ポッドキャスト90回記念とランキングの話題
こんばんは、Replay.fm 第90回です。
こんばんは、記念すべき90回ですね。
記念すべき90回。
あと10回。
カウントダウン。
100までのカウントダウンですね。
100までいったら結構な長寿ポッドキャストだよね。
子さんと言ってもいいのでは?
何に対する、何の子さんやねん。
いや、わからんけど、99%ぐらいは100回までいかずに終わるんじゃないかなと思って。
なかなかのポッドキャスト。
なんかありそう。
ポッドキャスト多すぎてなぁ、どんな感じなんだろうね。
なんか、テック系のポッドキャストの
ランキングを集計してる野良のサイトがどっかにあった気がするんだけど。
そういうので見れたりしたかな。
うちは何位なんですか?
残念ながらランキングインしたことないんじゃないかな。
あー、ダメか。
多分。
俺ら程度ではやっぱダメか。
なんか、自分で言うのもあるけど結構その、なんだろうな、なんて言うんでしょう。
セキュリティもそうだしその、なんかな。
聞いてくれる人は熱心に聞いてくれるけど、
なんか100人中90人が聞くのは死ぬものではないという枠になってる気がするから。
そんなにそんなもんで。
これそれ、ポッドキャストランキング。
ポッドキャスト、ポッドキャストランキング。
えー、どっから検索できるのこれ。
わかんない、検索とかあんのかな。
このテクノロジーのランキングがあって、
だからまぁ、あれっすよ。
ゆるコンピュータブック、なんかまぁ。
まぁでも知らんやつもない。リビルド要因だね。
リビルド。
で、200位以内に入るとこのランキング宣言みたいなのが出てきて。
あー、なるほどね。
だから僕ら200位に入った瞬間が直近であると、
多分このグラフが出てきて、
ほうほうほうって言うんだけど。
なるほどね。で、今何もないと。
うん。
まぁ少なくとも直近、
うん。
1週間、2週間ぐらいは、あ、1週間以内だ。
うん。
ね。
うーん、
まぁ、
なんか、
分からんけど、
そう、なんかちょっと、特に単位はないんだけど、
200位を見てみよう。
200、200位、なんかセキュリティじゃん。
情報セキュリティをもっと身近に簡単に。
へー。
へー。
コープレートIT。
あー、でも、
あの、悪い意味じゃなく片目だね。
うん。
結構、こういう感じだと、
なんか刺さる人めっちゃ刺さりそうな気がする。
うん、確かにね。
コープレートとか。
なんか俺らのこの適当な、なんか、
こう、居酒屋の片隅で食べてる感じの話を、
なんか聞くよりは、きっと学びが多いし、
勉強になるんだろうね、きっとね。
いやいや、そんなん比喩する必要ないけどさ。
いや、なんかその、
もうだってこのPodcastの説明文の行数がまずもう多分10倍ぐらい違うじゃん。
確かにね。
やる気が違う。
なんかその、やる気が違う。
確かにね。
だからプロがやってる感じするよね。
うん。
あ、でもヤオヨロズのOSSもう194位に入ってんじゃん。
さすがやっぱり。
すごいね。
うん。
片ついせん。
さすがすぎるなー。
なんか、すごいね。
なんか、こう、
なんか音速で抜かされていった感じがするね。
なんかまあ、子さんだからといってね。
うん。
いいじゃないですか。
なんか勝負になってないね、全然ね。
うん。
えー、おもろ。
でもこんなん気にしたら負けだよ。
こんなん気にしだしたらもう、
喋ること、これにかわわせてねじ曲げなあかん。
なんか、そういう回もやる?なんか。
こびる回。
うん、こびる回。
ええー。
ランケーキもこびる回。
むずいよ。
ラン、ランだったら、
いやどっちかっていうと負け、
負けもあると思うけどなー、多分。
あのー、
だから逆に直近増えてる新規の人たちはどっから来て、
どっからどう見つけてきてんだって話がある。
なんか流入経路が知りたいよね。
うーん。
なんかスポーティファイ経由はまだちょっと、
ダッシュボックス系のに見れるけども、
他のポッドキャスト聞いてる、
聞き始めてくれてる人たちとかはマジで、
マジでわからんからねー。
やっぱそーたんのツイートとかじゃないの?
知らんけど。
でも最近俺ツイートしてんだよな、
ツイートしてないんだよなー、そういえば。
実は僕も直近10回ぐらいね、
ツイートサボってんすよ。
だからなんかますます経路がないはずで。
うーん、増えてないってから、なんか。
でも直近30日でフォロワー1人増えて、
うーん。
直近90日で4人増えてて、
うーん。
で、まあ僕らのポッドキャスト多分、
総フォロワー、これスポーティファイの話ね、
スポーティファイで総フォロワーが今56なんで、
うーん。
90日で4人増えてて別になんか、
すごいね。
悪くない、
とか減ってないだけ、
うーん。
なんか回数ぐらいのそのフォロワーは欲しいよね。
いやー、だからフォロワー100目指すってこと?
そうそうそう。
いやでもワンチャンスポーティファイで56でしょ?
スポーティファイの割合…
そう、なんか俺らがさ宣伝してもさ、
なんかもはやたかが、
まあ俺らも宣伝するんだけど、
その、
うーん。
俺らが宣伝してもたかが知れてるような気がしてて、
その、
うーん。
なんか、聞いてる人にぜひ広めてほしいな。
まあまあまあ。
なんか、うーん、ちょっと100回までにさ、
フォロワー…
スポーティファイのフォロワー100を目指そうよ。
いやー、
相当タフだなあ。
まあ、そっか。
じゃあちょっと今回から、
増加ペース的にね。
増加ペース的にだいぶ無理があるけど。
そもそもあれだよね、
うち聞いてるのスポーティファイの人すごい少ないね。
面白い。
15箇所で。
スポーティファイの、
なんか、
人が100人いたら、
え、なに?
それを信じるんだったら、
何人いることになるの?
