「APIセキュリティの穴、60億円流出から学ぶべきこととは？」～【aws】今週の人気記事TOP5（2025/12/28）

「APIセキュリティの穴、60億円流出から学ぶべきこととは？」今週の人気記事TOP5（2025/12/28）

【60億円流出】GitHub Token流出から始まったAPI改ざんとその対策

GitHub Access Token漏洩が原因で、CI/CDパイプラインを経由し、実行中のコンテナ内でAPIレスポンスを改ざんされ、約60億円が流出したインシデント。攻撃は、漏洩したトークンでCI/CDを悪用し、クラウド認証情報を窃取、Kubernetesへ侵入後、Podにペイロードを注入。iptables/eBPF等でトラフィックをリダイレクトしAPIレスポンスを改ざん。対策として、Secret scanning、OIDC活用、EnvironmentによるSecrets管理、GitHub監査ログ監視、Falco等によるランタイムセキュリティ強化、EDR導入、インシデント対応計画策定といった多層防御が推奨される。

DynamoDBのリトライとログについて考える for PHP

DynamoDB障害を受け、PHP SDKのDynamoDbClientにおけるリトライ設定とログ取得について解説。SDKデフォルトのリトライ（max_attempts設定可能）に加え、aws-sdk-retryヘッダーやエラーキャッチによるリトライ検知方法、特定エラー（ThrottlingException等）に限定した独自リトライ実装の例を紹介。一時的なエラーはSDKに任せ、ログで異常を把握することが重要。

Amazon Bedrock の精度改善にとことん向きあった話

Amazon Bedrock Knowledge BasesでRAG機能を構築する際、当初想定より精度が低かったため、プロンプト改善、生成モデル比較、データソース形式最適化、Lambdaによるカスタムチャンキング、OpenSearch/Bedrockパラメータチューニング、Rerankモデル導入、埋め込みモデル変更などを実施し、精度向上を図った。メタデータフィルタリングや構造化データストアの利用は見送ったが、RAG精度向上は単一施策ではなく複数施策の組み合わせが重要であると結論づけている。

3大クラウド全冠者が送るAI時代にふさわしい(？)クリスマスプレゼント

3大クラウド（AWS, Azure, Google Cloud）のAI系資格が、AI時代に求められるスキル習得を支援するクリスマスプレゼントとして紹介されています。資格は「AIリテラシー（基礎知識）」「AI/MLエンジニア（設計・実装）」「データエンジニア/データサイエンティスト（基盤）」の3カテゴリに分類。各クラウドの代表的な資格（例：AWS ML Engineer, Azure AI Engineer, Google Cloud ML Engineer）が挙げられ、自身のキャリアや目的に合わせた資格選択が推奨されています。

30分の定例会でコスト削減アクションを決める！Datadog CCMで実現するAWSマルチアカウントのコスト最適化

Linc'well社は、AWSマルチアカウントのコスト増加に対し、Datadog Cloud Cost Management (CCM)を導入し、30分の定例会でコスト削減アクションを決定できる体制を構築しました。Datadog CCMは、コストの可視化、急増箇所の特定、タグなしリソース分析、自動推奨機能に優れており、AWS Cost ExplorerやQuickSightと比較検討の結果、導入の容易さや機能面で選定されました。導入により、Recommendations機能で具体的な削減アクションを迅速に決定できるようになり、開発チームのコスト意識改革や監視フロー統合にも貢献しています。

「AIエージェントの品質、本当に大丈夫？Bedrock AgentCoreで実証！」人気記事TOP5（2025/12/21）

kaniで数学的に証明するRust標準ライブラリの安全性

Rust標準ライブラリの安全性検証ツールkaniを紹介。kaniは形式検証ツールであり、Rustコードのプロパティを数学的に証明する。特にunsafeコードブロックの検証に有用で、コンパイラによるチェックが効かない部分の安全性を保証する。NonZero<u8>型のunchecked_add関数を例に、事前条件と事後条件を設定し、オーバーフローしないことや結果が非零であることを証明するコード例を示す。LLMによるContract記述の自動化についても言及しており、今後のRustの安全性向上への期待が語られている。

