こんにちは、SRE NEXT 2026 Co-chairの末藤です。 SRE NEXT 2026にご参加いただいた皆さま、ありがとうございました! 本記事では、公開された発表資料をタイムテーブル順にまとめています。 資料は補足次第、随時追加・更新していきますが、もしリンクのない講演で発表資料を見つけたものがありましたら - staff2026+slide@sre-next.org までURLを添えてご連絡いただければと思います。 ベストエフォートとなりますが、順次更新してまいります。 公式サイト…
こんにちは、CTOのid:motemenです。Hatena Developer Blogの連載企画「卒業生訪問インタビュー」では、創業からはてなの開発に関わってきた取締役の id:onishi、CTOの id:motemen、エンジニアリングマネージャーの id:onk、技術グループ長の id:daiksyが、いま会いたい元はてなスタッフを訪問してお話を伺っていきます。id:motemen が担当する第21回のゲストは、株式会社サンリオでデジタル事業開発部プロダクト開発課シニアマネージャーとして…
2026年7月9日、米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、委託先担当者(以下「当該担当者」)の個人用GitHubリポジトリを通じて同庁のAWS認証情報などが長期間インターネット上に公開状態にあった事案について、対応の経緯と教訓をまとめた記事を公表しました。ここでは関連する情報をまとめます。 外部からの通報で発覚 GitGuardianの自動監視システム「Public Monitoring」は2026年5月13日までに、当該担当者が保有する個人用GitHub…
デジタルペンテスト部の北原です。 本記事では、Windows OSで稼働しているプロセス名の情報がどのように取得できるのかについて、プログラムの実装例と共に解説します。 ユーザー空間に保存されているプロセス名情報 ユーザー空間のメモリでは、プロセスの情報が保存されているPEB(Process Environment Block)と呼ばれる情報から、プロセス名につながる情報が確認できます。 PEBは各プロセスのメモリ空間に存在しており、プロセスに読み込まれているPEファイル(実行ファイルやDLLな…
こんにちは! 承認チームでGoエンジニアとしてインターンをしているunagamです。 最近は夏の旅行先として色々な場所を調べるのにハマっています。 今回はあまり馴染みのないSQLのLATERAL句で大幅にAPIを高速化できたので、その学びを共有したいと思います。 概要 APIのボトルネックだったSQLを、LATERAL を使って 94.7ms → 0.236ms(99.75%削減) まで短縮できた。 ただし LATERAL は無条件に速くなるわけではない。外側の行数に比例してコストが増えるという…
はじめに こんにちは、全社AWS管理部門の江島です。社内で利用されているAWS環境を全社横断的に管理する役割を担っています。 全社AWS管理部門では、AWSを安全に運用するために日頃からさまざまな取り組みを行っています。例えば、AWS本番環境へのアクセス管理においてIAM Identity Centerを活用し、定期的な棚卸しや申請ベースの権限管理といったセキュリティ対策を継続的に実施してきました。 こうした取り組みを土台としつつ、さらなるセキュリティ強化に向けて「必要なときだけ権限を付与する」…
人が書いたClaudeCodeのskillとかcommandに愛着が湧かないという意見を聞いた これはチーム開発する上で、モチベーションの低下(誰かがやってくれる)に繋がりそうな新しい課題かも この辺りをChatGPTにぼんやり相談 愛着が湧かない理由 自分の意思決定の痕跡がない skill / command は設計思想やトレードオフの集合体 そこに自分の判断が入ってないと「ただの成果物」になる 編集する動機が弱い 「動いてるし触らなくていいか」になりがち 結果として ownership が生…
こんにちは。タイムリープ株式会社でソフトウェアエンジニアをやっております id:moznion です。 タイムリープ株式会社は遠隔接客サービス RURA (https://timeleap-rura.com/) を提供しているテクノロジースタートアップです。 このサービスは主としてブラウザで動作するReactアプリで構築されており、通信のバックボーンにはWebRTCを利用しています。 バックエンドのサーバーサイドコンポーネントはGoで作られていて、GraphQLとgRPCのServer-Stre…