まあ56割0.
15だから、
これを素直に、
超単純に計算するなら373人。
まあでもウェブブラウザーとかはさ、
フォローの概念がないから。
そうだね。
分かんないね。
ブラウザーこんなに多いんだ。
あ、だからNotion見てる人が多いんだね、
これは多分。
あー。
Notionに貼ってるリンクはさ、
その、
クリエイタースポーティファイのページで。
で、スポーティファイ、
でも普通にReplay FM検索するとね、
そのスポーティファイに飛ばされるはずなんですよ、
だいたい。
だから、
Notionを、
なんか、
多分定期的に巡回してくれてる人がいるのかもしれない。
そう、Replay FMそうだよね。
一番上に出てくるやつは。
ちょっとNotionページのさ、
アクセス見ようぜ。
もうちょっと、
もうこれでお示しするんで。
ごめんなさい、本題ちゃんと入るんで。
これだけ見させて。
本題を多分、
本題に早く入ってくるって人はきっと、
多分3分ぐらい飛ばすといけないから。
そうだね。
それはそう。
リア、生放送してないからね。
どこで見んだっけな。
アナリティクスがどっかにあったはず。
なんかNotion知らないうちに。
そのバージョン履歴の上じゃないの。
これか。
どんどん機能増えてるな。
でもやっぱり量、
前々回、88回とかは、
過去30日で20回閲覧されてる。
俺らの分も含んで、
いやでも違うな、
俺らの分も含んでないはず。
結構ね、
実はページ見に来て、
そっから再生ポチって仕事中に押してくれてる人が
いるのかもしれないですね。
ありがたい話っすね。
ありがたい話っすね。
何だろう、
記事を知りたいのかな。
なんかピックアップされた記事を、
読みたいとか、
そういう動機なのかな。
記事、
ポッドキャスト聞かずに記事だけ眺めに来てる人も
もしかしたらいるかもしれないね。
いるかもね。
おもろい。
なんか我ながら、
我ながら結構、
体裁は整えてるからな。
雑にザッピングするには実はいいのかもしれないね。
おもろ。
なんか、
これ聞いてて、
なんか、
宣伝してやってもいいかなって人は、
ぜひ宣伝してもらえると、
お便りとかで、
宣伝しときましたって言ってもらえれば、
ありがとうって言うんで。
ありがとうってだけ。
そうですね。
僕らにできるのはそれぐらいしかない。
ありがとうって言います。
宣伝しなくても全然いいんすけど。
聞いてくれるだけでね、
ありがたい話であるからね。
違うんだよね。
でもさ、趣旨変わってきてるよな。
誰も聞いてない、
その精神でやろうぜって言ってたのに、
リスナー数にこだわるのやっぱ違うな。
そうだよ。
だからよく出しちゃだめなんだよ。
マジで。
だめだね。
淡々とやろう。
淡々とやるんだよ。
淡々とやって、
なんか気づいたら1000人、
フォロワー1000人とか1マックスあるから。
だめだわ。
宣伝しないでください。
知る人ぞ知る。
知る人ぞ知る、
名ポッドキャストとして、
10年後ぐらいにこう、
掘り起こされた絵。
売れる前から知ってたけどみたいな。
そうそうそうそう。
顔で知ってもらう。
子さんですって。
第1回がさ、面白くってさーっつって。
マント取るな。
絶対変わんねえよ。
第1回、第1回、
なんか割とすぐ聞きやすいから、
だめだな。
第80、
第90回が面白くってさーっみたいな。
なんかあの、
マジでマント取るな、
たぶん記事の話とかじゃなくて、
あの回で話してたあの雑談がマジで面白くて。
やっぱヤギ橋いいよねみたいな。
え、知らないの?みたいな。
それはちょっと楽しみ方間違ってるなーみたいな。
うぜー。
うぜー。
何ファンだよって感じだし、
なんかちょっとこっちとしてもちょっと恥ずかしいからやめてほしい。
ごめんね。
まあ、そんぐらいな。
あの、お便りは待ってます。
はい、お便りは待ってます。
宣伝はどっちでも。
宣伝はね。
お好きにしてください。
いやー。
するもしないもん。
あなた次第。
はい。
はい。
やりましょう。
やりましょう。
今日はね、記事が少ないんですけど、
NPM Staged Publish機能の試用報告
昨日前回の宿題だった、
NPMのStaged Publishちょっと試したんで、
さらっと報告なんですけど、
あの、まあでも特に語ることはないです。
あの、こんな画面でできたようぐらいで、
あの、後ろの方に貼ったんですけど、
まあStaged Publishが何かっていうのを前回聞いてない方がいたらっていうので、
あの、おさらいするとNPMパッケージで、
えっと、
OIDC連携をしてると2FAなしで自動でリリースできるっていうのがあるんですけど、
まあ、
それをその自動化を組んでる枠路において、
枠路に乗っ取られたら、
まあパッケージに乗っ取られちゃうよねっていうリスクがあるし、
実際それで直近、
まあデカめのパッケージがやられたっていうのを受けて、
あの、
ステージングの概念、
えっと、
Publishの手前のStagedっていうステータスを追加して、
で、それを実現するCLIも追加しましたよっていうリリースがあって、
で、ステージの状態は公開されてなくて、
どうしたら公開されるかっていうと、
人間が手でWebサイトに、
NPMのサイトに行ってボタンを押すか、
あとはなんかさっき調べてて知ったんですけど、
CLIでも一応アプローブができるらしい、
ステージとかPublishにするとかできるんだけど、
そのCLI経由は必ず2FAが必要だから、
まあ想定としてはCI自動化じゃなくて、
まあ手元の端末から認証済みのNPMコマンドでやるっていう、
想定になってそうって感じですね。
使ってみたけど、
普通にCI事業を書き換えて、
NPMパッケージのページで設定をポチポチ変えるだけなんで、
設定自体はすでにPublishの自動化を組んでいる人だったら、
まあ5分、10分でできるんじゃないかなっていう感じ。
