こんにちは。ペネトレーションテストサービスの実査を担当している戸谷と、ペネトレーションテスト部門のマネージャーとしてセキュリティコンサルタント兼テクニカルコミュニケーターをしている川島です。 2020年11月に「脆弱性診断とペネトレーションテストの使い分け」についての情報発信を行ってから、約4年が経ちました。当時の「脆弱性診断とペネトレーションテストの違いがよくわからない」状況から、2025年現在の脆弱性診断やペネトレーションテストを取り巻く環境は少し変化している印象を受けます。具体的には、各種のセキュリティ基準や会社のルールなどで「脆弱性診断だけではなく、ペネトレーションテストを実施すること」というルールが定められているケースを多く目にするようになり、脆弱性診断とは異なるセキュリティテスト（以下、テスト）としてペネトレーションテストの実施を要求するケースが増加していることを感じます。 こ

1. Walter’s Walk (1982) 「『Coda』のこの曲のヴォーカルが音楽と同時に録音されたものかどうかについては、議論の余地がある。おそらくそれがこの曲にまとまりがない理由を説明している。曲は目的もなくただ流れ、さまざまな構成要素が説得力を持ってまとまっていない。バンドの通常のアルバムに収録されない曲には、しばしば理由がある。この曲を聴けば、その理由が分かるだろう」

Intro 震災の直後、復興のさなかに水害が起こり、再び全てが流される。能登の人々にとっては大変な 2024 年だったと思う。首都直下型や南海トラフはいつ起こってもおかしくないと言われ、戦火すら他人事ではなくなっている。 家に災害用の備蓄を用意するのと同様、定期的に「アカウント防災訓練」を個人的に実施するようになって数年経つ。 観点は「 今、持っているものを全て失っても、リカバリできるだろうか? 」だ。 現代のアカウントの管理は、リテラシがある程度高い人間にとっても、十分に複雑になってきている。 "Password Less" が叫ばれているが、現状 Password は無くなっているというより集約されている。つまり "Less Password" で残る「最後の Password」を起点に、どう全体を復元するかが災害時リカバリの課題だ。これに失敗して全てが詰むと、仮に無事避難できたとして

クレジットカード大手のMasterCardで、2020年から2025年にかけての5年間、DNSサーバー名の設定にミスがあり、誰でもトラフィックを傍受したり迂回させたりできる状態になっていたことがわかりました。 MasterCard DNS Error Went Unnoticed for Years – Krebs on Security https://krebsonsecurity.com/2025/01/mastercard-dns-error-went-unnoticed-for-years/ セキュリティ専門家のブライアン・クレブス氏によると、MasterCardは、「mastercard.com」のDNSサーバーとしてAkamaiのサーバーを使用しています。本来、DNSの設定で「akam.net」のサーバーを指定しなければならないところが5つあるのですが、そのうち1つが1文字足

2025年1月24日、OpenAIはウェブ上のタスクを自動実行するAIエージェント「Operator」を公開しました。 ユーザー専用のリモートブラウザを使ってサイトを閲覧・操作し、さまざまなタスクを自動化できます。 現在はアメリカのProユーザー向けの研究プレビュー版として提供されており、OpenAIはユーザーからのフィードバックをもとに機能を改善しながら、将来的にはPlusやTeam、Enterpriseへの展開も検討されています。 「Computer-Using Agent（CUA）」とは？Operatorの中核にあるのが、新しいモデルである Computer-Using Agent（通称：CUA） です。 GPT-4oの視覚的能力と強化学習による推論力を組み合わせることで、 画面上のボタンやフォームといったグラフィカルユーザーインターフェイス（GUI）を解析し、マウスやキーボードとい

バブル的な急騰を演じていたポケモンカードの中古価格が下がっている。主要なカードの平均価格は2023年夏のピーク時から一時7割安になった。供給が増えて品薄感が和らぎ、投機的な買い占めが落ち着いたためだ。一般消費者にも買いやすくなったことでファンの裾野が広がっている。ポケモンカード（ポケカ）は人気ゲーム「ポケットモンスター」が題材のトレーディングカード。ピカチュウなどのポケモンやゲームに出てくる道