スクラムよ! 私は帰ってきたぞ! スクラムをやめたけど戻したチームの経験談 こんにちは。アニメ『日本三国』を見終わって、横山光輝さんの『三国志』を読んだときの興奮を思い出した daipresents です。天命をまっとうするぞー。 少し前に、Slackを眺めていると、エンジニアリングマネージャ友達のなかしょーさんが「スクラムをぶっ壊す」とフンフンされていたのをみつけて、そう思った理由を伺ってみるとなかなか面白かったので、今日はその話を書いてみたいと思います。 スクラムじゃないかもと思った理由 な…
2026年6月30日、アフラック生命保険株式会社は、契約者向けサイト「アフラック よりそうネット」等のシステムに対する第三者による不正アクセスにより、顧客および代理店関連の個人情報が漏えいしたと公表しました。その後、金融庁による報告徴求命令の受領を経て、7月13日には「第二報」として発生日・漏えい件数の訂正が公表されています。ここでは関連する情報をまとめます。 顧客約440万人・代理店約4万店に影響 アフラック生命保険は2026年6月30日、「当社システムに対する不正アクセスの発生」と題する発表…
こんにちは!AIエージェント開発課です。 近年、生成AIの進化スピードは凄まじく、単なるテキストの要約やドラフト生成の枠を超え、自律的に判断してタスクを実行する「AIエージェント」が大きなトレンドとなっています。 このような技術的な潮流の中、私たちのチームは2025年5月に「AIエージェント開発課」として産声を上げました。累計導入社数 約20,000社以上の顧客基盤と、16年以上にわたって蓄積された膨大な業務データ(ドメイン知識)というラクスの強みを活かし、バックオフィス業務の「完全自動化」とい…
自分のブログに書いた前編「サーバサイドTypeScriptを選ぶ前に向き合ってほしいこと」では、サーバサイドTypeScriptを選ぶ上で、TypeScriptの言語特性や実行環境の得意・不得意と向き合うことの重要性について書きました。この記事では、その続きとして認証基盤・ID基盤という具体的な領域でサーバサイドTypeScriptを選んだことで実際に嬉しかったことを共有します。 ただし、ここに書くことは「だからサーバサイドTypeScriptを選ぶべきだ」という主張ではありません。私たちの領域…
はじめに こんにちは、ブランドソリューション開発本部ZOZOMO部FBZブロックの座間です。2025年4月にZOZOへ新卒入社し、現在はFulfillment by ZOZO(以下、FBZ)のバックエンド開発を担当しています。最近はチームメンバーの影響でビリヤニにハマっています。 今回は、Claude Codeを活用してFBZのシステム構成図を自動生成・自動更新する仕組みを構築した事例を紹介します。
はじめに はじめにNTT西日本の長谷川です。 本記事では、セキュリティ業界の有志で運営している「MINI Hardening」というコミュニティのメンバーにより開発された、サイバー攻撃を想定したインシデント・レスポンスを体験するためのトレーニングツール「ZANSIN」の体験談と自身で環境を構築する際の手順と注意点をまとめています。 ※Hardening とは情報セキュリティ分野においてセキュリティ強化演習を指す用語です。 出典:ZANSIN(GitHub)https://github.com/Z…
みなさん時間測ってますか? 僕はパスタ茹でる時とかに測ります。 また、時間の間隔だけでなく、正確な時刻を知ったり、正確な時刻に合わせて何かアクションをしたい時があります。 たとえば JST 2026年06月21日22時23分24秒きっかりに数十 ns の精度でパスタを茹で始めたい時などがあると思います。 そんな時に便利なのが GNSS(Global Navigation Satellite System)です。 GPS(Global Positioning System)とも呼ばれがちですが、G…
テックブログの編集を担当している髙木です。 テックブログにおける編集という役割はあまり一般的ではないかもしれませんが、記事の質の担保と安定的な投稿を目的に活動していると思っていただくのが良いと思います。以前出した記事がありますので興味のある方はこちらを参照ください。 突然ではありますが、弊社のテックブログがネタ切れ状態です。というのは半分冗談なのですが、これまでよりも記事が出にくくなっている気がしております。そのことについて考えるというのが今回の記事の主題となります。 そもそもテックブログをなぜ…
