「重たい業務を、ふわっと軽くする。」 GWS, GAS, AppSheet 専門の業務用クラウド アプリ開発 & IT, DX 伴走支援サービス「Fuwapp」 (fuwapp.com) 受託開発は、最短 1 か月、最小 20 万円台という圧倒的なスピードとコストでご提供！ 開発事例はこちらより fuwapp.com/case

# Vercel 事故から逆算して考える、AI バイブ コーディング時代 (Claude Code 等) における" どこにシステムを乗せるか" 今回の事案で改めて感じたのは、クラウド/PaaS 選定の段階で "すでに事故率が決まっている部分" が思ったより大きい、ということ。 個人的には、ホスティングには Google Cloud を選んでいます。その理由を、今回の事故から逆算する形で書きます。参考になるところがあれば幸いです。 ※ ちなみに AWS でもまったく問題ないです ■ 今回の事故の要点 攻撃経路は、基盤クラウドが破られたのではなく、Vercel 従業員 → 外部 AI ツール → Google Workspace → Vercel 内部システム、という流れです。 つまり "基盤クラウドの強度" とは別のレイヤー、PaaS 事業者自身の内部運用とコントロールプレーンが攻撃面になったわけです。ここが今回の構造的なポイント。 ■ ここで効いてくる 2 つの視点 1. 事業者の防御力の差 (土台の高さ) どのクラウド事業者に乗るかで、利用者が頑張る前の土台そのものが違います。 2. 経由する事業者の数 (信頼境界の数) 多くの PaaS 事業者は、下に AWS などのクラウドを使っています。つまり "基盤側" は強い。しかし PaaS 事業者自身の内部システム・管理画面・従業員運用・サプライチェーンは、独立した別の信頼境界です。事業者を 1 枚挟むごとに、攻撃面が 1 つ増える。 クラウド選びは "基盤の強度 × 経由する事業者の数" の掛け算だと考えています。 ■ なぜ Google Cloud なのか この 2 軸で見たときに、Google Cloud を直接使う選択がかなり効きます。 ・ゼロトラスト (BeyondCorp / BeyondProd) の発祥地 いま業界標準となっているゼロトラストを、自社で実践 → 製品化してきた側です。セキュリティモデルの源流の一つが、そのまま土台に入っています。 ・物理 ~ ハードウェアまで自社で固めている 独自設計のデータセンター、サーバーに搭載される専用セキュリティチップ (Titan) によるファームウェア検証まで、クラウドの "下側" を自社コントロール下に置いています。 ・暗号化がデフォルト 保存時・転送時・内部ネットワーク通信まで標準で暗号化。利用者が意識しなくても担保される領域が広い。 ・Google 自身の運用実績 物理セキュリティキーを社員全員に配布して以降、フィッシングによる社員アカウント乗っ取りがゼロになった、という有名な実績があります。10 億人規模のサービスを運用してきた会社の実戦経験が、そのまま反映されています。 ・主要コンプライアンスを網羅 ISO/IEC 27001/27017/27018、SOC 1/2/3、PCI DSS、HIPAA、FedRAMP High、GDPR、日本の ISMAP までカバー。"第三者が厳格に見ている" 範囲が広いクラウドです。 ・Mandiant (世界トップクラスのインシデントレスポンス企業) が Google 傘下 ちなみに今回の Vercel 事故の調査にも、この Mandiant が入っています。世界中のインシデントで名前が挙がる会社が Google 内部の知見と直結している、という事実はそれなりに重い。 そして、Google Cloud を直接使うと、間に挟まる PaaS 事業者のレイヤー = もう 1 つの信頼境界を減らせます。 "基盤強度が高い × 経由事業者が少ない" の両取りができる、というのが選定理由の核です。 ■ 土台を選んだら、あとは "弱い構成を選ばない" その上で、自分がアプリ側で意識している設計指針はシンプルです。 ・秘密値は "環境変数に平文で置かない" (専用のシークレット保管サービス経由で扱う) ・DB 接続はパスワードレスにする (IAM 認証で "そもそもパスワードを発行しない") ・DB は閉域ネットワーク内のみ。本番では公開 URL を無効化し、公開面を独自ドメイン一点に絞る ・サプライチェーン防御 (自動実行スクリプトはデフォルトブロック、依存更新は公開から数日のクールダウン、CI で脆弱性監査を強制) ・監査ログはクラウド側とアプリ側の二層で残す ・アプリ層は "書ける経路が安全なものしかない" 状態にする (生 SQL が書けない、バリデーションを通さないと入力を触れない、認証は大手 IdP 委譲、認可は RBAC 招待制) つまり、"頑張って守る" ではなく "危ない書き方ができない" 側に、土台もアプリも寄せていく。 ■ 結論 どのクラウドでも、運用ミス・サプライチェーン攻撃・インサイダーリスクはゼロにはなりません。 だからこそ、以下の 3 つを同時に効かせたい。 ・土台は世界最高水準のセキュリティ組織の肩に乗る ・経由する事業者を減らして、信頼境界の数を減らす ・漏れて困るものを、そもそも持たない設計にする AI コーディングでデプロイ速度が上がった今こそ、"どこに何を置くか" より前に、"そもそも誰の上に乗せるか" と "そもそも何を持たない設計にするか" を先に決めておきたい。 土台の差は、土台の差として残ります。

