$ make life

とあるセキュリティエンジニアのちらしの裏

【読書感想文】LLMの原理、RAG・エージェント開発から読み解くコンテキストエンジニアリング

読書感想文

はじめに

AIエージェントの開発をしている中で、ちらほら見聞きするようになった「コンテキストエンジニアリング」。バズワードの一種のようにも思えたが、好奇心が勝り本書を買って読んでみることにした。実際、この本を読む前と読んだ後では、プロンプトに対する意識が変わったので良い1冊だった。情報の流れが早いからこそ、プロンプトエンジニアリング的なこといまいちわかってないなという人にはお勧めできる1冊だった。速習性が高くて良い本だった。 gihyo.jp

学んだこと

そもそも、まずコンテキストエンジニアリングという分野が何をカバーすることなのかわかってスッキリした。どうやら元ネタとしては、 The rise of "context engineering" のようで、従来のプロンプトという枠組みを超えて、広い意味での入力やAIが管理すべきコンテキストに関して最適化をしていく分野のことを指すようだった。
本書は、最近軽視されがちなLLM自体の仕組みについてある程度ちゃんと説明しており、元人工知能研究室所属の人間からすると(といってもCNN is full swingな時代の人間なのでかなり昔だが)、すごく理解が捗った。Transformer自体の仕組みを何だかんだちゃんと見ていなかったので、どういうアーキテクチャなのか知ることができてよかった。また"Lost in the Middle"と呼ばれる事象も初耳で興味深かった。LLMは、末尾 > 冒頭 > 中盤の順番に重きを置いているみたいなので末尾にしっかり要求を記載することが大事そうだと思った。
2章のAPIサービス利用におけるコンテキストの扱いと基礎機能という章では、OpenAPIのAPI仕様に基づきながら、LLMやその回答をチューニングする方法も載っており役立てそうだと思った。 3章では、指示プロンプト開発の基礎として、指示プロンプトの設計時に把握しておきべ全体指針が示されていて勉強になった。個人的に大事だなと思ったのは、どのように目標を達成するかよりも出力となるゴールを明確に渡すということだった。どうしてもエンジニアなのでinstructionの方が細かくなりがちだから気をつけようと思った。また、Few-Shot PromptingやChain of Thoughたちも知らなかったので勉強になった。 4章では、RAGについての話が展開されていた。基本的には知っていることは多かったが、改めて本当にRAGが必要か否かはしっかり議論した上で実装をした方が良いなと思った。どうしてもRAG自体は運用コストが高いので無闇に手を出してはいけないなと思った。多くの場合は、CAGと呼ばれる手法でもワークしそうだなと思った。 最後の第5章では、AIエージェントを利用したワークフローによる作業の自動化について解説されていた。かなり具体的なワークフローの考え方が載っていて役に立ちそうでした。個人的に大事だと思ったのは、「本当にLLMを利用する必要がある作業とそうでない作業を区別する」と「単一のプロンプトベースエージェントで試して初めて限界を感じたらワークフローを検討する」という2点。前者は、学生時代AIの研究をしている時も、常にDNNでやるべきか否かを考えており似た考え方だと思った。後者に関しても、AIエージェントの開発というのは最初から風呂敷を広げずMVPを作っていくという思想で向き合うべきなのだなと実感した。

おわりに

改めてプロンプトもといコンテキストにたいして、こんなにもさまざまなことを考慮すべきなのかと、思わされた。実際この手の情報はChatGPTなどに聞いても得られる気はするが、目も疲れるので紙でのんびりと読めてよかった。実際に仕事でAIエージェントを作る際のプロンプト設計に役立てていきたい。

【読書感想文】PRESIDENT 2026.03.20 英語はAIが9割

読書感想文

Background

I have been working with English speakers for three years, so English is the primary language at work for everything like discussions, writing documents and chatting with my co-workers. Thanks to my co-workers, my English skill has been improved dramatically compared to when I was working at the previous company. However, I still feel limited by my current English skills.
One day I saw this magazine on X and was curious about it. I know the magazine "PRESIDENT" itself, but I have never read it because I thought I was not the target audience. The reason why I wanted to read it was that the main topic was learning English with AI. Although I had already used AI for learning English, I decided to read this maginze because there might be interesting use cases for me. It's a bit late, but I'll write this blog post in English since the topic is English.

