はじめに こんにちは。メルカリのAI Securityエンジニアの @hi120ki です。 メルカリでは、AI Agentサービス Devin を社内の複数チームに展開しています。Devinは自律的にコードの調査・作成・PR提出までをこなせるサービスですが、組織として運用するうえでは管理上の課題がいくつかあります。 本記事では AI Securityチーム がAI Agent Platformチームと協力し、Devin Enterprise APIを活用したカスタムTerraformプロバイダーと自動管

概要 インターネットセキュリティの重要性が日に日に増していく中、 SSL/TLS サーバー証明書の最大有効期間が 2029 年までに段階的に短縮されることが決定しました。 この短命化の波において、今回は「Certbot」というツールに注目し、証明書取得・更新の自動化について記事にさせていただこうと思います。 Certbotは、ACME（Automated Certificate Management Environment）プロトコルを利用して証明書の自動取得・更新を行うためのクライアントツールです。 ま

本記事は 2026 年 3 月 12 日に公開された Ryan Yanchuleff, Kartik Rao, Arnab Satpati による “ Enterprise governance: control your MCP servers and models ” を翻訳したものです。 AI コーディングツールを評価するエンタープライズのセキュリティおよびコンプライアンスチームは、一貫して 2 つの機能を優先しています。MCP サーバー接続の一元管理と、組織全体で使用される AI モデルのガバナン

セキュリティサービス部 佐竹です。 本ブログでは、AWS Direct Connect に関する2つの新しいアップデートについて、その有効性をまとめました。1つ目が DX が BGPモニタリング用の CloudWatch メトリクスを追加したこと。2つ目が CloudFormation サポートが発表されたことです。

本記事では、情報サービス産業協会（JISA）が主催する第4回技術コンテストの運営を題材に、不確実性の高いプロジェクトをどのように設計・運営するかについて整理したいと思います。 本記事は、技術コンテストの運営経験がある方や、イベント・プロジェクトをリードした経験のあるエンジニア・リーダー層を主な読者として想定しています。 JISA第4回技術コンテストとは 情報サービス産業協会（JISA）第4回技術コンテストは、各企業の若手エンジニアを対象に、総合的な技術研鑽の機会を提供することを目的とした取り組みです（詳細

本記事は 2026 年 4 月 2 日 に公開された「 Agentic AI for observability and troubleshooting with Amazon OpenSearch Service 」を翻訳したものです。 Amazon OpenSearch Service は、組織のオブザーバビリティワークフローを支えるサービスです。Site Reliability Engineering (SRE) チームや DevOps チームは、テレメトリデータを集約・分析する統合ビューとして活用

はじめに 本稿は、2026 年 03 月 20 日に公開された “ Migrate Amazon CloudFront public origins to private VPC origins ” を翻訳したものです。 この記事では、さまざまな戦略を使用して  Amazon CloudFront  のパブリックオリジンを  Amazon Virtual Private Cloud  (Amazo

サイオステクノロジー株式会社 Saman アラートは「何かが起きた」という通知にすぎません。「本当に攻撃なのか」「何をされたのか」を判断するには、アラートの前後に何が起きていたかを調査する必要があります。今回はTimelineを使って、ポートスキャンから始まりデータ持ち出しで終わる一連の攻撃を5つのフェーズに分けて追います。 シリーズの前の回 1回目 2回目 Elastic Securityで始める検知エンジニアリング — 環境構築とログの取り込み（第1回） これから5回に分けて、Elastic Secu

『 先端技術ナビゲーター：量子AI・次世代技術の評価と展望 』 量子技術、次世代AIなど、実用化フェーズ手前の先端技術について、 技術的な深掘り調査と実装可能性の評価を行うマガジンです。 学術論文の体系的レビューを通じて、技術の現在地、解決すべき課題、 実用化までのマイルストーンを明確化。大手企業が中長期的な技術ロードマップを策定する際に、「この技術をいつ、どう取り入れるべきか」の判断を支援する知見を提供します。

はじめに こんにちは！サーバーサイドエンジニアの酒井です。 私たちのチームでは先頃、開発で利用している GitHub を Terraform によるリポジトリ管理に移行しようとし、断念するということがありました。この記事では、なぜそのような結論に至ったのか経緯を含め説明し、得られた知見を共有したいと思います。 課題 プロジェクトに着手した時点で、セーフィーにおける GitHub 運用にはいくつかの課題がありました。 一つ目は、「リポジトリに対するアクセス権の管理が不明瞭・非効率」であったことです。 セーフ

本記事は 2026 年 3 月 16 日 に公開された「 Agentic AI in the Enterprise Part 2: Guidance by Persona 」を翻訳したものです。 これは、AWS Generative AI Innovation Center (以下「GenAIIC」)による2部構成シリーズのPart IIです。Part Iをご覧になっていない方は、「 Agentic AIの運用化 Part 1: ステークホルダー向けのガイド 」をご参照ください。 Agentic AIへの

サイオステクノロジー株式会社 Saman 2026年3月末、広く使われているHTTPライブラリ Axios がサプライチェーン攻撃の標的になりました。 サプライチェーン攻撃とは、利用者が普段から信頼しているソフトウェアや配布経路を悪用して、マルウェアを届ける手口です。今回の事件は「有名なライブラリが乗っ取られた」という単純な話ではなく、現代のソフトウェア開発が持つ構造的な脆弱性を突いた、非常に巧妙なものでした。 本記事は、Elastic Security Labsが公開した調査・分析レポートを中心にもとに

こんにちは、プロダクト部 部長の稲垣です。（自己紹介やこれまでのキャリアについて↓をご覧ください。） tech-blog.rakus.co.jp 2027年3月期の初日ということで、自組織でもキックオフMTGを先月実施しました。プロダクト部が組成されてちょうど1年経ちましたので、昨年度の振り返りと今期の取り組みや今後とその先について、今考えていることをまとめてみました。 ※本記事は、プロダクト部の取り組みを紹介する目的で、執筆時点の考えを整理したものです。状況や学びに応じて、方針や進め方はアップデートして

こんにちは。SCSK株式会社の上田です。 Zabbixに関する、 深刻な脆弱性（CVE-2026-23921） が発表されました。 この脆弱性は、 Zabbixのバージョン7.0.21、7.2.14、7.4.5までのバージョン に影響します。 Zabbixをご利用の方は一度ご覧いただき、対象の場合はアップデート等のご検討お願い致します。 脆弱性情報 概要 ZabbixのAPI機能（include/classes/api/CApiService.php）において、ブラインドSQLインジェクションが可能となる

こんにちは、サイオステクノロジーの佐藤 陽です。 今回は、Azure OpenAI Serviceを複数部門や複数プロジェクトで利用する際に、「誰がどれだけ使ったのか」を見える化するための仕組みを作ってみた。という話を書いていこうと思います。 生成 AI の業務利用が広がるにつれて、Azure OpenAI Serviceを複数部門や複数プロジェクトで共用するケースは珍しくないかと思います。 一方で、運用を始めるとすぐに出てくるのが、誰がどれだけ使ったのかをどう見える化するか、という課題です。 全体の利用