新着 の記事一覧

この記事は GMOインターネットグループ Advent Calendar 2024 1日目の記事です。GMOインターネットグループとして、初めての取り組みとなる【アドベントカレンダー2024】を開催します。グループ各社の技術情報や知識をお届けできることを楽しみにしています！今回は11/29～11/30の2日間にわたり開催された、GMOインターネットグループ横断イベント「GMO Developers Day 2024」のセッションや会場の雰囲気などを速報レポートとしてお送りいたします。 開催概要 「GMO Developers Day」は、技術とクリエイティブが交わる場としてGMOインターネットグループが例年実施しているテックカンファレンスです。 GMOインターネットグループは、インターネットインフラをはじめとして広告・メディア・金融・暗号資産といった事業に取り組んでおり、多様な会社・組織があります。これらの各開発チームやデザインチームから登壇者が集まり、登壇社数は15社、登壇者はゲストスピーカーを併せ78名。2日間で全35セッションを実施しました。 今年は2日間にわたり、オンラインとオフラインのハイブリッド形式でお届け。オフライン会場は、GMOインターネットTOWER最上階に位置する「GMOグローバルスタジオ」にて開催し、一般公開で観客を入れてのイベント実施は初めての試みでした。 公式サイト https://developers.gmo.jp/events/52268/ セッションのご紹介 【KEY NOTE】『世界1位のホワイトハッカーが集まる「エンジニアの楽園」で働く理由』 世界初、民間からインターポールサイバー犯罪捜査部門へ出向していた福森が8年半の任務を終え、 「エンジニアの楽園」とも呼ばれるGMOサイバーセキュリティbyイエラエにジョインしました。 インターポールとは実在の組織なのか。なぜ「エンジニアの楽園」を選んだのか。など、インターポールから楽園まで、実際に足を踏み入れた者の体験談として、その虚像と実像を語りました。 福森 大喜｜GMOサイバーセキュリティ byイエラエ株式会社　GMOサイバー犯罪対策センター PICKUP SESSION：『デザインと成果を結ぶ ── インハウスデザイン組織の価値について』 ゲストに株式会社MIXI CDO 横山氏、モデレーターにCocodaを運営する株式会社alma 斎藤氏をお呼びし、GMOペパボ山林、GMOメディア岡本、計4名でのトークセッションとなりました。 「デザイン組織の内製化」で事業成果にどう結びつける？ 優秀なデザイナーが活躍できる環境作りとは？成功の秘訣を4社の事例をもとに、試行錯誤を重ねながら事業に貢献するインハウスデザイン組織の価値やそのあり方を、多角的に探り議論しました。 横山 義之氏｜株式会社MIXI　執行役員 CDO デザイン本部長斎藤 孝俊氏｜株式会社alma　Cocoda事業責任者岡本 くる美｜GMOメディア株式会社　サービスデザイン部 部長山林 茜｜GMOペパボ株式会社　社長室 コーポレートデザインチーム マネージャー そのほかセッションの様子 全てのセッションは、公式サイトからアーカイブ視聴が可能です。是非ご覧ください。 アーカイブ視聴はこちら キービジュアル 今年のテーマは「Sync Visions」。私たちGMOインターネットグループが皆さまと共に歩み、ビジョンを共有しながら、持続的な成長とイノベーションを実現することを象徴するテーマです。 8種類のキービジュアルをデザイナーが制作しました。どれも個性があり、カッコいい～！どれか一つを選ぶとなると迷いますね。。 来場者限定ノベルティの中にキービジュアルを使用した、ステッカーやカードをランダムでお配りしましたが、皆さんはどのキービジュアルを手に取っていただけたでしょうか。 会場の様子 GMOグローバルスタジオでは、来場者限定ノベルティの配布やラウンドテーブル・抽選会など、会場来場者限定のコンテンツを多数ご用意いたしました。 キービジュアルパネル ラウンドテーブル 来場者限定ノベルティ 「GMO Developers Day 2024」限定でオリジナルノベルティを配布いたしました。グループ各社のノベルティも入っており、豪華な内容になっております！ 来場者限定ノベルティ さいごに 今年で開催5回目となりました「GMO Developers Day 」。先ず無事に開催を迎えることができ、多くの方にご視聴・会場へお越しいただけましたこと、運営事務局一同改めて感謝申し上げます。 GMOインターネットグループでは、今後も「GMO Developers Day」をはじめとしたイベントやブログ発信通じて、グループの最新事例を交えて技術・クリエイティブへの取り組みを発信してまいります。今後もGMOインターネットグループをどうぞよろしくお願いいたします。 アドベントカレンダー｜購読・フォローもお願いします GMOインターネットグループ Advent Calendar 2024 新着記事をお知らせいたしますので、ぜひ以下リンクより購読やフォローをいただけると幸いです。★（購読ボタン）押下の上、新着記事をチェックしてください。 明日より25日間の投稿をお楽しみに～！

インターネットと最新技術を活用したプロダクト開発において、実践的な知見や革新的なアプローチを共有することを目的に、京都大学とGMOインターネットグループ株式会社が共同で開催するイベントです。 イベント概要 開催日時：2024年12月4日（水）開催時間：17:30 ～ 20:20開催場所：zoomのオンライン配信・京都大学学術メディアセンターオフライン開催住所：京都府京都市左京区吉田二本松町 京都大学 学術情報メディアセンター南館参加費用：無料 イベントの申し込み/詳細はこちらから　 ※今回現地での参加については学生の方のみが対象となりますのでご了承ください。※当日、学生の方は受付にて学生証のご提示をお願いいたします。 こんな方におすすめ！ ●IT技術者や研究者を志す学生の方●IT業界で働いている方●先端技術に興味がある方 スピーカー情報 三宅 陽一郎（株式会社スクウェア・エニックス イノベーション技術開発ディビジョン リードAIリサーチャー） ゲームAI開発者。東京大学特任教授・立教大学特任教授・九州大学客員教授。京都大学総合人間学部で数学を専攻。大阪大学大学院物理学修士課程を経て博士（東京大学、工学）。2004年よりデジタルゲームにおける人工知能の開発・研究に従事。デジタルゲーム/スマートシティ/メタバースの人工知能が専門。著作「戦略ゲームAI解体新書」「人工知能のための哲学塾」多数。IGDA日本SIG-AI代表、日本デジタルゲーム学会理事、人工知能学会理事を務める。 鹿島 久嗣（京都大学大学院情報学研究科 教授） 1999年 京都大学 修士課程を修了ののち、日本アイ・ビー・エム株式会社に入社。業務の傍ら、2007年に同大学 博士課程を修了し、博士（情報学）の学位を取得。2009年より東京大学 准教授を経て、2014年より京都大学 教授。2016年より2020年まで、理化学研究所 チームリーダーを兼任。人工知能やその基礎技術である機械学習の研究開発とその実社会応用に従事。日本学術振興会賞(2019)等の受賞多数。 入谷 匠（GMOインターネットグループ株式会社 データサイエンティスト） 2013年 京都大学大学院理学研究科で博士号取得。専門は素粒子物理学(理論)。その後、高エネルギー加速器研究機構、京都大学基礎物理学研究所、Stony Brook University、理化学研究所仁科加速器研究センター等の研究機関で理論物理学の研究に従事。2019年GMOインターネットグループに入社後、金融ビッグデータ解析、ネット広告のデータ分析などのプロジェクトに参画。2023年から東京大学医科学研究所との共同研究プロジェクトに立ち上げから参加し、生命科学分野における深層学習の応用に従事。 タイムテーブル 17:10　開場、受付開始17:20　配信開始17:30　オープニングトーク17:35　Session1 入谷 匠『生成AIで学術研究はできるのか？～物理学者からデータサイエンティストへ～』18:00　Session2 鹿島 久嗣『意思決定のための機械学習』18:30　Session3 三宅 陽一郎『ゲームにおける空間AI ～デジタルゲームの人工知能～』19:20　配信クロージング、懇親会20:20　中締め、退場 セッション情報 Session1 生成AIで学術研究はできるのか？ ～物理学者からデータサイエンティストへ～　（入谷匠）私は元は素粒子物理学の研究者でありましたが、数理・分析能力を活かしてデータサイエンティストとしての新しいキャリアをスタートさせました。このような私の経歴を踏まえて、昨今の生成AIの発展により、生成AIが学術研究ができるのか、また、生成AIを応用して学術研究ができるのか？に関して、最新のAI技術の応用の可能性についてお話しします。 Session2 意思決定のための機械学習　（鹿島久嗣） Session3 ゲームにおける空間AI ～デジタルゲームの人工知能～　（三宅陽一郎）デジタルゲームにおける人工知能は40年以上の歴史を持ち、その主たるテーマは、将棋や囲碁といったボードゲームが主に離散空間・離散時間（ターンベース）の人工知能を作成するのに対して、連続空間・連続時間における人工知能です。 デジタルゲームの人工知能システムは３つの人工知能からなり、ゲーム全体を制御するメタAI、キャラクターの頭脳となるキャラクターAI、空間を解析し空間そのものを人工知能とする「空間AI」（スパーシャルAI）からなります。特に空間AIは、実空間に本システムを応用するための基盤であり、シミュレーション空間と実空間をつなぐ人工知能です。今回は、本システム全体を解説しつつ、空間AIが見せる未来についてお話いたします。 懇親会（会費無料・飲食あり） 会場参加の学生の方にはセッション後の懇親会をご用意しております。登壇後のスピーカーへ直接質問できる機会ですので、お近くの方はぜひ現地にてご参加ください。皆さんのご参加をお待ちしています！ イベント申し込み/詳細はこちら

こんにちは！セキュリティエンジニアを担当している濱本です。今回はAIと対話した結果などを用いて、サイバー攻撃に対する防御についてお話します。 １．今回の対話の趣旨について 普段、私はSIEMを使用したログ分析業務を行うことで、社外からの攻撃や社内の不信な動きを検知することで、社内の重要な情報や資産などを守っています。そんな中、セキュリティ業界に関しては新しい脆弱性が出たり、個人情報やクレジットカードの流出に関するニュースが流れてくるなど頭が痛くなる日々もありますが、それと同じくAIに関するニュースもよく見ます。そこで今回はせっかくなので、サイバー攻撃からどうやって重要な資産を守るべきかをAI（ChatGPT-4o）と対話することで新しい考え方やアドバイスを得られるのか。ということを目的に進めたいと思います。 ２．攻撃側と防御側について まず確認したいのは、いわゆる「攻撃側」と「防御側」の場合にはどちらの方が有利なのか。です。 Question（濱本）セキュリティ業界において、攻撃側と防御側だとどちらが有利でしょうか？ Answer（ChatGPT-4o）一般的に、攻撃側が有利とされることが多いですが、具体的な状況や条件によって異なることがあります。以下にその理由を挙げます。 ■攻撃側が有利な理由：1.驚きの要素攻撃者は、いつ、どのように攻撃を仕掛けるかを選べるため、防御側に不意打ちを与えることができます。2.攻撃手法の多様性攻撃者は、多くのツールや手法（マルウェア、フィッシング、ゼロデイ攻撃など）を利用し、多方向から攻撃を仕掛けることができます。3.防御の複雑性防御側は、膨大なシステムやネットワーク、デバイス全てにおいて完全な防御を維持する必要があり、一つの脆弱性でも攻撃を許す可能性があります。4.コスト効率攻撃者は比較的低コストで攻撃を実施できるのに対し、防御側は多くのリソースを防御に投入する必要があります。■防御側が有利な理由：1.情報共有と協力今日では多くの組織が情報を共有し、攻撃に対する共同対策を講じています。2.技術の進化機械学習やAIなどの新しい技術が、防御の強化に活用されつつあり、より素早く攻撃を検知し対応できるようになっています。3.法的措置と規制攻撃者に対する法的措置や国際的な規制が強化され、攻撃のリスクが増大しています。4.セキュリティの意識向上セキュリティに関する意識が全体的に向上しており、組織や個人のセキュリティ対策が強化されています。結論として、攻撃側が有利と感じられる場面が多い一方で、防御側も絶えず進化し続けており、適切な対策を講じることで、攻撃に立ち向かうことが可能です。両者の戦いは継続的であり、常に新しい戦略や技術が求められます。 おぉ！私としては有利なのは攻撃者側一択だと思っていましたが、AIの回答としては必ずしも攻撃者側が有利、というわけではなさそうです。最初から絶望せずにすみました。 ３．防御側におけるAIの活用について 先ほどのAIからの回答にもありますが、「技術の進化」として機械学習やAIを防御に使うことで強化することも記載されています。では防御側においてAIの活用とはどういったものがあるのでしょうか？ Question（濱本）防御側が機械学習やAIを活用する場合、どういったシチュエーション、ツールの組み合わせがありますか？ Answer（ChatGPT-4o）防御側が機械学習やAIを活用する場面は多岐にわたります。以下は、具体的なシチュエーションとそれに伴うツールや技術の例です。 ■シチュエーションと活用方法：1.異常検知・ネットワークトラフィックの監視　通常と異なるトラフィックパターンを検出するために、機械学習アルゴリズムを使用します。この方法は未知の攻撃を早期に検知するのに有効です。・利用ツール　Splunk、Elastic Stack（以前のELK Stack）、Darktraceなど。2.メールセキュリティ・フィッシングメールの検出　AIを用いてメールの文面を解析し、フィッシングの可能性があるメールを検出します。・利用ツール　Proofpoint、FireEye Email Securityなど。3.エンドポイントセキュリティ・マルウェア検出　エンドポイントでの不正な活動やファイルの振る舞いをAIによって分析し、マルウェア感染を防ぎます。・利用ツール　Cylance、CrowdStrike Falcon、SentinelOneなど。4.インシデントレスポンス・自動化された分析と応答　AIを活用して攻撃の兆候をリアルタイムで分析し、自動で対応策を講じます。・利用ツール　IBM Security QRadar、Splunk Phantomなど。5.ユーザー行動分析（UBA/UeBA）・内部脅威の検出　社内ユーザーの行動を学習し、通常とは異なる行動を示した場合に警告を上げ、内部からの脅威に対抗します。・利用ツール　Exabeam、Rapid7、Securonixなど。6.脆弱性管理・脆弱性の優先順位付け　システム内の脆弱性をAIがスコア化し、優先的に対処すべき脆弱性を特定します。・利用ツール　Tenable.io、Qualys、Rapid7 InsightVMなど。■ツールの組み合わせ：・SIEM（Security Information and Event Management）とAISIEMツールとAIソリューションを組み合わせることで、ログデータの大量集積から有意義なインサイトを抽出し、先手の防御策を講じることが可能になります。・SOAR（Security Orchestration, Automation, and Response）とAISOARを導入して、AIと連携させることでインシデントに対する応答を効率化し、自動化することができます。これがインシデント対応の迅速さと正確性を向上させます。AIと機械学習は、防御策の効力を強化し、攻撃に対する迅速で効果的な対応を可能にします。ただし、これらの技術を導入する際には、その限界とバイアスについて理解し、専門家の監視と調整が必要です。 防御策の一つとしてSIEMがちゃんと入っているようで安心しました！もちろん、これら全てを導入して管理/運用というのはかなり難しいとは思いますが、実際に状況や優先度などに応じて選択するためのアイデアや議論のためのベースとしては使えるのではないかなと思います。 ４．取り込むべきログとは 私がSIEMを使ったログ分析業務を行っているからではありますが、SIEMに取り込むべきログの種別やどれくらいのログの量を取り込むとAIとして活用できるのか、という観点で聞いてみます。 Question（濱本）SIEMとAIを組み合わせる場合、どういったログを取り込むと効果的ですか？またどれくらいのログの量を取り込むと精度高く判断できますか？ Answer（ChatGPT-4o）SIEMとAIを組み合わせる際に効果的なログの種類と、取り込むべきログの量に関する考慮事項を以下に示します。 ■効果的なログの種類：1.ネットワークログ　・ファイアウォールログ: 各トラフィックの許可・拒否のルールに関する情報。　・IDS/IPSログ: 不正アクセスや攻撃の試みを記録。　・ルータやスイッチのログ: ネットワークトラフィックの流れに関する情報。2.エンドポイントログ　・オペレーティングシステムのイベントログ: WindowsやLinuxのシステムイベント、セキュリティログ。　・アンチウイルスソフトウェアのログ: マルウェアの検出記録。3.アプリケーションログ　・Webサーバーログ: アクセスログやエラーログ。　・データベースログ: クエリ履歴やエラー、アクセス制御の変更記録。4.ユーザーアクティビティログ　・シングルサインオン（SSO）やIDプロバイダのログ: 認証、認可の情報。　・プロキシサーバーログ: ユーザがアクセスしたウェブサイト情報。5.クラウドサービスログ　・クラウドリソースのイベントログ: AWS CloudTrail、Azure Activity Log、Google Cloud Audit Logsなど。■ログの量と精度：・データ量の影響AIモデルの学習には多様で大量のデータが不可欠です。具体的な量は環境によって異なりますが、一般に多くのログを集めることでモデルに多様な異常やパターンを学習させることが可能となります。・初期学習初期段階で最低でも数週間から数ヶ月分のログデータを基にモデルを学習させることが推奨されることがあります。これにより通常の動作パターンを基にベースラインを構築できます。・リアルタイムと歴史的データリアルタイムのデータは即座の脅威検出に役立ちますが、歴史的なデータも長期的な傾向分析や異常検出に重要です。・ノイズとシグナル大量のデータを取り込むことでノイズが増える可能性もあるため、適切な前処理（データのノイズフィルタリング、データ正規化）が重要です。・スケーラビリティ大規模なデータ量の取り扱いを可能にするために、スケーラブルなインフラ（クラウドやビッグデータ技術の活用）が求められます。効果的なAI駆動のSIEMシステムを構築するためには、適切な量と質のログデータを取り込むことが重要です。これ やはりAIとして分析するためには「大量のデータが不可欠」のようですね。また「歴史的なデータも長期的な傾向分析や異常検出に重要」と回答がある一方で「大量のデータを取り込むことでノイズが増える可能性もある」とも回答があるため、最終的には「適切な前処理が行われた大量かつ長期間のデータ」が必要そうです。 各ログをどのレベルまで取り込むのか、というのはコストや優先順位に応じて変動するかと思いますが、取り込むべきログの種類に関しても、基本的には私の考えとも相違ありません。余力があれば各PCなどの端末のログやSlackやチャットワークといったコミュニケーションツールのログ、セキュリティゲートなどのログとかを取り込んでも面白いかもしれません。 ５．運用について 防御側が脅威を検出するために機会学習やAIの活用が有効であることは分かりました。しかし、回答にあったようなツールをすべて導入するためには莫大なコストがかかりますし、運用するとなると更に大変になります。莫大なコストをかけて大量のツールを導入しても、運用できなければ効果を最大化することはできません。 普段、私はSIEMを使った分析業務をメインとしていますが立ち位置としてはいわゆる社内環境における脅威を検出するためのプライベートSOCとなります。企業によっては防御するための環境を構築するのも大変でしょうし、それらを運用するとなるとセキュリティエンジニアの採用も必要となり、さらに大変になるとことが予想されます。 最後にAIはセキュリティエンジニアの代わりになるのかを聞いてみましょう。 Question（濱本）セキュリティ製品やログの分析を行うためには専門的なセキュリティエンジニアが必要と考えていますが、それらをAIに代行してもらうことは可能でしょうか？ Answer（ChatGPT-4o）AIはセキュリティ分野で非常に有効なツールとして活用できますが、現時点でAIが専門的なセキュリティエンジニアのすべての役割を完全に代行することは難しいです。以下に、AIが代行できることと、セキュリティエンジニアが依然として重要である理由について説明します。 ■AIが代行できる業務1.データ分析と異常検知　AIは大量のデータを迅速に解析し、通常のパターンからの逸脱を検出することが得意です。これにより、潜在的な脅威を早期に発見できます。2.インシデントの初期対応　いくつかの対応済みアクション（例えば、疑わしいIPアドレスの遮断や被疑リソースへのアクセス制限など）の実行を自動化することで、AIがインシデントの初期対応を行うことが可能です。3.レポート作成とアラート　定型的なレポート作成やアラートの発行を自動化し、セキュリティチームの負担を軽減します■セキュリティエンジニアが必要な理由1.高度な判断と戦略策定　複雑な脅威の判断や、新たな脆弱性に対する戦略策定は、人間の専門知識と経験が不可欠です。2.AIモデルの監視と改善　AIモデルの性能を監視し、必要に応じて改善を行うためには、セキュリティとデータサイエンスの知識が必要です。3.インシデント対応と復旧計画　深刻なインシデントに対する対応やシステム復旧には、人間の創造力と柔軟性が求められる場面があります。4.倫理と規制の順守　セキュリティ対策には法規制や倫理的な判断が伴うことが多く、これはAIだけで実行するのは挑戦的です。結論として、AIはセキュリティ業務の多くの側面を支援し、効率化することが可能ですが、それだけでは十分ではありません。セキュリティエンジニアは、AIによる補助を活用しつつ、より高度なタスクや戦略的な判断を担うことで、全体としてより強力で効果的なセキュリティ体制を築くことが期待されます。 まだ私には仕事があるよう安心しました。AIを活用することでセキュリティエンジニアとしての運用業務の効率化や脅威を検出するための速度や精度を向上することは出来そうですが、戦略策定や複雑な脅威の判断は人間が行うべきのようです。 ６．まとめ いかがだったでしょうか。AIに対する質問の仕方や使用するツールによって回答結果や精度は変わってくると思いますが、サイバー攻撃から守るために考えるべきことや実施すべきことなどは十分得られると思います。 しかし最後の質問に対する回答にもありますが、すべてをAIに代行させるということは現時点ではできません。必ず人が必要となります。またそれらを活用/運用していくためには状況に応じた組織の設計やガバナンスの徹底なども必要です。 今回は防御側の視点でAIに質問しましたが、攻撃側の視点で質問すれば同様に攻撃手法に関する情報が得られる可能性は大いにあります。最終的にAIをどう使うか、使いこなせるかは人次第なのだと思います。 AIは非常に便利で今後も発展を続けていくでしょう。そんなAIと向き合いながら引き続きセキュリティエンジニアとして成長していきたいと思いますが、本説明が少しでもみなさんのセキュリティ改善に貢献できれば幸いです。

弊社ではアプリケーションのリリース時に行うSOC（Security Operations Center）チームによる脆弱性診断とは別に開発者自身によるOWASP ZAPを使用したセルフ診断を行っています。今回は、OWASP ZAPのスキャンルールをカスタマイズしたい方のために、参考情報をご紹介します。 OWASP ZAPとは OWASP ZAP (Zed Attack Proxy) は、ウェブアプリケーションの脆弱性を診断するためのオープンソースのセキュリティツールです。プロキシ機能や自動スキャン機能を持ち、セキュリティ診断の初心者から上級者まで幅広く利用されています。 OWASP ZAP 公式サイト SOCチームの判定基準と異なる場合がある OWASP ZAPにデフォルトで組み込まれているスキャンルールは、一般的な脆弱性の検出には有効ですが、特定の組織のSOC（Security Operations Center）が持つ判定基準とは異なることがあります。これにより、SOCチームが期待する結果を得られない可能性があります。 ちょっとした違いであればスキャンルールをカスタマイズすることで吸収できるかもしれません。 ソースからビルドする インストーラーを使用する分には多くの紹介サイトがあるのでここでは割愛します。 