# Vercel で情報漏洩の可能性 (2026/4/20 事案) Claude Code でバイブコーディングすると、デプロイ先の候補として Vercel が提案されます。 つまり「Claude Code でかんたんに Web アプリ作ってみた」系のアプリの多くは、半自動的に Vercel 上で稼働しています。 そのサービス側で今回、情報漏洩の可能性がある事態が発生しました。 [Vercel 2026年4月セキュリティインシデント] vercel.com/kb/bulletin/verce… ■ 何が起きたか Vercel 従業員が使っていたサードパーティ AI ツール「Context.ai」が侵害され、そこから従業員の Google Workspace アカウントが乗っ取られました。攻撃者はそれを足がかりに Vercel 内部システムへ侵入。Vercel は複数のセキュリティ企業・法執行機関と連携して調査継続中です。 ■ 漏洩した可能性があるデータ ・環境変数のうち「Sensitive (機密)」マーク "未" 指定のもの (API キー、DB 接続情報、従業員情報などを含む可能性) ・一部顧客の Vercel 認証情報 (対象企業には Vercel から直接連絡済) ■ Vercel ユーザーが今すぐやること (公式推奨 6 項目) 1. アカウント / 環境のアクティビティログを確認し、不審な活動をチェック 2. 環境変数をローテーション (特に Sensitive 未指定の API キーから優先的に) 3. 今後は「機密環境変数 (Sensitive Environment Variables)」機能で秘密値を保護 4. 最近のデプロイメントを点検し、不審なものは削除 5. デプロイメント保護を最低「Standard」以上に設定 6. デプロイメント保護トークンをローテーション ■ 今回の事案で改めて確認したい基本 ・秘密値は必ず Sensitive 指定で登録する ・.env を Git リポジトリにコミットしない ・API キー / トークンは定期的にローテーションする ・AI が生成したコードは必ずセキュリティ観点でレビューする AI は「作る速度」を劇的に上げましたが、「運用する責任」は何も変わっていません。 ■ これは Vercel 固有の話ではない Web 公開の瞬間から、API キーや顧客データといった資産は、外部に晒されるリスクがあります。 今回の起点は Vercel 本体ではなく、「従業員が使っていた外部 AI ツール」でした。 どの PaaS / SaaS を使っていても、サプライチェーン攻撃のリスクは常に存在します。 AI で開発が楽になった今こそ、「誰がどこから入ってくるか」を想像できる運用セキュリティへのアップデートが必要です。

まじんさん (@Majin_AppSheet) ご登壇！！ いよいよ明日12月5日開催の 「Jagu'e'r GWS分科会 Meet up#13」 沖縄分科会 とのコラボで東京・沖縄会場開催です！ 最新のまじん式のお話しだけでなく👀 Gemini3やWorkspace Studioも公開されupdate共有も楽しみですね！ GWS分科会のリブートからを振り返る企画もありJagu'e'r ・GWS分科会のイベント初めてという方にもおすすめのMeet Upとなっております 沖縄分科会とのコラボでは生中継セッションも予定しています！関東寒くなってきましたが、沖縄の熱量・風も感じることのできるMeet Upです🌺 東京会場は既に満員御礼となっておりますが、オンラインはまだ申し込み可能ですので、ご興味ある方は是非 お申し込みお忘れなく！ #Jaguer jaguer.connpass.com/event/37…

北海道のお米農家「桧山農場」様への Fuwapp 事例記事を公開いたしました！ Google Cloud (AppSheet, GAS) を活用した DX 事例をぜひご覧ください。 桧山農場様のサイトはこちらよりどうぞ！ 🌾 riz-japan.com/

この度、（株）フロント・ワークスさまの クラウドアプリ開発「Fuwapp」にてシステム開発をしていただきました！ 今回の自然栽培米3日で完売！も このシステムがあったからこそ 在庫確認対応が出来、乗り切れたと思います！ 本当にありがとうございました！ (有機栽培米はまだ少し受付出来そうです)

北海道でこだわり抜いた自然栽培・有機栽培米を育てる桧山農場様。注文・在庫管理を自動化するシステムを開発させていただきました！ 【導入事例】「眠くなるまで、やるしかなかった」 深夜の事務作業から解放。夫婦での「二人三脚」と「売り越しゼロ」を DX で実現。 fuwapp.com/case/hiyama-farm

最近、最も使うショートカットは、「Windowsボタン ＋ H 」の音声入力機能！ほんと便利なので、全地球人に使ってほしいー

Gemini 新機能「時間指定アクション」は、プロンプトを定期実行できる。 これを使うと、毎朝「AI に関連する最新ニュースを取得する」とか、「Google カレンダーから今日の予定を取得する」といったことをかんたんに実現できる。 「情報を探しにいく時代」から「AI が自動取得する時代」にシフト。