OpenTelemetryでプロダクトのオブザーバビリティを向上させている話

ZAICOは在庫管理システムのオブザーバビリティ向上のため、OpenTelemetryを導入しました。OSSであるOpenTelemetryは、テレメトリ実装の標準化とバックエンドの柔軟な切り替えを可能にします。ECS Fargate上のRailsアプリで収集したトレースは、独立したOpenTelemetry Collectorサービスに集約後、Mackerel APMへ送信。Collectorをゲートウェイとして独立させることで、アプリケーションとオブザーバビリティ基盤を分離し、運用負荷を軽減。テイルサンプリングにより、コストを抑えつつ重要なトレースを確実に取得・可視化しています。

Claude Code で drawio 向け Skills を作成して使ってみた

GENDAのuma-chan氏は、draw.ioで図を作成する際の非効率性を解消するため、Claude CodeのSkills機能活用法を紹介。SkillsはClaude Codeが動的に読み込む命令・リソースフォルダで、draw.ioの図作成におけるfontFamily指定忘れ、矢印配置ルール、AWSアイコン指定方法などの定型指示を自動適用可能。Rules機能との比較から、複数ファイル管理や特定タスク実行時にSkillsが適していると解説。既存知見をClaude Codeに投げ込むことで、対話的にSKILL.mdを生成し、Skills作成が容易になることを実演している。

「そのAI エージェント、本番に出して大丈夫？」Amazon Bedrock AgentCore Evaluations で始める品質評価

AIエージェントの運用課題として、非決定的な振る舞いによるテスト網羅性の限界、評価コストの高さが挙げられます。Amazon Bedrock AgentCore Evaluationsは、AIエージェントの品質を継続的に評価するフルマネージドサービスです。本番運用中の「オンライン評価」と開発時の「オンデマンド評価」が可能で、組み込み・カスタムEvaluatorが利用できます。GUI操作で実装は容易ですが、評価結果の妥当性は継続的な検証が必要です。

レバテックのTiDBにTiProxyを導入するまでにやったこと

レバテックSREチームは、TiDBノードメンテナンス時の接続断課題解決のため、TiProxyを導入しました。TiProxyは、バックエンドTiDBノード停止時でもクライアント接続を維持し、健全なノードへシームレスに移行する「Connection Migration」機能を提供します。

事前検証では、単純クエリで性能劣化が見られたものの、実ワークロード（TPC-C）ではコネクションプーリング等の効果で性能向上が確認されました。

ダウンタイムなしの導入のため、一時Node Group作成とRoute53切り替え方式を採用。アプリケーション側では、PHP（Short Connection）は自動、TypeScript（Long Connection）はRolling Updateによる再起動が必要でした。これらの検証と戦略により、TiProxy導入を成功させました。

「LLMとサーバーレスで、月額$2で動画分析！開発体験も劇的に向上。」今週の人気記事TOP5（2025/12/14）

ローカル開発のシークレット設定を自動化する ── Go × AWS Secrets Manager

LayerXは、ローカル開発のシークレット手動設定課題に対し、Goのstruct tagsとAWS Secrets Managerを連携させた自動注入システムを構築。localsecretタグでシークレットを宣言的に指定し、アプリ起動時に環境変数が未設定の場合のみSecrets Managerから取得・注入する。この仕組みにより、手動設定の手間を解消し、開発体験や新メンバーのオンボーディング、セキュリティを大幅に向上させた。

$1で最大8時間の動画を話者分離・文字起こし・LLM分析するAWSパイプラインを作った

AWS Step FunctionsとLambdaのフルサーバーレス構成で、月額固定費約$2の動画分析パイプラインを構築。pyannote.audioによる高精度な話者分離、faster-whisperでの高速文字起こし、gpt-5-miniでのLLM分析を実現しました。8時間動画の処理が約$2.3で完了し、AWS Transcribe比で約5倍のコスト効率を達成。256KB制限はS3とresultPath:DISCARDで回避し、モデルはビルド時に含めるなど、低コスト・高品質・長時間対応の工夫が満載です。

ランサムウェア対策としてのバックアップ戦略＠AWS

現代のランサムウェアはバックアップも標的とするため、単なる取得では不十分。記事ではVeeamの「3-2-1-1-0ルール」に基づき、AWSで堅牢なバックアップ戦略を解説。

結論として、AWS Backupの「論理的エアギャップボールト」でイミュータブルなデータ保存を実現し、マルチアカウント構成とOrganizationsのSCPでバックアップを隔離。さらにMulti-Party Approval (MPA)で緊急時のアクセス経路を確保し、定期的な復旧テストで確実性を担保する。これにより、攻撃者からバックアップデータ自体を守る。

