00:01
こんばんは、Replay.fm第51回です。
こんばんは。
いやー、1周年。
ほぼちょうど1周年。
ほぼちょうど1周年じゃないかな。
第1回が9月5日なんで、今9月3日に収録してるんで。
2日後に9月3日に収録。
そっか、じゃあまだギリギリ1年、1年経ちました記事は間に合ってるんだな。
あ、そうだね。
プレイ1周年。
なんか今日あたりな気がしてて、やっべー間に合ってねーわーって思ってたんだけど。
それで言うと、1周年トーク?
1周年トーク用のネタ用意してたけど、来週に回すか。
あーそうだね。
これはじゃあ後で回しとこう。
はい、まあ記念すべき1周年手前ですね。
いやー、ようやっとる、ほんとに。
お疲れ様でした。
今度ね、1年続いたらもう10年ぐらい続けられそうだよね。
いやー、わからんけどなー。
なんか、そればっかりはちょっとなんとも言えない。
なんか記事を読むという習慣はもうさすがに身についた感があるわ。
波はあるけどもちろん。
結構なんか、習慣というにはまだちょっと弱いなー。
あーそうなんだ。
容易にやめられる感じではある。
なんかそのー、なんだろうなー。
インプットする情報のベクトルとか質とかを変える余地はあるかなって気持ちにはなってる。
あと読んでないんだよなー。
気になったやつしか読んでないっていうのはあって。
全部読んで良かったもの、気になったものをピックしたいものを持ってくるっていう感じ。
なんかその辺のインプットのスタイルはなんか差というか違いが出てて、
逆にいいんじゃないかなって気はするけど。
持ち込むものの性質も拾っておくものもいい感じに。
まだめちゃくちゃ離れすぎてないというか。
まあその感じで今日もやりますか。
朝がね、涼しくなってきたからかわかんないですけどすごくたくさんいっぱいあるんで。
すごくたくさんいっぱいウルトラあります。
どういう。
12期次だよ。相当久々じゃない?12期次。
ここ3回1分ぐらいのなんか量があるね。
そうだね。間違いない。
まあやっていきましょう。
じゃあ1個目。
GitHubのイミュータブルリリース
Releases Now Support Immutability in Public Preview
GitHub Change Logのものからですね。
イミューリリースな
まあちょっと機能の名前正式名称わかんないんですけど、
GitHubのリリースで
イミュータブルリリースってちょっと仮で呼びますけど、
そういう機能がパブリックプレビューでリリースされましたっていう記事。
チェンジログです。
これ何かっていうと、GitHubリリーシス的なのは従来からありますけど、
あのGitHubリリーシスとか、あとタグとかをイミュータブルにする。
イミュータブルにっていうのは一応リリースしたものを変えられなかったり、
上書きできなかったり、削除もできなくなるんだね。
削除できなくするっていうのをリポジトリ単位もしくはオーガニゼーション単位で
設定できるようになりましたっていうリリースですね。
なんでやるかみたいなところで言うと、直近だとTgActions事件しかり、
NPMなりいろんなパッケージでやられていることとして、
既存タグに紐づくコミットを張り替えることで、
そのバージョンを使っている人に対してサプライチェーン攻撃を仕掛けるというか、
割とよく見かける、実際に顕在化している脅威としてあるんだけども、
それに対して対策になるよっていう部分が結構目玉な部分かなというところですね。
あとはちょっと読み直して、最初読んだときに気づいてなかったけど、
Immutable Releaseこれ有効すると、
Attestationsも勝手に付けてくれるっていうのが有効化されるらしくて、
これも結構地味にいいなって思いました。
Attestationsっていうのはダウンロードしてきたリリースパッケージ、
バイナイでも何でもいいんですけど、
それの身元証明みたいなのをGHコマンドでできる仕組みがあって、
多分推測だけど、リポジトリとかは少なくとも検証できるんでしょうね。
そのタグがどのリポジトリでリリースされたものなのかっていう。
だからあんま考えづらいけど、
例えば、GHリリースコマンドとか以外で引っ張ってきたリリースファイルとか、
それをデプロイした先で実行する直前に検証してみたいなときとかに
使えると便利なのかもしれないですね。
とってもいいリリース。
いやー。
どうしました?
ちょっと待ってね。
読んでから微妙に時間が経ってるから、頭が今から無くて。
結局、イミュータブルアクションズではないけど、
タグの書き換えはできないっていう前提があるので、
だいぶいいんだよね、多分。
うーん。
サードパティアクションズの話で言うと、
タグの面ではいいって感じかな。
そうだよね。
だからタグを使ってる限りは、
まあでもそっか、どっちにしろピンアクトするもんな。
そうだね。
サードパティアクションズに関しては結局タグで指定したときに
そのタグがイミュータブルリリースかどうかっていうの判別が
できないと思うんだよね。
オプショナルですね。
で、アテステーションの検証みたいな概念もないからさ、
一行パッて書いてカードに引っ張ってくるものにはなってるから、
サードパティアクションズのハッシュコテを無くせるような代物ではない。
結構イミュータブルアクションズとは別で考えていいんじゃないかなって。
そうだね。
イミュータブルアクションズも結構ベータ版なんで、
もしかしたらこっちの方をアクションズに対応する形で
利用するとかはあり得るっちゃあり得るかもしれないよね。
ただな、有効にオプトインだからな結局。
そこがな。
もしかしたらアクションズ側のポリシーで
イミュータブルリリースを有効にしているアクションズしか使えないみたいな
ポリシーを作れるようになるとかは構想としてはあるっちゃあるかもしれない。
だからどこまで自分使わなきゃならないのか、
みんな使ってくれないとなかなか世界は変わっていかないっていう話はある気がするんで。
OSS作ってる人は是非有効にしてほしいな。
タグを上書きしたいパターンって多分あんまないと思うんだよね。
めんどくさい以外で書き換える場面あんのかな。
別にパッチバージョン上げればええやんって感じでした。
だいたいそういうケース。
あるとしたら、
全然リリース前のパッケージ開発してて、
それをリクエアして使えるかどうか試すときに、
なんだろうな、コマコマコマコマと。
でもそれも頑張れって感じでした。
そういうこと考えても、ちょっとみんな使ってくださいっていう気持ちで。
これありがたい。
GitHubのチェンジログが癒されるわ。
癒し枠。
これこれこういうのっていうリリースを次々と出してくれるのはすごくありがたいなって。
まあ確かに変なものないよな。
それそんなんみたいなのはないね、確かに。
ここに上がってくる。
そうなんだよね。
少なくとも今までここで紹介したことがありですけど。
チェンジログも全部銘通してるけどね、
本当にちゃんと良くしてってるなっていう感じが。
いい話。
チェンジログ全部銘通すってなんか偉いな。
あれ俺これが、これRSSあるんだっけ?
あるよ。
あれ登録してるかな?