Windows 11 標準の「音声入力」機能、驚異的に進化してるから、使ったことなかったって人は今すぐ試してみてほしい。 Azure Speech が搭載されていて、数年前の音声入力と比較すると、精度が段違い。 「Windows キー」 「H キー」でいつでも瞬時に呼び出せるから AI プロンプトの入力にも◎

Google ドライブにデータためまくってきた人、大勝利です。 Gemini から Google ドライブを読み込みにいけるので、必要な情報を一瞬で調べさせることができる。 そして自分の情報がドライブに集約されているなら、職務経歴書も一瞬で生成できてしまう。 キーワード検索の時代は終わりを迎えている

技術書典オンラインマーケットで販売中です！ ラズパイとFlask、ngrokを使ってWebアプリの開発から公開まで解説しています！ ご興味のある方はぜひ！ ノンプログラマーのためのスキルアップ研究会 | ラズパイとFlaskでつくる!Webアプリ開発入門 techbookfest.org/product/8ai… #ラズパイ #Python #技術書典

Google Workspace サイドパネル Gem 対応！ - Gemini のカスタムAI「Gems」が Docs やスプシなどのサイドパネルで直接利用可能に - アプリ切替不要で、文章作成、データ分析、資料作成などの反復作業を効率化する - 営業やマーケなど、職種や目的に特化した自分だけのAIアシスタントを構築できる

未来に羽ばたく飛躍的進化！GoogleI/O で多くの発表がありました！ 今回の GoogleI/O はまさに AI 一色でしたね！発表があった中から大きなトピックを紹介していきます！ 【AI モデル Gemini が大幅進化！】 ・Gemini 2.5 Pro は業界最高水準の性能を達成、推論を深化させる DeepThink モードも登場。 ・Gemini 2.5 Flash は効率性と速度が向上し、6 月一般提供開始です。 【Google 検索と Workspace が AI で劇的進化】 ・複雑な質問への対応やパーソナライズの強化として「AI Mode」が追加されます (米国からロールアウト)。 ・AI Mode には、検索結果に表示された衣服をバーチャルに試着できるショッピング機能「Try It On」が搭載！ 【開発者向け AI 支援ツールの強化】 ・Gemini 2.5 Pro 搭載の自律型コーディングエージェント 「Jules」のベータ版が公開となり、現在無料で利用が可能です。 ・Chrome ブラウザに AI アシスタント「Gemini in Chrome」が導入！ウェブページの理解や要約を支援してくれます。 【生成 AI によるクリエイティブの革新】 ・Veo、Imagen、そして Gemini を組み合わせた AI フィルム制作ツール「Flow」の登場。 【新 AI サブスクリプションプラン】 ・今回発表された新機能を含む最先端の機能やモデルにアクセスできる「Google AI Ultra」が登場 (月額 $249.99 )。

開幕まで待ち切れない！Google I/O 開催まで 2 日を切りました！ 先立って「The Android Show: I/O Edition」が 05/14 に開催されて話題となりましたが、日本時間 05/21 AM 2:00 からは「Google I/O」が開催されます！ 今年の主役もやはり AI。 Gemini のこれまで以上の進化に関する発表はあるのか！？期待しましょう！ io.google/2025/

ありがとう Gemini！音声要約機能が Gemini でも遂に利用可能になりました！ 03/31 に公式からリリースのアナウンスはあったのですがこの度、日本語でも使えるようになりましたね！ 何と言っても、手軽にしかも DeepResearch の結果も使えること！ プロンプトを入力しようとすると音声要約は使えなくなってしまいますが、今後プロンプトとの併用に期待です！

AppSheet サーバーダウンしていたようでしたが、アプリにアクセスできるようになりました！ 恐らく復旧したと思いますが、皆さんはいかがでしょうか？

RT @Knorr_CS: 「今度の接待でつかうお店どこにしよう……」 そんなとき社内版「食べログ」みたいなサービスあったら便利じゃないですか？ おすすめのお店を共有したり口コミ投稿したり。必要なときに、すぐ検索できるグルメ データベース じつはこれ、AppSheet なら…

たったの一言で AI が出力する GAS のコード品質がめちゃくちゃ上がる魔法の言葉。 "「リーダブルコード」に従って" 使用前後の比較は動画をチェック。たったこれだけで 10 項目ものコード改善が実現する。 「エンジニアなら必ず読むべき」といわれている理由がここに詰まってる。

待ってました！NotebookLM の音声概要機能が日本語に対応！ 動画のように設定を [日本語] にすることで利用可能です！ AI によるただの要約ではなく、本当に 2 人のホストが意見交換しているまるでポッドキャストを聴いているような感覚で要約を確認できます！ 資料の内容を「ながら聞き」でインプットしたい人に便利ですね！

AppSheet の注意したい点。 便利機能の「メール自動送信」(Automation 機能の 1 つ) は、アプリをデプロイしないと使えません。 デプロイするには AppSheet の有料ライセンスが必要です。 ※デプロイしない状態でメール自動送信を試すと、メールの送信先がアプリのオーナーアドレス固定になります。