まあ注意点としてはNPMのバージョンが古かったらコケるぐらいで、
ただまあめんどくさいですね、
シンプルに手動の手間が増えてるんで、
パッケージ数多かったらやってらんないなとは思うし、
僕は3つだけなんで、
まあちょっとお試しでしばくやってみようかなと思ってますけど、
あとはステージのようになった通知をメールで受け取れるんですけど、
そこにここのページでアプローブできるよみたいな気の利いたリンクとかないんで、
NPM.jsのページを開いて、
自分のユーザーページ行ってポチポチってやんなきゃいけなかったんで、
まあそれも込みでちょっとめんどくさいなみたいな思いつつ、
まあでもメールにリンク貼っちゃうとフィッシング云々があるからかとか思いつつ、
まあどうなっていくんでしょうねって感じでしたというご報告。
素晴らしい。
ちゃんと手動かすときは動かすんですよ、僕も。
いやー偉いな。最近なんかあんま手動かせてないからマジで偉いなと思う。
まあでも10分でできるからね、マジこの収録の直前にね、なんか慌てて、
あの、to the listにね入ったんですけど、できてなかった。
やったらすぐにできたって感じだって。
なんか手動かさなくなっていくのを今結構感じているわ、なんか。
読されていく感じ。
なんか、まあやっぱ強烈な、いや理由づけよ、理由づけ。
最近読んだ本とウェブジョーの文章で思ったけど、やっぱなんか、
人はね締め切りを切らないと成果を出さないんですよ。
締め切りとか、その差し迫った脅威を設定しないとね。
いやでもなんか普通にその、必要性は理解してるんだけどさ、
なんかこうモチベーションが得されるというかなんか難しい、表現が難しいけど、
僕はもともとなんかそれちょっとしたイヤホンオタクだったんですけど、
AirPodsとSpotifyによって完全になんかもう終わってしまって、
とか。
なるほどね。
CD時代の終わりと。
そうそうそう。
AirPodsはなんでだ?そんな。
何が?
AirPodsの登場がなんでデモチーンに繋がったの?
え?なんだろう、なんか無線だけどストレスフリー。
あー、なるほどね。
いやAirPods、まあいいや、僕AirPodsの良さ未だに分かってなくてなんかもう一生取り残す。
あれ今、今だとまた結構なんか違うのかもね。
そのさ、AirPodsでやった時って外したらその再生止まるとかさ、
なんかなかったんだよ、他のやつって。
あー、なるほどね、そういうことか。
そっか、外したらその機能知らなかった。
あとノイキャン、ノイキャンが結構まともだった、AirPods。
あー、それはでかいね。
めちゃくちゃでかいな。
なるほどね。
なんでなんか、まあ僕はずっとAirPodsを使ってるんだけど、
でも最近そのイヤホン、また余計な話になっちゃったからやめよう。
何のPodcastだよ。
来週続き。
なるほどね、まあいいや。
試していこう。
まあなんか、いいなったら試して気軽にやっていきましょう。
じゃあ記事いきますか、3つですけど。
まあ早速試しましょう系記事な気はするけど。
読んでもらうか。
Claude Code向けセキュリティプラグインの紹介
キャッチセキュリティー・イシューズ。
アース・クロード・ライト・コード。
クロード・コード・ドックスの、なんだこれ別にブログとかじゃないんだよな。
ドキュメントかな。
クロードのドキュメントっすね、これは。
クロードの公式のプラグインなのかな、きっとね。
公式だね。
かつ多分クロード・コードのCLIの一定以上のバージョンを要求してるから、
結構ビルトインに近い公式のプラグインっぽいね。
確かにそうだね。
内部的に何か叩くのかな。
内部的に何か多分使うんだろうね。
何かというのがあって、
何かというとセキュリティーのレビューをしてくれるようなプラグインで、
書いてる間にコミットとかプッシュとかする前のタイミングで
見てくれるっていう、脆弱性がないか、作り込んでないかっていうのを見てくれるっていう
プラグインを出しましたよっていう話。
まだちょっとこれ触ってこようと思ったんだけど、何か触れなかった。
何かみんなが求めてた、僕らが求めてる系のものを公式で出してきたかも。
セキュリティパターンズ.yamlみたいなのを書けて、
それを置いとくと、
例えばだけどこのプレフィックスの文字列があったら、
それはインターナルのAPIキーだからうんたらかんたらみたいなやつとか、
そういう設定もできるよっていうのが書いてあったりとかして。
そうだね、あとは何もかもLLMでチェックするんじゃなくて、
従来の古き良きパターンマッチとか静的解析みたいなのも手前に挟むみたいな挙動をするみたいな。
コンテキスト節約、トークン節約みたいなのもちょっと気を配ってくれて、
ダンジャラスリセットインナーHTMLとかパターンマッチで引っ掛けて、
それを多分後続のLLMにもしかしたら渡すのかなっていう感じ。
私さっき言ったように拡張性もありそうっていうんで、
結構うまくワークするならかなり求めてるものっぽい気がしますね。
いいよね、しかもこの特定のファイルパスに置けばいいっていうのがはっきりしてるから、
配布とかも正直しやすいし。
そうだね。
ただ個個人で作り込んだものと、マネージドで配布したいものとの、
あれみたいなのがあるかもしれないね。
でもプロジェクトローカルでも置けるから、
だからその場合はマネージドで設定は配布するかつ、
でもこれセッティングストレーションに書けないよね、書けんのか。
このプラグインを使うっていうのを書けるから、その上で拡張設定とかコミュニティをしておけばいいんじゃないかな。
イネージドプラグインで書けるね、だからいけそうな気がするし、
それでプロジェクトローカルでこのcloud-security-guidance.local.mdっていうのを置いてあげれば、
各プロジェクトでこれが自動で走るよっていう状態になるわけだね。
いいね。
いいじゃないですか。