初めまして! NTTドコモビジネス情報セキュリティ部の池山と申します。 未経験からセキュリティ分野に飛び込み、現在は脅威情報を中心に業務を担当しています。 2026年6月13日に開催された「第5回セキュリティ若手の会」にて、ドコモグループ(NTTドコモ・NTTドコモビジネス)はゴールドスポンサーとして協賛し、講演の機会をいただきました。 この記事では、初の外部登壇かつ初参加となった「セキュリティ若手の会」について、ギリギリ若手(社会人3年目)の視点から当日の様子をご紹介します。 セキュリティ若手…
こんにちは、前田です。 最近、社内で「城巡り同好会」を立ち上げ、小田原城に行ってきました。 天守閣からは相模湾と箱根の山々が連なる絶景を見られて、とても良かったです。 さて、今回はAIエージェント開発には欠かせないライブラリ 「Strands Agents」 の標準ツールを紹介します。 1. Strands Agentsとは 1.1. まずは動かしてみる 2. 標準ツール紹介 2.1. ファイル操作 2.2. 自動化 2.3. 情報収集 2.4. マルチメディア 2.5. エージェント 2.6.…
管理画面を作るのが面倒な Web アプリケーションで、自分のユーザに admin フラグを立てておいて無双している。アプリケーションの画面上からスパム投稿を非表示にしたり、ユーザを BAN したり。手が滑って普通の投稿を削除すると怖いので confirm を挟んだりもしている。 任意の時間にできる機能なんかも定番ですね。月初に出るバナーが本当に出るのか、割引が本当に開始するのかを、来月の時間ということにしてアクセスして確認したい。 こういうのを、自分一人ならいいが、チームで作っていると、管理者に…
最近はgit worktreeを使ってコーディングエージェントを並列稼働させることが増えてきました。といっても2、3並列程度なのですが、それでもどこにどのエージェントを起動しているか、そしてそれらのエージェントが今どのような状態にあるかを瞬時に知りたくなってきます。tmuxを現状愛用していますが、tmuxでコーディングエージェントネイティブな環境に対応しようとするとかなりのカスタマイズを必要としそうでした。 Herdrはこの問題を結構いい感じに解決してくれるツールです。とてもよかったので紹介した…
こんにちは、セキュリティチームの坂梨です。 皆さん、ソフトウェアサプライチェーン攻撃対策はできていますか。 2025年の Shai-Hulud(大規模なnpmパッケージ侵害事件)以降、ソフトウェアサプライチェーン攻撃が話題に挙がる機会が増えました。特に今年3月末に発生した Trivy と axios の事件は大きく騒がれ、影響調査に追われた方も多いのではないでしょうか。 4月以降も lightning や TanStack などメジャーなライブラリが被害に遭っており、毎朝「さて今日は何が乗っ取ら…
システムのリプレイスをするなら、新システムへ機能を移植し始める前に「いらない機能」を現行システムから消すことを勧めたい。 この記事のまとめ リプレイス時は、機能の棚卸しをして不要なものを現行システムから先に消そう 先に消せば移植する機能が減って保守コストと総工数が下がる 棚卸しによって「どの機能」が「なぜ」必要なのかが明確になり、その後の判断に効く なぜ先に「消す」べきか 私は10年ほどのソフトウェアエンジニア経験から、大小様々なシステムのリプレイスプロジェクトを経験している。テックカンファレン…
はじめに こんにちは。GMO Flatt Security株式会社 セキュリティエンジニアの佐藤(@Nick_nick310)です。 本シリーズの前回記事では、GitHub Actionsに対する初期アクセスの手法と対策を解説しました。まだお読みでない方は、先に前回の記事をご覧いただくことをお勧めします。 GitHub Actionsのセキュリティを考える際、Script Injectionや信頼できないPull Requestのcheckoutといった初期アクセスに関わる問題が注目されることは…
AIをギョームに適用しようとすると、必ず「このギョームはAIに向いてるのか?」という問いが出てきます。わかる、わかるよ。ずっとその問いをやってる。 それで、向いてる向いてないを考えて、なんかやった気になって、結局どうすればいいのさという問いには答えられていなかった。 このあたりの判断基準が、自分の中でかなり曖昧だったんだよね。例えば、システム開発の上流工程へのAI適用は、AIが業務文脈を理解していないから難しいよね、学習コーパスが浅いしね。で、話がこれで終わる。それはそうなんだけど、そこで止まっ…
