サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
2025年ランキング
www.utam0k.jp
OSS では日々様々なセキュリティ対応がされています。私自身も CVE を発行したり、対応をした経験があります。 最近だと CVE-2025-62596 の対応をしました。 公開後の情報がまとまった CVE や以下のような Security Advisory を見ることは多くあると思います。 GHSA-vf95-55w6-qmrf 実はその裏には対応者や、クレジットには載っていない関係者の努力が隠れています。 また、そういった公開までの舞台裏でどういう作業がされているかは表に書かれることは多くありません。 この記事では公開情報だけでは見えにくい、脆弱性報告を受けてからの議論、CVE 取得、公開までの流れを少し紹介します。 Overview: OSS 脆弱性対応フローあくまでも一例ですが、GitHub で OSS を運用している場合の一般的な流れは以下のようなケースが多くあるのかなと思います
note.com/smartbankinc
2025年の大晦日も目前。 大晦日といえば「除夜の鐘」ですね。 「除夜の鐘」とは、人間にあるとされる108種類の煩悩(悩みや心の迷い、苦しみ)を鐘を1回撞くごとに1つずつ消し去り、清らかな心で新年を迎えるための日本の風習です。 今回、もうすぐ大晦日を迎えるにあたり、「除夜の鐘」をテーマに「業務効率化の難しさや悩み」を「煩悩」に例え、それを解決した108個のAI活用法をまとめました。 スマートバンクは現在約70人ほどの社員数ですが、無理に絞って108個にしたほど全職種で積極的にAI活用をしています。 来年からの、みなさんの業務のご参考になれば幸いです。 このnoteでは、テキスト検索がしやすいように上のスライド内容を全てテキスト化しました。職種ごとに並べているので目次から気になる箇所をクリックしてご参照ください。 ■BizDev/マーケター/PR【001】管理画面のAI判定付き一括更新スクリ
www.mino-in.co.jp
美濃工業株式会社 当社は、外部からの不正アクセスによるサイバー攻撃を受け、一部のサーバーおよびパソコンが暗号化される事案が発生しました。このセキュリティインシデント発生を受け、セキュリティベンダーの協力のもと、調査、復旧、監視等の対応を実施してまいりました。その結果、社内に侵入していたウィルスの根絶、不正アクセスの侵入経路と攻撃手法の特定、新たな不正アクセスおよびウィルス再侵入の可能性排除等を確認し、それらがないとの判断をいただきました。これに加え、24時間監視体制も整ったことより、当社のIT環境については安全であることを宣言いたします。 以下、状況および対応の詳細をご報告いたします。 1. 現在の状況について 現在、主要システムの応急復旧が完了しました。業務は通常通り稼働しており、生産活動・出荷・金融機関との取引への影響はありません。 今回の安全宣言は以下のような根拠に基づきます。 侵入
president.jp
サービス開示時から続く「POP受信」 Googleが2026年1月でPOP受信を終了する。 このニュースを聞いて、大慌てでGmailの設定を変更している人も多いだろう。一方で「POP? なんだそれ」「Gmailは使っているけど、POPなんて意識したことない」とスルーした人も多いはずだ。 POP受信はGmail以外のメールをGmailで受信し同じ画面上で処理できる仕組み。つまり、これまで利用していない人には何の関係もない。 しかし、このGoogleの仕様変更は、実は単なる技術更新ではない。その背後には、国家と企業の力関係、そして日本が気づいていない「静かな戦争」が動いている。 GmailのPOP受信とは、「POP(Post Office Protocol)」仕組みを使ってGmail上で他社のメールサービスのメールを取り込む便利機能のことだ。複数のメールアドレスを一元管理できるため「会社用と個
www.asahi.com
中国の旅行サイト最大手・携程(トリップドットコム)をめぐり、利用者が同社のアプリを削除したとするSNS投稿が相次いだ。中国メディアによると、同社がカンボジア観光当局と提携したことで、現地の特殊詐欺組…
zenn.dev/coconala