してなかったらしといてもいいかな。
なんかしてない気がする。
俺はこれとGitHubのセキュリティブログかな。
カテゴリーによるとフィールドが確かあるんだけど。
それをサブスクライブしてた気がする。
入れてないわ。
あら。
入れました。
触れない機能いっぱいあるんだよな。
触りたいな。
まあでも割とそのなんだろうな。
能動的に触んないと試せない機能あんまないっていうか
チェンジログには出てこないから
そんなに気にしなくていいんじゃないかって。
なんかプルディックの画面をさちょっと良くしましたとか
レビューマリオ機能を良くしましたとか。
直近だとなんかAI系とか多いから
そういうのはちょっと意識的に試さないと
触れないかもしれない。
すごいな。
なんかいっぱい出してるね。
こうしてみると。
そうなんだよ。
めっちゃね、出してる。
なんかGitHubに限らず
あらゆるサービスのこういうチェンジログ見たいね。
毎日何出してるのってすげえ気になる。
確かにね。
なんかここまでちゃんとチェンジログ書いてるサービス他にあるのかな。
あんま分かんない。
あんま思い浮かばないね。
GitHubも一応チェンジログ出してるんだけど
こんなペースでは出てない。
これ大変じゃん。
だってリリースするたびにこのチェンジログ書いて
すごいよね。
これを回してるっていうのが普通ね。
これ大変だと思う。
ようやっとるなと。
ようやってる。
じゃあ次いきますか。
ポスパメによる組織の動かし方
ポスパメがよくやる組織の動かし方
ポスパメのプログラミング人気
我らがポスパメさんの記事ですね。
記事の内容としては
組織の動かし方っていうのは何を指してるかっていうと
会社の中で何かやりたいことみたいなのが出てきたときに
それをどう実行するように進めていくかみたいな部分を
ポスパメさんはこういうふうにやってるっていうのを
整理してステップバイステップで解説してる記事という感じですね。
詳しいところはぜひ
さらっと読めるんで読んでくれればいいかなと思うんですけど
ざっくり流れの見出しだけ説明すると
まず価値筋を見出し
それ何でやるのかやる価値があるのかみたいな価値筋を見出して
じゃあ誰を巻き込むのかっていう部分のステークホルダーの確認をして
やりたいことっていうのをドキュメントをペラ一度まとめて
ステップ2で特定したステークホルダーにそれをレビューしてもらって
そのレビューで叩いたものを完成したら
自分がオーナーシップを持って実際に進めていくっていう
ステップでやっていくといいんじゃないかみたいな。
結構なんかそれぞれのステップで細かい
ポスポメさん流のハックみたいなのが書いてあって
レビューしてもらうみたいなところとかはレビュー経験決めた方がいいよとか
レビューしない人は同意したとみなしましょうとか
同期的に共有し
必要に応じて同期的な手段を用いましょうみたいな話とか
結構ね面白いなっていう
あとは最後にディサングリー&コミットを徹底できない組織や積み状態っていうのを書いてて
言葉強いなと思いつつ書いてある内容を読むと
まあ確かにっていう気はしていて
なんか大きなことを
オーナーシップを持たなきゃいけないぐらい大きなことってことは
全員がはい賛成ですっていう状態を持っていくのは不可能なんで
その前提においてディサングリー&コミットが徹底できてない場合は
まあ前に進めることができないよねっていう部分で積んでしまうっていうところが書いてあって
まあまあ確かにっていう感じだな
これは
いやポスポムさんらしくていいなこれ読み直すとなんか
確かにらしさはあるよな確かに
そうだね
またこういう動きを部下にやってもらいましょうみたいな
まあポスポムさんVPOEの立場なんでそういう部分も話を元気にしてるって感じですね
なんかあれだね
具体的にこれをこの流れでやりましたっていうのを知りたいな
あーなるほどね
最近紙なしでこういうことをやってまして
これをやるときにこういう流れでやりました
リリースプロセスのステップ
話も聞きたいね
確かにね
なんかブログで出てるどれかがそれだったりするのかもしれない
するのかな
そのポスポムさんが指導したものには限らないと思うんだけど
これはでもいいとてもいい言語化だなって思ったな
なんか僕が同じことを考えるときのステップも概ね似たような感じというか
ただなんか
こういう基地いいよななんかさ
その自分の中でマニュアルとしてさ文面に落ちてなくても整理されてるだけで結構
なんだろうめちゃくちゃ差が出るわけじゃないけどやっぱりパフォーマンスが上がるというか
迷いがないというか
自分の中で堅かしていればそんなに毎回毎回立ち止まって考えずに済むっていう
なんか良さみたいなのがある気がしててそういう意味ですごい
確かに
なんか
あり得たなっていう
こうなんだよな
またなんかそのなんだろうな自分の例えばメンタルに来るようなイベントが来たりとか
疎外要因が来た時にこういう脳内にこういうマニュアルがその骨身にインプットされてると結構
立ち向かいやすいみたいな部分もあると思うんだよね
言語化結構難しいよね
なんか
そうだね
私も多分いくつか型になってるものはあると思うんだけど
言語化してくださいって言われると結構困る
なんか意外となんだろうな
30分とかで書ける気はしないんだよね
これをじゃあ自分版を書いてって言われた時に
あとなんか結構分岐が多い気が
あと真の意味で型になってないのかもね
確かにね
なんかベースいろんなスタイルあるよねなんか正解が多分なくてその分岐のフローチャートがっつり脳内に組んでいて
それに従って行動してる人もいると思うし
一つの型があってそれをアレンジしてみたいな人もいる気がするし
だからポスポさんももしかしたらこの5ステップかな5ステップ書いてるけど
2でこういうことが起きたらこういう風にするとかあるっちゃあるのかもしれないし
でもなんかにしてもいい抽象度だよな
そうだね
詳細すぎずでもまぁ大体のケースはこれにはめられそうというか
前提がめちゃくちゃ効いてるよね
この補足のディサグリーンハンドコミットが徹底できてればっていう前提があるから
多分型ができるって話もある気がしてて
ここで多分分岐しちゃう可能性はあるから
あとはなんか組織によってその意思決定の組織の意思決定の型みたいなのが違ったりするから
まぁそうだね
組織の意思決定と文化
必ずしもこの型がどこでも使えるとも限らないかなとは思うんだけど
なんかこういう型があるよねっていう話自体が結構いいよね
うんうんうん確かに
ポスポさんの方は結構僕らの働いてる環境とか好む環境にちょっと近いそうだよね普通に
そうだね
なんかモトマップでいろいろやらせてくれるというかそれを推奨とか評価してくれる組織
だからだったらかなりワークしそうな感じがする
確かにね確かに確かに
いやーこういう議事
一方ででもこれ経営上の何か課題だよねみたいな話もあったりするよ
あー経営上の課題というのは
要は経営としてどうしたいかっていうところに依存するよねみたいな考え方とか
一方ですることもあるよな
うん
まあ
うん
そうねなんかその辺はもう会社の
例えばバリューでそれを
ある種さその会社経営したことないかわかんないけどその経営目線に立った時に
どういう動きをしてほしいかみたいなのが多分ある種の願いというか
意思というかこういう文化にしたいみたいなのがあると思ってて
それがバリューって形になったりとか制度になったりとか組織の形を作ると思うんだけど
それと今回のやり方でもいいし
僕らのこうするといい感じだよねっていうものがマッチするかって話は確かにあるかなって
するしマッチしない時になんだろうなそれが経営の課題かどうかは結構わかんない気がするな
ねなんか
うん
なんかケースバイケースだよねその何を問題何がその会社の会社として問題かどうかの判断基準って結構
個人的にはむずいなと思ってて
そうだねなんか何が言いたかったかというと何でもかんでも組織を動かせないよなっていう
その
うん
なんて言ったらいいんだろうな
だめだななんか具体の課題の話をせずにこの話をするのは難しすぎて今ちょっと見切り発車したことを後悔してるんだけど
なんか言いたいことを推測してるんだけどわかんないな
極端なし例えばなんかじゃあなんだろうな例えばその何ですかあるあるで言うと今のアーキテクチャ良くないと思うから変えていきたいけど
まあ一つのチームではとっても閉じられない課題だよねみたいなところで巻き込んで議論を起こすとか
そういうなんか不再編成みたいな部分もあるし直近だとAIもっと効果通用しようよみたいなプロジェクト立ち上げませんかみたいな話もあるだろうし
うーん
まあなんかそういうものがあった時にじゃあそれが仮に極端な例だけど同じタイミングで5個立ち上がった時に5個全部やれるかと言われると別に会社の都合があるよねっていう話
会社の都合もあるけどその
自分が例えば組織を動かしたいって思った時に組織を動かすという手段を取るなんていうか取れる課題取りたい課題って
例えば5個あった時に5個全部でそれやるのってちょっとしんどいよな
あーなるほどねそれは確かにそうかも
なんか多分それって難しいなぁなんかデリゲーターできればいいのかもしれないけどね誰かにね
それこそ部下にやってもらう部下にそういう動きをしてもらうみたいななんか考え方が成立するんだったらそれでもいいのかなと思うし
なんかそういう意味でそれで言うとなんかその自らオーナーシップを持って進めるっていうのはなかなかなんかケースバイケースなのかな
