「2025年の崖」に続くSaaS課題とは
「レガシーSaaS」が招く“もう一つの崖” クラウド4大問題にどう備える?
導入から数年経過したSaaSの老朽化は、「第二の2025年の崖」とも言える問題です。未然に防ぐために、情報システム部門が取るべき評価と対策を解説します。(2025/6/23)
MCPにおける認証、プロンプト、リソース、サンプリングとは:
VS Codeの新バージョンで「MCPの全機能をサポートした」とMicrosoftが発表
Microsoftは2025年6月12日、「Visual Studio Code」の最新版「May 2025」(バージョン1.101)が、MCPの全機能をサポートしたと発表した。(2025/6/19)
セキュリティニュースアラート:
8万以上のEntra IDが標的に 新たなサイバー攻撃「UNK_SneakyStrike」の詳細
Proofpointは、正規のセキュリティツール「TeamFiltration」を悪用しMicrosoft Entra IDを標的とするサイバー攻撃「UNK_SneakyStrike」の詳細を公開した。この作戦は数百の組織に属する8万以上の利用者資格情報を狙い、複数の侵害を成功させている。(2025/6/16)
自動コードレビュー、MCPサーバのワンクリックセットアップなどが利用可能に:
VS Codeフォーク、話題のAIコーディングエディタ「Cursor 1.0」公開 開発にどう便利なのか?
Anysphereは2025年6月4日、AIコーディングエディタ「Cursor」の正式版「Cursor 1.0」を公開した。自動コードレビュー機能の他、MCPサーバやOAuthにも対応している。(2025/6/10)
Xの大規模ダウン後、「X、xAI、Teslaにスーパーフォーカスする」とイーロン・マスク氏
Xの大規模ダウンを受け、イーロン・マスク氏は今後、X、xAI、Teslaに「スーパーフォーカスする」と表明。運用改善の必要性を強調し、24時間体制での業務復帰を示唆した。ダウンの長期化は「フェイルオーバー冗長性が機能しなかった」ためとしている。(2025/5/25)
外部ツールやデータと直接連携可能に:
「Claude」もリモートMCPサーバ対応 Anthropicが「インテグレーション」機能をリリース
Anthropicは、「Claude」に関する新機能「インテグレーション」機能を発表した。リモートMCPサーバを利用することで、さまざまなツールと連携でき、「複雑なプロジェクトを独立して処理する、知識豊富なチームメイトのような存在になる」という。(2025/5/14)
代表例から賢い選び方まで:
OAuthだけじゃない 現代のAPI開発者が知るべき「5つの基本戦略」(認証方式編)
TechTargetは2025年3月17日、「REST API認証のの基本戦略」に関する記事を公開した。REST API認証に効果の高いアプローチを採用すれば、ユーザーとそのデータを保護しつつ、システム間でのスムーズなデータ交換が可能になる。(2025/4/25)
セキュリティニュースアラート:
Google SitesやGoogle OAuthを悪用 巧妙な新型フィッシング攻撃を解説
Googleの旧サービスなどを悪用した巧妙なフィッシング攻撃が見つかった。正規の電子メールやOAuthを利用し、偽ページへの誘導や情報の詐取を可能にする新たな攻撃手法を注意喚起している。(2025/4/23)
Deep Insider編集長のネタ帳:
MCPに駆けろ! AIが“外部サービスとつながる”新時代を誰でも簡単に体験する方法
「MCPってよく聞くけど、自分には関係ない?」──そんな人にこそ読んでほしい! Claude Desktopを使えば、“AIが外部サービスとつながる新時代”を誰でも簡単に体験できます。MCPとは何か? なぜ注目されているのか? 気になる課題や今後の進化まで、思いの丈を語りました。未来を切り開くのは、“今”試してみるその一歩かもしれません。(2025/4/10)
全てのClaudeプランでGitHubとの統合が利用可能に:
Anthropic、ハイブリッド推論モデル「Claude 3.7 Sonnet」とコマンドラインツール「Claude Code」公開 開発者をどう支援するのか
Anthropicは、大規模言語モデルと推論モデルのハイブリッドモデル「Claude 3.7 Sonnet」と、エージェントコーディングのためのコマンドラインツール「Claude Code」を発表した。(2025/2/28)
セキュリティニュースアラート:
AI企業DeepSeek 機密情報100万件漏えいの可能性――認証なしのDB公開が原因
Wizは、DeepSeekのClickHouseデータベースが認証なしで公開されていたことを発表した。機密情報にはチャット履歴、秘密キー、バックエンド情報など100万行超のログが含まれていた。(2025/2/1)
悪意のあるバージョンへと改ざん
セキュリティ企業のChrome拡張機能を“乗っ取り” その巧妙な手口とは?