もう使いましょう。
というかやっぱりもう流れとしてはこうなってくるなって気はしてて、
もう正着線見つけるはもう分かりましたじゃないけど、
加速するのは確定路線で、パッチ終わるのは確定路線で、
だからもうパッチを減らす、そもそも減らそうみたいなところになってくると、
どんどんセキュアなコードを変えていきましょうっていうところで、
いろいろこれは公式だけど非公式のコミュニティとかも出したりとか、
あと今日なんか結局ピックしなかったけど、
ちょっと事例紹介っぽいからしなかったんだけど、
Sneakがリレーネットワークっていう会社と提携というか多分契約してて、
それの事例紹介プログラムみたいな、
それとかもcloudコードのコミットのタイミングで、
多分SneakのAIのサービスか何か買わせて、
コミットする前にセキュリティレビューをしてセキュアなコードを量産するみたいな話があって、
ベンダーもこういうふうに売っていくだろうし、
AIコーディングを作る側もこういうふうにやっていくだろうし、
僕ら一般コミュニティとしてもそれに乗っかったり拡張した上で、
自分たち向けにどうカスタマイズしてトークンも節約していって、
世界になっていく2026年になるんじゃないかと。
どう考えてもこのビルトインされてるのがベストすぎんで。
それは本当にそう。
世界平和というか、僕らは仕事はもちろんだけど、
個人としても結構気をつけてるから意識が向くけど、
ビルトインになったら意識が向かない内緒も、
この概念を知らないコーダーたちにも刺さるっていうのがめっちゃいいよね。
でもビルトインっていってもインストールしないといけないからプログラム。
そこはむずいね。
もう一歩、公式側としては踏み込む必要がある気がするけど。
でもそのうちアンソロピック推奨のベストプラクティスプラグイン集みたいなのがあって、
クロードの設定時にポチッとしたら全部入るみたいな中にセキュリティこれが入るみたいになってくれると。
例えばいいかも。
むずいな、トークン消費するから絶対使うみたいなの難しいのかもしれないけど、
普通にこうなんとかかんとか取るってしたら勝手にこれが動くぐらいにしてほしいけどな。
本当にビルトインにしてもらってさ。
スキルになってるから他のAIアジェント使うと思えば使えるのかな?どうなってるんだろうね。
でもあれじゃない?前提にクロードコードのバージョンの指定があったから無理なんじゃない?
使いたく切り出して使うって感じかもね。
でもこれは宿題じゃないですけど試しましょう。
難しいよね。
がっつりコード書かないと、かつ脆弱な仕様が生まれそうな複雑なコードを書かないと結構恩恵を感じづらい。
気楽に試しにくいっていうか。
最終までは無理だけど、今自分のために作った、自分だけが使ってるウェブサイトがあって、
完全に自分向けだから認証というかアカウントの概念全くないんだけど、
あまりにいいからちょっと世に出せるようにアカウント機能とテナント機能作るかって気持ちになって。
その辺作らせようかな。
めちゃくちゃいいやん。いい題材。
いい題材でしょ。ちょっとね、もうやる前からしんどいんだよ。
アカウント選定で作ってないからデータ構造とか全部。
いやーじこりそうと思うから。
最初から作ってても結構だるいと思うけどね。
なんか不思議とさ、別に自分でコードを書かなくなってもだりもはだるいっていう謎の現象が起きてて面白いよね。
謎だね。
でもボトルネックやっぱそこじゃなかったんだなみたいな。
そこにもあったんだろうけどボトルネックが。
そこの手前にもやっぱボトルネックあったんだなっていうのが実感できて結構。
またなんかやっぱ僕らが専門性を持ってるからこそもあるかもね。
専門性持ってなかったら多分行ったらログイン機能できましたでポンって出した人いっぱいいると思うけど、
僕らはなんかその危険さとかリスクを知ってるから。
でなんか逆の話、逆じゃないけど別の話言うと僕はなんかその自分がプロダクト作る上では例えばいい感じのUIデザインを作るとかボトルネックだったけど、
僕目線はクロードで改善されてるけど多分本家のデザイナーから見たら出直してこいみたいなものになってるんですよ。
そういう話な気がする。
またセキュリティの場合はその被害、リスクの顕在化の仕方が場合によっては厳しい。
デザインがクソダサでも別に支障はないというか。
個人情報は持てないというか。
個人情報は持てないというか。
あるかもしれないけど。
そうね。
1週間、2週間でもできるかわかんないけどちょっと試してみたいな。
試してみましょう。
みんなで育てよう。
ありがとうございます。
次。
メルカリのAIガバナンスとガードレール実装
エジェンティックAI事例におけるメルカリのAIガバナンスとガードレール実装。
スライド。
ITメディアセキュリティウィーク2002昇刊。
なんかイベントがあったんですね。
CISOの市原さんの発表のスライドかな。
これ絶対フォント埋め込んでないよね。
フォント埋め込んでなさそうだなって思いながら読んでた。
フォントを埋め込むとは。
8ページとかフォント違うじゃん。
その手前も全部微妙にフォントがA字のフォントと日本語のフォントが違ったりとか。
PDF化するときにフォント埋め込めてないんだよねきっとね。
デザイナーが見ると発狂するやつ。
スピーカーディックにアップロードするとおかしくなってもするんだよね。
あるかもね。
たまに漢字が中国語になる現象になりますね。
なんかリンクね。
どういうスライドかというとタイトルの通り、
メルカリでエンジニア以外も含めて全社で大規模に展開して、
それにあたってリターンを得るためってなるけど、
リスクに対して動画マナソフトを利かせるかとか動画ドリルを使うかとか、
それをどういう体制で立ち向かっているかとか、
具体的にこういうとこやってますか、やってますみたいなところを、
割と結構全体的にまとめてくれてる資料なのかなという印象ですね。