こんにちは。セキュリティエンジニア兼SREの侘美です。 2026年6月、メドピアではClaude Enterpriseの全社導入を完了しました。正社員・契約社員あわせて約130名にアカウントを配布しています。 今回の導入は、自分(セキュリティ)とコーポレートIT(社内のIT機器・SaaS管理を担当)で協力して設計・構築しました。セキュリティ方針やリスク評価は自分が担当し、SSO・SCIM設計やクライアント管理、コネクタ運用といった実装面の細かい検討・構築はコーポレートITのメンバーが中心になって…
本質的な複雑性と偶有的な複雑性の区別は、有名な『銀の弾丸はない』で提唱されたものだ。 本質的な複雑性というのは、「どうあがいても、その問題に内包されている複雑性」のことで、たとえば医療で言ったら「麻薬施用免許を持たない医師やスタッフが麻薬処方の指示を出してはいけない」というのはあたりまえの話だけど「じゃあその処方箋はどう現場で管理されないといけないんですか」とか「鍵付きのところに保存されてないとダメで、そこから取り出すためには麻薬施用免許を持った医師が出して、麻薬施用免許を持った医師がハンコを押…
※この記事は「エムティーアイ Blog Summer 2026」の 6/26 の記事です。 こんにちは、テクノロジー本部 Red Teamの石廣です。 今回は、Red Teamの強みでもある手動診断について、自動スキャンとの違いを交えながらお話しします。 目次 はじめに 自動スキャンが得意なこと 自動・手動・コードレビューの役割分担 自動スキャンが見落とすもの 1. ビジネスロジックの脆弱性 2. 複雑な IDOR(水平権限昇格) 3. 競合状態 4. 多段階の攻撃チェーン 5. 認証フローのバ…
1. はじめに こんにちは、権限管理基盤チームで PdM をしている sentokun と申します。 私は基盤チームの立場でよくプロダクトチームから権限設計に関する相談を受けるのですが、実際にやっている内容に立ち返ると、それは業務フローとユーザーストーリーの整理に通じると感じています。 この記事では、権限設計という複雑そうなタスクの「よくあるパターン」を通して、業務フローとユーザーストーリーの重要性について共有します。 TL;DR 権限設計を考える際には、以下の2ステップが必要です。 業務フロー…
株式会社ヘンリーでソフトウェアエンジニアをしているwarabi(@warabi1062)です。 ヘンリーでは今年の1月から、一部のPull RequestでAIがレビューをする際にApproveを出す権限も与えています。 今回はAIにApproveを出させるようにした経緯や、約半年間の運用をしてみてどのような効果があったかをまとめます。 AI活用による実装速度の向上 今年の1月頃から、ヘンリーではClaudeCodeをより効果的に活用して実装の全自動化に力を入れてきました。その成果の一部として、…
Tebiki で CTO をしています渋谷(@shibukk)です。 先日、Don’t Hire Juniors to Write Code, Hire Them to Become Seniors という記事を読みました。AI がコードを書くようになった世界で、若手エンジニアを採用し、育てることをどう考えるのか。読んでいて、自分たちがいま向き合っている問いとも重なるところが多かったので、私たちのポジションをちゃんと書いてみたいと思いました。 私たちの考えは、シンプルです。 AI によってコード…
こんにちは。ソーシャル経済メディア「NewsPicks」のPlatform Engineeringチームの崔(ちぇ)です。 昨今、エンジニアのやるほとんどの仕事は「それはClaudeに」というものばかりになった気がします。調査に限らず実装やPR作成、なんならChrome拡張を使えば動作確認までさっとできちゃいます。GithubのCopilotレビューなんかも、かなりいいことに気づいてくれるので日々頼りにしています。 障害調査はどうでしょう? AWS CloudWatch や New Relic …