そのなんかこの考え方ってどっちかっていうと問題を見つけた人が
言い出しっぺがなんかそこに責任を持つ的ななんか思想なのかなとなんとなく思うんだけど
そうすると結構その天井が近くなっちゃう
まぁ偏りが出る可能性はあるかもね
まぁそうだよね本人のモチベーションみたいなところにももちろん依存すると思うし
本人のキャパみたいなところにも依存するしで
あとそのモノモース悪い意味じゃなくてモノモースマンっていうのが
例えば組織に5%しかいないってなるとその5%の人からしか変化が生まれないとか
まぁでもむずいな一方で個人的には言い出しっぺがやるのが一番なんだかんだ上手くいくんじゃないかという気持ちも結構あって
なんかじゃあなんかもう5個自分が仮に抱えてる時にどうするんだろうなって考えると
いかに見方を作るかとか
オーナーシップは自分が持つんだけど手足に手足は別の方法自分の自分以外の手足を調達するというか
そういうところの立ち回りなのかテクニックなのかみたいな部分は結構チューニングの余地がありそうだなって気もするね
結構ねなんかその影響力出そうと思った時の
限界値が一人のキャパに依存しがち問題はあると
そうするとなんかなんて言ったらいいんだろうな
例えば言い出しっぺがやらなくてもいい世界観みたいなのもありなのかなとも思ったりもするし
なんかその方がなんかその
まぁいい面悪い面あると思うけど発散的な議論とかもできた気がするし
いい側面で言えばその枠にとらわれないみたいな部分が出てくるのかなと思う
なんかステップ5を読み直すと自分がどこで離れるかケースバイケースみたいなのがあるんですけど
まぁそうだよな
本当は多分ステップ6、7がある可能性もあるよね
とりあえずボトムアップで走り始めたものをじゃあなんかチームとして
チーム取り組みに昇華しましょうとか会社の取り組みに昇華しましょうとか
そのもう内容によるけどじゃあオフィシャルルールにしましょうとかいろいろある気はしてて
なんかそういう受け皿がないとしんどいって話あるかもね
ボトムアップのアプローチ
そうじゃないとボランタリーチームが無限に立ち上がって
会社としてはなんかアンオフィシャルだから
オフィシャルに渡して仕事もあってみたいになるとしんどそうっていうのは確かにっていう感じがする
っていうところに対してじゃあそこは会社として決めてもらわないって無理だよねみたいな話になると
それはそれでちょっとまぁなんだろうな
まぁ確かにそういう場面もなくはないんだろうけど
一方でこの話で言うとむしろそういう課題に対してガンガンアプローチしていこうよっていう話なのかなと思うし
その要は会社に決めてもらうんじゃなくて
何はどうあれ会社が難しいな組織を動かすっていうことを持ってそういう状況を変えるみたいな
をもっとボトムアップでやってもいいんじゃないかと思うし
もしかしたらだけどこれそもそも一番最初に記事には起こされてない分岐がある可能性もあるよね
何か課題があってさそこに対して組織を動かせる必要がある
という時にこの記事は自ら同じっぽ持って進めるステップを書いてるけど
初手でこれ会社としてやった方がいいですよねってレーズするパターンも分岐もあるかもね
毎回毎回これをやるっていうよりかはケースバイケースというか
なんかいい悪いで語れないけどこういう動きは個人的には大事だと思っていて
なぜかというとマスク式がでかくなればなるほど起きると思うんだけど
現場にしか見えてない課題というか組織構造が縦に長いという前提において下の方じゃないと見えづらい課題みたいなのが
往々にしてあってそういうものが待ってれば会社のOKRとかフォーカスに入ってくるかというと
なかなかそうじゃないって言うんですよあるはずで
でなった時に課題の性質によっては情報を集めてレーズするっていうのがふさしいかもしれないし
でもものによってはある種の政治なのかな
やり出しちゃって共感してくれる人集めて一定の成果出して
こういう方やってこういう風に取り組んだこういう風に進んだからもっと会社オフィシャルしましょうとかそういう立ち回りするっていうのも
っていうところに結構価値というか意義というか部分があるのかなという気はしたな
でもそういうのまで考慮に入れていくと型化すんだよ型を作って言語化するってやっぱ難いな
それがそれだっていうのを具体的に知りたいって感じなのかな
そうだねそれもある確かに
でなんかそのさっきのなんかもっとボトムアップでみたいなことをちらって言ったんだけど
その辺のなんか前の見り感みたいなのがなんか
ちょうどコニファーさんの記事が昨日出てて
別に多分これはもうピックはしないのでここに貼っとくんだけど
前の見り感みたいな確かにそういうのも大事だよねと思って
いやー俺ら版も書きたいな
書く隠さき君がいるわ
まああえて書こうと思わんみたいなところもなんかあるよな
まあ結構なんかピン差ししないと書けないんだよな
書きたい気持ち結構あるけど
そうなんだ偉いな
でもなんかその自分で書く時間を含んないと書かないというか
それはそうなんだって感じなんだけど
結構きっかけむずくない書こうって思うきっかけが
なんかVPOEとかになったら書くんじゃない
そうなんだよまさにそういう気はするんだよね
なんかハイレアになるとね自分の頭の中を開示していこうとか
そういう戦略的にやるみたいな意味付けがしやすそうとかは普通に思う
よかったです
ありがとうございました
久々のオフトピでした
うんそうだね
お次
GitHub Actionsの依存関係を最適的に出力するGHA3の紹介
ありがとうございます
ありがとうございます
これちょっと僕らちょっと前になんか会社で欲しくて
なんかありものないかなって調べたんだけど
それでちょうどいいのがなくて
でしょうがないなんか次の半期で作るかみたいな
どっかで作るかみたいなことを話しちゃうんだけど
営業秘密管理の実態調査
待ってたら勝手に出てきたっていう感じで超ありがたいです
ありがとうございます
ありがてえよ
逆に今までなかったの面白いよね
多分ないよね調べた感じなんかそれっぽいのなかったんだよな
なさそう
いやまじでまさにこれというのが出てきたので本当によかったこれは
この人なんか見たことあるなあGHA
アクションズいろいろ作ってる人だ
あのねJSでギターアクションズをかけるっていう狂気のツールをね開発してる
こわ
やばいよね
これ手元で動かしたけどめっちゃ
これが欲しかった
そうそうこれが欲しかった感がある
とてもよかった
ありがたいこれはぜひ
あとリモートのリポジトリも見てくれる見られるから
結構ありがとうございます
僕らが欲しかった理由としてはなんかトラッシュだよね
なんか侵害された時にうちで使ってる
実際うち何使ってるの問題がなんか依存関係のどこに入ってくるかがわかんないから
意外となんか動かしてみるとそんなに階層深くないんだなっていうのがなんか面白かった
あーそうねなんかちょっとまだやってないけど
普通に仕事のでかいリポジトリでやんなきゃなっていう気持ちには
やってみたけどそんなに
めちゃくちゃ深い階層はなかったな
全部見たわけじゃないからもしかしたらそういうのもいると思うけど
あってもなんか3階層とかそんなもんね
もうプライベートのやつ試したけど2階層しかないな基本
最後セットアップ打ったらたどり着いておしまいって感じ
なんか別にそれぐらいだったらなんかまあ
最悪出てみていっても当たりつけて出てみるとかでもありなのかな
そうだね
まあでもそういうのも含めて何か可視化できるのかこと自体が結構ありがたいので
うーん
あとはなんかあれかな
先週紹介したあのGitHubでハッシュ固定する
まず
でこれさそうだよねやっぱそうだ
あの回想で見た時にそのバージョン固定の仕方まで出てくるから
どれにポジトリが有効にできるかみたいなの調査にめっちゃ使えるよね
マジであの記事の中でそれがドンピシャで研究されてて
フィンニングしてないアクションを特定するっていうところがあったり
まあむずいのは特定したところでっていう話があるっていう話が
まあそうだねあのエンフォースチャットのあれが
そうだね
まあでもなんかそれがそのエンフォースできる未来まであとどれぐらいっていうのが
確かにね
可視化できるっていう意味では面白いかも
素晴らしいね
いやありがとうございます
じゃあ次いきますか
企業における営業秘密管理に関する実態調査2024報告書の公開
IPAのプレスリリースです
ちょっとね120何ページあって全然読んでないんだけど
なんか前回調査が2020年らしくて
内部不正って実際どうなのみたいな話とかが
実際どうなのみたいなところに対する回答が載っていそうな気がしていて
なんか興味深いので持ってきました
まあでもトピックとしては内部不正に限らずって感じで
そうそうそうトピックとしては内部不正に限らず
前回2020年から4年ごとにやってるんだね
16、20、24
いやーこのプレスリリースページだけ途中まで読んで時間切れだったんだけど
これ経年比較の図があるんですけど
営業秘密を漏洩したと認識してるというか
しましたっていう答えて終わり合いが
2020年5.2%から2024年は35.5%になってて
結構インパクトあるというか
これ何でそんなに増えたんだろう
情報漏洩の事例はないとわからない認識できていないを区別する意味があるのか問題はなんかちょっと気になるけどな
あー
質問あんまいけてないよねこれ
まあでも結構差あるんじゃない?
分かんないですと
いやーだってないって言い切れる
言えなくない?