Claude CodeでTerraformのドキュメント作成を効率化した話

jinjerは、複雑化したTerraform IaC環境での開発者のインフラ情報探索コストが課題でした。この解決策として、tfstateファイル（デプロイされた現実のリソース情報）をClaude Codeに解析させ、開発者向けドキュメントを自動生成する仕組みを構築。コード解析より正確で、jqより柔軟なメンテナンス性を実現しました。結果、SREのトイル削減、開発者体験(DX)向上、属人化排除、オンボーディング高速化に大きく貢献しています。

世界で一番詳しい！ ElastiCache Serverless for Valkey を約1年実際に運用してわかったポイント

ElastiCache Serverless for Valkeyを約1年運用し、その実用性を確認。ECPUの高速拡張と事前スケーリング機能により、リクエスト5倍のスパイクにも耐える優れたスパイク耐性が最大の強み。ECPU費用は安価だが、データストレージ料金が割高だった。しかし、Database Savings Plans適用でECPU/ストレージが30%削減され、コストメリットが大幅に向上。自動アップデートは便利だが、スナップショットからのダウングレード不可に留意が必要。

【2025/12/7】「Agent開発でToken爆食い？あなたのAWS運用、アンチパターンかも？」今週の人気記事TOP5（2025/12/07）

やったらあかんで！ AWSアンチパターン

AWSアンチパターン解説記事。インフラ負債回避のため、早期の正しい設計・運用が重要と説く。技術的改善策として、AWSアカウントは環境ごとに分離しIAM Identity Centerで認証一元化。RDS/ECSはプライベートサブネット配置、S3はCloudFront+OACで安全公開。CI/CDはIAMロールの一時認証を使い、ECS環境変数はSecrets Manager活用。ECRタグはコミットハッシュで管理し、LambdaはGit+CI/CD。RDSバックアップ延長、S3バージョニング有効化でデータ保護。不要なEBS削除も忘れず、命名規則統一で運用性向上を推奨。

初心者が爆速で Claude Code を習得する 10 のステップ

Amazon Bedrock上のClaude Code活用術として、開発効率を爆速で向上させる10ステップを解説。CLAUDE.mdでプロジェクトのコンテキストを維持し、settings.jsonで権限を制御する。プランモードや拡張思考で複雑なタスクを効率化し、カスタムスラッシュコマンドで定型作業を自動化。Tavily、Context7、AWS MCPサーバー等と連携し、ウェブ検索やAWSリソース操作などの機能を拡張可能。GitHub連携や画像活用も実現し、開発ワークフローを最適化する具体的な手法を示した。

AgentのToolを公開MCPから自作に変えたらToken使用料が9割削減した

Agent開発でStrands AgentsのAWS MCPを使いGitHub PR取得時、不要な詳細情報までLLMに渡され約34万Token消費と高額な費用が発生。これを、必要なフィールドのみを抽出する自作Toolへ変更した結果、Token使用料を9割削減（約3万Token）することに成功した。これによりコストを大幅に削減でき、Agentの暴走防止にも寄与。MCPは便利だが、API連携では自作Toolとの適材適所な使い分けが重要と結論。

Lambda durable functions が発表されました！

AWS Lambdaに新機能「Durable Functions」が発表されました。これは、長時間実行が必要なワークフローや複数ステップ処理をサーバーレスで実現するものです。実行途中にチェックポイントを設置し、待機やクラッシュからの安全な再開を可能にします。

単一のLambda関数内で状態管理を行い、注文処理やポーリングなどの複雑なドメインロジックを記述可能。待機中はLambdaの実行時間課金が停止します。Step Functionsがインフラ連携主体なのに対し、Durable Functionsは関数レベルのオーケストレーションに強みを持ちます。

ECS Service Discoveryを採用しようとして採用しなかった話

Fargateを用いたAWSアーキテクチャで、ELBコスト削減と新技術への好奇心から、当初はAPI Gatewayのプライベート統合とECS Service Discoveryを検討。しかし、CTOの指摘を受け方針転換。運用の不確実性（ヘルスチェック信頼性、トラブルシューティング困難）、YAGNI原則、サービス継続性を考慮し、実績のあるELBを採用。結果、安定稼働を実現。プロジェクト目的に合った、不確実性の少ない技術選定の重要性を学んだ。