What I learned

  • Modern methods for learning English
    • The article recommends you working on the four methods such as reading and writing as input, writing and speaking as an output and then rote learning for vocabulary and grammar, and practice for prompt writing in English
    • To pour your time and efforts to those areas equally is apparently essential
  • Sophisticated prompt examples (e.g., drafting emails)
    • There are a lot of useful prompts for making AI generate high-quality responses
  • Some interesting apps for learning English were also introduced
    • However, free editions are basically limited, you might need to consider upgrading your plan if you really want to use that
    • From the perspective of cost, I would say ChatGPT is enough for almost all English learners at this moment

Final words

It was worth reading this magzine. The price is not expensive compared to typical books on learning English, so this book was great in terms of cost performance. If you want to learn English right now, I highly recommend checking this magzine and learn the techniques. I believe it could pave the way for gaining English skills quickly.

Appendix

Here is the reviewed sentences by ChatGPT. Take a look what my sentences were changed!

Background

I have been working with English speakers for three years, so English is the primary language at work for everything, such as discussions, writing documents, and chatting with my co-workers. Thanks to my co-workers, my English skills have improved dramatically compared to when I was working at my previous company. However, I still feel limited by my current English skills.

One day, I saw this magazine on X and became curious about it. I know the magazine "PRESIDENT", but I had never read it because I thought I was not the target audience. The reason why I wanted to read it was that the main topic was learning English with AI. Although I had already been using AI to learn English, I decided to read this magazine because there might be interesting use cases for me. It's a bit late, but I'll write this blog post in English since the topic is English.

What I learned

  • Modern methods for learning English
    • The article recommends working on four methods, such as reading and listening as input, writing and speaking as output, rote learning for vocabulary and grammar, and practicing prompt writing in English
    • Apparently, it is essential to devote your time and effort equally to these areas
  • Sophisticated prompt examples (e.g., drafting emails)
    • There are a lot of useful prompts for making AI generate high-quality responses
  • Some interesting apps for learning English were also introduced
    • However, free editions are usually limited, so you might need to consider upgrading your plan if you really want to use them
    • From the perspective of cost, I would say ChatGPT is enough for almost all English learners at this moment

Final words

It was worth reading this magazine. The price is not expensive compared to typical books about learning English, so this book was great in terms of cost performance. If you want to learn English right now, I highly recommend checking this magazine and learning the techniques. I believe it could help pave the way for improving your English skills quickly.

【読書感想文】BigQueryではじめるSQLデータ分析 GA4 & Search Console & Googleフォーム対応

読書感想文

はじめに

セキュリティエンジニアとして仕事をしている中で、直近数年はSQLを利用する機会が非常に増えた。しかしながら、開発者としてのキャリアを通っていないため、自分自身にはデータベースに関する知識はそこまで多くない。もう少し正確にいうと、SQLインジェクションのTipsや対策など、非常に限定した場面で生きるSQLの知識しか持っておらず、SQLの本来の価値である検索や分析といった観点での勉強はほとんどしたことがなかった。そのため、常に各クエリはSQL習いたてのような人が書くものであった。流石にこの状況を打開した方が良いなと思い重い腰を上げて勉強しようと思って本を探していた。今の時代AIがSQLをほぼ書いてくれるが、恥ずかしい話、そのクエリの妥当性を評価できるスキルが自分にはなかった。このスキルを習得するために下記の本を選んで勉強した。今最も使っている環境がBigQueryなので、少し前の本ではあるが、自分にぴったりの本であった。Google Analyticsなどは特段使っていないのでそこら辺は軽く流した程度。 book.impress.co.jp

学んだこと

かなり初歩的なところから学び直したというのもあるが、主に自分がちゃんと勉強しなおせて良かったと思ったのは下記のトピックたち

  • テーブルの結合
  • 仮想テーブル、ビュー
  • サブクエリ
  • データの縦持ち/横持ち
  • 代表的な関数
  • ウィンドウ関数

特にテーブルの結合に関しては、かなり初歩的ではあるものの、毎回LEFT OUTER JOINとRIGHT OUTER JOINって何だったけな...みたいなことを思いながら毎回調べたりしていたし、self joinやcross joinに関しては存在すら知らなかった。また、サブクエリなどはもちろん見たことはあったが自分で能動的に使う機会はそこまでなかったため確認ドリルを通して、感覚的に使いたいケースを学ぶことができた。また、データの縦持ち・横持ちという話題やウィンドウ関数という概念は、初見のものだったため非常に興味深かった。これらが使えるとより細かい調査を行うことができそうだなというイメージが湧いた。

