー連載をスタートします! 記念すべき初回は、GMOインターネットでクリエイティブ組織を牽引する丸山清人さんへのインタビューとなります。 丸山さんは、イベントのアートワークからセキュリティ、ドメイン、レンタルサーバーなどの自社サービスまで多様なプロジェクトに関わりながら、“提案できるデザイナー集団”の育成に力を注いでいます。 現場とチームの両輪を動かす、その思考と実践に迫ります。
Webセキュリティ最大のリスクにAIで立ち向かう。Shisho Cloud 認可制御診断機能の技術的解説 - GMO Flatt Security Blog
はじめに GMO Flatt Security は2025年3月5日「認可制御不備を検知できる自動診断機能」をリリースしました。 「Shisho Cloud byGMO」の認可制御診断でできること ロールベースアクセス制御も、マルチテナントアプリケーションの認可制御も、Shisho Cloudで自動診断 認可制御診断のセットアップはShisho AIで一瞬 Shisho AIがアプリケーションの仕様を把握し、権限ごとに可能な操作を一覧化した権限マトリクスを自動で作成 認可制御不備にすぐ気付ける 見つかった認可制御不備がダッシュボードで一目で分かる 新規アラートのSlack通知も可能 開発サイクルに合わせた頻度で継続的に診断 アジャイル開発で随時追加・変更されていく機能にも、正しく認可制御を実装できているかを、機能リリースの度に洗い出し可能 従来の認可制御診断と新世代の認可制御診断 従来の認
マイグレーション実行時のロック競合によるDBインシデントから学んだこと / 開発者向けブログ・イベント | GMO Developers
ActiveRecord::AdapterTimeout Mysql2::Error::TimeoutError: Timeout waiting for a response from the last query. MySQLへの接続がタイムアウトしているようです。このエラー自体は時々見かけるものですが、今回は明らかに様子が違います。通知の量が尋常ではなく、minneへのアクセスが全くできなくなってしまっていました。 原因を探るため、まずは直近の変更内容を確認します。すると、ちょうどその時間にデータベースマイグレーションを実行していたことが分かりました。しかし、マイグレーションの内容自体はそれほど複雑なものには見えません。 Mackerel(サーバーやアプリケーションの監視サービス)の監視画面を確認すると、MySQLのDisk IOPSのreadと接続数が急上昇していました。しかし、そ
GMOペパボは、ソーシャルVRプラットフォームの「VRChat」を運営する米VRChat社とのパートナーシップ契約を、2024年12月20日に締結いたしました。 本契約により、VRChat社と連携を図りながら、バーチャル空間上で活動するクリエイターへの支援をさらに加速させていきます。 今後もGMOペパボは、ミッション「人類のアウトプットを増やす」のもと、クリエイターへの新しい活動の場の創出と体験の提供を続けて参ります。 VRChatは、仮想世界やアバター、インタラクティブな体験を作成・共有できるソーシャルVRプラットフォームです。昨今ではメタバースとして注目されています。2015年に公開されてから、数百万人のユーザーを抱えるまでに成長し、数千万ものユニークなコンテンツを公開しているクリエイター達の熱狂的なコミュニティを特徴としています。
AIコードレビュー「ai-pr-reviewer」のプロンプト改善 / 開発者向けブログ・イベント | GMO Developers
この記事は GMOインターネットグループ Advent Calendar 2024 2日目の記事です。 こんにちは! GMO NIKKO株式会社の石丸です。 今回はAIによるコードレビューツール「ai-pr-reviewer」のレビュー精度を向上させるために行ったチューニングや独自で実装したプロンプトについて紹介します。 はじめに CodeRabbitの「ai-pr-reviewer」はGitHubのPull Requestに対してAIが自動でコードレビューやPull Requestの要約を行うコードレビュー支援ツールです。 GitHub Actionsで簡単に導入することが可能ですが、レビューの精度や頻度、フォーマットなど、デフォルトの状態では複数の観点で改善が必要だと感じたため、この記事では実際にカスタマイズした設定ファイルやプロンプトの一部を紹介します。 本記事では「ai-pr-re
GMO Flatt SecurityのRyotaKがGitの認証情報漏洩につながる6個の脆弱性をGitおよびGitHub関連サービスに報告
GMO Flatt SecurityのRyotaKがGitの認証情報漏洩につながる6個の脆弱性をGitおよびGitHub関連サービスに報告 GMOインターネットグループでプロダクト開発組織に向けたサイバーセキュリティ関連事業を展開するGMO Flatt Security株式会社(代表取締役社長:井手 康貴 以下、GMO Flatt Security)の「脆弱性リサーチプロジェクト」において、セキュリティリサーチャーのRyotaKがGitの認証情報漏洩につながる6個の脆弱性を報告しました。 関連するプログラム・サービスをご利用の皆様はアドバイザリに従いアップデート等の対策を実施することを推奨いたします。 「脆弱性リサーチプロジェクト」とは GMO Flatt Securityはソフトウェアプロダクトの脆弱性診断を主軸としてサービスを展開しており、脆弱性の検出において世界トップクラスの実力を持
登録や投資でAmazonギフト券や楽天ポイントなど各種ポイントがザクザク貯まる案件も紹介中! どうせなら、お得に登録や投資をしていきましょう👍 キャンペーン一覧はこちら サイドバーに不動産クラファン&ソシャレンのおすすめファンド情報を掲載しています! GMOコインの貸暗号資産・レンディングができない時の対応策!GMOコインで仮想通貨をレンディングしよう! とおもっても、 ・貸暗号資産ベーシックができない ・貸暗号資産プレミアムもできない というときの対応策(代替案)を掲載します。 この記事でわかること ・GMOコインの貸暗号資産でレンディングができない理由 ・GMOコインで貸暗号資産ができない時の対応策 ・ビットレンディングがおすすめの理由 ・PBRレンディングがおすすめの理由
楽天証券の不正アクセス祭り、セーラー万年筆を勝手に4万株買われてしまったが結果的に39万円の売却益が出たという嘘みたいな人まで現れる
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
FigmaデザインをHTMLコードへ自動変換する方法 - GMOインターネットグループ グループ研究開発本部
「スクショ」という言葉はGMOが商標登録しているので、LINEスタンプで使うとリジェクトされてしまう問題
「スクショ」が商標登録されていた──Xで話題に GMOメディアが2015年に登録済み
目指せ1日1万行のコード生成 GMOペパボは新卒研修から「Vibe Coding」を教える
GMOペパボを退職します | pyama.fun
「スクショ」商標巡り、GMOメディアが声明 「SNSなどでの利用に商標権を行使する意図は一切ない」
Takumi - 日本初・セキュリティ診断AIエージェント | GMO Flatt Security
「返金に協力を」 GMOあおぞら、誤送金先の一部が「残高不足」で取消できず
GMOインターネットグループ、AI画像生成サービス 『ConoHa AI Canvas』を提供開始
GMOペパボを退職します - 地方エンジニアの学習日記
【スクープ】GMOが900億円超の巨額賠償訴訟!熊谷氏“肝いり”の仮想通貨マイニング事業失敗で米企業と泥沼トラブル
宿泊施設のWi-Fi速度が分かるレビューサイト、GMOが提供開始
VRChat社とパートナーシップ契約を締結しました | GMOペパボ株式会社
GMOコインの貸暗号資産・レンディングができない時の対応策!
GMOあおぞらネット銀行、面白誤送金で盛大にやらかす : 市況かぶ全力2階建
GMOが無料のネットセキュリティ診断サービスを発表、「セキュリティを事業の柱に」と熊谷代表
