Software Design 2025年12月号

[期待] ID管理、AIエージェントへの攻撃手法などメインコンテンツが興味をそそられるものばかりだったので購入。 [感想] ・ID管理 SansanのAuth0→AWS Cognitoへの移行の話が面白かった。認証基板に必要な要件の一つとして自社の基準を満たせるパスワードポリシーの設定機能やブルートフォース対策、複数ログイン失敗のアカウントロックなど確かにと思った。ただ、実際に移行してみると、AWS Cognitoで対策できたのはTOTP(Time-based One-Time Password)によるMFAのみで、あとは自前実装にしたというのもリアルな話だった。OIDCについて知れたのも良かった。アクセストークンと一緒にユーザーの属性情報も返すというもの。next-authもこれを使っているぽい。IDaasを使うとユーザーのプラン情報などはどうやって引っ張ってくるのかなと思っていたが、これで行けるっぽい。また、一緒に返さなくてもアクセストークンはIdaasから返ってくるので、それをそのままヘッダーに載せてDBから取得するというやり方でもいける。kidokuでnext-authを剥がす際はこのやり方になりそう。 移行の際は既存IDaaSの契約更新の期限までに対応するという時間的制約も生まれるのも、確かになあと思った。 ・AIセキュリティ LLMのjailbreakの手法がたくさん載っていて面白かった。AIを騙して「今は特別な状況である」と信じ込ませる方法や、AIが罪悪感を感じないように正当な理由があるかの見せかけたり、会話の開始を示す<im_start>などのトークインジェクションなど、知らない手法がたくさんあった。 プロンプトの最初と最後は重要視されるというのも初めて聞いた。