だからそれで言うと解釈しなきゃいけないかなとは思う
このないと言ってるけど
たぶんこのない、ちょうどよい事例のないの中には
たぶんないっていう人たちと
ちゃんとできててないって言ってる人たちが混ざってる
まあでもなんかそこも
ちゃんとできてたらさ
なんかその
ないって言い切るのは結構むずいと思うんだよね
悪魔の正面に近いからね
そうそうそうそう
いやーまあでもそこはなんかしょうがない気がするな
まあね、なんか
この選択式のやつでそれを吸収するのは結構きつい気がする
原因ね、原因とかもちょこちょこ書いてるんだね
あールール不徹底
あーでもまあ確かに内部不正みたいなもの
あーこの、なるほどね
オレンジが内部不正に起因してて
確かにそれめちゃくちゃ伸びてるんだなポイントが
なんで伸びるの
あーこれちょっとレポート読もう
気になるな、背景が気になるしね色々と
ちょっと気になって
どっかで時間とって読みたい
リスクアセスメントの重要性
あーそっかリモート環境になったからとかはあれか
まああるかもね、2020年だと確かにタイミング的かもね
その、この2020年にあって
この文化が
レポート
これ何の共謀他者
漏洩先、あーでも共謀他者に漏洩しちゃったみたいなのが多い
まあでも確かにピオログとかでも結構しょっちゅう見るもんな最近
持ち出しね
いやー怖いっすね
人間怖ぇよマジで
いやーこれは読もう、いい種類だな
ね
まあちょっと読めてないけど
気になってますね
あとCCIのやつもちょっとヘェーって思ったな
なんか利用しちゃならないっていうスタンスを取ってるのが26.2%
なんか世の中の実態って感じがする
なんか自分の耳の周りだけ見ちゃうとそのもう
もう使うのは大前提でどう使うかみたいな話ばっかりだから
それは安全外に倒すよな
はい
えー次
えーリスクアセスメント、リスクの可視化から意思決定まで
えーちょっと読んでないので続いちゃって申し訳ないんだけど
フューチャーの技術ブログ
読んでないけど、まあこれはざっと読んだな
まあなんか結論
えーといいまとめっていう感じなんだけれども
特にセキュリティ
なんか上げてるものとかは別に必ずしも
セキュリティに限らずなんだけど
あのコソのERMとか
リスクアセスメントって何っていう話を
まあざーっとまとめてくれてるし
うんうんうん
リスクマネジメントっていうその
うんうん
あの広さで割と紹介することは多いかなと思う
リスクアセスメントだけで1記事書いてるって結構珍しいなってちょっと思った
あー確かに
言われてみればそうだね
うん
確かに確かに
このマトリックス図僕的には最高だな
勉強の図しよう
あーまあEP確かにね
EPSSとかも確かにアセスメントなら入ってくる概念
うんうんうん
フレームワーク
まあフレームワークなんか
ナレッジも入ってる
経文とかも入ってる
へー
おもろ
ちょこちょこ知らないのも入ってたりとかする
おーなるほどね
そうだね
フェアとか俺知らないな
金銭か
あ金銭インパクト評価
へー
なるほどね
ドライブ
いやでも俺成長したな
なんか結構わかるな
うん
フェアは知らなかったな
ドライクも何気に知らんかったな
ドライクはなんかね見たことだけある
あそう
中身は知らない
なんかの本で多分出てきた
コスモERMとかも知らんな
コソERMか
コソERM
パスト
へー
まあいいまとめだね
うんいいまとめなんで
まあちょっとどっかで
なんとなくかぼりしたいなと思ってるんだけど
まあでもなんかあの
リスクアセスメントについて考えるときに
戻ってくればいい感じの通じかなとは
なんかそうだね
教科書というかチートシートというか
ただなんかざっと頭に入ってると多分
話が早いというか
あーこういうのあったからあれ見に行けば分かるわっていう
結びつけ方ができて
まあちょっとざっと読んでほしいぐらい
いやいいなこれ
NXパッケージのサプライチェーン攻撃
ちょっとなんか保存しとこう
いやーありがです
はい
じゃあ次行きますか
えー私か
マリシアスNXパッケージ
シングライティアタックリーク
2349ギタークラウドアンドエイクレデンシャス
っていう
アッカーニュースの記事ですね
まあなんかこれさらっと話せればって感じ
なんですけど
まあNXっていうNPMの結構
僕使ったことなかったんですけど
メジャーなパッケージがあって
それにサプライチェーン攻撃が成立しちゃうという話ですね
でNX自体のダウンロード数もかなり多いんで
被害範囲としては結構でかいのかな
し
あとはそのNXに侵入して
それを使ってるリポジトリとか環境から
まあ文字通りサプライチェーンでつながって
いろいろ侵害されてるっぽいっていう
なんかねどっかに言及があったんですけど
なんか追記みたいなのがあったんだよな
あそうだね
WiZがなんか調査してて
190以上のユーザー組織と3000以上のリポジトリが
影響を受けたって言ってるんで
まあ結構
結構なんですよね
結構だね
うん
でなんか紹介したいなと思った
さらっと紹介したいなと思った理由は
原因が結構シンプルなんだけど
危ない危ない言われてたやつが来たかって感じで
オンプレリクエストターゲットでやられちゃった系
ああ
一部のワークフロー
確かにリリース回りのワークフローで
オンプレリクエストターゲットが設定されてて
でそのシークレッツにLPMトークン
パブリッシュするためのトークンが
混ざっちゃったとか設定されてたんで
それ盗まれて上書きされて成立したっていう感じですね
あ違うかごめんそんな単純じゃなかったかも
詳しいとか読んでないな
まあでもなんかねステップバイステップで
これかプレリクタイトルのインジェクション
ああ
まあでもそうだねLPMトークンを
未知のWebhookに送信したっていう感じか
あれかPRタイトル経由での脆弱性があったって感じか
どういうことじゃ
なんかコマンドインジェクションかけな
そうだね
バッシュインジェクションか
ああなるほどね
変数展開
2ステップあったんだね
PRのタイトル経由でシェルインジェクションが成立して
そっからオンプレリクエストターゲットが設定されてるやつに行って
あれかパブリッシュ用のワークロウ実行できちゃったっていうステップ
ごめんなさいちょっとちゃんと読んでなかったんだけど
まあそんな単純な
まあでも単純なんだよな
割と危ないよって言われてたやつをやられてたっていう感じでは
以前としてはあるっていう感じかな
なので皆さんお気を付けてくださいっていうのと
NXかっていう人はちょっと気をつけてください
気をつけて
まあこれもう5日前の記事なんで
もし気づいてない人たちがいたら即やってくださいって感じ
ディベンノートアラートには多分出るはずだから
どこだっけな
ここに新たなページ貼っとくか
後で貼っときますはいそんな感じです
AIを活用したマルウェアの発見
いやオンプレリクエストターゲットもなくせばいいのにと思うんだけど
まあOSSだと必要なのかな
そうね
まあなくせんのかな
いまいち正直使ったことないかって感じもあるけどわからん
ダメなやつこれだ
そうですね
まあアフェクティットバージョンはNXがやっぱちょっと多いんだよな
マイナーバージョン全部やられてるから気をつけてくださいって感じだね
はい
じゃあ次
まあこれはおもろかつきたかって感じなんですけど
Someone created the first AI-powered ransomware using OpenAI's GPT-OSS 20B model
っていうハカニウスの記事です
これは何かっていうと
AIを活用したマルウェアが発見されましたよって話なんですけど
AIを活用っていうのは具体的に何かっていうと
AIでマルウェアを書いたって話
AIで書かれたマルウェアが出たって話じゃなくて
マルウェアが動的にAIを使って悪意のあるスクリプトを組み立てる
ランサムウェアが発見されたって話ですね
なんで内容としては
ローカルでも動くし
外部のモデルとも通信できるような作りになっているんだけど
ゴーランのスクリプトがあって
それが発火すると
そいつがローカルのモデルか
ネットワークを通じて色々なモデルにつなげて
そこに対してこういうスクリプトを書きに行って
プロンプトを投げて
書いてきたコードをそのままマルウェアのスクリプトとして
自動で生成して実行するっていう
挙動するっていう感じ
実際に発見されたんだけど
まだ概念実証レベル
ちゃんと動くものではなさそうって感じなんだけど
世には出回っていそうっていう話と
あと防御する目線だと
シグネチャベースでやりたい時に
悪意のあるスクリプトが動的に生成されるっていう部分が
ちょっと防御しづらくなるかもねみたいな話が書いてあって
それはそうだよねっていう
まあでもGoのバイナリーはなんかできているはずでしょ
そうだねプロンプト投げるスクリプトを
ちゃんと登録しちゃえばって感じかな
でもなんか思ったのは
シグネチャで引っ掛けられなかった時に
でもあれかEDRだったら
生成されたスクリプトが動いた時に引っ掛けてくれるのかな
ちょっとその辺でどれぐらい守る目線差が出るのか
専門性が低く推測することしかできないが
まあなるほどそういう使い方をするんだなっていうのを
紹介したって感じですね
モデル自体はリモートに置いてるの?ローカルに置いてるの?