OWASP ZAPはソースコードが公開されておりビルドして使用することも可能です。 ビルド方法は公式サイトで紹介されていますので参考にしてください。開発者向けガイド 開発環境整備 (Windows環境) OWASP ZAPのカスタマイズを行うためには、開発環境を整える必要があります。詳細なセットアップ手順は、公式の開発者向けクイックスタートガイドを参照してください。 OWASP ZAPのソースを入手 OWASP ZAPのソースコードは、GitHub上で公開されています。以下の手順でソースを取得してください。 git clone https://github.com/zaproxy/zaproxy.git git clone https://github.com/zaproxy/zap-extensions.git zaproxy がOWASP ZAP本体です。 zap-extensions は、OWASP ZAPの機能を拡張するための追加プラグインやルールを含むリポジトリです。 OWASP ZAPはJavaで作成されています。GUIにはSwingが使われています。 手順通りに進めればよいのですが、少しハマりそうな箇所はこちらです。 JAVA 21ではコンパイルエラーに 公式ではJAVA 11以上とされていますが、JAVA 21ではコンパイルエラーになります。素直にJava 11を使う方がよいでしょう。 Gradle実行前に JAVA_HOME を設定しておきます。 $env:JAVA_HOME = "C:\Program Files\Java\jdk-11.0.14" IDEはIntelliJ IDEAがおすすめ 公式サイトにも書かれていますが、Eclipseの場合AddOnがすべて並列に表示されてしまうという問題があるため、IntelliJ IDEAを使用することをおすすめします。 Eclipseの場合 IntelliJ IDEAの場合 カスタム方法 OWASP ZAPのルールはJavaで作成されているので、Javaの知識があれば誰でもカスタムすることが可能です。 AddOnの追加方法については公式ページに手順が紹介されています。[公式の手順はこちら] 公式ページの説明では新しくAddOnを作成する方法が書かれていますが、既存のスキャンルールをカスタムしたいことも多いのではないでしょうか。 簡単ではありますが、スキャンルールのソースや生成物の配置先を説明します。 ルールってどこにあるの？ （パッシブスキャンルールの場合） Windows インストール版のアドオンは次の場所に格納されています。 C:\Program Files\ZAP\Zed Attack Proxy\plugin pscanrules-release-xx.zap がパッシブスキャンルールになります。 zapファイルがルールセットになります。複数のルールclassがZIP形式で圧縮されています。jarと同じですね。 ソースからビルドする場合は、こちらにソースコードがあります。 zap-extensions\addOns pscanrulesパッケージが パッシブスキャンルールのパッケージになります。スキャンルールの種類ごとにパッケージが分けられています。 静的スキャンで使用されるルールセットになります。このルールセットの中に複数のルールが含まれています。 Ruleクラスが各々のスキャンルールになります。 copyZapAddOn タスクを実行すると、zap-extensionsに作成されたzapファイルがzaproxyにコピーされます。 ./gradlew copyZapAddOn zap-extensions/addOns/pscanrules/build/zapAddOn/bin/pscanrules-release-58.zap zaproxy/zap/src/main/dist/plugin/pscanrules-release-58.zap ZAP起動時にはzaproxy/zap/src/main/dist/pluginディレクトリのZAPファイルがアドオンとして読み込まれます。 チェックをしているクラスは？ 例として Reverse Tabnabbing ルールのカスタマイズについて説明します。 （具体的なロジックの説明は行いません。） Reverse Tabnabbingの詳細はこちら Reverse Tabnabbingは、ウェブサイトでリンクを新しいタブやウィンドウで開く際に発生する脆弱性です。 新しいタブから元のページを操作することが可能となり、フィッシング攻撃に利用される可能性があります。 対策として、リンクに rel="noopener noreferrer" を追加することで、このリスクを軽減できます。 現在では、ブラウザ側での対策が進みOWASP ZAPでは重大脆弱性とされず、チェック内容が緩くなっています。しかし、他の脆弱性診断ツールでは厳密にチェックされる場合があります。 org.zaproxy.zap.extension.pscanrules.LinkTargetScanRule.java がスキャン内容を実装したクラスになります。ロジックを変更することでチェック内容をカスタマイズすることが可能です。 スキャンレポートに表示する内容もカスタム可能です。 org/zaproxy/zap/extension/pscanrules/resources/Messages.properties に出力内容が定義されています。 pscanrules.linktarget.desc = At least one link on this page is vulnerable to Reverse tabnabbing as it uses a target attribute without using both of the "noopener" and "noreferrer" keywords in the "rel" attribute, which allows the target page to take control of this page. pscanrules.linktarget.name = Reverse Tabnabbing pscanrules.linktarget.refs = https://owasp.org/www-community/attacks/Reverse_Tabnabbing\nhttps://dev.to/ben/the-targetblank-vulnerability-by-example\nhttps://mathiasbynens.github.io/rel-noopener/\nhttps://medium.com/@jitbit/target-blank-the-most-underestimated-vulnerability-ever-96e328301f4c pscanrules.linktarget.soln = Do not use a target attribute, or if you have to then also add the attribute: rel="noopener noreferrer". OWASPの説明ページのリンクも載っています。 https://owasp.org/www-community/attacks/Reverse_Tabnabbingこちらのサイトには脆弱性の内容が説明されています（勉強になります！） 直接スキャンルールに手を入れることの問題点 公式アップデートによる不整合 : 元のルールを直接変更すると、公式ソースが更新された際に変更したスキャンルールとの不整合が生じる可能性があります。(OWASP ZAPは頻繁に更新されています) 解決策としてルールセットを分ける 一つの有効な解決策は、ルールセットを分けることです。カスタムルールセットを作成することで、オリジナルのコードを保護しつつ、独自の判定基準に沿ったスキャンを行うことができます。 pscanrulesルールをコピーし、独自のルールセットを作成することができます。 （pscanrulesの場合は構造の問題で瀕雑な作業が必要ですが、、） 生成した zapファイルを配布することで社内独自のルールを展開することも可能です。 （インストール版の以下フォルダにコピー） C:\Program Files\ZAP\Zed Attack Proxy\plugin このようにPassive scanner rulesが2つ表示されています。（下がカスタマイズ版） まとめ 以上、ちょっとスキャンルールを変更したいといった場合にお役に立てていただければ幸いです。 （脆弱性診断ツールってどんなロジックになってるの？といったときの勉強にもおすすめです）