重要なポイントは「対象」の違いです。 技術負債はコードそのものの問題、つまり「物」の問題です。 コードが複雑すぎる、設計が不適切、テストが不足している。 これらはリファクタリングやコード改善で解決できます。 一方、理解負債はエンジニアの理解の問題、つまり「人」の問題です。 コードは動作するし、テストも通る。 しかし、誰もそのロジックを説明できない。 なぜその実装になっているのか分からない。 これは単なるコード修正では解決できません。 理解負債は、AI生成コードに特有の新しい形態の技術的負債です。 「動くコード」だからこそ見過ごされやすく、気づいたときには手遅れになっていることが多いのです。 1.3 理解負債の具体例 - 現場で起きている3つのシーン 理解負債が実際の開発現場でどのように現れるのか、3つの典型的なシーンを見ていきましょう。 以下具体例は、分かりやすく説明するための架空のシーン
qiita.com/yamada_sec
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに 「文系・未経験からセキュリティは無理」 この言葉を理由に、挑戦を諦めてしまう人は多いと思います。 ですが、少なくとも私はこの意見には賛成できません。 私は文系・未経験からIT業界に入り、 現在はセキュリティコンサルタントとして働いています。 このAI時代に AIの進化によって、 「この先、セキュリティの仕事はAIに奪われるのではないか」 と不安に感じている人は多いと思います。 特に、 文系出身 IT・セキュリティ未経験 プログラミングや数学が得意ではない こうした前提条件があると、 「今から目指して意味があるのか」と感じてしま
note.com/konho
画像生成AIや動画生成AIをChromeで動かせるようにしたものです。 Nano BananaやSeeDream、Kling、pixverseなど、多数のAIモデルに対応しています。 これを作ってみて改めて思ったんですが、プログラミングを始めた初心者に、まず作ってほしいものがあります。 それはChrome拡張です。 なぜChrome拡張なのか、理由を説明します。 Chrome拡張とはChrome拡張とは、Chrome(Googleのウェブブラウザー)上で動く拡張機能のことです。 ブラウザに新しい機能を追加したり、既存のウェブページに機能を付け足したりできます。 基本的にJavaScriptで動作します。 JavaScriptは世界で最も使われているプログラミング言語の一つで、学習リソースも豊富です。 Webサイトを作ったことがある人なら、すでに触れたことがあるかもしれません。 JavaSc
www.soumu.go.jp
総務省では、「AIセキュリティ分科会」(主査:森達哉 早稲田大学 理工学術院 教授)の取りまとめを踏まえて総務省が作成した「AIのセキュリティ確保のための技術的対策に係るガイドライン」(案)について、令和7年12月26日(金)から令和8年1月29日(木)までの間、意見を募集することとします。 総務省では、令和7年9月からサイバーセキュリティタスクフォースの下にAIセキュリティ分科会を開催し、AIから不正な出力を行わせたり、AIを搭載するシステムの停止を生じさせたりするといったAIへの脅威に対して、AIのセキュリティを確保するための技術的対策の検討を行ってまいりました。 今般、分科会の検討結果が取りまとまりましたので、これを公表します。また、当該取りまとめを踏まえて「AIのセキュリティ確保のための技術的対策に係るガイドライン」(案)(本編:別紙1、別添(付属資料):別紙2)を作成しましたので
www.security-next.com
Pythonベースの大規模言語モデル(LLM)アプリケーションの開発フレームワークである「LangChain」に深刻な脆弱性が明らかとなった。JavaScript環境向けの「LangChain JS」についても脆弱性が報告されている。 内部データの変換処理において適切にエスケープ処理が実施されない脆弱性「CVE-2025-68664」が判明したもの。特定の構成においてデシリアライズ時にコードが実行され、環境変数に格納されているAPIキーなどシークレット情報が取得されるおそれがある。 ストリーミング、メッセージ履歴の管理、ベクトルストアのロードなど幅広い処理で影響を受けるという。 CVE番号を採番したGitHubでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.1」とし、重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングした。 開発チームでは脆
