yudoufu

@fivestr いこう

@yudoufu たん清いきたい

なんか、たん清いきてぇなぁ。

特別委員会を無風で通過。そのまま本会議で可決されるのが通常だけど、明日の内閣委員会で問題提起できないのかな。 shugiintv.go.jp/jp/index.php?e…

いつも言ってるけど、セキュリティ会社を選ぶ決め手は技術力であるべきで、技術力を外から判断する確実な方法は公開情報でどれだけ有用な情報を発信しているかしかない。そうなると本当に有用な公開情報を公開してくれているセキュリティ会社がどこなのか調べると、そもそも公開情報の少なさに驚くはず

政治の話題を公の場でするのは好きではないし、これまでずっと避けてきた。今もすごく抵抗がある。 けれどこれを読んで、本当に今直視しないといけないと感じている。 一度変わったら後戻りはもうできない。そんな危機感がある。 端的に、僕は我が子の未来にこんな法を残したくない。

自分は政治には少し前までニュートラルで、一次情報から判断しようと自民党改憲案を通読したのだけど、本当に戦前回帰を目指すような内容で想像を超えて厳しい気持ちになった。 対比があって読みやすいので、広く読まれて欲しい。 jimin.jp/constitution/d…

緊急事態条項は本当に絶対にダメで、だいたいの独裁は自身の任期と権力のために緊急事態を宣言するところから始まる。 憲法改正まで可能な大与党が緊急事態を常態化させたら、国家機能を好き放題に変更できてしまう。 緊急時の定めは別にあり、追加の必然性はなくデメリットが大きすぎる。

@toyojuni ひゃーーーかわいい！ おめでとうございます🎉

本日よりパパじゅにやらせていただきます 妻に感謝

ほんとに残念なんだろうな、という感じがする。 mitchellh.com/writing/ghostt…

【就任発表】 ナレッジワークは、元日本マイクロソフト代表執行役会長 樋口泰行氏を、エグゼクティブアドバイザーとして迎えました。 大規模な事業変革と組織改革を主導されてきた樋口氏の知見を活かし、AXソリューションの展開および顧客の現場変革を加速してまいります。 knowledgework.com/news/article/B…

PHP依存関係管理ツールComposerに重大な脆弱性が見つかり、開発環境やサプライチェーン全体を狙う攻撃の危険が浮上した。細工された設定やリポジトリを通じて任意コマンド実行が可能となる。 問題はPerforce連携処理にあり、CVE-2026-40176では接続パラメータのエスケープ不備により、悪意あるcomposer.jsonを実行した開発者環境でコマンド注入が発生する。影響はローカル設定に限定されるが、不審なプロジェクトを扱う場合に危険性が高い。 一方、CVE-2026-40261はより深刻で、外部リポジトリ経由で悪意あるメタデータを配布することで発動する。Perforce未導入でもコマンド実行が試みられ、--prefer-source利用時などに攻撃が成立するため、サプライチェーンリスクとして影響範囲が広い。 開発元は既に修正版を公開し、該当メソッドの適切なエスケープ処理を実装した。利用者はComposer 2.2.27または2.9.6以降への更新が推奨され、未更新環境では信頼できないリポジトリや設定の使用を避ける必要がある。 securityonline.info/composer-perfo…

【登壇】 Plug and Play社主催、4月27日開催「AI時代におけるコンサル人材のキャリア戦略」に、執行役員 VP AXコンサルタント谷口大地が登壇します。マッキンゼーからナレッジワークへ─「戦略を描く側から、事業を動かす側へ」のキャリア転換のリアルをお話します。 eventbrite.com/e/ai-tickets-1…

大手企業様に価値を生み出すため創意工夫の日々です。その取り組み内容をSalesZineさんに連載いただくことになりました。読みやすいものではなく、興味ある方にしか作用しないだろう内容になっています。外資の仕組みは美しい。0から近づき、固有の高みに。 この機会に各社の取り組みも知れる機会につながれば幸いです。 saleszine.jp/article/detail…