結構僕ら的にはこれまでちょこちょこ読んだ
メルカリのAI関連のガバナンス、
デビューに使うときはこうしてってとか、
クローズコード使うときはこうしてってとか、
そういうスライドいっぱいあって、
そういうのを足していい感じにまとめたっていう気がするので、
めっちゃ新しい情報がないっちゃないというか、
しっかりきちんといろいろやってるねっていう、
全般的にリスクを認識してそれぞれ手を打ってるなっていうところだなと思ったんですけど、
結構個人的に印象深かったのが、
八ページか、八ページのヒアリハット事例みたいな、
メルカリで実際に起きたAIヒアリハットみたいなスライドがあって、
リスクとしては存在してて、原理上は起きるよみたいな、
でも実際に起きるかわからんみたいな話で、
いろいろリスクって、
一時期多分過度に騒がれてたことがあったりすると思うんですけど、
そういうものが実際に起きたよみたいな話があって、
例えば、アイジェンティックAIから、
社内情報を個人アカウントのクラウドサーバにアップロードするように推奨されたみたいな、
ので従って進めたところ、
社内情報がインターネットに公開されたまま作業を行おうとしたっていう、
ヒアリハットというか、
インシデントやろう感があるけど、
そうだね。
あとは、
アイジェンティックAIからスルードゥ、
スペクトルマスターディザーブを実行する。
SPCTLは何だろうこれ。
SPCTL。
セットアクセスメントシステムポリシーセキュリティ。
セックアセスメントシステムポリシーセキュリティ。
ディアセスメントシステムポリシーセキュリティ。
めちゃくちゃ多層読み方してしまった。
実はOSのセキュリティ機構を無効化するコマンドだと書いてある。
ゲートキーパー。
あんま知らんやつや。
まあいいや。
Macの何かを無効にするやつ。
そうだね。
権限今後みたいな、
データベースへのクエリを自動生成するAIサービスを作ったが、
設定は誤ったため、
減費情報が全従業員からアクセス可能になってたとか。
これは、
インシデントには。
まあまあよくある話だけど、
なんか普通にね。
そうだね。
はい、とかとか。
なのでこの辺を、
なんか結構その、
メルカリって今変わってなければ2000人くらいですか?
2000人くらいの希望で、
エンジニア以外も、
なんかガンガンされる環境だからこそ、
集まった事例だなって気がして。
結構、
これを外に出すのは勇気がいる部分も言ってある気がしつつ、
すごいありがたいなっていう。
やっぱ実践に起きるんだねっていうのが、
出してくれて、
個人的には学びだなと思ったりしましたね。
ヒアリアットって言ってるからな。
なんか参考になるのは普通にそうなんだけど、
この、なんか、
ちゃんと収集してきてるのがいいなと思って。
うーん、そうだね。
あの規模の会社で、なんかなんとなくこう、
勇気届いてるのがいいね。
だからヒアリアットって言ってるか、
なんか検知できたのかもね、いろいろ。
もしかしたらね。
うーん、そうね。
なんで、
いやー、
よく、
大企業の方がこのAI周りの、
だからなんだっけ、
体制の部分で、
マジかって思ったけど、
AIタスクフォースか。
AIタスクフォースっていうのがあって、
もう全社から100名規模のメンバーが集結し、
3フェーズで導入加速ってことがあって、
ちょっともう、
そんな、
100人いかない企業からすると、
ちょっと考えられない進め方をしてるなっていう、
結構。
大企業を、
大企業と言っていいのかなんですけど、
まあ中小以上の企業の強みだなって、
改めて思ったって感じですね。
なんか、
効果測定とかどうしてるのかの話を聞きたいよね。
あー、
効果測定の話は確かにないかもね。
最近ちょっとホットだよね。
今日とかもさ、
今日とかもなんか、
AI利用における費用対効果と不可逆性
CHRO兼CAIOになりますよっていうのが
発表されてたりしたけど、
へー。
まあ面白いキャリアパスだなとは思いつつ、
うん。
うーん、
なんだろう、
なんかどうなんだろうね、
その、
その明確にこう、
ヘッドカウントとなんかAIのコストと、
こう、
天秤にかけますよっていうメッセージ、
なんじゃないのみたいな話とかも見かけたりしたけど。
あー、確かにね。
なんか2つあって、
その、
人に払うお金をAIに払ったら安いみたいな話と、
その、
既に
働いてる人間にAIを渡して
たときに出ていく金と
出てくるアウトカムが釣り合うかみたいな話があって、
うん。
なんか後者が直近は
なんか割とホットというか見かけたというか、
うん。
あの、ウーバーだっけ、
ウーバーかなんかで、
その、
加速したように見えるけど、
まあ実際に開発されてる機能の価値みたいなのを
まあ測定したときに、
まあ払ってるトークンに対して全然見合ってない。
だからなんか厳しい形をするなら、
まあゴミが増えてるだけって話だから、
うん。
まあそこは見直さなきゃいけないみたいな話とか。
まあそもそもトークンの料金がもう
値上がりそうな雰囲気が
ぷんぷん漂っている中で、
うん。
効果測定は間違いなく大事になってくる部分だなって気はするよね。
9、
いやー、
ちょっと難しいよなー。
なんか企業経営目線だとやっぱその、
出ていくコストに対して、
ちゃんと稼げる、
稼ぐための機能とか、
稼げてんのかみたいなのがやっぱ大事にはなるだろうから。
今年末ぐらいにはちょっと、
なんていうか、
アウトカム追求していこうぜみたいな。
どん調は強くなるかもねー。
まああとコストがあるかもしれない。
うーん、
そうだねー。
でもなんか結構、
その難しくってさ、
その不可逆だよなと思っていて、
その、
じゃあ明日からクロードコード禁止ですって言われて、
生きていきますかって言われると、
無理じゃんもう、
なんか。
うーん、
無理だね。
ね。
明確になんかその不可逆な変化があったはずで、
そう考えると、
