日本という国は改めて考えてみると本当に天国みたいなところだと思うんですよね。 ・安全で衛生レベルも非常に高い(水道水が普通に飲める時点ですごい)。 ・公共も民間もあらゆるサービスの平均的な質が高い(クール宅配便が数百円で利用できるとか凄すぎるｗ)。 ・医療レベルが高いのに医療費は十分にリーズナブル(国民皆保険のおかげ)。 ・ご飯がほぼ何でも美味しい上にリーズナブル。 ・ほとんどの人が基本的に穏やかで親切。 ・自然がいっぱい＆四季があるので各地域の各季節それぞれの風景や行事を楽しめる。 ・漫画/アニメ/音楽/映画などの国産の大衆向けコンテンツの質と量が凄すぎる。 ・(特に都市部は)公共交通機関と徒歩でほぼどこでも行ける。 ・(特に東京は)色々な娯楽がとてつもなく充実している。 ・ビザ無しで大抵の国に旅行できる。 もちろんよくない点も多々あるとは思いますが、不満ばかり言ってないでこういう国に生まれた幸運をフルに活用して思い切りエンジョイしないと絶対に損だよなあと思う昨今であります😄

例えば「銀行の勘定系開発」のようなクリティカルなシステムやサービスの上流工程は、AIによるエンジニアへの代替圧力みたいなものがほとんど発生しないと思うんですよね。 なぜならば ・機能要件と非機能要件が非常に複雑で膨大 ・規制や監査等による制限(特にセキュリティ周り)がとても強い ・不具合や障害が社会的に許容されない ・説明責任が重い ・利害関係者が多くて調整が大変 といった特徴があるからで、AIが関与できる部分があまり大きくないわけです。 この逆に例えば「個人開発」「小規模スタートアップの初期開発」「プロトタイプ/PoC開発」「社内向けサービスの開発」とかは ・機能要件と非機能要件が軽い ・規制や監査等による制限が緩い ・不具合や障害が許容されやすい ・説明責任が重くない ・利害関係者が少ない といった特徴があるためAIによる爆速開発と非常に相性がよく、エンジニアが代替されてしまいやすいわけですね。 なのでAI時代のエンジニア生き残り戦略としては前者の方がより妥当なわけですが、銀行系システム開発のような「規模が大きすぎる」「規制が強すぎる」「技術も大抵はレガシー」系の案件は、自社開発系のエンジニアからするとあまり楽しめない可能性が高いわけで😅 なので望ましいのはその中間くらいの「機能要件と非機能要件はかなり重たいし規制や監査の縛りも強いし高度なセキュリティと可用性を求められるが規模が大きすぎず技術的には十分モダン」なタイプの新規開発案件なのかなと。 今の若い方たちは恐らく「AIによる爆速開発」的な方向に強い魅力を感じてそちらの方向に動いていると思うので、適度に面倒でAIを活用できる余地が限定的な「爆速開発できない」案件は、AIだけでなく若い人たちとの真っ向勝負を避けやすいというメリットもありますし。 という感じで、年齢を重ねるほど適度に重たい案件の上流工程に自分の専門を寄せていく方が、エンジニアとして長く楽しく生き残りやすいのではないかというのが最近の僕の仮説であります。

ZARAで発生した約19万件の顧客データ漏洩は ・Anodotというクラウド分析サービスを提供している企業がShinyHuntersというハッカーグループによるサプライチェーン攻撃を受けた。 ・AnodotにZARAから提供されていた「永続的な」GCP認証情報が漏洩してBigQueryから顧客のメールアドレスや購入履歴等が窃取された。 ということのようですが、「自社サービスに対する永続的な認証情報を要求するタイプのサードパーティサービスのリスク」が顕在化したという感じですね。 例えばSalesForceとかも自社AWS環境のS3とのデータ連携の際にIAMアクセスキーを要求してくるというかなり前時代的な仕様になっているのですが、自社で対策していてもSalesForce側がサプライチェーン攻撃その他で侵害されると永続的認証情報が流出するわけなので非常にリスク高いんですよね。 OIDC連携等による永続的ではない一時トークンの仕組み(接続元IPが固定されているとさらによい)を使ってくれていれば、完璧ではないにせよ被害を小さくできる可能性が高くなるので、自社サービスへのアクセスを許可するサードパーティサービス選定の際は今後はそういった観点も重要になってくるかなと。 ebisuda.net/tech/2026/05/10/…

