SoftwareDesign 2025/12月号 輪読会メモ (2025/12/8)

はじめに

第1特集

ユーザーIDを管理するとは？
今さら聞けないID管理
認証基盤を構築する際に知っておくべきこと

著者:日本ネットワークセキュリティ協会（JNSA）

第1章：デジタルIDを管理するとはどういうことか？
ID基盤構築において漏れなく設計／実装するために
…… 森 大輔，山田 達司，水原 智広，菊地 周平，貞弘 崇行

P.18
デジタルID管理の概念や用語を定義する国際規格 ISO/IEC 24760-1
パスキー（FIDO）
EIAM（Enterprise Identity and Access Management）
CIAM（Customer Identity and Access Management）
デジタル社会推進標準ガイドライン DS-511 (デジタル庁作成)

第2章：認証基盤を実現するための技術とアプローチ
CIAMの要素技術とIDaaS，OSS選定の戦略
…… 赤星 拓未

P.27
SP800-63B 認証保証レベル（AAL：Authentication Assurance Level）
SP800-63 (パスワード)
パスキー（WebAuthn/FIDO2）
認可とID連携 (OAuth 2.0、OpenID Connect、SAML)

第3章：IDaaSとはどんなサービスか
Auth0から学ぶ機能と選定の勘所
…… 宮崎 将太，市川 浩暉，藤井 亮佑

P.37
IDaaSの中でも人気の高いAuth0

第4章：B2B SaaSにおける認証基盤構築の実際
IDaaS採用から内製化まで
…… 樋口 礼人

P.47
Sansan株式会社の経理DXサービス「Bill One」の事例
Auth0から内製化へ (P.50 各IDaaS のコスト比較表)

第2特集

新時代の脅威に備える
AIセキュリティ入門
AIエージェントへの攻撃手法と防御策を押さえよう

…… 川喜田 将之
第1章：AIエージェントにおけるプロンプトをめぐる攻防
エージェントの乗っ取り・暴走・制御不能の事例を知る

P.60
ガードレール設計
間接プロンプトインジェクション(PI)の脅威
AIエージェントからの情報漏洩
AIエージェントを標的にしたランサムウェア(PromptLock)

第2章：AIエージェントに対する攻撃手法
攻撃のメカニズムを解剖する

P.67
プロンプトインジェクション(PI)
OWASP（Open Web Application Security Project）がAIアプリケーションのリスクを公開 (LLM01 〜 LLM09)
ジェイルブレイク(JB)

研究から明らかになった重要な攻撃ベクトル (トークンインジェクション攻撃, サンドイッチ攻撃, コンテキストオーバーフロー攻撃)

第3章：AIを安全に活用するために押さえたい防御策
2つの基本思想と対策すべき5つの観点

P.75
多層防御の重要性
三層ガードレール設計フレームワーク (入力, 本体, 出力)
Human-in-the-Loop（運用）、必ず人による承認プロセスを組み込む設計 ↔︎ ネットワーク運用の自律化に矛盾？！

特別企画

2025年ノーベル物理学賞受賞の背景がわかる
量子コンピュータを支えるしくみ
……荒木 誠

P.82
トンネル効果とエネルギー量子化

RSA暗号などの現代の暗号技術を破る方法であるショアのアルゴリズム
ポスト量子暗号

短期連載

【最終回】Javaバージョンアップ大作戦
【3】Java 25へのバージョンアップに向けて
……杉山 貴章

P.90
XXX

連載

ITエンジニア必須の最新用語解説
【204】Manus……杉山 貴章

ED.1
Manus(中国系企業が開発したAIエージェント)、Manus 1.5、Claude Sonnet、Alibaba Qwenをベース

万能IT技術研究所
【43】「カメラの標準レンズは50mm」になった理由——人の視力で世界を眺める!?　35mm判カメラ創世記……平林 純

P.1
35mm判(横:36mm x 縦:24mm)換算で焦点距離50mmのレンズ＝標準レンズ
人の有効視野(横:70度、縦:120度)
エジソン研究所の映画撮影用 → カールツァイスレンズ+ライカカメラ(5cm F3.5)が原点
フィルムの送り方向に長軸を取る(37mm x 25mm → のちに36mm x 24mm)
視力＝1/最小視角(分)
視力1.0 → 0.5で景色を眺めている
銀塩フィルムの画素サイズ0.03mm、焦点距離51.6mm → 人の視力を実現するカメラ