CodexやClaude Codeなどはもちろん仕事で使っていますが、プライベートでコーディングする時間はなかなか限られていて、あれだけの枠があっても毎月使い切れるとは限らない日々が続いていました。プライベートでも使っていたもののかなり課金がもったいない気がしていたので、最近は課金を止めていました。でもやっぱり、いざプライベートでもコーディングしたくなったときにコーディングエージェントがない生活には戻れませんね。 他の選択肢として、OpenCodeは安いけれど品質は十分そうだと思ったので紹介がて…
はじめに 金曜の夜だった。10個のコミットを git rebase -i で並べ替えていた。4個目で衝突した。慌てて解決したが、解決を間違えた。git rebase --abort で巻き戻し、最初からやり直す。2回目はもっと雑になり、3回目で reflog を漁ってコミットを拾い直した。本番でもチームのリポジトリでもない。自分のローカルブランチを、自分一人で壊していた。 この冷や汗には覚えがある。git を10年触っていても消えない。いつ上達するんだ。毎回調べている気がするし雰囲気で触っている…
PMO 兼 SET 兼 QMO の Kuniwak です。今回は障害対応机上演習をコーディングエージェントと一緒に実施し、成果を挙げた話をします。 背景 障害対応の能力を計測して継続的に改善するには障害対応の机上演習が有効です。 再現度の高い机上演習を実施するには、ゲームマスターの役割を担う人間が必要になります。 ゲームマスターとはインシデント対応者からの質問と対応手順の提示を通して、段階的に情報を開示していく存在です。 実際の障害対応では真因がわからない状態からスタートし、観測可能な情報を収集…
thumbnail e-learningプロダクト開発部 データ活用システム開発セクションでなんとか働いている堀です。 2026年6月8日から12日にかけて、群馬県高崎市で開催された「第40回 人工知能学会 全国大会(JSAI 2026)」に参加しました。ドワンゴ教育事業はゴールドスポンサーとしての参加です。 本記事では、参加・聴講・発表で得られた気づき・感想をレポートします。 JSAIとは 「2026 挑戦 JSAI2026」と書かれた看板 JSAIは、名前の通り日本の人工知能の関係者が一堂に…
佐々木です。 企業でAWSを使い始めて数年経つと、こんな悩みが出てきます。 請求が何通にも分かれ、誰がどのアカウントの責任者なのか分からない。事業部ごとにアカウントが増え続け、使われていないIAMユーザーも残ったまま。IAM Identity Center を導入してシングルサインオン(SSO)化したいと思いながらも、どこから手を付ければよいのか判断できない。 こうした問題の多くは、AWSアカウント設計を後回しにしたまま運用が積み上がった結果として起こります。そして厄介なのは、AWSアカウント設…
素材から取り出した香りをメニュー開発に生かせる「巴波(うずま)式減圧蒸留器」。開発者である巴波重工業株式会社の代表取締役・安永昌平さんに、開発へのこだわりや幅広い飲食業態での活用事例などを聞きました。 料理やドリンクにおける「香り」は、お店ごとの個性を演出できるポイントの一つです。その香りの抽出方法として、特に酒造の領域でよく使われるのが「蒸留*1」です。しかし、従来の蒸留器は、一部専門性の高い飲食店や酒造業者の間で活用されるに留まっていました。設置スペースや扱いやすさ、使いどころに課題があった…
はじめに:なぜ今、GitHub Actionsのセキュリティなのか GitHub Actionsが侵害されると何が起きるか GitHub Actionsに対する攻撃の事例分析 脆弱なトリガー構成を悪用したインジェクション Ultralytics(2024年12月) nx(2025年8月) タグ汚染によるサプライチェーン tj-actions/changed-files(2025年3月) trivy(2026年2月) AIエージェントへの過剰な権限付与 初期アクセスの手法紹介 信頼できないPull…
はじめに またバズワードが来たな。 2026年6月、「ループエンジニアリング」という言葉でタイムラインが埋まった。 プロンプト、コンテキスト、ハーネス。半年ごとに、新しい看板が立つ。 号令はこうだ。Peter Steinbergerが「コーディングエージェントにプロンプトを書くのはもうやめろ。エージェントにプロンプトを書くループを設計しろ」と書いた。Claude Codeを率いるBoris Chernyも、「私はもうClaudeにプロンプトを書かない。ループが走っていて、それがClaudeにプロ…