GMOインターネットグループとして、初めての取り組みとなる【アドベントカレンダー2024】を開催します。グループ各社の技術情報や知識をお届けできることを楽しみにしています！ 2024年アドベントカレンダー開催 今年はGMOインターネットグループ初の取り組みとして、アドベントカレンダーを開催いたします！ GMOインターネットグループ Advent Calendar 2024 ▼参加グループ会社｜9社GMOインターネットグループ株式会社GMOペパボ株式会社GMO NIKKO株式会社GMOインサイト株式会社GMO ReTech株式会社GMOソリューションパートナー株式会社GMOペイメントゲートウェイ株式会社GMOメイクショップ株式会社GMOブランドセキュリティ株式会社 GMOインターネットグループは、1995年にインターネット事業を開始して以来、「すべての人にインターネット」というキャッチコピーを掲げ、インターネットに関連するさまざまなサービスをお届けしてまいりました。事業領域はインフラ事業、インターネット広告・メディア事業、インターネット金融事業など多岐に渡ります。 昨今業界としては切っても切り離せない”AI”の普及について最新の情報をキャッチアップしながら、「AI活用No.1企業グループ」を目指した取り組みを続けています。さらに今年はキャッチコピーを「AIで未来を創るNo.1企業グループへ」と深化させ、その実現を加速してまいります。 AI活用事例を含む、弊グループサービスの裏側を25日間にわたってお届けいたしますのでお楽しみに！ 購読・フォローもお願いします 新着記事をお知らせいたしますので、ぜひ以下リンクより購読やフォローをいただけると幸いです。★（購読ボタン）押下の上、新着記事をチェックしてください！ GMOインターネットグループ Advent Calendar 2024技術ブログ（GMO Developers）：https://developers.gmo.jp/公式X（@GMOdev）：https://x.com/GMOdev

こんにちは。GMOインターネットグループ株式会社のデザイナー 鷲見です。現在とくB事業部のweb/グラフィックを担当しています。たまにくまポンのイラストを描いています。小学生2人を子育て中の母でもあります。女性デザイナーの皆さんにとって、ライフステージの変化に伴う仕事と家庭の両立は特に悩ましい課題ではないでしょうか。デザイナーとして長く働き続けたい方・ ライフステージの変化によりキャリアに不安を抱える方 ・将来のキャリアプランを具体的に考えたい方に向けて、私の経験も交えながら具体的な方法論や心構えをご紹介していきたいと思います。 仕事と子育ての両立 ライフステージが変化する中で、インハウスデザイナーとして働き続けることは簡単ではありません。さまざまな課題に直面し、悩み葛藤する日々が続くこともあるでしょう。まずはこれらの課題を理解することが、将来のキャリアプランを考える上で重要です。 仕事と子育ての両立で生まれる時間的制約 最も悩ましいのは時間の制約でしょうか。納得がいくまで仕事に打ち込むことが難しく予想外のスケジュール変更も発生するため、仕事に集中できない状況に備えた計画が必要です。私の場合ですが復職後は不測の事態に翻弄される日々でした。自分でもコントロールできない複雑な感情に支配されていたのか、不完全燃焼で走り抜けることが続き悶々としていた記憶があります。しかしある時悟りました。納期は死守しつつも、できないものはできない、やれるだけのことを真剣にやる、という頑張りすぎない努力が必要であると。 なぜなら帰宅後は家事や育児、翌日の準備...布団に入るまで任務が続くため、仕事で全力を出きる訳にはいかないのが母という二足の草鞋の宿命だからです。今後も悩みの形態は変わりつつも長丁場になると腹を括り、自分なりの楽しみ方を探ることが賢明です。もうひとつ大切なこと。復職当初は気力、体力、記憶力も万全でない状態がしばらく続きますが、このときに助けになるのが「昨日までの自分」です。事前に準備していたこと、プラスαの頑張り、先を見越した行動、これらが未来の自分を助けます。『ああ、ありがとう、昨日のわたし！』と思いながら、自分自身に救われたことは何度もあります。  チームワークとコミュニケーションの重要性 とはいえ、1人の頑張りだけでは乗り越えられない壁が次々と発生するので、一番大切なことは周囲との良好なコミュニケーションです。時間的制約や業務量の増加などを力技での解決を目指してしまいがちでしたが、周囲に相談し協力を得ることで解決できたケースも多くありました。自分だけシャカリキに動いても時にはそれ自体がマイナスに働いたり、自分の中にある不満の芽を育てるきっかけにもなるかもしれません。チームメンバーとの良好なコミュニケーションを築き、信頼関係を育むことは仕事と子育ての両立には欠かせません。常に感謝の気持ちを持ち、自分にできることは快く引き受け、お互いをサポートし合う関係性を築いていきたいものです。 ライフプランとキャリアプランのすり合わせ 長期的な展望を持つ 長期的な展望を持つことは、将来のキャリアを考える上で重要です。ライフプランの変化に合わせてキャリアプランも柔軟に調整していく必要があります。私は子どもがまだ小さいうちは育児を優先していたので、時短勤務やリモートワークに助けられました。この期間は特に日々を回すことで精一杯でした。子どもたちが小学生になりフルタイムで働くようになってからは、ある程度安定した時間の確保ができるようになりました。が、まだまだ時間の制約はありますし子供の要求難易度も年々上がっているのを実感しています。しかしこの嵐のような数年で、集中力や判断力、自分の限界点を超えない働き方が見えてきたことは強みです。心の揺れに対する耐性もついたと感じています。デザインの勉強も新しいスキルの取得も、細く長く続けるには安定したモチベーションが必要です。周囲のスピードに焦りを感じることもありますが、自分のペースでゆっくりでも着実に取り組むことで、働き続けられる未来設計を可能にしていくのだと思います。 効率化必須。でも根底には楽しい！が必要 限られた時間の中で目標を達成するには、業務の効率化が不可欠です。近年AI活用により更なる時短が可能になりました。以下は復職後に特に必要と感じるスキルであり、今後のキャリアにおいても強みとなるので装備しておいて損はないと思います。 ・優先順位の高いタスクを明確にし、判断する力・限られた時間内で完成させる集中力・無駄な作業を省き、時間短縮を図るスキル・ゴールから逆算して計画を立てる能力・何でも楽しめる柔軟さ・リセット力 復帰直後は疲労と時間の制約から自己肯定感が下がったり、限られた時間内でのデザインワークに葛藤が生まれるかもしれません。しかし私たちは芸術家ではなくデザイナーなので、納期を守り及第点で完成させることも重要なスキルです。その対策として私は退勤時刻から逆算した1日のスケジュールを毎朝作成し、『〇〇時までにはここまで終わらせる』等細かく決めて管理しています。必要な知識を増やし、得意を伸ばし、どんな仕事にも対応できたという成功体験が自信に繋がり、未来の自分を助ける武器の一つになるのではないでしょうか。一方で効率化とは矛盾する考え方ですが、数打ちゃ当たる精神もデザインワークには必要なのかもしれません。頭の中にある色々を具現化するって楽しいですから。楽しいが根底にあれば予想以上に頑張れるものです。最後に忘れてはいけない「リセット力」。怒涛の日々の中、些細なことにいちいち心を揺さぶられている時間はありません。そんな時間があれば子供を連れて公園でひとっ走りしてきた方が有益です。モヤモヤした気持ちは一晩眠ったら強引にでもリセットする、これをわたしは繰り返しています。多すぎるタスクをかき分けてとりあえず前進していく。最も必要な武器はタフで鈍感な精神力なのかもしれません。 まとめ デザイナーとして長く働き続ける上で、ライフステージの変化は大きな転換期です。焦らないこと、与えられた仕事に全力で取り組むこと、自分なりの時短を探すこと、そしてそれらのどこかに楽しみを見出すこと。柔軟な発想と行動力で走り抜けた少し先の未来をいつも想像しています。時には自分にご褒美を与えつつ。人それぞれ環境は違いますが、みんな悩んで苦しんでいる。1人で抱え込まずに周りと話してみることが大切です。そしてAIを味方に更なる時短テクニックを探して、作ることを楽しむ時間を増やしていきたいと思います。