おわりに

Google Analyticsなどの分析を業務でするわけではないが、セキュリティエンジニアとしてのログ調査という意味でも実質やることは同じで(もちろんよく実装する処理は異なるかもしれないが)、そういった際に非常に役立つ話が多かったし、自分の不勉強さを痛感した1冊だった。そういう面でも非常に良い本だった。また、この本を通して、具体的なSQLの書き方に慣れたり思い出したりすることができたというのも収穫の1つであるが、1番の収穫は「しっかり腰を据えて、求められている自分にとって少し難しいクエリをどう実装していくかを頭で考える」ということができたことだったと思う。自分のように、SQLまぁわかるっちゃわかるけど、わからないっちゃわからないみたいな、開発キャリアを経ていないセキュリティエンジニアやセキュリティアナリストにはお勧めできる1冊だなと感じた。

【読書感想文】AWS継続的セキュリティ実践ガイド

読書感想文

はじめに

突如としてAWSのセキュリティやログ管理に関して勉強する必要性が出てきて、ChatGPTと会話しながらTerraformで環境を作っていたが、やはり本で体系的に勉強したいなと思い検索して出てきたのが本書。メインとしてはGoogle Cloudを使っており、AWSの経験はあまり豊富ではないので、具体的な設定方法に入る前に、そもそもどういう設計をすべきか、どういうサービスが利用できるのかなどについて一旦知りたかったので、細かい部分は飛ばして読み概要把握に努める読み方をした。それでも、かなり解像度が高くなり、どういう方針でログ管理していくべきか、運用的な側面のイメージができたので良かった。

www.shoeisha.co.jp

学んだこと

基本的なところとして、AWS ConfigやCloudTrail, GuardDuty, Security Hubなどセキュリティに関連する各種サービスの思想や違いを学ぶことができて良かった。具体的なログのフォーマットやログの種類(S3もオブジェクトログとアクセスサーバーログと分かれていることを知らなかった)などについても学ぶことができた。これにより基本的な会話について行けるようになった気がする。またSecurity Hubに関しては、仕様面・運用面ともに様々なことを学ぶことができた。例えば、内部的にAWS ConfigのConfig Rulesを生成していることや、ASFF(AWS Security Finding Format)の形式だったり、インサイトと呼ばれるFindingsをグループ化する機能など。

そして、本書を読んで特に学びになったのは、どういうログ管理の設計をするとセキュリティ的な調査という文脈で効率が良いかという話だった。これは特に本に限った話ではないが、やはりS3バケットに可能な限りログを集約していくというのがよさそうに見えた。しかしながら、いくつかのAWSのサービスは、直接S3バケットにログを転送できないという制限がある。例えば、RDSのSQL監査ログなどは、CloudWatch Logsにしか書き出せないらしい(なおアップデートによって変わっている可能性もあるので調べる必要がある)。こうしたいくつかのケースの場合は、KinesisやCloudWatch Logsを経由してS3に出力するというのができるらしい。こうした「何のサービスが、何にログを転送できるのか」を表す対応表も記載されており、即戦力があって良いなと思った。

おわりに

急遽AWSのSecurityやログ管理設計について学ぶ必要が出てきたため手に取った1冊であったが、AI時代においても非常に効率よく学ぶことができた本で大変助かった。本書は最初から最後まで一貫して、実際の運用や起こり得るシチュエーションを考慮した設計のTipsや設定について記載されており、実践的かつ即効性があるという点でAWS初心者には大変おすすめできる1冊だった。

【読書感想文】実践 AIエージェントの教科書

読書感想文

はじめに

AIエージェンの開発をするにあたって、どういうアーキテクチャで組むべきなのかなどについて体系的に学びたかったので本を探していた。実装というよりは1つレイヤーが上で概念的なものを学びたいと思っていたところに、リックテレコムの本書が良さそうだと思ったので買って読んでみた。結果として、自分が最も知りたかった、実際のAIエージェントのアーキテクチャパターンの理解が深まってよかった。ただ、それ以上にさまざまな現場でもAIエージェント活用の事例や課題、対策などが豊富に掲載されており、1つの読み物として非常に読み応えがあるもので、面白かった。 www.ric.co.jp