その、
なんていうか、
こう、
なんていうか、
効果が出てんのか出てないのかみたいな話は、
それは、
まあそれはそれとしてあるんだろうけど、
その、
もう、
無かった状態には戻れないよねっていう、
その捉え方自体はきっと正しい、
じゃないかなと思ってて。
うーん。
確かにね。
いやーどうなんだろうね。
でも一方でラストの開発、
来週分の記事で見て、
まあピックしないんで話しちゃうけど、
なんかラストの開発とかは、
そのAIが書いたコード全面禁止、
とか、
プロジェクトのディスクリプションもAIに書かせるのは禁止、
ドキュメントもAI禁止か、
みたいなのが、
お達しが出たらしくて、
結構なんか、
そこで息をする人たちは、
ね、
なんか、
面白いね、
そういう世界もあるから、
なんか、
それがスタンダードになるとは思わないけど、
うん。
特殊技能みたいになってくるのかな、
生でコードを書ける人たちも、
もしかして。
マニュアルの車を運転できる特殊技能みたいなね。
あー、
なんかしっくりくるかも、
確かにね。
そういう感じかもね。
マニュアル車少ないけど、
まあでも、
この、
この、
このかっこいい奴はマニュアルなんだよ、
みたいな感じかな。
うん。
うん。
いやー、
確かにね。
もう戻れないよ、
マジで。
だからなんかその、
まあ戻れないから、
このまま突っ走り、
まあ、
ある程度突っ走れるんだけど、
その、
だから、
僕は結構煽りを受ける気がすんだよな、
その、
何も考えずに結構ガンガン使ってたから、
その、
うん。
こうやって、
明日からトークン絞ってねって言われた時に、
結構、
キャッチアップせなあかんなーって気がする。
うん。
まあなんか、
そこのトークンを絞るための仕組みがどれだけ、
なんか、
用意できてるかどうかできっと、
変わるんだろうね。
そうだねー。
その、
今まだ比較的安い、
時に、
その仕組みが、
それこそハーネスエンジニアリングじゃないけど、
なんかその、
うん。
うーん、
その、
フレームワークみたいなものがちゃんと準備できてれば、
まあトークン絞りやすくなるし、
なんか、
いざ高くなった時にも、
なんか、
まあ影響が、
少なくするみたいなのは、
あるかもしれないね。
うんうんうん。
なんかその、
そうだね。
うん。
そういうのなしにこう、
乗っかってるところは、
まあその時厳しくなるのかもしれなくて、
じゃあなんか、
そういう、
なんて言ったらいいんだろう、
こう、
なんか、
場というか、
こう、
仕組みを整備しやすいのが、
どっちですかってなると、
まあこういう大きいとこなのかな、
メルカリみたいな大きいとこなのかな、
と思うし、
そうだねー。
うん。
難しい。
難しいねー。
うん。
費用対効果も、
待っておりますって感じですね。
まあなんかメルカリだったら、
そのうちだと、
どっか、
まあ知らないだけも出てるかもしんないけど、
キャッチしたいところっすねー。
いやー、
出すのかなー。
なんか、
社内に、
社内向きには出してそうだけどね。
あー、
確かにね。
じゃあ、
最後の記事、
いきますか。
早っ。
今日ねー、
みんな夏バテなんで、
もうダメなんですけど。
ダメじゃないですけど、
はい。
えっとー、
フロンティアAIによる脅威変化を踏まえた、
金融機関のAI脅威変化への対応方針
フィナテキストグループとしての対応方針。
えー、
前の、
どなたかなー、
S.タジマさんっていう、
あー、
CTをCISとの方なんですね。
そうっすね。
書いた、
記事ですね。
で、
どういう記事かって言うと、
えっとー、
まあ、
ミトスかな、
クラウドミトス、
プロジェクトグラスウィングの登場に伴って、
結構、
まあ、
政府レベルで、
うちは大丈夫なのか、
みたいなところ、
脅威が来るんじゃないか、
みたいな、
特に、
まあ、
危機感が、
募り、
何だろう、
何たらいいんかい、
みたいな、
そう、
本当、
頭悪いこと言って、
まあ、
その、
ね、
政治レベルでも、
もうちょっと正確に、
なんか、
その、
言及してあげてよ、
予習全然してない、
まあまあ、
そういう流れがありまして、
まあ、
その流れで、
その、
金融庁、
および日本銀行から、
あの、
連盟で、
フロンティアによる、
脅威変化を踏まえた、
金融機関等の、
短期的な対応、
っていう、
まあ、
要請みたいなのが来てますと、
フィナテキストグループは、
まあ、
その、
金融事業やってる、
会社なので、
まあ、
そこに対して、
対応する義務がある、
っていうところで、
えっと、
今、
フィナテキストグループで、
できてることと、
まあ、
この要請を受けた上で、
その、
あの、
あ、違う、
この要請に対して、
できてるところと、
えっと、
もっと取り組まなきゃいけない、
みたいな、
いけないところっていうのを、
えっと、
12項目に分けて、
あの、
ガーッとまとめてくれてる、
記事って感じですね。
で、
まあ、
12項目、
まあ、
要、
要味はしないんですけど、
かつ、
その、
要請みたいなのも、
結構その、
何だろうな、
基本的には、
その、
ミトスが出たから、
何か世界が変わります、
新しい概念が生まれます、
って話じゃなくて、
まあ、
基本的にはその、
脆弱性を見つかるスピードが、
加速していくっていう、
なんで、
その、
やるべきことは従来と変わんない、
っていう部分はあって、
その、
要請の部分も、
そこは、
あの、
そんな風な解釈をしていいだろう、
っていう部分があるんで、
まあ、
もともとFintextグループとして、
いろいろやっていた分、
結構、
何だろうな、
体系的にまとめられた、
記事にもなっているな、
っていう部分が、
あるのかなと思っていて、
で、
ふむふむって読んでたんですけど、
結構その、
読んで思ったのが、
めちゃくちゃちゃんとやってるな、
っていう、
平たい感想にはなるんですけど、