攻撃者がセキュリティベンダーCyberhavenの「Chrome拡張機能」を改ざんし、悪意のあるバージョンを「Chrome Web Store」で公開していたことが判明した。攻撃者はどのような手口を悪用したのか。(2025/1/17)
セキュリティニュースアラート:
Googleの認証システムに重大な欠陥 数百万のユーザーに影響する可能性
Googleの「Googleでログイン(Sign in with Google)」認証システムに重大な欠陥が見つかった。この欠陥を悪用すると、SlackやZoomなどのサービスに不正アクセスされる可能性がある。Google Workspaceユーザーは注意してほしい。(2025/1/16)
セキュリティニュースアラート:
OAuthを悪用した高度な攻撃「同意フィッシング」に注意 SaaS乗っ取りのリスク
正規のOAuthプロバイダーを悪用し、ユーザーに悪意のあるアプリへの権限付与を促す高度なサイバー攻撃「同意フィッシング」が確認された。SaaSの乗っ取りやChrome拡張機能の改ざんなど企業や個人に深刻な被害をもたらす可能性がある。(2025/1/8)
セキュリティニュースアラート:
誤操作を誘導する巧妙な攻撃手法「DoubleClickjacking」に要注意
Webサイト内の不正なリンクやボタンをクリックさせる攻撃手法クリックジャッキングの回避策が生み出されたものの、それをすり抜ける新たな攻撃手法「DoubleClickjacking」が登場した。(2025/1/7)
IAMでキャリア形成【前編】
「IDとアクセス管理」(IAM)の仕事は将来有望? 求められる基礎知識は
不正アクセスが頻発する中で重要性を増しているのがIDとアクセスの管理だ。「IAM」(IDおよびアクセス管理)に精通する人材のニーズは旺盛だ。IAM担当者に求められるスキルとは。(2025/1/7)
Cybersecurity Dive:
Snowflake、2025年後半までに単一要素認証の段階的廃止を発表 MFA義務化へ
Snowflakeはパスワードを使用した単一要素認証によるアクセスをブロックする方針を明らかにした。2025年11月までに多要素認証の導入を義務化するという。(2024/12/25)
Java開発をシンプルにする:
「Spring Framework」と「Spring Boot」の違い Spring Bootが「こだわりのある」フレームワークな理由
Spring FrameworkとSpring Bootは、Java開発において異なる役割を持つツールだ。どのような目的を持って登場し、ソフトウェアアーキテクトやプログラマーにどう役立つのかを整理する。(2024/11/1)
答えは「IDaaS」だけではない:
PR:「オンプレ×クラウド」で実現するDX時代の認証基盤の作り方
クラウドシフトが進む中で、企業はセキュリティと柔軟性を両立する認証基盤の構築を模索している。IDaaSへのシフトを考えがちだが、答えはそれだけでない。ユーザーニーズを満たす認証基盤の構築法とは。(2024/9/27)
セキュリティニュースアラート:
Microsoft Entra IDに重大なセキュリティリスク 特権昇格の危険性
SemperisはMicrosoft Entra IDに特定のアプリケーションの特権アクションが許可されていることを報告した。これによって特権ロールへの追加や削除が可能であり、特権昇格の危険性があるとされている。(2024/8/15)
フルスタックフレームワーク、T3 Stack入門(4):
ユーティリティーファーストなCSSフレームワーク「Tailwind CSS」のメリットとデメリットの克服方法
フロントエンドエンジニアに向けて、Webアプリケーション開発のためのフルスタックフレームワークT3 Stackを解説する本連載。第4回はユーティリティーファーストのCSSフレームワーク「Tailwind CSS」について解説する。(2024/7/31)
マイナンバーカードを使った本人確認を手軽に デジタル庁が「デジタル認証アプリ」を公開 無料で利用可能
従来、導入に高いハードルがあった「マイナンバーカード」を使った本人確認システム。それを打破すべく、デジタル庁がスマホ向けの「デジタル認証アプリ」と、同アプリを利用するためのAPIの提供を開始する。アプリとAPIの提供は、6月24日から始まる(APIの利用には審査あり)。(2024/6/21)
ITmedia エグゼクティブセミナーリポート:
デジタルアイデンティティこそがデジタル覇権の行方を左右する――東京デジタルアイディアーズ崎村夏彦氏
GAFAを成功に導いたデジタルアイデンティティとは? デジタルの世界で劣勢に立たされている日本が再び立ち上がるポイントとして、明治維新の歴史に学び、「デジタル変法」が必要だと呼びかけた。(2024/5/15)
セキュリティニュースアラート:
Dropboxがサイバー攻撃で不正アクセスされる 個人情報漏えいか
Dropboxは、サイバー攻撃者が同社のシステムに侵入し、ユーザーの個人識別情報にアクセスしたと報告した。(2024/5/8)
ChatGPTプラグインではなく、GPTsの利用を推奨:
「ChatGPTプラグイン」の脆弱性についてセキュリティ研究者が開発者に警告
TechTargetは、「ChatGPTプラグインの脆弱性」に関する記事を公開した。ChatGPTプラグインの脆弱性が発見され、OpenAIと2つのサードパーティーベンダーは修正対応した。だが、セキュリティベンダーの研究者は「ChatGPTプラグインには依然としてセキュリティリスクが存在する」と警告している。(2024/4/10)
セキュリティニュースアラート:
GitHubの機密データ漏えいは1277万8599件に 最も公開されている情報とは?