zenn.dev/omakase
前回の振り返り 前回の記事では、ステーキングプロバイダーの API レスポンスが実行時に改ざんされ、利用者がそれに気づかず署名してしまったことで資産が流出してしまった、というインシデントについて整理しました。具体的には、Unstake のトランザクションに悪意のある権限移譲の処理が追加されていて、それをデコードして確認しないまま署名してしまったのが原因でした。なので、「署名する前にデコードして中身を確認する」という対策などについて記載しました。 本記事では、ステーキングプロバイダーから公開された続報をもとに、「なぜ API が改ざんされてしまったのか」という根本原因について、その攻撃の全貌を掘り下げていきます。 根本原因はGitHub Access Tokenの漏洩 続報で明らかになった一番の根本原因、それはエンジニアのGitHub Access Tokenが漏洩したことでした。 現時点で
ritou.hatenablog.com
ritou です。 一日遅れましたが、アドカレ最終日の記事です。 qiita.com 一個誰かが忘れてる以外は埋まってますね!特に中盤までのAuthlete無双ありがとうございます。 前日(24日)の記事も大作でございました。 zenn.dev 今回は巷でよく言われている「OAuthは認可、OIDCは認証」ってフレーズについて整理しましょう。 「OAuthは認可」わかる OAuthは(最近だと3rdパーティーに関わらず)あるアプリケーションに対して安全なリソースアクセスの提供を実現するための仕様です。 リソースオーナーはそのアプリケーション自身かもしれないし、アプリケーションのユーザーかもしれません。 リソースアクセスを提供する側が認可し、利用する側は認可されてリソースアクセスをします。これは特に問題ないでしょう。 「OIDCは認証」わかる? OIDCは認証、これはどういう意味かわかります
zenn.dev/microsoft
本投稿は Active Directory Security Advent Calendar 2025 15 日目として公開しています。 AD のセキュリティ対策を考える上で有用な投稿が他にも多数公開されていますので、是非あわせてご覧ください。 はじめに Active Directory に限らず、「ID」は常に攻撃者にとって魅力的な存在です。なぜなら、管理者権限を持つ特権アカウントさえ奪取できてしまえば、その正規のアカウントを使ってあらゆる操作ができてしまうからです。 でも、数多ある ID 基盤 (IdP) の中で何故 Active Directory ばかりが負の遺産として悪者のようにやり玉に挙げられるのでしょうか。 個人的な主観ですが、主に以下のような点が理由なのではないかと思っています。 シェアゆえのインシデント件数の多さ 侵害された際の影響範囲の広さ ID とパスワードのみに頼っ
news.yahoo.co.jp
東京・台東区の上野恩賜(おんし)公園に24日に新設された男女の仕切りがない公衆トイレを巡り、利用者から「防犯上問題がある」といった不安の声が続出している。都は急きょ、26日朝からトイレの改修工事を実施。筒抜けとなっていた男性用トイレと女性用トイレの間に、仮設の目隠しを設ける緊急措置を行ったが、完成予定のトイレは屋根の上に登れる設計で、個室の上には天窓が設置されているなど、なおも懸念が指摘されている。 【写真】トイレの屋根部分に上がれる展望デッキ、個室の上には天窓も…トイレ内の実際の様子 問題のトイレは上野恩賜公園の不忍池のほとり、池之端に24日に新設。男性用トイレ、多目的トイレ、女性用トイレが一直線に並ぶ形で、男性用と女性用の間には仕切りがなく、3か所の入口から自由に行き来が可能な設計となっていた。 トイレが使用可能となった24日、ネット上ではトイレ内の様子が拡散。「地獄みたいなトイレ」「
www.nikkei.com
政府は2026年度中にインテリジェンス(情報の収集・分析)機能を強化する「国家情報局」(仮称)を創設する。内閣官房に置いている内閣情報調査室を改組する。26年11月ごろに設置予定の防災庁は350人ほどの体制にする。内閣官房内閣人事局が26日、各府省が要求した26年度の機構と定員についての審査結果を発表した。国家情報局の創設や防災庁の体制についても盛り込んだ。
