2024/12/20 #44 - 今日の技術情報ダイジェスト

パスキーのメリットとリスク:パスワードレス認証の未来

記事「パスキーの本質 - falsandtruのメモ帳」では、パスキーの目的がユーザーのパスワード入力回数の減少と、企業によるセキュリティリスクのユーザーへの責任転嫁とコスト削減にあると指摘しています。企業はログイン情報流出リスク軽減のためパスキー導入を推進していますが、ユーザーにとってのメリットはパスワード入力の手間とリスクの軽減に限定され、端末紛失・盗難による認証情報喪失リスクも存在すると説明しています。また、パスワードの完全廃止は非現実的であり、パスキーに関する誇大広告の可能性にも言及しています。

falsandtru.hatenablog.com

GitHub Copilot Chatの無償提供開始

GitHubがコーディング支援AI「GitHub Copilot Chat」の無償ユーザーへの開放を発表し、チャット機能が誰でも利用可能になりました。新しいホームサイト「github.com/copilot」も開設され、無償版はIDEコード補完2000回、チャット50回という利用回数制限がありますが、有料プランでは高度なAIモデルと制限なしの利用が可能です。Visual StudioとVisual Studio Codeにも対応しています。

forest.watch.impress.co.jp

Amazonのオフィススペース不足による出社延期

米アマゾンが、2025年1月開始予定だった週5日出社を、オフィススペース不足のため、7都市で数カ月延期することを日本経済新聞が報じています。対象は事務系・技術系社員で、米ブルームバーグ通信の報道に基づいています。この件は、ビッグテック企業のオフィス戦略や働き方改革に関する議論を改めて喚起する可能性があります。

www.nikkei.com

レセプトシステムのマイクロサービス化

LITALICOのエンジニアが、レセプトシステムのアーキテクチャ刷新について解説しており、3年に一度の法改正対応という課題に対し、30種類のサービスに対応するマイクロサービスアーキテクチャ「Rezept as a Service」への移行事例を紹介しています。モノリシックなシステムからマイクロサービスへの移行、コアドメインの蒸留と依存関係の逆転による開発効率と品質向上、スキーマ駆動開発、APIシナリオテスト、自動化による高品質なシステム構築について詳細に説明されています。

zenn.dev

TP-Link製ルーターの米国販売禁止検討

米国当局が、安全保障上の懸念からTP-Link製のルーターの使用禁止を検討しているとの報道があり、サイバー攻撃への懸念が背景にあるとされています。中国の国家支援ハッカー集団「Storm-0940」の活動も関係している可能性が指摘されており、数百万台のアメリカ家庭で使用されているルーターが対象となる可能性があります。この報道を受け、競合するネットワーク機器メーカーの株価上昇も観測されています。

internet.watch.impress.co.jp

ペアプログラミングのメリットとデメリット:強制ペアプロからの脱出

前職でペアプログラミングを100%強制された経験から、生産性向上効果の一方で、長時間強制やソロプログラミング否定の雰囲気、フロー効率の過剰重視といったアンチパターン、ならびに人疲れ、意見衝突、思考の制限、学習妨げ、休息制限といったデメリットを経験し、最終的に退職に至った事例が紹介されています。現在は状況に応じてスポット的にペアプロを活用し、タスクの細分化と組み合わせることで効率的な開発を実現しており、ペアプロは万能ではなく、柔軟な使い分けが重要であると結論付けています。

qiita.com

GitHub Copilotの無料プラン提供開始

マイクロソフト傘下のGitHubが、AIコーディングアシスタント「GitHub Copilot」をアップデートし、無料プラン(制限あり)を提供開始しました。CopilotはVisual Studio Code上で動作し、プログラマーがコードを入力する際に、AIがコードを予測・提案する機能を提供します。今回のアップデートでは、AIモデルの拡充(Anthropic Claude 3.5 Sonnet、OpenAI GPT-4など)により、より高度なコード補完が可能になり、性能も向上しています。有料プランは月額10ドルから2000ドルまで幅広い価格帯が用意されており、無料トライアルも利用可能です。