デザイン学校を卒業してから、広告デザインや企業のブランディングなどを手がける制作会社3社を経て、今年からGMOインターネットグループに所属しております。従業員数がここまで多い会社に所属するのは初めてで、会社のシステムや人々との関わり方など、学ぶことが多く、ベテランと呼ばれる歳に差し掛かっても新鮮な驚きが尽きません。若い方が多い中、こんなオジサンが入っても温かく迎えてくださり、所属するチームやお仕事でご一緒させていただく皆さんには心から感謝感謝です！ 自己紹介 はじめまして！ 今年2月末にGMOインターネットグループに入社したデザイナーの河合と申します。ConoHaデザインチームに所属し、Web改善や広告などといったデザインに日々取り組んでおります。ConoHa以外にも、ホテルレビューンなど所属する部署以外の案件に関わることもあり、会社のさまざまなサービスを学ばせてもらっています。 今回はDevelopers Blogに掲載する機会をいただきました。何を書こうか悩んでいましたが、デザイナーさんも多く在籍していることですし、「デザインをする上で正解って何なのだろう？」と今でもたまに思う疑問について問いかけられたらと思っています！ 知人である「てんぐアート」さんに描いてもらった私です。悪意たっぷりに描いてもらいました デザインすることのおもしろさと難しさ デザインには無限の表現があると感じています。かっこいいデザインやかわいいデザインなど抽象度の高いところからから始まり、色の選び方や書体の選び方、大きさなど抽象度の低いところまで、作り手が自分の好きなように表現しようと思えばいくらでも広がります。 デザインには数学のように決まった「正解」がないために、複数の意見がからまり合う場面も多いです。「この色はちょっと好みじゃないな〜」「どこか古めかしい印象だなぁ〜」「ん〜〜なんとなく違うなぁ。。」など、さまざまなフィードバックが寄せられ、若手の頃はそのたびに「デザインの迷子」になり、なかなか一つのデザインに自信を持てない時期がありました。 しかし経験を重ねるうちに、表現に入る前の前準備として「コンセプトの設計」が重要であり、デザインする上での一つの正解なのではないかと感じるようになりました。 若手の頃は夢にこんなモチーフが出てきました。悩みの象徴でしょうか 「コンセプトの設計」はデザインの正解になり得るか ChatGPTに「デザインにおける正解ってなんだろ？？」と尋ねたところ、こんな答えが。 ChatGPT先生のアンサー。なんでも知ってんなぁ〜〜。 「デザインコンセプトの設計」も重要な１つだという回答がありました。この「コンセプトの設計」という視点は、私自身も学生時代から大切だと教えられてきました。仕事をしていてもその価値を改めて実感しています。ここでは、私がこれまでの経験の中で得た「コンセプト」に関する学びをお話しできればと思います。 デザイン学校での学び 学生時代、デザイン表現は無限に広がるものの、それが自己満足に陥りやすい点もあると学びました。自由にできる反面、軸が定まっていないデザインはどんなにクオリティが高くても説得力に欠けます。そこで必要となるのが「コンセプト」であり、クライアントの過去、現在、未来のビジョンに基づいて、どこを切り取り、どう表現したのかを明確に提示することが重要だと教えられました。コンセプトは、デザインにおいて無限に広がる大地の中から道筋を立てるための「地図」のようなものなのかもしれません。 社会人になってからの学び 卒業後デザイン会社に入社し、「デザイナー」という肩書きは得たものの、周りには肩書きだけでない本物のデザイナーばかり。自分が出すデザインが正しいのか自信が持てず、クオリティでも敵わないと感じていました。それでも「コンセプト」を提案し続けて訓練していると、「そのストーリーいいね。この先輩の案に合わせてみようか」といった形で徐々に成果が出始めました。何年か経ち、デザイン力も少しずつ追いついてきた頃には、コンセプトとの相乗効果で自分の案が通りやすくなっていました。コンセプトがあるとデザインの意図がはっきりと示され、クライアントからの質問にもスムーズに答えられるようになりました。 こうした経験を通じて、コンセプト設計はデザインする上で表現を導いてくれる一つの正解ではないかと感じるようになりました。 実例：どうぶつ病院のVI 実例が出せた方が面白いかなと思っていたので、過去に個人として手がけた「アピアどうぶつ病院のVIデザイン」を紹介します。 この病院の院長は私の友人で、開業するにあたりロゴ、紙もの全般、ウェブ、病院の看板や内装のデザインまで幅広く依頼された案件です。建築家をはじめ他分野のプロフェッショナルとの連携もあるので、「地図と道」を明確に共有する必要があると感じました。 院長はかつて青年海外協力隊としてオセアニアの「サモア」という国に滞在し、現地で動物医療に携わっていました。特にサモアの首都「アピア」での経験が深く印象に残っており、この地名に想いを込めて「アピアどうぶつ病院」と名付けました。このような経歴は獣医さんとしてはちょっと珍しく、個性的なものでした。 そこで、「サモアのゆったりとした時間や温かみある雰囲気を感じる”南国リゾート”」をコンセプトに設計しました。地域の飼い主さんたちが待っている時間も居心地の良い病院作りを目指しました。このコンセプトに基づき、ロゴから名刺、薬袋、ウェブに至るまで南国モチーフを取り入れ、ハンモックや廃材ボートをリサイクルした椅子をインテリアにするなど、サモアの自然を感じるアイテムを随所に取り入れました。バナナの木など南国植物を多く植えたので、世界観にも説得力が増しました。（たまに収穫も 笑） コンセプトがあることで道筋が生まれ、チーム間でも脳内が同期され、院長の希望に適ったデザインに仕上がったかなと思います。 「南国リゾート」のコンセプトの通り、病院だけどリラックスできるような空間を目指しました 紙ものにも南国を感じさせるモチーフをちりばめ、ブランドイメージの統一を図りました インハウスデザイナーとしてのスタート 今までの経験を武器に今年からは、「インハウスデザイナー」として自社サービスにじっくり向き合う立場に挑戦させていただいています。 今までは他社のさまざまなサービスに関わる中で一度きりの案件も多かったのですが、今は自社のデザインに一貫して取り組める立場にいます。たとえば、ボタン一つのデザイン変更で成約率が上がるなど、細やかなデザインの改善がどう成果につながるのかを追いかけていけます。 現在ある案件でリニューアルに携わっています。やはり人がたくさん関わるので、みんなで脳内を同期できるようなコンセプトの設計が改めて必要と感じました。商品の特性や色などの要素から、ビジュアルコンセプトを設計し、デザインに落とし込んでいる真っ只中です。 こうしたコンセプトの設計が、今後案件に関わる人たち全員にとって方向性を確かめ合える地図になっていけたら嬉しいです。 最後に このような経験を通し、コンセプト設計はデザインする上での一つの「正解」に近づく手段だと感じていますが、どうでしょうか？？あくまでもこれは私なりの経験からの仮説であり、失敗や挫折を繰り返してきた中で「大切なのではないか？」と感じたことを、自己紹介のような形でお話しさせていただいたものです。 これを自己紹介と言うと、「小難しい奴！」と思われてしまうかもしれませんが、たいていのことはテキトーでおおざっぱで「死ぬこと以外カスリ傷」をモットーとする楽観的な人間ですので、避けないでやってもらえればと思います！ 「コンセプトぉ？？いやいや、正解ってそうじゃないでしょ！」とか、「こういう正解はどうだろう？」などいろんな方とお話しできたら楽しいだろうなと思っています。 インハウスデザイナーとしてあらたなステージからまたデザインの奥深さを楽しんでいけたらと思っております。読んでいただきありがとうございました！！