TL;DR はじめに 当初は追体験式でいくつもりだった Jrエンジニアとマインドマップで必要なスキルを可視化した 主役に据えた「AIを疑う力」をどう定義したか 教材 × 1on1 × 実務課題の3本柱で能力を伸ばす 教材: 書籍2冊 → Python演習リポジトリの順で土台を作る 1on1: 進捗確認ではなく、設計レビューと内省の場に 実務課題: AI前提で作り切る体験を通じて鍛える うまくいったこと 難しかったこと まとめ TL;DR AI時代のJrエンジニア育成では、AIを使う力だけでなく、…
先月マルタ共和国へ旅行に行った時の風景です。本記事とは無関係です。 【デジスマ ブログリレー 2日目】 デジスマチームの田口です。 最近 apple/container という Apple 純正の Linux コンテナサポートツールが v1 として正式リリースされました。軽量 VM ベースということで興味があり、これを使って何か面白いものを作れないかと色々触っていました。 ちょうど普段 Claude Code を claude --worktree で複数ブランチ並行で動かしていて、ブランチごと…
債権・請求書ドメインでエンジニアをやっている jaxx です。 好きな ESP32 デバイスは M5Stack ATOMS3 Lite です。 freee請求書では、Public API だけでなく、内部的なAPIも含めると複数あり、最も多いAPI群は、生成後のOpenAPIが 33,000行ありましたが、今回 API 定義のソースを OpenAPI (YAML) から TypeSpec へ全面的に移行しました。 今回はその話を備忘録としてエントリーにしたいと思います。 なぜ既存の技術スタックを…
ソフトウェアエンジニアの仕事のうち、ゼロをイチにする業務の割合はかなり多かったはずです。初期のAIは、GitHub Copilotの行補完のように、その「ゼロをイチにする」ための作業を支援するツールでした。書きかけたコードを完成させるためのツールであり、コードをゼロから書くことを手伝ってくれるものだったと思います。 ですが、もはやそのフェーズは終わりつつあるように感じています。エンジニアがゼロからコードを書くことはなくなってきました。コードは「生成されるもの」になり、コードの保証も人間が一行ずつ…
欧米ではすっかりpdfTeXに移行してPDFを直接生成するワークフローになっているのに、なぜ日本語ではPDFを出力できない(u)pTeXがいまだに生き残っているのか。 簡単に言うと、TeXと事実上互換性があるpdfTeXが発明されたときに、日本語圏のデファクトだったpTeXのことが一切考慮されなかったからである。 このような事情により、pTeXをpdfTeXベースに改修することも、pdfTeXをpTeXとの互換性を最大限に保って日本語に対応させることも、技術的な制約によって無理という状態になった…
先日、Twitter(X)で、設計書に「ボタンを押下したときに処理する」と書かれていたため、実装者がボタンを押し込んだ瞬間に処理を実行する実装を行い、非常に大変な思いをした、という趣旨の話を見た。 ここでは個別の投稿の是非には触れず、この話をきっかけに、私が設計について考えていることを書く。 私は、実装方法によって守られる性質が変わるのであれば、その選択は単なる実装詳細ではなく、設計時点でレビューできる形にするべきだと考えている。 例えば、次のような実装がある。 button.addEventL…
久しぶりの「xxな技術」シリーズです。今回は『シンプリシティ』を読みました。 シンプリシティ ―持続可能かつ人間的で効果的なソフトウェア開発作者:Dave Thomas,島田 浩二(翻訳)オーム社Amazon 作者は達人プログラマーの共著者であり、アジャイルソフトウェア開発宣言の署名者でもある、Dave Thomas です。そして Dave はアジャイルソフトウェア開発宣言の署名者ですが"Agile is Dead"と言った人物でもあります。 本題に入る前にまず、なぜ Dave は "Agile…
こんにちは。 CTO室/Platform開発チームでSREを担当している富田(@Cooking_ENG)です。 ファインディの「Platform開発チーム」は全社横断のSREの役割を担っています。当社のサービスがどれほどの負荷に耐えられるかを把握し、性能の問題を表面化・改善することで、ユーザーに安定したサービスを提供できる状態を目指しています。 そこで、Grafana Labsが提供するGrafana Cloud k6を採用し、負荷試験環境をゼロから構築しました。今回は、Findy Confer…