現実世界を拡張するWebXRプログラミング
【2】WebXRを実現するツールの選択とその動作環境……にー兄さん（堤 海斗）

P.6
ARエンジン(ARCore, AR.js, A-Frame, MindAR)
WebXR(Three.js, Babylon.js, PlayCanvas)
ワールドトラッキング(8th Wall, Zapworks)
→A-Frame, AR.js, PlayCanvasは使ったことがあります

ドメイン解体新書
【23】「SSLサーバ証明書47日時代」に備えるDNS自動化のススメ……谷口 元紀

P.10
サーバ証明書の有効期間の短縮(3年 → 47日:2029年) → 実際には毎月更新が必要
ACME（Automatic Certificate Management Environment、自動証明書管理環境）
ドメインを管理できることの照明 → DNS認証を選択すると、DNS認証を自動化するAPIキーを保管するリスク

ネコ，コード，ネコ
【6】社会人になって学ぶコンピュータサイエンス……植山 類

P.14
スタンフォード修士課程のComputer Science(半々)
東大博士課程(これから)

パッケージマネージャーNix入門
【4】Nixによる開発環境の構築――手元のマシンの宣言的な構築……たけてぃ

P.100
XXX

技術選定の舞台裏
【4】SUZURIのモバイルアプリ……黒田 駿，八木 仁

P.110
サービス使ってます

Ruby×静的型付け戦略
【8】AIエージェント時代と型システム……黒曜

P.118
RBS Goose型推論ツール vs AIコーディングエージェント

プログラミング×AIの最前線
【9】AI時代のコードレビュー……木下 雄一朗

P.124
AIコードレビューツール (そもそも必要？！→結論は必要)

実践LLMアプリケーション開発
【27】振り返りによってプロンプトを自己進化させる最適化手法「GEPA」……西見 公宏

P.131
プロンプトを自己進化させる最適化手法「GEPA」
DSPyのGEPAを使用してRAGパイプラインをエンドツーエンドで最適化する手法

AWS活用ジャーニー
【38】AWS Step Functions……杉金 晋

P.142
XXX

はじめてのオフェンシブセキュリティ
【6】Boot2Rootに挑戦してみよう！（Linux編）……皆川 諒，監修：株式会社エヌ・エフ・ラボラトリーズ

P.148
Boot2Rootで一気通貫 (SQLインジェクション, PHP, リバースシェル, 権限昇格(一般ユーザ), 権限昇格(特権ユーザ))
次回はWindowsマシンをターゲット

最終回乱数のひみつ
【10】検証可能な乱数（VRF）とは……荒木 誠

P.158
VRF: Verifiable Random Function
ブロックチェーン, オンラインゲーム

インターネットの姿をとらえる
【15】DNSの名前解決のしくみ DNSが壊れるとインターネットが壊れる!?……土屋 太二

P.162
XX

魅惑の自作シェルの世界
【37】localの実装（前編）……上田 隆一

P.166
XXX

あなたのスキルは社会に役立つ～エンジニアだからできる社会貢献～
【167】Code for Manazuru　過疎地域×テクノロジーの可能性……佐野 杏

P.166
マナレージ(パン屋さんのお手伝い, 古地図マッピング), カスタマージャーニー作成

SD NEWS & PRODUCTS

P.178
tsuzumi2 (NTT R&D Forum 2025に行って話を聞きたかった..(←TM Forum Innovate Asia 2025出張と重複))
SASE(Secure Access Service Edge)プラットフォーム(マクニカ)

Reader's Link

P.182
今月(10月号)は輪読会参加者の採用なし？！

SD Staff Room

P.184
XX