kn.itmedia.co.jp
2025年、国内セキュリティ事件12事例を全検証 なぜあの企業の防御は突破されたのか?:2025年のインシデントを振り返る 2025年はアスクルやアサヒへの攻撃をはじめ、幅広い業種で深刻なサイバー被害が相次いだ。主な原因は脆弱性の放置や海外拠点の管理不備、多要素認証の未導入にあり、サプライチェーンを介した二次被害も深刻化した。脆弱性管理の徹底や特権IDの厳格化など、包括的な防御体制の構築が急務だ。 2025年は、アスクルやアサヒホールディングス(以下、アサヒ)への大規模なランサムウェア攻撃をはじめ、企業の事業継続を脅かすサイバーインシデントが相次いだ1年だった。被害は単一の企業にとどまらず、取引先や顧客へと波及し、サイバーリスクが経営上の重要課題であることを改めて浮き彫りにした。本稿では、2025年に国内で発生した12件のセキュリティインシデントとその被害状況を整理し、そこから見えてきた課
news.web.nhk
さいたま地方検察庁の検事が、前科など職務上知ることができた情報を交際相手に漏らしたとして懲戒免職となり、国家公務員法違反の罪で罰金30万円の略式命令を受けました。 懲戒免職となり略式命令を受けたの…
zenn.dev/mizutani
Goでフルスクラッチ実装したLLMエージェントによって、セキュリティアラート分析を自動化する方法を解説します。LangChainなどのフレームワークを使わず、LLM APIのみを使って実践的なエージェントを構築する手順を基礎から応用まで紹介します。
qiita.com/oue4work
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? Check Point マーケティング 大植です。 この記事について Qiitaの読者層として、Web開発やSaaS開発に携わる方々とその情シス/IT管理者が多いことを前提に、「Chromeの中で仕事が完結する会社」のセキュリティについて書いてみました。 ただし、クラウドセキュリティ領域(CNAPPやWAF等)ではなく、情シスに関わる視点を纏めてみます。 一般的なセキュリティ記事の多くは大企業向けで、Windowsを標準機として、ExcelやPowerPointで情報共有を行いつつ、ワークロードはSaaSに移行しはじめたハイブリッド環境
www.tokyo-np.co.jp
〈ニュースあなた発〉 「広く東京都民に向けた事業なのに、古いスマホの人は恩恵にあずかれない。問題では」。新宿区の50代女性から、そんな声が東京新聞「ニュースあなた発」に届いた。都のスマホ向け公式「東京アプリ」で26日まで実施中の都民参加型最終検証に夫が参加しようとしたところ、マイナンバーカードによる本人確認に非対応の機種のため、参加できなかったという。どういうことなのか。(奥野斐) 東京アプリ 将来的な行政手続きやサービスの一元化を目指し、都が2月に提供を始めた。都事業への参加などでポイントが付与され、民間決済事業者のポイントに交換して買い物などに使えるほか、都立施設の入場券にも換えられる。当初7000ポイント付与に799億円の予算が計上され、12月の都議会定例会で1万1000ポイントへの上乗せ分として450億円の補正予算案が可決された。
次のページ
セキュリティ技術の人気エントリー
ITの新着エントリー
はてなブログ(テクノロジー)の新着エントリー
AI・機械学習の新着エントリー
プログラミングの新着エントリー
エンジニアの新着エントリー
studyhacker.net
会議の議事録作成、企画書の下書き、得意先に送るメール—— 気づけば、生成AIに頼らなければ仕事が回らない日々。 たしかに業務は効率化されたものの、ふと「そういえば、自分で考えることが減ったかも……」と不安になったことはないでしょうか。 じつは、AIで思考停止する人と、むしろ考えが深まる人がいます。その違いはたった3つ。AIの回答への「向き合い方」、問いの「立て方」、そして「対話の重ね方」です。 本記事では、思考力を鈍らせないAIとの付き合い方を、専門家の知見とともに解説します。 1. AIの回答を「鵜呑みにするか・確かめるか」 ファクトチェックの練習法 2. AIへの問いは「そのまま聞くか・仮説を立てるか」 仮説を立てて問うコツ 3. AIを「答えの道具にするか・対話の相手にするか」 AIと対話を深めるヒント よくある質問(FAQ) Q1. 生成AIを使うと思考力は低下しますか? Q2.