GitGuardianは2023年にGitHubのパブリックコミットで新たに検出された機密データが前年比で28%増であることを発表した。この4年間で機密データの漏えいは4倍に拡大している。(2024/3/14)
eBPF、WASM、AIと電力、Gateway API、Keycloak……:
Cloud Native Community Japanキックオフミートアップで語られたクラウドネイティブの現在と日本の貢献
Cloud Native Computing Foundationの公式な日本チャプターとして活動するCloud Native Community Japan。そのキックオフミートアップで語られたクラウドネイティブの現在と日本の貢献とは。(2024/3/14)
Microsoft Entra IDを知る【後編】
Active Directoryから「Microsoft Entra ID」に移行する理由と“第三の選択肢”
オンプレミスシステムからクラウドサービスにシステムを移行する際は、Microsoft のディレクトリサービスについても検討の余地がある。「Active Directory」から「Microsoft Entra ID」に切り替える場合のデメリットは何か。(2024/3/5)
セキュリティソリューション:
認証・認可プラットフォーム「TrustBind/Federation Manager」がパスキー対応
2024年3月下旬から、認証・認可プラットフォーム「TrustBind/Federation Manager」の新バージョンが提供され、今回パスキー認証機能に対応した。(2024/2/29)
Cybersecurity Dive:
Microsoftの不備と怠慢を暴いた、非常にシンプルなサイバー攻撃とは?
セキュリティ専門家たちは、Microsoftの幹部の電子メールがハッキングされたインシデントについて、同社のセキュリティ不備と怠慢の結果だとして批判している。(2024/2/18)
セキュリティニュースアラート:
Microsoftに攻撃を仕掛けたMidnight Blizzard 攻撃を防ぐためにできることは?
Microsoftはロシアが支援する脅威アクター「Midnight Blizzard」についての調査結果を公表した。同社はMidnight Blizzardによる攻撃を受けて、この組織の優れている点やリスクを低減する方法を解説した。(2024/1/31)
Gartner Insights Pickup(333):
アクセス管理プラットフォームを評価するための5つの質問
企業は、従来のアクセス管理ソフトウェアよりも堅牢(けんろう)で機能豊富なソリューションを求めている。本稿では、アクセス管理プラットフォームを評価する方法を紹介する。(2024/1/12)
ヨドバシの中の人が語る、開発中のヨドバシAPIが目指す機能、仕組み、そしてセキュリティ(後編)
ヨドバシAPIがどのように設計され、開発、実装されていくのか。ヨドバシの”中の人”が解説。(2023/12/6)
ヨドバシの中の人が語る、開発中のヨドバシAPIが目指す機能、仕組み、そしてセキュリティ(前編)
ヨドバシAPIがどのように設計され、開発、実装されていくのか。ヨドバシの”中の人”が解説した。(2023/12/6)
セキュリティニュースアラート:
CVSS v3スコアは10.0 オンラインストレージownCloudに深刻なリスク
OSSのオンラインストレージ「ownCloud」に3つの脆弱性が見つかった。そのうち一つはCVSS v3のスコア値が10.0と評価されている。(2023/11/28)
組み込み開発ニュース:
Webベースのテスト管理ツールに承認やパラメーター化の機能を追加
テクマトリックスは、Gurock Softwareが開発したテスト管理ツール「TestRail 8.0.1」の販売を開始した。最新版では、テストケースの承認機能やテストのパラメーター化機能を追加している。(2023/11/6)
クラウドセキュリティモニタリングのベストプラクティス(5):
ユーザー認証ログのセキュリティモニタリング、何のために何をやる?