Mythosその他のLLMの進化によりゼロデイ攻撃が激化していくのは間違いないとは思いますが、ゼロデイ攻撃の影響を受けるのは基本的に「外部から到達可能＆自社で運用責任を持つ機器やソフトウェア」なんですよね。 サービスやシステムをAWSのようなクラウドとマネージドサービスだけで構築しているのであれば、物理基盤・仮想基盤・DB基盤等のゼロデイ脆弱性対策はクラウドベンダー側が担当してくれるので、自分たちで当日パッチ対応しなければならないようなケースはフロンティアAI時代も恐らくそんなには増えないかなと。 過去の例だとLog4jとかStrutsの脆弱性がそれに該当しますが、「アプリケーション層のゼロデイ脆弱性対策に関して今後はもう少しコストを投下する必要があるが、それ以外のレイヤーはクラウドベンダー側の責務なのであまり作業は増えない」という認識で問題ないと思います。 ただしオンプレを使っている場合は物理基盤等へのゼロデイ攻撃への対策にさらに大きなコストを投下する必要が出てくるので、オンプレ中心の会社さんは今後なかなか大変そうではありますね。 サービスの大半にクラウドを使っていてセキュリティ周りに関する十分な対策をしている企業さんの場合、現時点で最も脅威なのはゼロデイ攻撃ではなくやはり「サプライチェーン攻撃」ということになるかなと思います。 dir.co.jp/report/column/2026…

OpenAIやAnthropicがそれ系の新会社を設立したことで日本でも「FDE」という職種が注目されていますが、これ結局 ・自社のAI系製品に強い客先常駐コンサル/SE であり、基本的にはエンプラ企業の社内業務システムがターゲットなので、外向けのWebサービスを開発している自社開発系のエンジニアにはあんまり関係なさそうな感じではありますね。 母体としては日本の場合だとITコンサル系企業が中心になると思うので、例えばAccentureさんがOpenAIやAnthropicと組んでFDE系の子会社を作ったりとかそういう方向になるのかなと。 今すでにITコンサル系の仕事をしていて、そこからさらに時流に合わせてステップアップしたいという人にはかなり魅力のありそうな職種ではありますね。 --- ちなみにこれは蛇足ですが、OpenAIのようなAI企業がFDEのような職種を必要としていること自体が「現時点のAIの自律性の低さ」を物語っているわけなので、そういう意味では我々エンジニアもまだまだ代替はされなそうなので安心感のあるニュースですよね笑😅 FDEという職種さえも必要なくなり、その企業さんがクラウド上でAI企業のエージェントをアクティベーションしたら要件を自動的にヒアリングして回って決済者に承認を取りつけてドキュメントを整理して社内システムを自動的に改善したり構築したりするようになったらいよいよやばそうですが、AIがそのレベルの自律性を持てるようになるまでは随分時間がかかりそうかなと。

今度はGitHub本体がVSCode拡張経由で不正アクセスされたようですが、昨今のnpm周りのサプライチェーン攻撃の激化とかも考えると、もはやどこの会社さんも ・自社内の誰かのローカルマシンはいつかは侵害される という前提で多層防御の構成を作っておくのが必須な時代になってきましたねー。 最優先でやった方がよいのは ・ローカル端末に永続的な認証情報を保持しない(一時トークンも窃取されてしまうが永続的な認証情報はさらに危ない) ・GitHub Actions等のCIツール上ではCDは実行せず、AWSのCodePipeline等をキックするだけにしておく。(CI上でIaaS側の強い権限を持った認証情報を取得しない) ・クラウドの本番環境にはローカル端末からはアクセスできないようにしておく。(AWSならAmazon Workspaces経由でしか本番環境にアクセスできないように設定するなど) といったあたりかなと。 ちなみに「◯◯社のGitHubのソースコードが流出！」みたいなのはエンジニア的にはもはやインシデントとは考えない方がよいと思います。 サプライチェーン攻撃を完璧に回避するのは現実的には無理なので、その際にローカルに平文で転がっているソースコードが流出するのは当然なのでむしろ「その程度で済んで幸運だった」と考えるのが適切かなと。 なので「GitHubの認証情報やソースコードはいつかは流出するものだ」という前提で、被害を最小限に留めるための重層的な防御をしていかないとですね。 gihyo.jp/article/2026/05/git…

