サイオステクノロジー株式会社 Saman 2026年3月末、広く使われているHTTPライブラリ Axios がサプライチェーン攻撃の標的になりました。 サプライチェーン攻撃とは、利用者が普段から信頼しているソフトウェアや配布経路を悪用して、マルウェアを届ける手口です。今回の事件は「有名なライブラリが乗っ取られた」という単純な話ではなく、現代のソフトウェア開発が持つ構造的な脆弱性を突いた、非常に巧妙なものでした。 本記事は、Elastic Security Labsが公開した調査・分析レポートを中心にもとに

こんにちは、プロダクト部 部長の稲垣です。（自己紹介やこれまでのキャリアについて↓をご覧ください。） tech-blog.rakus.co.jp 2027年3月期の初日ということで、自組織でもキックオフMTGを先月実施しました。プロダクト部が組成されてちょうど1年経ちましたので、昨年度の振り返りと今期の取り組みや今後とその先について、今考えていることをまとめてみました。 ※本記事は、プロダクト部の取り組みを紹介する目的で、執筆時点の考えを整理したものです。状況や学びに応じて、方針や進め方はアップデートして

こんにちは。SCSK株式会社の上田です。 Zabbixに関する、 深刻な脆弱性（CVE-2026-23921） が発表されました。 この脆弱性は、 Zabbixのバージョン7.0.21、7.2.14、7.4.5までのバージョン に影響します。 Zabbixをご利用の方は一度ご覧いただき、対象の場合はアップデート等のご検討お願い致します。 脆弱性情報 概要 ZabbixのAPI機能（include/classes/api/CApiService.php）において、ブラインドSQLインジェクションが可能となる

こんにちは、サイオステクノロジーの佐藤 陽です。 今回は、Azure OpenAI Serviceを複数部門や複数プロジェクトで利用する際に、「誰がどれだけ使ったのか」を見える化するための仕組みを作ってみた。という話を書いていこうと思います。 生成 AI の業務利用が広がるにつれて、Azure OpenAI Serviceを複数部門や複数プロジェクトで共用するケースは珍しくないかと思います。 一方で、運用を始めるとすぐに出てくるのが、誰がどれだけ使ったのかをどう見える化するか、という課題です。 全体の利用

はじめに こんにちは。サーバワークスの林です。 今回は、Amazon Inspectorの最新アップデートについてご紹介します。 これまでEC2の脆弱性管理といえば、SSM Agentなどのエージェントをインスタンスに導入することが前提でした。 しかし2026年3月、Amazon Inspectorがエージェントレスでのスキャン機能を大きく拡張しました。Windows OSのエージェントレス対応と、KBベースのファインディング統合という2つのアップデートです。 本記事では、この内容と実務への影響を整理しま

G-gen の杉村です。2026年3月に発表された、Google Cloud や Google Workspace のイチオシアップデートをまとめてご紹介します。記載は全て、記事公開当時のものですのでご留意ください。 はじめに Google Cloud のアップデート Gemini 3.1 Flash-Lite が Preview 公開 IAM で Service account principal sets が使えるようになった BigQuery の Conversational Analytics が

Saman ログを読まずにルールは作れません。 前回 に続いて今回はDiscoverでイベントの中身を確認しながら、「ログイン失敗を検知する」最初のルールを正しい条件で作ります。ルール作成前にDiscoverで確認する習慣が、後々の誤検知を防ぐ最大のポイントです。 ※本シリーズで使用するデータセットは、 第1回 の記事 からダウンロードできます。 Elastic Securityで始める検知エンジニアリング — 環境構築とログの取り込み（第1回） これから5回に分けて、Elastic Securityを使

昨今、業務で利用するクラウドサービス（SaaS）が増加するにつれて、「過去類を見ないほど業務ファイルが分断され、ファイルを見つけることがますます困難になっている」といった課題を感じていませんか？  「ファイルはDropboxにあるはずだけど、メールやチャットでやり取りしたかも…」「どのツールで届いたか覚えていない」と、1つ1つのツールを開いて探すのは非常に非効率です。 そんな課題を解決するのが、AIを活用した新しいユニバーサル検索＆ガバナンスツール「Dropbox Dash for Busine