そういう感想を持っていて、
ちゃんとやってるっていうのは、
何かっていうと、
結構その、
やっぱセキュリティって、
特にスタートアップ、
中小企業レベルとかだと、
その、
どうしても取捨選択しないといけない、
というか、
あの、
やろうと思えば、
まあ、
エンドポイントも守って、
EDRも入れて、
EDRのアラートを取り扱いする、
じゃあ、
SoCをやって、
で、
SIEMも入れましょう、
そのアラートの対応もしましょう、
で、
脆弱性パッチの管理をして、
で、
今、
サプライチェーン公開から、
いろんなパッケージを、
ホワイトリスト管理して、
じゃあ、
それを新生成にして、
チェックの仕組み作って、
さっきのAIのガバナンス、
みたいな話もあって、
で、
プロダクトを作るときに、
脆弱性は作り込まない、
で、
事後のセキュリティレベル、
脆弱性診断もやる、
それを何なら内製化する、
みたいな、
そんな感じでもう、
しゃべればもう、
キリがないぐらい、
もう全領域、
あの、
やっぱりいろんなことを、
やっていかなきゃいけない、
という中で、
まあ、
どうしてもその全部を、
100点取るというのは、
まあ、
ほぼ不可能、
なんで、
まあ、
その会社の企業とか、
規模感とか、
まあ、
あるいはキャッシュに応じて、
ベタな選択肢を、
まあ、
会社として、
ないしは、
その会社のセキュリティチーム、
セキュリティに携わるメンバーが、
頭を抱えながら模索していく、
という世界観が、
まあ、
あるのかな、
という感じなんですけど、
結構そのフィンテキストのやつを、
読んだときに思ったのは、
今言ったその、
いろんな場所に対して、
結構、
あの、
幅が広いっていうのかな、
その守れてる幅、
なんか中力的という幅が、
広いなあ、
という印象があって、
まあ、
さっき言ったその、
ERみたいな話とかもそうだし、
あとはその、
資産管理した上で、
それぞれの脅威分析を、
とかリスクアセスメントを、
手継続的にするみたいな、
部分とかもやってます、
みたいなところが、
結構なんか、
このパブリックに言い切るのって、
言い切れる会社って、
あんま正直、
そんなにいないんじゃないか、
という気はしてるんだけど、
結構、
言い切っていて、
しかもその、
Finatextって、
あの、
ま、
ちらっといろいろサイト見た感じは、
なんか、
3つぐらいのサービスやってて、
みたいな話じゃなくて、
いろんなサービスを、
いろんなところで展開していて、
っていう中で、
それを全部、
把握して、
アセスメントできてますね、
なかなか、
きちんと投資してるな、
っていう印象もあるし、
またその、
今回の記事のフックになった、
要請では、
ちょうどその、
言及されてないんだけど、
ま、
僕、
自分たちとしては取り組むべきだと思ってる領域、
みたいな部分、
言及があって、
ま、
さっき言ったサプライチェーンの話、
サプライチェーン攻撃系の対策とか、
また、
AIを活用しての、
その、
自社診断の話、
話とか、
あとバグバンティーの話は、
ちょっと面白いなと思って、
結構その、
AIスロップで、
バグバンティーがクローズするみたいな、
流れがある、
あって、
それは理解しつつ、
ま、
一方でその、
Finatextでは、
もともとバグバンティーをやって、
招待制のバグバンティーをやっていて、
ま、
それでAIの報告が増えてるものの、
ま、
いろいろそのルールとか、
あの、
ポリシーで縛ることで、
まだまだワークするんじゃないか、
みたいな仮説を持っていて、
なんで、
あの、
ま、
むしろ拡大していくっていう部分を、
考えてます、
みたいな部分があって、
ま、
結構ここもなんか、
芯があるというか、
ま、
その、
2023年からやってるってなってるんで、
ま、
2年3年運用してきた中で、
ま、
ちゃんと見えてる景色がある上での、
意思なんだろうなっていう部分があって、
うん、
なんか、
結構その、
ま、
金融系っていうのは、
もちろんあるんですけど、
ま、
その、
どんな業態だろうと、
その、
セキュリティの方面では、
トップレベルを走んなきゃいけないっていう、
トップレベルが、
ま、
このラインっていう部分が、
見えたっていう意味で、
すごい、
ま、
個人的には、
なんか、
どういう世界なんだろう、
みたいな部分が気になる人は、
さーっと読んでみても面白いのかな、
と思って、
ま、
ピックしましたって感じですね、
うん、
うん、
なんか、
その、
なんだろう、
MCBのさ、
あれとかもそうですけど、
やりきり力がすごいよね、
すごいね、
すごい、
全体的にね、
うん、
しかもびっくりしたんだけどさ、
企業、
会社の人数そんなに、
いないね、
でかいわけじゃないんだよね、
うん、
ま、
うちよりは全然でかいけど、
あー、
そうね、
うん、
別にしかもセキュリティ専任チームがいるわけでもなく、
そうなんだよね、
うん、
結構341名か、
グループ連携ですね、
しかもグループ会社も7社ぐらいあるから、
7個に分散すると思うと結構ね、
うん、
だし、
まー、
やっぱ、
もちろん業種というかサービス性質がでかいんだろうけど、
その、
この要請対応の、
ま、
一番最初に、
ま、
セキュリティ自体の
お経営課題にするみたいな部分、
うん、
要請するときは、
ま、
当然のようにもうずっとやってきましたよ、
みたいな話とかあって、
あの、
それが、
でかいんですよね、
質ですけどね、
うん、
うん、
いやー、
ま、
逆、
こういうの見てるとやっぱでも、
この金融っていうその、
なんていうか、
後押しがあるのは、
なんか、
うん、
やっぱ効くんだなと思うし、
その、
そうだね、
業界としての圧力みたいなのがやっぱ、
なんかでかいよね、
うん、
業界、
業種っていう意味なのかな、
うん、
だからなんか、
めっちゃ悲観的な見方をするなら、