リモートに置いてリモートに繋げられるようにもなってるっていう
表現が記事中ではされてたと思う
だからなんかローカルでも軽量なやつを多分持ってんじゃないかな
おそらくだけど
GPT OSS 20
軽いかな
16GBかのメモリがないと動かない
ああそうなんだ
もしかしたら環境とかネットワーク条件によって挙動が変わるみたいな
実装にあってるかもね
この辺のエコシステムが全然ちゃんと理解できてないからなんかダメだな
入れるまでね
モデルは
NAMM
20P
OSSの名前か
容量どのくらいなんだろう
ファイルサイズって言うとどんなもんなんだろうね だいぶありそうだけど
ね 全然
ああもうOSS
ちょっとダウンロードに行ったらいいんじゃない
いいよ めんどくさい
そんなにそこまで興味はないって言ったらあれだけど
そんな記事でした
著作権とフェアユースの訴訟
次もAIだ
これね
紹介できるような感じなんですけど
クロード開発元 AI学習用データ投与をめぐる作家との集団 訴訟で若い絵
ジャパンシーネットの記事
シーネットジャパンの記事ですね
なんかたまたま見つけたんで引っ張ってきたんですけど
何かっていうと
なんか訴訟されてるの知らなかったんですけど
アンソルピックが著作権で保護されてる書籍を
学習に違法に使ったよねっていうので
集団訴訟を起こしていて
それが和解に至りましたという話ですね
和解条件はまだ開示されてなくて開示されるらしいんですけど
多分これ構想かな
構想してどうなったのかみたいな感じなんですけど
アンソルピック側の主張としては
著作権のフェアユース
フェアユースは僕知らなかったんですけど
アメリカである概念で
特定の条件においては
著作権の保護の対象外として
それを使うことができるっていう
法律上の概念なのかな
ちょっと間違えてたすいません
著作権に関する考え方というか
フェアユースの範疇だよねっていうので
主張してたんだけど
作家側は訴訟を起こしてるって感じですね
おおって思ったのは
アンソルピック側は
その学習データを手に入れるために
中古本を大量に買って
それを全部自炊して
映画宿主に使うみたいなことをしてたらしくて
それやるかって気持ちとってもすごい
すごい世界観だなっていうところで
作家が起こる気持ちもわからんかないけど
一つ反例としては
興味深いなと思って
ちょっと紹介しましたという感じですね
これね全然覚えてないけど
メタも似たような話があったみたいな
メタの訴訟でアンソルピックの事案が
引用されたみたいな感じだから
反例とかが徐々に出だして
固まっていくかもしれない感じかな
フェアユースに該当するっていう
判決にはなってるけど
その上で和解したって感じなのかな
だからもう控訴しない
これで控訴しないで手を打とうっていう感じになったのかもね
これ何でわかったんだろうね
確かにね
全然わからんな
この裁判の過程で本をスキャンしてるっていうのは
この裁判の過程で本をスキャンしてるのが
バレたというか開示して
訴訟元側から
それに関して別の裁判をするぞっていう風に
言われてそこに対して和解をしたって感じっぽいな
自水してみたいな部分に対しての
判決ではないっていう感じっぽいね
学習に使う
今回の著作物を使うっていう部分は
フェアユースだよねっていう話で
なんで
それ俺らの
著作物を学習してるよね
誰かわかったんだろう
誰かまとめ求む
苦労に効くか
効くか
ちょっとパッと出てこないかな
地味に聞こう
どっかから
あれかな
どっかから漏れたんかな
その書籍
別の記事だと
原告の作家クロープは
クロードが人間の知事に応答できるよう
無断かつ無償で数百万冊もの
海外版書籍を使ったと主張
って書いてあるね
なるほど
そうですか
海賊版書籍なんて概念があるんだね
いやー難しいな
法律
法的に答制理由つけるのが結構大変そうだね
なるほどね
ジェミニが言ってることなんで
正しいかわかんないけど
特定の書籍の内容を生成するように
クロードに行ったら
著作が残されている文章と
ほぼ同一のテキストを大量に出力したため
疑惑か
なるほどね
まあでも確かにやりそうだね
普通に
知識としては持ってるってことは
なるほどね
作家だったら普通に試してもおかしくないというか
一人が騒いだらもう
みんな試しておいおいってなったのかもね
へー
いやー悩ましいね
はい
まあ一つもちょっと反例ということで
紹介しました
まあねーむずいよなー
クラウドフレアの新しいスコアリング機能
むずいよなー
だってそのウェブ上のコンテンツであってもさ
全部著作権は生じるわけでやっぱり
そうだね
まあそれもガンガン
学習データとして扱ってるよね
うーん
むずいね
確かにそこの境目というか
難しいね
はい次いきましょう
なんかね
2連続か
2連続クラウドフレアの記事を紹介するんですけど
なんかクラウドフレアはAIウィーク的なやつで
記事を大量に出してて
はい
その中から2つだけちょっと
ピックできればという感じなんですけど
1個目が
Introducing Cloud Flare Application Confidence Score for AI Applications
っていう記事でして
これね
へーと思ったんだけど
まあちょっと前提をちゃんと理解できないんで
頑張って話すんですけど
前提って言ってるのは
そもそもそのクラウドフレアが
SSEソリューションを提供してるっぽいんですよね
SSEソリューションが何かはちょっと
詳しく解説できる自信がないんですけど
その中の機能の一つに
SaaS管理的な
SaaS評価的な機能が
おそらくあって
それに関するリリースをしたよ
っていう記事ですね
で
面白いなと思って紹介したなと思ったのは
そのSaaSと
AIのアプリケーションを
スコアリングして評価する
っていう機能が
リリースされてて
で
そのスコアリングのルールが
めっちゃ具体的に書いてあって
結構面白いなと思って
で
どっちも5かな
SaaSも
SaaSとしての評価を
5点満点にやるのと
AIアプリケーションとしての評価を
5点満点にやるっていう二軸になってるんですけど
そうね
例えばChatGPTのフリープランは
SaaSとしては3.3点なんだけど
AIアプリケーションとしては
1点になってて
1点っていうのは多分学習に使われるから
とかなるのかな
この辺の
スコアリングはおもろくて
例えばSaaSのほうだと
SoC2取ってたら0.4ポイントとか
GDPR対応してたら0.4ポイント
って感じでつけてたりとか
データの保持期間みたいなのにも
ポイントがついてとか
かなり詳しく
これは0.2ポイントみたいなの書いてあって
で5点に
近づいていくみたいな感じだったり
AIのほうとかも
既成のほうかな
ISO42001
ちょっと知らないんですけど
AIマネジメントシステムの企画かな
これ取ってたら1点だよとか
セキュリティモデルみたいなのとか
あったり
学習もあるんですね
オプトにしないとトレーニングしないんだったら
2ポイント結構でかいね
ポイント基準だったり
と思うんですけど
その辺で評価してくれるっていうツールを出した
って感じですね
なので利用方法として
使ってみないとなんともですけど
使ってるものを台帳的に管理して
もしかすると
これってどういうスコアですかみたいなのを
評価して
その点数を元に
利用想定としては一定点数下回ったら
ポリシーを変えるとか
そういう使い方でいきそう
おもろいね
裏にある労力がすさましいだろうな
そうね
結構
ね
ある種の評価を
定量的にやるって人類の夢だと思うんだけど
言うはやすしで
かなり難しいというか
一つ一旦これ
MCPサーバーポータルのリリース
もちろん改善し続けるってことは書いてあるんですけど
一旦これでリリースしよう
みたいなところまでこぎつけて
すげえなっていうのと
早めに
ずっと生き残るとは
どうしても思えない
どうだろうね
どうなんでしょうね
これ系のソリューションに詳しくないから
なんとも
言えないなって思うけど
セキュアアクセスサービスエッジか
あれかネットワーク
あれかな
監視して繋いでるサービスを
一覧化してみたいな感じなのかな
難しい
はい
おもろいなと思ったので紹介しました
もう一つが
リモートMCPサーバーの課題
みんな大好きMCPの
話題なんですけど
セキュアリング
アイアイレボリューション
イントロディーシングクラウドフレア
MCPサーバーポータル
これまたクラウドフレアの記事ですね
これは何かっていうと
クラウドフレアMCPサーバーポータルっていうのを
リリースしたって話で
課題感として
MCPサーバーを
みんながっつり使っているが
統制機関性の難しいよね
って話があって
ローカルでJSONでみんな使いたいものを
パパパって書いていて
なんていうか
これは許可してこれはダメみたいな
バージョンはこれはダメみたいな
とかを管理しようってなって
ローカルにみんなローカルにとっちゃってると
ルールを周知して
守ってもらうとか
そういうことするしかないんだけど
だからフリーさんとかあれだよね
会社でMCPサーバー一個立てて
許可したのをそこに組み込んで
みたいなことをしてる
ブログで書いてあったけど
要はそれをやるサービスをリリースしたよ
っていう感じですね
これもちょっと画面触ってみないと
なんともなんですが
コンソールでこのMCPサーバーを
使うみたいな感じで登録すると
一つのポイントから
クラウドフレア側の
認証を通して
使用習近的に使える
MCPサーバーが立てられる
っていう感じっぽいですね
で監査ログも残るし
認証認可周りの細かいポリシーとかも
設定できるし
っていうようなソリューションみたいです
これは便利だね
使ってみたい
ちなみに50シートまでは
無料で使えるっぽいんで
ワンチャン
会社でも試したいな
って気持ち
出てくるよね