「もし朝一番、PCを開くと身代金を要求する英文の壁紙に変わっていたら ……。」 想像してみてください。個人のPCだけでなく、全社員が共有しているファイルサーバーのデータまで一斉に暗号化され、業務が完全にストップしてしまう事態を。今、多くの企業が直面しているランサムウェアの脅威は、もはや「他人事」ではありません。 どれだけ強固なセキュリティソフトを導入しても、100%の防御は不可能です。だからこそ、今求められているBCP（事業継続計画）の肝は、「感染を防ぐこと」ではなく「感染した後に、いかに早く、確実に復旧

こんにちは。 ファインディ株式会社でFindy AI+の開発をしているdanです。 Findy AI+ は、AIツールを導入したけれど、実際にどれくらい効果があるのかという問いに対して定量的に答えるための分析ワークフローを新たにリリースしました。 今回は、これらのワークフローを使って実際にどのような示唆を得られるのかについて実践形式で紹介します。AIツールを導入したものの効果が見えづらいと感じているEMやPdM、チームの活用状況を把握したいエンジニアの方に向けて、MCPサーバーとGitHub Action

目次 はじめに プロジェクトの発足 直面した「2つの壁」 完璧なインポートは幻想（技術の壁） 金融事業ゆえの厳しい制約（コンプライアンスの壁） 現状と今後 もし過去に戻れるとしたら？ Confluence導入時まで戻れたら… Confluence→Notion移行プロジェクト開始時に戻れたら… おわりに はじめに こんにちは。Engineering Officeの kiko です。 今、私はCentral Knowledge Management Committeeのメンバーとして、社内のドキュメント基盤

こんにちは、イノベーションセンターの石禾（GitHub： rhisawa ）です。NTTドコモビジネス内製OT向け侵入検知システム（OT-IDS）であるOsecTの開発・運用・拡販業務に取り組んでおります。 このたび、米国マイアミで開催された大規模OTセキュリティカンファレンスS4x26にOsecTのスポンサー出展および聴講参加してまいりました。本記事では、世界中の専門家が集結した現地の模様と、最新のOTセキュリティトレンドについてお伝えします。 OTセキュリティとは OsecTとは S4x26の概要 ス

はじめに（想定読者） 本記事は、以下のような立場の方を主な想定読者としています。 個人情報・機密情報を扱うシステムの開発者 システムの運用・情シス部門 個人情報管理や情報セキュリティ統制に関する内部監査・自己点検対応を担当する方 内部監査の場では、技術的に高度な仕組みを導入していても **「統制として有効に機能しているか」**という観点で指摘を受けることがあります。 実務では「それ、本当に回っていますか？」と聞かれる感覚に近いです。 本記事では、実際の監査対応の中で繰り返し指摘されやすい5つの事例を取り上

サイオステクノロジー株式会社 Saman これから5回に分けて、Elastic Securityを使ったセキュリティ監視の基礎を、手を動かしながら学んでいきます。第1回はデータの取り込みと、Discover・Securityの両方で見えるようにするまでの環境構築です。 今後の予定 本シリーズでは、以下の流れでステップアップしていきます。 第2回：KQLでログを読み、最初の検知ルールを作る 第3回：Timelineで攻撃の全体像を追う 第4回：EQL / ES|QLで攻撃を自動検出・集計する 第5回：ノイズ

はじめに 弊社では複数の Amazon OpenSearch Service ドメインを運用しています。これらのドメインはいずれも VPC 内に閉じた構成をとっており、セキュリティ強化を目的に きめ細やかなアクセス制御 （Fine-grained Access Control; FGAC）を有効にしています。 FGAC は「誰が OpenSearch 上でどの操作を許可されるか」をロール単位で制御する仕組みです。設定には OpenSearch の Security API を VPC 内から呼び出す必要が