電子証明書を使ったWebアクセスのルールを決める業界団体「CA/Browser Forum」が2024年11月14日、これまでの運用を変更する決議を行った。その結果、「Sunset the use of WHOIS to identify Domain Contacts and relying DCV Methods（WHOISを使用したドメインの連絡先の取得とDCV方式を廃止）」が採択された。CA/Browser Forumに参加する、証明書を発行する認証局（CA）やWebブラウザーベンダー、ドメインを管理するレジストリなどは、採択された内容について2025年1月15日と7月15日の2段階で従う。 決議内容にあるWHOISとは、ドメインの登録者情報のデータベースで、各トップレベルドメイン（TLD）のレジストリが管理する。また、DCV（Domain Control Validation、ド

ブライアン・イーノ（Brian Eno）は英ガーディアン紙の新しいインタビューの中でAIについて話しています。「私はかなり長い間、AIアーティストに近い存在だった」と話すイーノは自らの経験から、芸術には人間の直感と判断が不可欠だと主張。イーノはまたAIは平凡さを生み出すとも語っています。 「先日、ある人から“AIが作った作品で泣かせてくれたら、AIに興味を持つよ”と言われたが、それはとても良いテストだと思った。何かが作られる際に意図性を想定しなければ、それは不可能だと思う」 イーノは、もし何かを聴いて感動したとしても、それがAIによって作られたものだと知ったら、今感じた感動は否定されてしまうのか？と質問され、こう話しています。 「まあ、私の音楽の多くは、似たような方法で作られている。実際、音楽を制作するシステムを考案したり設定したりして、私はかなり長い間、AIアーティストに近い存在だった。

タリーズコーヒーで働いていた元アルバイトが、バイトを辞めた理由を「はてな匿名ダイアリー」に投稿し、波紋を呼んでいます。 【画像】タリーズコーヒー 投稿者によれば、「自宅でレシピやオペレーションを完全に全部覚えてこい」と指示されたものの、「全部見て覚えるとなると丸一日はかかる」といいます。さらにその分はアルバイト代は支払われないといい、「納得いかないので全然マニュアルを読んでいなかったら、店長にガン詰めされた」と明かしました。 こうした不満から「タリーズコーヒーで働き始めて3ヶ月。バイトを飛ぶことにした」。つまり、アルバイトを辞めたそうです。 ●タリーズはどう答える？タリーズコーヒーを運営するタリーズコーヒージャパンは、投稿内容について「驚いている」と前置きした上で、「​​eラーニングについては就業時間内に使用するものであり、自宅での確認を強制するような指示は一切していない」と話します。 同

パスタやうどん、ラーメンなど、サクッと作れて失敗しにくい麺料理は1人家メシの定番ですね。とくに昨年後半からの米の値上がりで、“麺食い率”がますます高くなったという人は少なくないはず。 ということで今回は『メシ通』でご紹介してきた麺レシピから、寒い季節に体を温めてくれる「辛くてウマい麺レシピ」を集めました。 フライパン1つ、鍋1つでできるものから、少ない材料で作れるもの、野菜がたっぷり食べられるもの、ビールに合うものなど、冬メシのローテーションに入れたくなるレシピがきっと見つかりますよ！ INDEX ▽01:フライパン1つ。スープで麺を茹でる「ペペロンチーノ風スープスパ」がラクでウマい ▽02:ニラとにんにくが香る餃子っぽい味の「スタミナペペロンチーノ」元イタリアン料理人のレシピ ▽03:具なし、あえて焦がすワンパンパスタ「暗殺者のパスタ」元イタリアン料理人のめちゃくちゃ辛くて濃厚なレシピ

初めてAWSを使っていくときに読んでおきたいセキュリティの覚書、管理者編です。これからAWSの管理者となる人は是非読んでください。あるいは管理者を任せる方が活用してください。 こんにちは、臼田です。 みなさん、AWSのセキュリティ気にしてますか？(挨拶 今回はこれからAWSを使う組織や使い始めた組織向けに、AWSセキュリティで絶対に覚えておく必要があることを解説します。 この記事を読んでいただければ、自信を持って安全にAWSを利用し始められます！ なお、初めてAWSを使う利用者に向けた記事として初めてAWSを使うときのセキュリティ覚書〜利用者編〜 | コラム | クラウドソリューション｜サービス｜法人のお客さま｜NTT東日本を先に掲載しています。本記事はこの続編で管理者としての内容を綴っていきます。まだ読んでいない方は先にそちらをご覧ください。 目次 前置き〜AWSの管理は大変？〜 組織に