皆さまこんにちは。GMOインターネットグループ株式会社の石川です。2011年のお名前VPS（KVM）から始まり、アプリクラウドbyGMO、ConoHa等と続き10年以上様々なサービスが稼働するストレージ環境の構築/運用・保守を担当しています。今まであまり表に出てこなかったストレージというキーワードでこれまでどのようなストレージを使っていて今後どうなっていくのかを書いてみようと思います。 2011年 この時期に一番採用されていたのは、サーバー内蔵のローカルストレージでした。 ローカルストレージというのはサービスを提供している各サーバーに組み込まれているストレージのことです。普段皆さんが仕事やプライベートで利用しているパソコンと同じでパソコンの筐体の中にはCPU・メモリ等と同じようにHDDやSSDが搭載されています。 単一の筐体の中にHDDやSSDが搭載されている点でいえば、パソコンと大きな違いはほとんどありませんが、大きく異なる点があります。通常、ノートパソコンでは1台、デスクトップ型のパソコンでも2台程度のSSDまたはHDDが搭載されていますが、私達が提供しているサービスが稼働しているサーバでは、2.5インチサイズで10本。2Uのサイズになると24本ものSSDまたはHDDを搭載することが出来ます。さらにはは32本の2.5インチスロットを持っているサーバもあります。 そのため、1台のサーバで10本ある2.5インチのスロットを全部に7.68TiBのSSDを搭載するとそれだけで、76.8TiBものストレージを利用することができるようになります。 24本の2.5インチスロットがあるサーバに7.68TiB x 24本搭載するとその容量は184.32TiBとなり、1台のサーバ上で100TiBをも超えるストレージ領域を作ることが出来てしまいます。 この当時はサーバ向けのSSDはまだ出始めたばかりで、容量も少なく価格も非常に高価でしたのでSSDではなく、SASのHDDをよく使っていました。 ローカルストレージは利用するにあたり特別な知識がなくても手軽に利用しやすい反面、複数本のディスクの故障に弱かったり、2台以上のサーバで稼働しているアプリケーションで共通のストレージ領域を参照したい場合においては、特別なソフトウェアを介して共有の仕組みを実装したりなどする必要があるため、サービスが順調に成長し、稼働するサーバ台数が増えることで運用上の負担が多くなっていきました。 2013年 ~ 2015年 この年から、ローカルストレージ環境で運用していたサービスにおいて、運用上の様々な問題が出てきたこと、SSDの普及が始まり2011年よりも安価に調達できるようになってきたため、SSDを利用したNFSストレージを自社構築を行い、サービスで利用するようになりました。 ローカルストレージとの大きな違いとして、複数台のサーバから1つのストレージへアクセスが集中するため、複数台のNSFストレージを用意してストレージへの負荷分散を取っていました。 また、このときから初めてVPSのバックアップ機能と呼ばれる機能提供をはじめたことで万が一NFSストレージに障害が起きてしまい、お客様が保存していたデータにアクセスが出来なくなってしまっても、別のHDDで構築したNFSストレージ上にあるデータから復旧できるようになりました。 この頃から私達が構築するすべてのストレージ環境では、お客様のサーバが稼働するストレージとは別にバックアップ用途のための大容量ストレージも用意するようになりました。 また、NFSストレージでディスクの共有ができるようになったことで、お客様に提供しているVPSが稼働している物理サーバの故障やメンテナンス時においても予備のサーバを備えておくことで、VPSを予備サーバに移動させてから故障対応/メンテナンスを行えるようになり、お客様に対してもサーバメンテナンスで長時間VPSが利用出来なくなる。といった影響が出にくくなり、お客様に対しても私達自身においても運用・保守の観点での負担が少なくなりました。 しかしながら、私達の提供するサービスをご利用頂くお客様の利用傾向として、ストレージには非常に高負荷となるディスクへの書き込み処理が想定以上に多いことが判明し、NFSストレージでのサービス提供において更なる対応が必要ということが判明しました。 2016年 ~ 2022年 NFSストレージを導入したことで、運用への負担、サーバメンテナンスでのお客様への負担が少なくなりましたが、その反面書き込みが非常に多いという状況においてNFSストレージの利用を継続することは困難と判断しました。そこでローカルストレージに近いレイヤーでお客様のVMへストレージサービスを提供できるiSCSIのアプライアンスストレージを導入いたしました。 iSCSIは昔からサーバでは標準的に利用されている、SCSIコマンドというディスクアクセスの命令をTCP/IPのネットワーク上での通信を行い、高速なディスクアクセスを提供するための規格です。 iSCISとよく比較される規格として、FC（Fibre Channel）がありますが、こちらはTCP/IPとはまた別のFibre Channel Protocolという規格のネットワーク上でSCSIコマンドによるディスクアクセスを提供します。FCを利用するためにはサーバにはFC-HBA、ネットワーク構築にはFC Switch（またはSAN Switch）と呼ばれる機器を光ケーブルで接続する必要がある点と、これらの機器を運用するための特別な知識/経験が必要となり導入への敷居は高くなります。 iSCSIはFCのような特別なネットワークの知識が必要無く、従来のTCP/IPのネットワーク機器を使うのでネットワーク技術者が多い弊社においては導入への難易度はほとんどありませんでした。 iSCSIのストレージを導入したことで、サーバからの大量の書き込み要求に対しても、NFSストレージで発生していた、ストレージが高負荷状態になることも解消され、ローカルストレージ、NFSと過去のストレージ環境で問題/懸念となった事象が解消されました。 2022年 ~ 現在 iSCSIストレージの導入で一旦はストレージを利用するにあたっての性能・運用/保守への課題がすべて解決されたように見えますが、実はそうではありませんでした。iSCSIのアプライアンスストレージという製品の性格上、提供元であるストレージメーカーでは製品寿命というものがあり、無期限に長く使える訳ではありません。（ストレージに限らずすべての工業製品には寿命という物があるため、このアプライアンスストレージだけ。という固有の問題ではありません。） また、ストレージを使うソフトウェア。とく我々がよく使うOpenStackやKubernetesには個別のストレージ事にドライバというものが提供されいるということと、これらのソフトウェアのアップデートのスピードはアプライアンスストレージのOSのバージョンアップよりも遥かに早く、数年で現在稼働中のアプライアンスストレージのOSがサポート外になってしまう。という懸念があります。 また、アプライアンスストレージはハードウェアとソフトウェアがセットで開発されている都合上、導入・維持に関しての金銭面でのコストというのも見過ごせない要因となります。 そこで、2022年から私達は、オープンソースで開発されているストレージソフトウェアである、Cephの導入を検討し始めました。Cephはブロックストレージ・共有ファイルシステム・オブジェクトストレージの3つのストレージサービスを1つのソフトウェアで提供することができ、そのソフトウェアも標準的なLinuxOS上で動作するため、アプライアンスのストレージを導入したときにくらべ導入に関するコストも低く抑えることができる点。オープンソースで開発されていることから、OpenStackやKubernetesのアップデートへの追従、更にはこれらのソフトウェアを開発している人たちがストレージ機能を提供する際にCephを使って開発していることもあり、ドライバの開発についても問題なく動作する状態で提供されているため、導入することのメリットが多数ありました。 Cephに関しては2022年から使いはじめたこともあり、まだ2年ほどしか利用していませんが、これまで使ってきた様々なストレージ製品と遜色ない安定性・性能を提供出来ており安心して利用できています。 最後に 今回初めて技術系の記事作成を担当させていただくことになり、記事のネタを考えたり、実際に書いてみましたが、ここでは書き足りていないくらいストレージの導入には様々なトラブルがありました。 次回このような機会がありましたら導入時に実際にあったトラブルや、運用で起きたこと等普段表には中々出て来ないような内容にも触れてみたいと思います。