こういうの
ないときついよね
ちゃんと統制を効かせたいんであれば
なんか今回取り上げなかったけど
なんだっけな
ポスグレのMCPサーバーかなんかに
SQLインジェクション脆弱性があって
アンソルピックが
アーカイブしたみたいな記事があったりして
どういうことじゃ
どっかに穴があった
いやすげえな
最新の脆弱性情報
でもさ
MCPでしょ
それくらいの
多分こういうSQLを
叩きたいみたいな
SQLインジェクションだから
でもプロンプトインジェクション
だよねおそらく
プロンプトインジェクションが成立したら
データベースに対して
なんでもできちゃうなそりゃそうだろっていう感じだから
あえてSQLインジェクションっていう
表現をしてるんだったらなんか
うん
どこで何予感があるの
そうね
その記事一応貼っとくか
タイトル
タイトルが
ズブレとかで出てくるかな
ズブレ
そうと
ハッカーニュースとかあったと思うんだけどな
パッと出てくるね
後で調べた
ググっても
これかこれだ
データドックのセキュリティラボの記事かな
多分僕はそれを参照してる
ハッカーニュースか
あれを
見たんだな
全然関係ないけどデータドックの
セキュリティラボなんだ
フィードないの
読もう
すぐフィード登録しちゃうんだ
すぐフィード登録しちゃう
これだね
アイスキルインジェクションって言ってるよね
読み取り専用制限を回避して
2位のアイスキルして
なんか保護機構があるんだね
MCPサーバーに
どういう攻撃シナリオなんだろうね
でもあれか
MCPサーバーが立つと
MCPサーバーが立つと
アクセス経路が1個増えるわけだよね
そこで制限して
制限できてないって話か
そうだね
あー理解した
いやーまあそりゃそうだよな
でもさこれアーカイブって結構だよね
もう直せないってことなのかな
なんか
結構
アーカイブするんだって感じ
読み取り専用制限を回避するっていうのが
多分結構難しいんじゃないかな
だって
その
回避するっていうか保護するのが難しいってことだよね
うーん
リードのみのグラントされてるアカウントと
そのグラット全部許されてる
アカウントと
それぞれなんか多分
使い分けるみたいなの
多分しないといけない
ビギントランザクションリードオンリーか
あー確かに
トランザクションレベルでリードオンリーにできるのか
これを回避しちゃったんだ
そうすると多分エンドトランザクションしてるってことでしょ
追加者モニターの
なるほどね
エスケルインジェクションか
あ本当だ
へーおもろ
へー
古き良きエスケルインジェクション
興味深いね
興味深いね
これちょっと紹介してみましょう
もう読んだし
へーこれいつの記事だ
これはね微妙に入ってない
21
前回分なんで
この記事に
へーおもろいやん
ほっとけばよかったな
またmcpかと思って
面白いね
こういうのあったときにさ
この中央信用権管理されてると
もう使えないんで
1回止めますね
でおしまいですみたいな
そうじゃないと
でもこのケースあれか
荷物サーバーが必要だから
どっちにしろ多分大丈夫であるのかな
荷物サーバー
ポスぐらいのmcpが実際どうなのかは
わかんないけど
リモートなのかどうなのかはちょっと
わからんけどなんか普通に環境変数で
IDパスをどうだしてるとかかもしんないし
それはわかんないけど
でもローカルで
まあそうね
技術ケース的にローカルで動かすこと
あんのなさそうな気はするっちゃするな
うーん
まあでも自然言語でくりたたきたくてみたいな
でもさそのためにIDパス
見に行くの結構エグくない
って思っちゃうけど
だったらたぶんまあいいや
はい
ちょっとまあ興味ある人はぜひ使ってみてください
クラウドフレア
ありがたいね
でも原理的にはなんか
作り的にはわざわざリモートにしない可能性の方が高いんじゃないかな
だって
その1枚さ
リモートなmcpサーバーを
ホスティングするレイヤーが必要になるわけじゃん
まあそうだね
うーん
でもその
じゃあポスグレのmcpサーバー使いたい人に
全員に
IDパス配るの結構イヤじゃない
いやイヤだよ
そういうのもあるからアーカイブしたんじゃないの
わかんないけど
作りがちょっとどうなのかが
だってわざわざレイヤー入れない
と思うんだよな
その
認証をどう管理したいかで
リモートで扱うかローカルで扱うか
変わると思ってて個人的に
出会ったとき
ポスグレはその
一箇所で管理したいんじゃないかな
っていう気がするけどな
それはなんか使う側じゃん
作る側視点はそんなの知らんよ
あーやっぱ
作りとしては別にローカルでもリモートでも
動くようになってんじゃないの
mcpサーバー自体
だってだいたいそうなんじゃない
立つ場所が違うだけで
サーバーはサーバーだから
こいつがリモート
サーバーだけどさ
あの
なんだっけ
ネットワークアクセスをどうするか
問題があるでしょ
あーサーバーからポスグレに繋がる
リモートにしたときに
だってあいつ標準入出力でさやり取りするじゃん
あーでも普通にmcpサーバーに
URL指定すればいいじゃん
それで動くはず
そこは何エージェント側で持ってくれるんだ
あのー
mcpあんま使ってないのが完全にバレバレなんだけど
まあ僕も多分
順次で使ってないぐらいなんだけど
例えばFigmaのmcpとかは
URL指定で
動くようになってるはず
えー
あーそうだねこんな感じ
GitHubとかOOS対応したよとか
あーそうなんだ
URL指定できるんだね
そうするとじゃあhttpで
そうそうそうそう
ローカルでnpx叩くっていうのは
多分内部的にはローカルでローカルホストのやつが
立ち上がってそれを見るっていう挙動をするし
ローカルでnpxの場合は
さすがに標準入出力なんじゃないの
あーまあそうかそうか
まあでもその最終的にインアウトは
サーバーの挙動というか
するわけでしょ
いや違うと思うよ
httpでホストすると
httpのレイヤーが一段挟まるでしょ
あれってjsonrpc
とかじゃなかったっけ
いやだめだな完全に雰囲気で話してるな
ってやめよう
jsonrpcっていうのは
別にhttpじゃないので
でもjsonが返ってきてれば
大丈夫なのかな
httpの
レスポンスボディが標準
出力だと思えばいいっていうだけの
話があると思うから
えーちょっともうちょっと勉強しよう
ギターが完全に抹消されてんじゃん
相当強く必要だな
なるほど確かに
勉強して出直してきます
そうかもしれない気がしてきた
うーんそうか
えーめっちゃやだけどな
なんか
もともとIDパス持ってる人が
使う分にはあんまり
いやでもなんか
例えばだけどcloudsklで
ポスクでホストしてて
とかは全然あるんじゃない
まあまあまあそうね
cloudsklフロキシーがローカルで
立ってて
ローカルの
フロキシーしてる方と
アクセスさせてIDパスワードは
ワンパスワードから持ってくると
なんか思ったな
想像してたユースケースは
例えば今まで
エンジニアに依頼して
調査用クエリを投げてたのを
じゃあPDMも自分で
MCPサーバーとセキュリティの脆弱性
自然言語でクエリ投げられるようにしますみたいな
でmcpサーバーとIDパスを配るとか
なのかなと思って
なんかそれはちょっと
変わらないなと思ったっていう感じ
だけどそうじゃなくて普通に
エンジニアはもうちょっと自由に使う分には
まあもともとIDパスワードを
DBAのアクセス権を持ってるって意味では
変わらずに済むなら
別にそれはいいかなみたいな
でもそうなった時に
sklインジェクションの脆弱性が
まあでもmcpサーバーだからな
そこが
リモートで立ってたらさ
そもそもユーザー分けられるんだったらさ
なんていうか
ユーザーを作って渡せばいいだけの話だから
まあそれは
本当にそうだね
パスクリアできるよねさすがにそれの
ISQの世界線にしか
ああでも
NPXで実行だね
ああそうだからやっぱり
アーギメントでアーギメントとか渡してるよ
ちょっと使ってみた記事みたいなの
見てるけど
やっぱ渡してるよ
mcp.jsonに
mcp.jsonに
直書きで
元々そんな感じで
なんでわざわざアーカイブしたんだろう
でももう保護できない
まあそうね保護できない
mcpサーバー間のプロンプトインジェクションも刺さっちゃうから
結局
そういうの考えると
もう使わないに倒すしかないんだな
なるほど
リードミニもNPXと書いてあった
なるほどね
いやーむずいなやっぱ一回
いやー一回実装して
年末年始かな
しかもこれモテリコンテキストプロトコル公式の
あれだったんだね
mcpサーバー
結構でかいね
生だから
金切りなんだね
うんだね
数もめちゃくちゃ多いからね公式
公式のなんか
推奨オフィシャルなのか推奨なのか
ちょっと見れてないけど
いやー
もうちょっとmcpとかが効く仕事もしたいな
そう
素振りというかね
ちょっとなーなんか
微妙にないよね
今あんまない
脳内にはあるよノーションは
普通に使いたいなと思ってるよめっちゃ
なんかレビュー系とか手直し系とか
これmcp使ったら
超楽じゃんっていうのがあんまないんだよな
まあ
そうね
なんかむずいよね
僕ら主戦場がエディターじゃない
っていうのは結構でかいと思うんだよね
まあ確かにね
エディターが主戦場の人はその
わざわざノーション開くとか
わざわざジラを開くとか
フィグマを開くとかなんかそれがもう
エディター上で完結できためっちゃ楽
だけど僕らはもう
まあ分かんない僕らっていうか僕は
コード書くより
難しいなまあコードも書いてるけど
コマンドラインからできたら便利
みたいなものはさ結構あったりするけど
じゃあmcpが必要かって
そこまでじゃないな
まあでもそれで言うと普通にコマンドラインから
mcp繋ぐとかできるだろうから
例えばだけどさ
なんか手元でパッとGitHubの一周作りたい
みたいなmcpいる?