www.itmedia.co.jp

TP-Linkに対する米国のセキュリティ調査と販売禁止の可能性

アメリカの規制当局が、世界最大のWi-Fi機器メーカーであるTP-Link社を、製品のセキュリティ上の欠陥と中国政府系ハッカーによる攻撃への利用可能性、および独占禁止法違反の疑いについて調査しており、最悪の場合、アメリカ市場からの販売禁止措置が科せられる可能性があります。この調査は、中国製機器への懸念の高まりと、以前のHuawei排除事例を踏まえたもので、今後の中国企業の米国市場における展開に大きな影響を与える可能性があります。

gigazine.net

2024年のCSS新機能まとめ

2024年に注目すべきCSSの新機能として、JavaScript不要でコンポーネントサイズ調整やアニメーション(field-sizing, interpolate-sizeプロパティなど)、排他的アコーディオン等のUI部品作成(details要素)、スクロールバーカスタマイズ・スクロール連動アニメーション・ビュー遷移API、開発者体験向上のための::backdrop疑似要素・light-dark()関数・@propertyなどが挙げられます。これらの新機能により、Web制作における効率性と表現力の向上が期待できます。

coliss.com

Intel Core Ultra 200Sのゲーム性能改善計画

Intel Core Ultra 200Sのゲーム性能に関する複数の問題が、Windows電源プラン設定、Intel APOの不具合、Easy Anti-Cheatとの相性問題、BIOS設定ミス、マイクロコード/ファームウェアの未更新など5点に起因することが判明し、性能が6~30%低下していた可能性が指摘されています。Intelはこれらの問題をWindowsアップデートやBIOSアップデートで既に、もしくは2025年1月に解消する予定であり、再発防止策も実施すると発表しています。

pc.watch.impress.co.jp

TVer Webフロントチームの内製化

TVerのWebフロントエンドチームは2024年3月から外部委託から内製化を開始し、ReactやNext.jsなどの技術を用いた開発環境の改善、開発プロセスの改善、チームメンバーの採用、ドメイン知識の習得などを進めています。記事では、その内製化への道のりと、技術課題の解決、チーム拡大に向けた今後の展望について、エンジニアの永井さんが解説しています。現在も採用活動を行っています。

techblog.tver.co.jp

E2Eテスト自動化の3度目の挑戦

ニーリー社のQA/SETエンジニアが、Laravel Dusk、MagicPod、そして現在使用中のAutifyと、3度目のE2Eテスト自動化への挑戦を経験に基づいて解説しています。過去の経験からコードベースとノーコードツールの両方を使い分け、そのメリット・デメリットを理解しており、現在はAutifyを用いた自動化における課題と、ユーザー行動に沿ったテストシナリオの作成、他テストとの役割分担、シナリオ分割、さらにはノーコードとコードベースのハイブリッド活用といった改善策を検討しています。

nealle-dev.hatenablog.com

様々なユーザー認証方式のリスクと対策

パスワード、パスキー、生体認証など、あらゆるユーザー認証方式には、何らかの理由で利用できなくなる可能性があり、その際のリカバリ方法が重要です。特にパスキー導入は利便性向上とセキュリティ向上という二つの目的があり、セキュリティ向上を目的とした場合はリカバリが複雑になりがちです。ユーザーにとって負担にならないリカバリ設計が求められ、サービス提供者は様々な認証方式とリカバリ方法を組み合わせ、利用できなくなるリスクを最小限に抑えたシステム構築を検討すべきであり、パスワードは特にリスクが高いものの、他の方式にもリスクは存在することを理解する必要があります。

ritou.hatenablog.com

ObsidianとCursorを用いた情報管理システム

WebエンジニアがObsidian、GitHub、AWS S3、Kindle、Ankiなどを活用した情報管理システムと、その構築方法、特にCursorを用いた効率化について解説しています。Zettelkasten方式によるObsidianでのノート管理、GitHubを用いた同期、AWS S3での画像保存、KindleハイライトやWeb記事のObsidianへの取り込み、Cursorを用いた効率的な情報整理、Ankiデッキの自動作成、タグ付けによる検索効率化などが詳細に説明されています。