GMOインターネットグループは、11/19（土）に開催された、Vue Fes Japan 2024にゴールドスポンサー・アフターパーティースポンサーとして協賛しました。イベント当日の様子に加え、出展ブースやLTセッション、アフターパーティーについてなどご紹介いたします。 イベント概要 開催日時：2024年10月19日（土）09:30～19:30開催場所：大手町プレイス ホール＆カンファレンス主催：Vue.js日本ユーザーグループ参加方法：￥8,000～／事前申し込み要公式HP：https://vuefes.jp/2024/ Vue Fes Japanとは Vue Fes Japan（ビューフェスジャパン）は、JavaScriptフレームワークの代表格であるVue.jsに関する、日本最大級のカンファレンスです。年に1回、国内外のVue.jsユーザーが一堂に会し、それぞれのスキル、職種、文化に縛られることなく、技術的なノウハウやVue.js愛について熱く語り合います。主催者は、Vue.jsの日本向けユーザーコミュニティである、Vue.js日本ユーザーグループです。 ブース出展について 当日のブース企画では、ここでしか手に入らない「Vueディレクティブ缶バッジ」を提供しました。 バッジのデザインは「Vue.jsらしい三角形(V)」を基に、カラーリングには「コーディングエディタ画面の配色」を踏襲しています。 バッジはブラインド形式（銀袋）でお渡しし、どのデザインが出るかは開けるまでのお楽しみ。来場者の皆さんは、どのディレクティブが出るかワクワクしながら袋を開封し、その場でバッジを身に着けて楽しんでいただいている様子が印象的でした。 スポンサーブース ノベルティの缶バッジ ちなみに、当日ご質問の多かったシークレット賞のデザインはこちら👇Vue Fesロゴとコラボしたホロ仕様デザインとなっております！ ブース企画では、弊社サービス【天秤.AI byGMO】を活用し、「お台のwebページをVue.jsで表現する」共通プロンプトを使用、3種類の生成AIが作成したVue.jsの出力結果を基に、Vueエンジニアの皆さんにお好みの結果を選んでいただくアンケートを実施しました。 結果、「Chart GPT」が最多票を獲得しましたが、この企画を通じて、生成AIの特性や現場エンジニア目線での意見を集め、直近の「生成AI活用事情を可視化」できました。 また【天秤.AI byGMO】を「初めて知った」「ぜひ使ってみたい！」という声も多くいただきました。エンジニアの皆さんにも、是非このサービスを活用していただけると嬉しいです！ また、アフターパーティーにも参加いただく方には、先着100名様に「アフターパーティー supported by GMOインターネットグループの江戸前寿司屋台」で使える【Plus1パス】をプレゼントしました！ 皆さんからは、昨年も屋台寿司出されてましたよね！昨年食べれなかったらから嬉しい！などお声をいただき、アフターパーティー開始前から盛り上がりを見せておりました！ ブースにて配布した【Plus1パス】：アフターパーティで提供する屋台寿司が、2貫→1貫多い【3貫】食べられるお得なパスです。 アフターパーティー supported by GMOインターネットグループ 昨年に続き、今年もアフターパーティースポンサーとしても協賛いたしました！ 会場には、VueFesオリジナルカクテルやおいしそうな料理がたくさん振舞われました。 GMOインターネットグループのロゴのプチケーキや、DJブースではGMOペパボ @Kspace_trk がDJを担当し、会場を盛り上げました！！ GMOインターネットグループのロゴ入りケーキ DJブース ［LT］ GMOインターネットグループ デベロッパーエキスパート　成瀬 允宣（@nrslib） 2024/09/19（土）18:30〜18:35＠メドピアトラック「／←このスケジュール表に立ち向かうフロントエンド開発戦略」https://vuefes.jp/2024/sessions/nrslib アフターパーティー開始に伴い、成瀬によるLT登壇を実施しました！ 成瀬 允宣アフターパーティということで肩の力を抜いて聞ける内容をお話ししました。いまではこれが笑い話になるぐらいのお話ですので悪しからず。参加者の皆さんとお話しすると、パーティ中の話題のひとつとして扱ってもらった報告をいくつかいただけたので満足です。 https://speakerdeck.com/nrslib/a-front-end-development-strategy-to-tackle-a-single-slash-schedule アフターパーティー限定｜＜江戸前寿司屋台＞ 前回大好評だった、江戸前寿司屋台を今年も出店しました！その場で板前さんが握ってくださる特別仕様で、今年は大間のマグロやのどぐろ等、豪華なネタを用意いただきました！！ 屋台寿司 豪華ネタのお寿司 アフターパーティー開催とともに、江戸前寿司の前には大行列！！計300名の皆さまに召し上がっていただき、楽しんでいただくことができました。 お寿司をゲットした方限定で、X投稿いただけた方には抽選で30名様にAmazonギフト￥3,000分プレゼントを実施！（※条件有）たくさんの方に投稿をいただくことができ、アフターパーティーを一緒に盛り上げられたかなと思います。 さいごに VueFesJapan 2024では会場も変わり広くなり、各ブースの力も入っており、参加者と一緒に楽しむことができました。 また来年もVueFesを盛り上げられたら嬉しいです！！

GMOインターネットグループは、CODE BLUE 2024にTOPスポンサーとして協賛いたします。最新のセキュリティ技術と知識の共有を目的に、さまざまな企画をご用意しています。本記事では、その全容をご紹介いたします！ イベント概要 CODE BLUEは、世界トップクラスの情報セキュリティ専門家が集まり、最先端の技術や研究成果を共有する国際カンファレンスです。日本を含むアジア各国と欧米の著名な研究者が集い、国際的なセキュリティコミュニティの形成を目指しています。 日時：2024年11月14日（木）〜15日（金）会場：ベルサール高田馬場（住友不動産新宿ガーデンタワーB2・1F）参加費用：有料・事前登録制（参加チケットはEventoryにて購入可能）開催形式：対面形式でのカンファレンス主催：CODE BLUE実行委員会公式HP：https://codeblue.jp/ セッション登壇について 講演タイトル：「GMOイエラエ全員集合！！進化するサイバー攻撃への対策最前線」 登壇日時・場所：2024年11月15日（金）16:00‐16:45 ＠HALL A講演者：GMOサイバーセキュリティbyイエラエ株式会社より以下11名・牧田 誠（代表取締役社長）・サイフィエフ ルスラン（執行役員）・阿部 慎司（執行役員）・小池 悠生（執行役員）・市川 遼（開発部長）・馬場 将次（セキュリティエンジニア）・三村 聡志（セキュリティエンジニア）・福森 大喜（サイバー犯罪対策センター長）・林 彦博（上席執行役員）・奥野 史一（執行役員）・王 瀚邦（リバースエンジニア） GMOサイバーセキュリティbyイエラエ株式会社に所属するホワイトハッカーによるパネルディスカッションを開催します。各分野のスペシャリスト11名が一堂に会し、サイバーセキュリティ対策の最前線について議論を交わし、質疑応答を通じてリアルな視点を提供します。 ブース出展について GMOインターネットグループでは、ブースにて以下2つの企画を実施いたします。 企画①「ガチャガチャを回して豪華景品をゲットしよう！」 ブースにてお名刺交換いただければ、豪華景品が当たるガチャガチャに参加できます。ガチャガチャでは以下のアイテムがゲットできます！ ■基本賞GMOサイバーセキュリティbyイエラエ オリジナルステッカー■ 当たり賞①Security SmartTrack Card (Airタグ)②スマートウォッチ③モバイルバッテリー④エアーアイマスク⑤VISAギフトカード5000円分 企画②「超簡単！スキミングのリスクをデモで体験！」 ブースでは、GMOサイバーセキュリティbyイエラエがプロデュースしたスキミングデモを体験することができます！非接触ICカードのスキミングリスクを実際に体感し、防止対策を学びましょう。体験いただいた方には、オリジナルデザインのスキミング防止カードをプレゼント！ 最後に GMOインターネットグループは、CODE BLUE 2024で皆さまとお会いできることを楽しみにしています。イベントにご参加予定の方はぜひ会場で直接交流し、最新のセキュリティ技術について語り合いましょう！