Google Cloudは生成AIのGeminiがSharePoint、Googleドライブ、Confluence、JIRA、ServiceNowなどと接続して情報を読み取り、自然言語によるプロンプトに自由に応えてくれる新サービス「Google Agentspace」を発表しました。 Google Agentspaceは企業データを統合する Google CloudはGoogle Agentspaceを、すべての企業データを統合するエージェントと位置づけており、GmailやG……

Next.js v14からServer Actionsがstableリリースとなり、開発体験だけでなく、ユーザ体験(ハイドレーションの完了を待機せずフォーム操作ができる、プログロレッシブ•エンハンスメントなど)の向上が見込まれます[1]。 今回は、Next.jsのServer Actionsを実装する上で注意しなければならないセキュリティ懸念事項とその対策を提案します。 Server Actionsとは formからsubmitされた際の処理(DBの更新等)をサーバサイドで非同期で実行できる関数です。ReactのServer ComponentsだけでなくClient Componentsからも呼びだすことができます。つまり、formがsubmitされた際のDB更新などの処理をわざわざエンドポイントを立てずに関数として書くことができます。[2] Server Actions(またはServ

2024年末に金融資産の評価額が一億円を突破した。 資産構成は下記の通り。 ・投資信託（MSCIコクサイインデックス　為替ヘッジなし） 7,000万円（うち含み益4,500万円） ・確定拠出年金　200万円（適当なバランスファンド） ・普通預金等　2,900万円 私のプロフィールと自分語りを少し。 就職氷河期末期に就職した40代前半。私大文系卒。男性。独身。借家住まい。 現在の年収は600万円。非IT系。 趣味ははてな等のインドア系なのでお金はかからない。 幸いにも就職先が比較的福利厚生の厚い会社で、車も持っておらず入社直後の可処分所得は同年代よりあった。（本人の能力の問題かその後はあまり昇給していない） なお、大学の同期は公務員か、はたまたブラック企業で病んで退職するかリストラされるかだった。退職後にIT系の個人事業主になった人は、今では都内にタワマンを買ったりして私以上に羽振りがよさそ

12/19、日立製作所横浜研究所の中に衝撃が走った。 事実。1/15を以って、私は日立製作所を退職する。 (1) 辞めた理由 = 未来のため「日立を辞めるのはもったいない」と何回も言われた。確かに、日立で働くことにいくらかの意味はある、そういう企業ではある。ではなぜ辞めるのであろうか？一言でいうと、自分の、技術者としての将来のためである。私にとって、特にこの半年は、自分の未来が失われている感覚しかなかった。だから、辞めようと思った。 転職活動の途中、私は転職エージェントにこう言われた。「あなたはまだ若いし才能があるのだから、リスクを恐れずに挑戦した方がいい。そうすることが、将来のリスクをminimizeすることになる。はっきりいって、日立のような日本型の大企業でのキャリアは、外からは評価しようがない。むしろ、年数が経つにつれて、その中に最適化された人間だと思われる可能性が高い」。当時、転職

生成 AI の利用に関する暫定的なガイドライン（令和5年7月4日公表） 文部科学省では、生成 AI に関する政府全体の議論や G7 教育大臣会合における認識の共有、幅広い有識者や、中央教育審議会委員からの意見聴取を経て、主として対話型の文章生成 AI について、学校関係者が現時点での活用の適否を判断する際の参考資料として、「初等中等教育段階における生成 AI の利用に関する暫定的なガイドライン」を令和5年7月4日に取りまとめ・公表しました。 (令和5年7月4日)初等中等教育段階における生成AIの利用に関する暫定的なガイドライン (PDF:3.1MB) 生成AIの利用に関するオンライン研修会 教育での生成AIの利用について、「初等中等教育段階における生成AIの利用に関する暫定的なガイドライン」を踏まえ、その方向性や活用事例等をシリーズで解説します。 研修会のアーカイブはこちら 特集!生成AI