最近のお仕事報告ですが、ナレッジワークにてSOC 2 Type1レポートを取得しました！ 引き続きやっていき💪

最近続いているGitHub Actions侵害についてのウェビナーのスライドを公開しました！！ GitHub Actions侵害 — 相次ぐ事例を振り返り、次なる脅威に備える speakerdeck.com/flatt_security…

【要注意】Trivy 配布の GitHub Action への侵害がこの木曜〜金曜にかけてありました。自分にも影響がありえた＆少し影響範囲が広かった為、日本語で個人的にまとめています。ユーザーのみなさま、自組織の状況をご確認ください：diary.shift-js.info/trivy-compromi…

しかし明後日健康診断だというのに、花粉のせいか体調が厳しい。。。

今年も参加してました。まだまだCTF初心者だけど、それなりに初歩の初歩みたいなやつは解ける感触得られたのでよかった。 #SECCON #SECCON14

うおー Claude Code Security、アクセス申し込まねば！(1) 価格、(2) モデルの Safety の程度差、(3) ハーネスの詳細 (graybox 要素の有無とか) が知りたいですね。 以下とりとめのない雑感です: *** agentic にコード走査して複雑な脆弱性見つける、は一年前くらいからみんなやっている。何ならコード無し (ブラックボックス) で叩く系もこぞって取り組まれている。我々の Takumi もその一つ。ブラックボックスなら xbow とか hacktron もその例。 で、こういうのを作っている全員 (?) が感じているはずの問題とは、Precision 向上の難しさ。実環境に対する Exploit を実際に書くとか、部分的にコード実行するとか、そういうのを以て false positive の低減に努めている。この意味で (3) の詳細が最も気になるところです。 *** あと、recall に関しても、説明可能な形でこれを上げるには難しさが残っている。 極論「エージェントが見て回りますが、どこを見るかは 保証 できません」だと評価漏れが出るし、脆弱性評価の手続としては説明可能性が低い。確実にあるコードの部分×ある観点の組を評価した、と言いやすいハーネスだと嬉しい。この文脈でも (3) が気になりますね。 ちなみに Takumi ホワイトボックス側ハーネスもこのへんの向上をせねばならないと感じていて、今の構造 (以下) から少し変更を予定してます。 shisho.dev/docs/ja/t/arch… (結局 precision 上げるためには実 Exploit 能力の伸長、ブラックボックス側のエンジン改善が必要と睨み、しばらくここの優先順位が下がってしまってましたが) *** AWS Security Agent も、Claude Code の すでに世に出ている /security-review コマンドも、ある種バグバウンティ的な探し方をするに留まっているように思います。それでもこれらや Xbow、Takumi によって、「AIで脆弱性見つけられます！」の実証が、社会的にも十分なされたと思う。 なので、ここからは実用可能な precision になるか、第三者への説明が可能な評価手続に仕上がるか、みたいなリアルな関心事に時代が移っていくのだと思います。「XXXでスキャン回して直したので、十分」と思える状態になるか、というところです。 Takumi でもこの辺に長らく意識を向けていて (ブラックボックスエンジンでは特に。これからはホワイトボックスシナリオでも)、今後いくつかの良いお知らせができると思います。ただ脆弱性見つけるだけじゃなくて、これで十分施策として価値がある、人間への依頼は不要だな、と思える水準に仕上げていくぞ〜〜ということです。 *** ただそれでも、ここってビジネス的には能力は収斂していき、最終デリバリー勝負になる (マーケティングと営業が強いところが常に強い)、という構造は変わらないです。セキュリティに限らずどのソフトウェアビジネスも近い構造を帯びているわけですが。 なので Takumiの診断以外 (かつ我々が今中央集権的になすべき系) のケイパ拡充を進めていて、再来週頭のProduct Security Square でいくつかお披露目予定だったりします。これもお楽しみに！

越後湯沢、大雪と聞いてドキドキしながら来たけど着いたら晴れてて、本日は最高のコンディションの気配がする。やったー🙌 週末もつといいなw