まあそれはずるいよ
だってghコマンドあるじゃん
そうそうそうそう
あるとしたら
あんねんけど
その
むずいな
ひねり出さないと出てこない
ひねり出さないと出てこないレベルだからさ
ひねり出しても
出てくるかどうか分からないレベルだからさ
どこにそのラインがあるのかな
っていまだによく分かってない
なるほどね
まあ難しいな
でなんかそのバックグラウンドで勝手に
色々動いてるみたいな状態をこう
作らないと多分そういうの欲しくなんないのかもね
そうね
そうするとだからやっぱ主戦場が
エディターじゃないっていうのが結構でかいんだろう
うーん
やっぱそれがでかい気はするな
なんか
そうだね
mcpというかやっぱAIのユースケースなんだよな
ノーション上に
なんか
クラウドソネットを使って
何かしたいって思った時は
mcpが一番いい方法に現状となるはずで
うーん
ノーション上でAIで何かしたいとか
ジラでAIで何かしたいみたいなのが
まあなんか
見つけられないとって感じ
うーん
なかなかな
バックグラウンドで色々動かしておいたとしても
なんやかんやお世話いるしな
そうなんだよね
それはなんかお世話の頻度を考えた時に
なんか結構
まあ結局ラインとかでリアルタイムに見て
なんか微妙に
待ち時間がある時は他のことやってる
うーん
なかなか
適応できてない感じがするな
時代に
頑張ろう
2025年中になんとか
適応していきたい
適応していきましょう
えー次もAI
まあこれはさらっとで
いいんですけど
まあおもろと思ったんで紹介で
ニューエアアタックハイズ
データセフトプロンプツイン
ダウンスケールドイメージブリビングコンピューター
AIのユースケースについての考察
の基地で
えーとたぶん
研究結果なのかしらね
うん
AIを攻撃する手法で
画像に隠しプロンプトを仕込んで
プロンプトインジェクションする
これは面白いね
でしょ
ただこれその
昔正直にプロンプト書いて
それをユーザーにアップロードさせるみたいなのは難しいんで
何を
何を考えたかというと
AI各種チャット
UIとかで画像アップロードした時に
内部的にはその画像に対して
そのままの
解像度で処理するんじゃなくて
解像度を落として
変換処理を挟んでから
モデルに加わせるってことをしてるんだけど
その変換処理された時にだけ
プロンプトが浮き上がるような画像を
加工する方法を見つけたよっていう感じですね
でまぁあの
記事の写真を見ると
一発でわかるんで興味ある人は
読んでくださいって感じなんですけど
記事にあるやつだと
真っ黒背景の
なんだこれは
急須か急須とコップ
が書いてあるやつで
処理されると
正確には多分
鉄瓶とかなんか
鉄瓶
鉄かなっぽいけどな
でも陶器とも見えるなちょっとわかんないね
まぁいいや何でもいいよ
それ系のやつで
お湯なりお茶なりを継ぐやつで
そうですね
それの上に文字が浮かべる
で一応ジェミニどれだっけな
まぁ一つ
これに書いてあるやつだなジェミニとかでは
これを悪用して
プロンプトインジェクションが成り立つことは
検証済みっていうので
紹介してるって感じですね
うんおもろいよね
AIというよりかは
AIのシステムを
ハックしてるというか
それはまぁ画像処理する
って感じだけど
あぁそうね
あれか対策としては
その変換した後の画像をユーザーに見せて
これ本当に壊せるけどいいのっていう
プロンプトインジェクションを出すとこでやったらいいんじゃないか
みたいなこと書いてあるけど
うんやってられる感あるよな
そうなんだよね
シナリオで考えると
ちょっと限定的というか
この画像を
アップロードさせるみたいなところまで
どういくのかみたいな
ジャンプが必要だから
今すぐどうこうはないんだろうなと思うんだけど
発想としては
ちょっとおもろいなと思って紹介しました
ありがとうございます
うん
最後ですか
最後でございます
TENXでの3ヶ月の振り返り
株式会社TENXに入社してから
3ヶ月経ちました
静かなインターネット
わーい
おめでとうございます
ありがとうございます
いやーさまるか
3ヶ月経ちましたという話で
なんか
まあ1ヶ月
1ヶ月経ちました記事とかを書こうと思ってたんだけど
書けなくて
まあ3ヶ月で締めに
書きましたよという感じでございます
でまあ入社後にやったこととか
うーんと
まあどの辺が面白いよみたいな話とかを
まあつらつら書いてるような
あとやりたかったけどやれてないこととかね
うん
結構いろいろやってて
なんかセキュリティ
一応なんかうちの会社戦略っていう形で
2年スパンぐらいで
全社でやってたりするんだけど
なんか
セキュリティが絡むやつのリードを
まあ一応入社早々から
してたりするのと
うーん
なんか
なんとなくその
結構ふわっとこう
その戦略のアクションをこう
順々にやっていくっていう感じだったの
もうちょっとこの2週間でこれやろう
っていうのを決めて
まあやりきれることもあればやりきれないことも
あるんだけどまあできるだけ
やりきりに
まあ目標管理のやり方を変えたっていう風に書いたんだけど
なんかそういうことやったりとか
あとなんかセキュリティレビューやったりとか
あとはなんか
メルカリスをセルフホストしようぜ
っていうのでなんかすごい
ジェミニーに騙されたりとかしながら
なんかセルフホストして
なんかすごい時間かかったりとか
あとはコープレートITの
採用活動とかもしてました
のが割とメイントピックかな
はいこんなことやってました
3ヶ月どうでしたか
助かってますよめちゃくちゃ
良かったです
あの
メルカリに
八木吉を誘って入社してくれた時も
同じこと思ったけど
会社の
今後10年の
セキュリティ施策
数字や語られない価値を
僕は出したと思う思って
すごく満足して
満足したらダメなんだけど
あいつは俺が呼んだんじゃスタンスだよ
そうそうそうそう
あいつが
この人がいる世界線といない世界線
いない世界線想像したら怖いでしょ
この人僕が読めましたって
12歳に胸張って言えるだろうな
っていう気持ちで
ありがたい話
本当に助かってますよ
実際にねそう言ってもらえるように
まだまだなんか
なかなか
リモート中心の
働き方の会社だから
存在感を出すって意味では
まだまだやれば
確かにそうかもね
まあ3ヶ月だしね
3ヶ月だしね
そこは確かに
と思いつつ
まあでも結構その
ある
まあその
セキュリティチームの進化
セキュリティチーム云々でなく
ニューメンバーとして
ズバズバ切り込んでくれて
良くなっている部分もあるし
あとはその
入社していろいろキャッチアップして
なんていうか
3人体制が板について
まあ2人の時の
生産性に対して
1.5倍じゃなくて
まあ1.8倍
9倍くらいの生産性で
ぐるぐる回るようになったみたいな部分が
この3ヶ月の成果
かなと思うしそこに注力
してもらってたんだろうなって気は
するから
チームに
チーム外にどう広がっていくか
みたいな
お前誰だよっていう
コメントなんだけど
なんか
そういう気持ちで
まあそうだね
この3ヶ月というと全社に聞く何か
根っこの部分ではもちろん
全社に聞いてるんだけど
やってることのすべてがね
でもなんかもっとダイレクトに
全社に聞いてくる何かみたいなところは
この先の課題というか
どんどんやっていきたいところでは
あるかな
そうね
まあ
割となんか入社初日から
結構忙しかった気がしてて
そうだね
ソフトウェアエンジニアとしてのオンボーディングを
ちゃんとやりたいって話を入社前からしてたんだけど
別にタイプの修正くらいでいいから
直してリリースっていうのを
やりたかったんだけど
まあちょっとやれずにズルズルいっちゃってて
でもこんなん
わからんけど暮らしてればさ
ちょっとずつ察して理解していくものだと思うから
まあ
時間が解決するだろうなと思ってるので
そうだね
今日一個何個かマージしたじゃないですか
そうだね
QAがいるものとかまだやってないから
ああそうね
それは確かにノート的に作りたいね
正直QAがいるようなリリースは
僕ともう一人のメンバー
沢田さんも全然
当分やってない気がするから
確かに
メルカリンの時も
勝手になんとなく
過ごしてたら勝手に理解した
そうなるだろうな
なんか何
神名さんがやってた
留学を超短期でやるとかでもいいかもね
もしかしたら
うちがむずいのは
プロダクションコードが
難しすぎるんだよな
コード塞いがっていう意味っていうよりかは
仕様とか概念が
むずいというか
留学するなら
一ヶ月ぐらい
ちょうどいいかもなって
気持ちになりつつ
ダート書いたことないのに
ダート書いたことないのに
ですよ
ダートどうにでもなるよ
ダート
マジダートのどうにでもなると
どうにでもなんなかったら
ここまで来れてないから
どうにでもなる言語だと思う
読んでて
メンタルモデルを構築しやすい言語と
しにくい言語がすごくあるんだけど
私
ダートはしにくい側なんだよな
そうなんだ
なんだろうね
わからんけど
なんか系譜としては
Javaとかあっち系だよね
そうだと思うJavaだね
モダンJava
多分その
系譜がダメなんだと思う
いける系譜は