AIに関する未来予測として、起業家さんやVCの方たちは ・意思決定する役割や資金提供する役割は人間に残るので起業家やVCは代替されない みたいに考えているようですが、高度に自律したAIが出てきた際は企業の意思決定の役割も代替されるでしょうし、その先の「AIが法人格や銀行口座や証券口座を持つ未来」においてはVCも不要になる可能性が十分にあると思います。 人間はどうしても「自分の能力の根源になっているものは将来も生き残る」と思いたがるバイアスがありますから、エンジニアは「上流工程は大丈夫」、起業家やマネジメント層は「意思決定は大丈夫」、VCの方は「目利きは大丈夫」と考えてしまうわけですね😅 しかし高度に自律した自己改善型のAIが出てきて、さらにそのAIに対して法人格や財産権が認められた場合、起業も資金提供もサービス開発もほとんど人手を介さずに実行できることになるので、どんな強みがあっても生き残ることはできなくなる可能性が高いわけです。 なので ・本当に高度に自律したAIが出てきたら誰も生き残れないのでその時は諦める ・ただし今後数十年の間にそのレベルの高度自律型AIが出てくる可能性は今のLLMの仕組みのままだとそんなに高くはなさそう(あと数回くらいの非連続的なブレイクスルーが必要そう)なので、少なくともその間は生き残れるようなポジション取りを考えておくのは意味がある というくらいの捉え方でよいのではないかな？というのが現時点の僕の考えですかねー。

最近は ・主にnpmパッケージを狙ったサプライチェーン攻撃によるローカル端末からのGitHub認証情報の奪取(PATやPrivate Keyなど) ↓ ・GitHub認証情報を使ってGitHubに侵入してworkflowを書き換えまたは新規作成してOIDC認証経由でAWSの短命認証トークン取得 ↓ ・このトークンに割り当てられているIAMロールの権限が過剰なため本番用AWSアカウントが侵害される。 というパターンの攻撃が非常に多くなってるので、もはやGitHub Actions内で直接CloudFormationやterraform applyを実行するのはNGで、CDの際にはGitHubはCodePipelineを起動するだけという方式にしないと駄目な感じですね。 まあいきなりその構成に切り替えるのは中々大変ですが、それまでの繋ぎとして ・GitHubのリリース用ブランチに関しては保護設定で「複数人による承認を経たプルリク以外はマージ不可」にする ・AWSからGitHubにOIDCを許可する際は「リポジトリ単位」ではなく「リポジトリの特定のリリースブランチ単位(mainとかprodなど)」にする。 という設定はしておいた方がよいと思います。 上記も当然穴はありますが、GitHub認証情報の奪取からAWSアカウントの侵害まで到達されてしまったサービスの大半は恐らく上記のような最低限の設定もやってなかったんじゃないかなと😅 iototsecnews.jp/2026/03/11/u…

>今回の取材相手はMTU株式会社の代表を務め、医療xサイバーセキュリティー領域で事業を展開する原 拓也代表取締役社長と同社の技術顧問でありコインチェック株式会社創業者の和田 晃一良氏だ。 >また、無関係の知人に依頼して、技術面の説明を代わりにさせていたという。 VCへの16億円詐欺容疑で逮捕された原拓也さんの会社が展開していたMowlというサービスの技術顧問はコインチェックの和田さんだったとのことですが、事業実体が無かったらしいのでどういう関わり方をされていたんでしょうかね😅 web.archive.org/web/20260301… asahi.com/articles/ASV5D7JMH…

>私個人の結論としては、これまでのこのモデルをめぐる大きな騒ぎは、主にマーケティングによるものだったとしか言いようがない。この構成が、『Mythos』以前の他のツールよりも、特に高度なレベルで問題を検出できるという証拠は見当たらない。 curl開発者のダニエル・ステンバーグさんによる、Mythosを使ったcurlリポジトリに対する脆弱性チェックに対する見解。 Mythosで発見された新たな脆弱性は深刻度「低」の1件のみだったとのことです。 curlリポジトリは既に他のAIツールでの脆弱性スキャンを導入済みでそれによるバグの改善が進んでいたとのことで、そういう「ちゃんとしている」リポジトリに対して脆弱性スキャンを実施するとMythosもこの程度の結果になる可能性が高いのではないかなーと。 AnthropicがFreeBSDとかを脆弱性検証の対象に選んだのは恐らくかなり意図的で、AIツールによるリポジトリ全体に対する脆弱性診断や継続的セキュリティチェックが導入されていない対象を戦略的に絞り込んだのではないかなと。 (実際に他のモデルとツールの組み合わせでも同様な脆弱性を検出できたという記事をAISLEが発表してましたしね) なので現時点では ・Mythos自体は確かに十分高性能なのかもだが他のモデルと比較して突出して優秀というわけではなさそう。ただしAnthropicのマーケティングチーム(あるいはこの戦略を考えた人)はものすごく優秀と思われる。 という風に捉えておくのが妥当なのではないかなと。 daniel.haxx.se/blog/2026/05/…