クラウド/クラウドネイティブのログをセキュリティの観点でモニタリングするベストプラクティスを紹介する本連載。第5回は、さまざまな認証サービスのセキュリティモニタリングについて解説する。(2023/10/26)
Inside-Out:
「スマートフォンの画面で承認してください」を実現するクロスデバイスフローの仕組み
オンラインバンクなど、インターネット上のサービスを利用する際、スマートフォンを使った認証や認可の手続きを設定するように求められることはないでしょうか。本記事では、近年、注目を集めている、スマートフォンを活用したクロスデバイスフロー(Cross-Device Flow)と呼ばれる認証・認可方式について解説します。(2023/9/28)
API管理ツールのメリットは? 何ができる?:
API管理ツール「Postman」と「Insomnia」を比較、どちらが適しているのか
あなたの組織にはPostmanのようなフル装備のプラットフォームが必要なのか、それともInsomniaのような軽装備のプラットフォームが必要なのか。2つのAPI管理ツールのポイントをまとめる。(2023/9/13)
何に気を付けるべきなのか:
GitHubのセキュリティ研究者が「mTLS認証」にまつわる誤った実装を警告
セキュリティ研究者のマイケル・ステパンキン氏は、適切に実装されていない「mTLS認証」は認証情報が盗み出される可能性があると警告する記事をGitHubブログで公開した。(2023/9/6)
76万人に影響か Discord.ioのユーザーデータが漏えい
Discordサーバでカスタム招待を作成できるサービス「Discord.io」で、76万人のユーザーデータが漏えいしたとみられる。(2023/8/18)
APIは脅威アクターのお気に入りの標的:
APIセキュリティリスクのOWASPトップ3と、その軽減方法は? ESETが2023年版を発表
セキュリティ企業のESETが2023年のOWASPトップ3のAPIセキュリティリスクを紹介し、その脅威を軽減する方法を解説した。(2023/6/20)
APIの取り扱いミスが引き起こす問題【後編】
OAuthによる「SNSアカウントでログイン」実装を危険にしないための注意点
ソーシャルメディアのアカウントを使ったログイン機能は、正しく実装しなければユーザーのデータ流出を招きかねない。宿泊施設予約サイト「Booking.com」で見つかった脆弱性を例に、その危険性と対策を解説する。(2023/5/18)
APIの取り扱いミスが引き起こす問題【中編】
ソーシャルメディア連携ログインに脆弱性 Booking.comはどう乗り越えた?
宿泊施設予約サイト「Booking.com」で、ソーシャルメディアのアカウントによるログイン機能に深刻な脆弱性が見つかった。実際に被害が判明する前に対処を完了させた、サイト運営元と発見者の行動とは。(2023/5/11)
APIの取り扱いミスが引き起こす問題【前編】
Booking.comの「Facebookでログイン」に実装ミス 起こり得た最悪の事態とは
宿泊施設予約サイト「Booking.com」に脆弱性が見つかった。「Facebook」などのソーシャルメディアのアカウント経由でログインするためのプロトコル「OAuth」の実装に問題があったという。その危険性とは。(2023/5/5)
フルスタックフレームワーク、T3 Stack入門(1):
TypeScriptベースのフルスタックフレームワーク「T3 Stack」で極上の開発体験を 何がすごいのか?
フロントエンドエンジニアに向けて、Webアプリケーション開発のためのフルスタックフレームワークT3 Stackを解説する本連載。第1回はT3 Stackの概要とTodoアプリ作成を例にしたチュートリアルを紹介する。(2023/5/11)
Twitter APIの有料化はいつから? 何が変わる? 現状の対応を整理する
Twitterは、これまで無料で提供していたTwitter APIのサポートを終了すると発表しました。APIを使えば、外部サービスからTwitterのデータにアクセスして、それを利用することができます。無料APIを廃止することで、botを悪用するコストを高め、効果的にbotを排除しようという狙いがあるようです。(2023/2/24)
GitHubついに二要素認証を義務化へ
GitHubがサイバー攻撃対策に本腰を入れるようだ。(2022/12/17)
「Security Week 2022 秋」開催レポート:
USBメモリに機密情報を入れるのは“悪”なのか? 「使わざるを得ない」企業が採るべきセキュリティ対策
USBメモリ紛失による情報漏えいが相次いで報道され、データ管理の在り方を見直す機運が高まっている。取引先企業の都合などによってUSBメモリを使わざるを得ない企業はどのような対策を採るべきだろうか。(2022/10/19)
基本認証から先進認証へ:
Microsoft Exchange Onlineでベーシック認証を順次停止 10月1日から先進認証が必須に
Microsoftはこの3年間、Microsoft Exchange Onlineにおけるベーシック認証のサポート廃止をアナウンスし、よりモダンな認証方式への移行を促してきた。その期限が来月1日に迫る。いまもベーシック認証を使っている場合は早急に切り替えてほしい。(2022/9/28)