tech.algomatic.jp
こんにちは。Algomaticの大塚です。 今回はDifyやn8nといったAIアプリケーションのWorkFlowを自動で作成する取り組みをご紹介します。 はじめに:ノーコードツールの限界 Dify、n8nといったノーコードツールは非エンジニアでも触れる点がプログラミングとの違いと言われています。しかし、実務の観点から見ると状況は異なります。 プロンプトを1行変更するだけでも、GUIの操作手順を覚える必要がある 作ったWorkFlowのテストは手動でやるしかない エラーが起きたら、どこが悪いのか特定するのに時間がかかる 結局、非エンジニアでも触れるはずのツールが、専門知識を持った人しか運用できない矛盾が生まれています。 社内の取り組み そんな課題を解決するために、社内でWorkFlowを自動で生成するシステムを開発しています。このシステムは自然言語からWorkFlowを自動生成するツールです
inujin.hatenablog.com
どこもかしこもAIが作った文章だらけだ。 他人が送ってくる企画書も、どうせAIがまとめたんだろうと思うと、目を通す気になれない。 明らかに「この人、こんな言葉づかいしないよな」と感じる文章がたくさん混じっている。 人が書く文章は、その人の顔と同じように、特徴的な輪郭があって、しわやしみがあって、左右対称でもない、いびつなものだ。 そのいびつさを味わうのが文章を読む楽しさの大きな部分を占めていると思う。 企画書だって読み物である。 だけどAIに書かせた企画書にはその人の味がない。 なので、「この人はどんな人なのだろうか」「そして今どんなことを感じているのだろうか」ということがわからない。 企画書にそんなものは要らないと思われるかもしれないけど、やっぱり大切だと思う。 ぼくは企画書が欲しいのではない。 要は、その人と一緒に仕事してみたいと思えるか、だけなのである。 とはいえ、たとえばものすごく
nowokay.hatenablog.com
久しぶりに、Railsについて「設定より規約だなぁ」という発言を目にして、「規約よりアノテーションがいいし、AIに不利」みたいなツッコミをしたわけです。 ということで、どのようにAIに不利かまとめてみます。 一応、いまのRailsについてはAIがかなり学習しているので、Opusなどではかなり的確に扱えているようです。 なので「AIに扱えるようにならない」という意味ではないです。 規約ベースのフレームワークとは ここでは例えばmodelフォルダの下にUserという名前のクラスを作るとusersというテーブルへのマッピングになる、というような規約の話です。 アノテーションベースであれば、Userというクラスに@Tableというアノテーションを付けるとuserというテーブルへのマッピングになります。ただ、ここでUserというクラスがuserというテーブルに対応するというところは規約ベースになって
はてなブログ(テクノロジー)の人気エントリーをもっと読む
このページを最初にブックマークしてみませんか?
『セキュリティ技術』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
世界最軽量ノートが生まれたFCCLの開発拠点。その心臓部を覗いてきた
ChatGPTの力で「片付ける気すら起きないほど荒れた部屋」 が楽に綺麗になった話
「大崎発のつくばエクスプレス」もあり得た!? 驚きの「地下鉄直通案」に「新交通システム案」 “秋葉原発”にやっと落ち着くまで | 乗りものニュース
生成AIで○○だけする人が見えていない「思考力がグングン高まる人」との大きな違い - STUDY HACKER(スタディーハッカー)|社会人の勉強法&英語学習
自分で考えることが、贅沢なことになってきている気がする。 - 犬だって言いたいことがあるのだ。
規約ベースのフレームワークはAI処理に不利だと思う - きしだのHatena
増田で2025年を振り返る
GitHub - breaking-brake/cc-wf-studio: ClaudeCode Workflow Studio
AI vs human code gen report: AI code creates 1.7x more issues
年末年始に「生成AI初心者」から一気に「上級者」に駆け上がりたい人のための記事ガイド|KAJI | 梶谷健人
発表から約2週間、いますぐ使えるAgent Skills 10選|Seiji Takahashi@ベースマキナ
フロントエンドエンジニアに伝えたいアクセシビリティの基本 | 株式会社ヌーラボ(Nulab inc.)
Autify上のE2EテストをPlaywrightに移行しました | PR TIMES 開発者ブログ