note.com

本番サーバ停止事故:shutdownユーザーアカウントの誤使用

本番サーバーでパスワード不要の「shutdown」ユーザーアカウントが誤って使用され、サーバーが停止した事例です。このアカウントはログインと同時にサーバーをシャットダウンする設計になっており、本番環境での操作前に検証環境での確認が不足していたことが原因です。本番環境では、未確認のアカウント操作や安易な操作は大きなリスクとなるため、慎重な作業と事前に検証環境を用いた確認が不可欠であることを示唆しています。

qiita.com

GitHub CopilotのVS Code向け無料プラン

GitHub CopilotのVS Code向け無料プランが発表されました。GitHubアカウントのみで、月間コード補完2000回、チャットリクエスト50回が無料で利用できます。GPT-4とClaude 3.5 Sonnetモデルを使用し、Copilot Edits(多ファイル編集)、音声入力、ターミナルでの利用など新機能が追加されました。カスタム指示による詳細なコード生成制御や、プロジェクト全体を理解するAI機能も搭載されており、無料プランはVS Code以外にもGitHub.comやVisual Studioでも利用可能です。

code.visualstudio.com

新規プロジェクトにおけるフロントエンド技術スタック

e-dash社フロントエンドチームが新規プロジェクトで採用した技術スタックについて解説しています。Next.js(App Router)と社内製のTailwind CSSベースのUIライブラリe-dash uiをフレームワーク/UIライブラリに、Vitest(ユニットテスト)、Playwright(E2Eテスト)、Chromatic(VRT)をテストツールに、TypeSpec(APIスキーマ定義)、Orval(コード生成)を採用し、さらにESLint、Prettier、Storybookなども導入した詳細な技術選定理由や運用方法などが紹介されています。

zenn.dev

ASUS ProArt PX13(HN7306)レビュー

ASUSの13.3型2in1ノートPC「ProArt PX13(HN7306)」のレビュー記事です。Ryzen 9 HX 370プロセッサとGeForce RTX 4070 Laptop GPUを搭載し、約1.38kgと軽量ながら高性能を実現しています。高解像度OLEDディスプレイ(DCI-P3 100%カバー)による高い色精度でクリエイティブワークに最適で、タブレットモードやペン入力にも対応、MIL-STD-810H準拠の堅牢性も備えています。強力なCPU/GPUと優れた冷却システムにより高負荷作業も安定し、Adobeアプリ連携機能やAI画像生成アプリなどクリエイター向け機能も搭載されています。

pc.watch.impress.co.jp

GitHubのAI、機械学習、ソフトウェア開発情報

GitHubがCopilotの利用者数が1億5千万人を突破し、VS Code向けに無料プランを提供開始したことを発表しました。記事では、AIコード生成ツールCopilotの現状と、無料プラン導入による開発者への影響、GitHubが提供するAI、機械学習、ソフトウェア開発に関する様々なリソースについて解説しています。企業向けのAI導入支援やDevSecOpsに関する情報も含まれています。

github.blog

Vimを用いた効率的なテキスト編集手法

vimにおける効率的なテキスト編集手法として、ドットリピートによる直前変更の繰り返し、マクロによる複数操作の記録と実行、多重繰り返しによる選択範囲内の特定箇所の繰り返し処理、外部コマンド連携による選択範囲の外部コマンド処理、vimscriptを用いた使い捨て関数による高度な編集、そして組み込み関数やメソッド記法を活用した効率化について解説しています。

zenn.dev

OSINT入門と認知バイアス対策

NTTコミュニケーションズのエンジニアブログ記事「OSINTerへの道 ~入門編~」では、公開情報(OSINT)を用いた情報分析の重要性と、分析における認知バイアス(確証バイアスやアンカリング効果など)とそのリスク、そして認知バイアス対策として有効な競合仮説分析(ACH)の手法について解説しています。OSINTとは公開情報から分析により知見を得るプロセスであり、ACHは複数の仮説を比較することで客観的な結論を導き出す分析手法です。

engineers.ntt.com

Linuxサーバセキュリティ監視プラクティス

Linuxサーバのセキュリティ監視を強化するためのベストプラクティスとして、Sysmonとauditdを中心とした方法を解説した記事です。auth.log、secure.log、auditd、Sysmon for Linuxといった主要なログソースからのログ収集にSplunkを用いる方法が紹介されており、MITRE ATT&CKやSplunk Security Contentsとの関連性も説明されています。また、各ログソースのデータ容量(ラボ環境での計測値:auth.log/secure.log: 数MB/日、auditd: 2-3GB/日、Sysmon: 3-4GB/日)も提示され、次回の記事ではauditdとSysmon for Linuxの設定・チューニング方法が解説される予定です。