なんだろう
いける系譜気にしたことないな
なんか
PHPは結構いけたしな
あれもなんか
特殊中の特殊だよな
語はね大丈夫
PHPいけるなら
ダートいけそうだけど
そうなんだろうね
そこまでちゃんと触れてないだけなのかもしれない
ちょっとわからんけど
なんだろう
外国感はあるかもね
いい表現かわかんないけど
世で見なさすぎるからさ
フラッターとしては見るけどサーバーサイドだとやっぱ
マジ見ないから
そういう部分はあるかもね
やってますという
3ヶ月でございました
あとチームがね
あるっていうのもいいよね
そうだね確かにね
ソフトウェアエンジニアのオンボーディング
一人チームスタートじゃないっていう
受け皿作っててよかったよ
受け皿というかチームというか
なんかあんま
ホイホイ外で話してないけど
なんか
転職するにあたっても結構迷って
何社か迷って
まあ最終的に
テニックスにした中で
チームがすでにあるっていうのは
ポイントとしては大きかった
まあよかったですね
いやー
空発的計画性というか
こうなると
つい思わずに
いやーでも結果論
製造もエースかもしれないけどチーム
作ってよかったなしみじみ
まあ野球
さらっと触れたけど
ソフトエンジニアが
セキュリティやるって絶対
いいと思ってて
それを体現してる人が
2人もいる
いいね
いやー
そもそも
業務委託時代からのサポーターっていうの
いやー
再現性があるといいね
なんか世の中的に
自分の云々というよりかは
世の中的に
でもなんか自明にあるっていう感覚だな
なんか自分の感覚としては
なんか
その
あるある僕もあると思うけど
踏み込む窓口というか
だったり先は
まだまだ少ないんじゃないかなと
あとその
事例じゃないけどその
うん
まあでも自分が知らない時から
コミュニティに顔出してみたいな
バイネームで言っちゃった
ユドフさんとかは
ほんと同じ時期に同じ道をたまたまやった人だったのとかだけど
CISSPまで取ってるから
なんかまあもう行くとこまで行った
そうだね
そういうふうには思ってたけど
うん
なんかそうだね
まあでも知らないだけだろうな
転校してる人はいるんだろうけど
やむにやまれずやってるっていう人はいっぱいいると思うし
うん
いっぱいいる中で
あとはその先何か
別れるとしたら
再現性っていう意味じゃなくて
動機の部分
それに
まあ
そういう人は当然いっぱいいるんだろうけど
うん
個人としてそれを
やりたいと思うかみたいな部分
うん
でなんか結構別れる
確かにね
なんか
いやーおもろいな
やりたいと思ってる人はいて
やりたいのにめっちゃグラデーションがあるイメージあるから
うん
ちょっと目が出てる人をどう引きずり込むかの
うん
なんか意外と少ないよね
うーん
いやでも聞いたりやりたいっていう人はいると思うよ
うーん
まじで
本当機械の問題だと思う
なんかその
例えば僕とか沢田さんみたいに
その
まあ僕らはやむにやまれずパターンに近いっちゃ近いけど
その
やむにやまれずでもやりたいと思ってもいいけど
やりたいってなった時にチームがなくて
そのセクションがないっていうところに対して
引きずり込むって結構なモチベーションとか使命感がないと
そうだね
そこまで行動しない
しかも自分の職務と直接リンクしない
部分だからね
そうだね
でもそこまでの動きを
取るほどじゃないんだけど
例えば
あのプレイドさんの
セキュリティエンジニアの方と一回話した時に
僕が話した当時は
セキュリティエンジニア1人で
どう回してるのかって聞いたら
横串の委員会って言うと表現が違う
セキュリティ
興味あるエンジニア
だからチャンピオン制度にちょっと近いのかも
だけど各チームから興味ある人集めて
週1回
こういうのやろうかとか勉強会とかやる
話をしてて
そういう場があるなら行きたいみたいな人っていると思うんだよね
自分がチーム作るとか
それをやりだすっていうのはないけど
リードしてくれる人がいて
だったら
場があるんだったらやりたいとか
基本的に開発者って
自分の書いたコードで障害が起きたり
起こったり普通に嫌だよね
まあ
嫌ではあるね
根源的モチベーションは必ずあるはずで
だからそれによって
セキュリティをやってないソフトエンジニアは基本的にいなくて
いたらまずい
だから絶対に
ある程度の知識を
持っているわけで
だからその
道は
パスなんだろうな
パスはあるんだけど
モチベーションって
太さが違うし
場があるかないかで踏み出せるか踏み出せないか
結構変わる気がする
でもなんか
そういうの社内じゃなくても場はあるよね
世の中
セキュリティの勉強会って場あるからさ
本当は社内じゃなくても
場はあるはずなんで
ただ業務との直結感みたいな
ところは
薄れちゃうかもしれない
なんとも言えんけど
でもある
むずいな
あるか
コミュニティとかもない気がするんだよな
別にどこにでも顔出せるよ
出せない
ものが別にないと思う
渋谷XSSとか楽しいと思う
まあまあ
いやー
まあでも
そういうところに出てってる人ももちろんいるだろうし
出ててない人もいるだろうから
それはなんか
たまたま見つけてないだけか
興味を持ってないのか
なんなのか
なんか
なんでかわかんないけど
ちょっとあるはずのない壁が
見える感覚はあるんだよな
不思議な感覚
なんだろうな
まあそうね
モチベーション問題か
本気で
モチベーション問題なのかな
わざわざ勉強会に行くぐらい
興味を持つか持たないかの
ラインはある気はする
まあむずいとこだな
ライブエイトでは普通に
いつもGoでコード書いてるんだけど
じゃあGoのカンファレンスとか
行くかというと
個人的には全然行かないし
うん
でもさ仕事で
Goでツール
なんかツール実装しなきゃいけなくて
言われたときにじゃあGoでやろうみたいな
モチベーションはあるでしょ
そういうグラデーションのイメージ
かな
ソフトエンジニアも等しくみんな
セキュリティのことはある程度は知ってるし
興味があんまない人
セキュリティには
限りなくゼロに近い人もいるかもしれないけど
そういうイメージがカンファレンスで行くほど
興味ある人も多分
僕は知らなきゃいっぱいいるんだろうし
あとは手触り感の問題なのかもね
あー
あーそうね
それはそうだね
セキュリティの重要性
主戦場がエディターじゃない問題って置き換えてもいいかもしれない
いいかもしれない
でも主戦場がエディターのセキュリティ
エンジニアもいるのよ
そういう世界もあるんだけど
うん
なんだろうね
いやー
セキュリティが広いって話もあるだろうな
ブロックとセキュリティに近い部分に
食い込んでいくはすごいイメージがあるけど
うん
セキュリティがさらにはみ出てくるってなると
ちょっと結構脱積がない
うーん
なんかセキュリティ規定がみたいな話したらみんな帰るもんな
そうだね帰るかもね
いやーなんか
そうだね
2年3年か3年経って
いろいろインプットして
上で
めっちゃ大事だなって思えるというか
普通に素直に大事だよなと思うようになったもんな
なんかでもその
なんか
映画みたいな話とかもさ
最終的には組織とか
あの
業務フローみたいな部分をどう
なんか構築しましょうかっていう話だから
別に
ある種のエンジニアリングっぽい
領域ではあるよなって思うんだよね
まあそうだね
そういう
そうそうそうものすごく抽象度の高いレベルでの
なんかクリエイティビティみたいな
ところにその
面白さを見出せるんだったら
多分セキュリティやれるんだろうな
と思うし
そうではないよって人は確かに
そもそも向いてないっていう可能性はあって
向いてないというか
なんかその
セキュリティ全般っていうところには
あんまり必ずしも向いてない
っていう感じかな
リリース運用の考察
もしかしたらね
なんかそういう
タイプ別合わないみたいなのが
もしかしたらあるのかもね
ありそう
という感じでニュースなんか
立ちましたというお話でした
まあこれからもお願いします
はい
今日もいっぱい読んだ
多かったね
うん
僕も記事書かなきゃな
今日水曜なんで
日曜までに1本書けば来週話せる
うん
そう思うとリミットあるように感じるけど
マジ1週間って読ますぎてえぐいんだよ
ね
まあ
来週は
エモ会なのかエモ会に
なるかもしれないということで
うん
後半にその1周年の振り返りとかすると
そこで
今日今回おしまいだって言って
切る人とかいるかもね
あの間にじゃあ
30秒ずつ入れとこう
CM
フレミアム
ところで1年経ちました
おもろすぎだろ
なんかさアナリティクスってどこで
離脱したかな見えるんだよな確か
あそうなの
データ貯まったら見てみようかな
一番新しいのあれだけどみんな最後まで聞いてんのかな
長いやつとか
どこだっけ
あこれだ
50%の人が
1時間ぐらいは
聞いてくれてんの面白い
すごいね
結構1時間だし聞いちゃうから
多分ね
30分ぐらいまで60%の人
まあ長いよな1時間って
まあね
まあまあいいんですけど
いつもありがとうございます
感想お待ちしております
お待ちしてます
じゃあそんな感じで
次回もお楽しみにしてください
みなさんおやすみなさい
おやすみなさい