なんか、
これだけの圧力がかからないと、
なんか結構その、
ここまでたどり着けない、
とかたどり着く、
まあ難しいなあ、
うん、
どう、
動機がないは言い過ぎなんだけど、
うん、
ま、
そういう、
そういう意味でもトップラインなのかもなってきます、
うん、
けどね、
まあ盗まれたもの、
侵害されたときの、
ま、
信用がもう本当にそのまま命の障害ではあるとは思うから、
うん、
そうね、
でもなんか、
どのサービスもそうではある、
まあでも難しいね、
うん、
うん、
ま、
でも自分の預金が消えましたって言ったら、
もう使わんもんなあ、
その銀行、
うん、
結構ダイレクトに聞いてくる、
とこではあるよね、
正直、
うん、
そう思うと別になんか特定のんぬんとかじゃないけど、
仮想通貨はマジ、
なんか毎週、
世界のどっかで漏れたニュース見てるから、
なんか、
感覚がバグっとる、
うん、
そうそう、
なんか、
そっちはいいんだっけって今ちょっと、
思っちゃったけど、
まあよ、
よくはないんだろうけど、
うん、
なんか大変やなあって、
はい、
ちょっと、
いやあ、
なんか、
その、
全員が目指すべき背中かと言われると、
なんか、
い、
今言った話も踏まえると、
そうではないかなっていう部分もある気がしつつ、
うん、
やり込んだ、
まあ、
やり、
やれ、
やれば、
投資すればやり切れるみたいな証明っていうか、
そういう部分では、
あ、
まあ頭片隅に置いてもいいかなっていう気持ちですね、
うん、
いやあ、
なんか、
あ、
そうね、
どういう体制で誰がどれぐらい動いてるのかとか、
もっと細かいところも聞いてみたいね、
なんか、
なんか、
どうにか、
フィナテキストの人とつながれないから、
多くし、
多分知り合いないんだよなあ、
これ、
言っていいの、
言っていいのかなあ、
わかんないけど、
なんか、
一回、
カジュアル面談は実はしたことあるけど、
あ、
そうなあ、
うん、
じゃあそのカジュアル面談の、
いやあ、
さすがに失礼か、
いやあ、
なんか、
いやあ、
普通にさあ、
ここ、
ここに読んで、
教えてほしいというか、
いやあ、
なんか、
フォロワー1000人いたらなあ、
宣伝になりますよって言って、
その、
正式にオファー、
出せるかもしれないけど、
ちょっと、
フォロワー56人のために、
読み出すにはちょっと、
格が足りてるのかという、
説はあるけど、
そう、
でもなんか、
うん、
結構その、
なんて言ったらいいんだろう、
こう、
まあセキュリティの1000人のチームも、
まあ、
僕の知る限りない、
うん、
っていう状況で、
その、
うん、
なんか、
こう、
割とあるあるだと思うんだけど、
その、
セキュリティチームがいたとして、
じゃあその、
セキュリティチームがどこまで、
手を出すべきなんだっけ、
みたいなとこのバランスとかもさ、
割と難しいことが、
そうだね、
あると思うから、
その、
なんて言ったらいいんだろう、
こう、
まあ誰がどれぐらい動いてるのか、
気になるっていうのは、
そういう意図で、
うん、
言ってて、
うん、
なるほどね、
だからこんだけのことを実現するのに、
じゃあ誰に、
どうやって、
どこまで動いてもらってるのか、
っていうのは普通にね、
気になるね、
一応セキュリティエンジニアの、
あの、
ジョブディスクリプションはあるけど、
海賊とかチーム体制の話はないから、
うん、
カルチャーデックとか見たら、
どうかなのかな、
うん、
気になるね、
確かにね、
気になりますね、
うん、
と呼べるように格を上げていこう、
いや、
そう、
なんかでもこの言い方するとなんか、
次ゲストに来た人が格が低いみたいになっちゃうから、
別にそういうわけではないんだよ、
うん、
単純にやっぱ知り合いが、
なんか仲良く、
聞いてる人いたら、
あの、
仲良くしてください、
うん、
仲良くしたいです、
そういうラブレターだけ出しときます、
はい、
ありがとうございます、
じゃあ、
今週の宿題は、
宿題と次回の予告
今週、
今月の宿題にしよう、
私の、
今月、
6月の宿題は、
認証機能を実装して、
リリースして、
ヤギ足が、
ポコポコにする、
静寂性を見つける、
ポコポコにする、
バウンティング、
実際に、
いやー、
利益出てない、
ラーメン一杯ぐらいは、
いいよ、
ドリンクも付けていい、
一番高い、
東京で一番高いラーメン探しておこう、
いや、
一番高いラーメン、
や、
マジでほんとそういうとこやぞ、
マジで 東京高級ラーメン10,000円 最高額は1万円 ああいいね
いやー 俺もうその隣で見てるわ 食べてるの じゃあ
それに耐えられるならいいよ ちょっとオーダーしていただかないとってなるから 大丈夫 俺が何を言わすと
水で 水で いやこんなんさ 1万 いやもう
あー でもなんか別に これはいいや この1万は なんか全然
いやー なんか
1万払うならラーメン以外にしようって そんな話になってきちゃうじゃん
いいじゃん だって自分でラーメンに1万払うことないからさ まあそうだけどさ
でしょ? 調子抜きでじゃあ税取ってつぶし込んどくわ
ちょっと約束はできないけど ちょっと 1万は1万の
やったね 育児休暇でお金ないんですよ
勘弁してくださいよ お金ないでしょ あれでもいいよ アンスロピックのAPIの
なんかあれでもいいよ 何?APIのあれって何?
アンスロピックのあのなんだっけ あのAPIのクレジットでもいいよ
人に渡せんの? そのメールから ギフトあるでしょ
クレジット あ あるわ いいんだけど 高ぇじゃん 結局1万ぐらい要求しようとしてるじゃん
なんやねん マジで プロプランならいいか プロプランぐらいならいいよ プロプラン
まずリリースしないとさ リリースします 早く出して
頑張ります じゃあそんな感じで 皆さん次回もお楽しみにしていてください
おやすみなさい おやすみなさい