qiita.com

時系列データの交差検証法の問題点と代替手法

時系列データの予測モデル評価において、従来の交差検証法が自己相関を考慮していないため不適切であること、およびHyndman流時系列交差検証法の問題点(理論的根拠不足、ランダム性欠如など)が指摘されています。代替手法としてホールドアウト法や繰り返しホールドアウト法が紹介され、論文の検証結果から、ブロック交差検証法が定常データで有効だが、非定常データでは繰り返しホールドアウト法が優れていると結論付けられています。

zenn.dev

AIアナウンサーの登場とTV制作現場への影響

DeepBrain AI社のAIアナウンサーが80言語に対応し、ノーミスの原稿読みを実現したことで、TV業界におけるAI活用が加速しています。高品質なアバター生成技術はNECなども開発しており、リアルタイムでの高精細な映像制作が可能になることで、コスト削減や効率化に繋がることが期待されます。今後、AIアバター技術の更なる発展により、表現力や機能が向上することが見込まれます。

www.itmedia.co.jp

TypeScriptのBranded Typeベストプラクティス

TypeScriptのBranded Typeに関するベストプラクティスを解説した記事で、プリミティブ型を区別可能な型に変換する手法、特にunique symbolを用いた実装方法とその利点、unique symbolを使わない場合の型安全性の問題点、カプセル化のためのモジュール内でのシンボルの秘匿化などが詳細に説明されています。

qiita.com

HTML alt属性の適切な設定方法

HTMLのalt属性について、アクセシビリティとマシンリーダビリティの両面から詳細に解説した記事です。alt属性の適切な設定方法、画像の内容だけでなく文脈を考慮した設定、装飾画像への空文字列の設定などを網羅しています。

alt.lavoscore.org

Microsoft CopilotによるOffice作業効率化

マイクロソフトが提供するAIアシスタント「Microsoft Copilot」が、Excel、Word、PowerPointといったOfficeアプリで利用可能になり、データ分析、文章作成、プレゼンテーション作成の効率化に大きく貢献します。具体的には、Excelではチャットでの指示によるデータ分析、Wordでは文章の要約・書き換え・下書き作成・表作成の支援、PowerPointではデザインテンプレート作成やスライド追加の支援といった機能が提供されます。ただし、Copilotの利用には有料版のMicrosoft Copilot Pro、またはMicrosoft 365 Copilot契約が必要となります。

www.lifehacker.jp

新卒エンジニアのマネジメント挑戦と事業・個人成長

Speeeの新卒3年目エンジニアが高島さんが、大規模プロジェクトリーダー経験をきっかけにエンジニアリングマネージャー(EM)を目指し、事業戦略の理解とメンバーの目標設定に取り組んだ経験、事業成果・開発成果・個人成果の繋がりを理解しマネジメント手法を改善した過程、そしてEMという肩書きにとらわれず事業貢献を重視する今後の展望について記述しています。

tech.speee.jp

Let's Encryptによる新TLS証明書の提供開始

Let's Encryptが、従来の最大90日間から最大6日間有効な新しいTLS証明書を提供開始したことを発表しました。Let's Encryptは無料で利用できるTLS証明書発行機関であり、インターネットセキュリティ研究グループ(ISRG)が運営しています。この新しい証明書は、従来の証明書と同様に自動更新機能を備えており、1アカウントにつき最大500枚発行可能です。

www.itmedia.co.jp

設計の重要性と仕様変更への対応

食べログ開発エンジニアの新卒2年目が、テスト画面作成を通して設計の重要性を痛感した体験談です。設計の不足を指摘された経験から、要望把握、業務洗い出し、役割分担といった開発プロセスの重要性を学び、しっかりとした設計が仕様変更への対応を容易にすることを認識しました。今後の設計スキル向上に向け、AI活用なども検討しているとのことです。

tech-blog.tabelog.com