学んだこと

  • AIエージェンの設計パターン
    • 設計を考える上でユーザとAIの対話に重きを置いて構造を考えたり、AIの行動に重きを置いて考えることが大事だとわかった
    • 特にAIの行動をに重きを置いて考える場合の設計パターンは図解もありわかりやすかった
  • AIエージェントの評価設計
    • 従来のソフトウェア開発と異なり、どういう点に着目して実装したAIエージェントを評価するべきかを学ぶことができた
  • AIエージェントのオーケストレーションの概要 -AIエージェントをオーケストレーションするための基本要素やLangChainやLangGraphを用いた実際の具体例を学ぶことができた
  • MCP/A2A
  • AIエージェンとの活用事例やその課題、どうやって乗り越えたか
    • 3~4章に渡って、さすが日立グループと言わざるおえない多種多様な業種に関してもAX(AI Transformation)という観点からのAIエージェント活用事例はかなり読み応えがあり面白かった
    • やはり鉄道や電力などインフラに関わる部分でもAIエージェント活用の難しさ、また一見適用が難しそうな環境でどうやって活用する糸口を見つけるのかは、自分の業務でもAIエージェントの適用可能性を見つけていく上で役に立ちそうだと感じた
  • AIエージェント関係なく、大規模SIerの持つ上流工程の固さたるものを読書しながら垣間見えて興味深かった

おわりに

AIエージェント開発におけるスタンダードなアーキテクチャの概要などが知りたくこの本を読み始めた。2章は基本的にそういう話だが、3章あたりから日立グループの多種多様なAIエージェント活用の事例集とも言える連続はとても面白かった。やはりAIエージェントを活用する上では、そもそも現場にて知識がドキュメント化されているのかだったり、データが十分に取れているのか(はたまたIT以外の文脈OTやインフラ業務などでは計測することがそもそも可能なのか)など自身の業務に立ち返る必要があるなと再確認した。また利用するユーザのことも真摯に考えて、UI/UXを考える必要性も、AIエージェントだけに止まらない話ではあるが大事だなとも思わされた1冊であった。普段ITという文脈でしかAIエージェントと対話をしていないが、ちょっと全く異なる業種でこういうことをチャレンジするのも良いなと思った。

【読書感想文】はじめてのデジタルアイデンティティ

読書感想文

はじめに

特に当初深い理由は正直なかったのだが、Xで良さげな本だなと思って買うことにした。セキュリティエンジニアとして最低限のことはもちろん理解しているが、基礎を固め直すということを最近していないと思ったので良い機会かなと思い直し読み始めた。結論として、自分は純粋なWebアプリケーション開発者ではないため、学びがあり読んでよかったと感じた。初学者におすすめの1冊である。

gihyo.jp

学んだこと

  • デジタルアイデンティティを現実世界で例えるときの良い例
    • 初学者に教える時に便利そうだなと感じた
  • コンシューマー向けやエンタープライズ向け、政府提供のサービス毎のID管理のアプローチ
  • IDライフサイクルと各ステップにおけるやるべきこと
    • IDライフサイクルを表す図が一眼でわかりやすくてよかった
    • それぞれのステップ毎にやるべきことが網羅されていた
      • おそらく実際の開発だと後回しにされるだろうなぁとか思いながら読んでいたが、やはり主要なサービスは一通り揃っているという印象もあった
  • 代表的なID管理に関わる公式文書の存在

おわりに

約150ページ弱の比較的薄めの本ではあるが、本質的な基礎は抑えており、一定知識があるような自分にとっても、日常的に体感しているID管理が明文化されて、構成要素や具体的なステップとともに解説されており素晴らしい。また、代表的なID管理プロトコル(OAuthやOpenID Connect, SAML)であったり最近主流になってきたパスキーや、実装という観点でWebAuthnについても触れられていた。Webサービス開発者がメインターゲットになりそうだが、割と自分のようなセキュリティエンジニア、特に初学者が読んでも広く基礎知識を身につけることができる本で良いなと思った。

【読書感想文】MCPサーバー開発大全

読書感想文

 はじめに

少しビッグウェーブに乗り遅れている感じはしないでもないが、MCP(Model Context Protocol)サーバーを作ると良さそうなケースがあり勉強しようと思って購入した。本書はMCPサーバー開発大全というタイトルからもわかる通り、MCPサーバーの書き方だけでなく、MCPサーバーの基本設計やエラーハンドリングや、テストの考え方など、「MCPサーバー」をちゃんと作らなくてはいけなくなってしまった人にとっては実践的、そして役に立つ本だと感じた。

gihyo.jp

学んだこと

  • MCPプロトコルの仕組み
    • JSON-RPC 2.0をベースとしており非同期通信もサポートしている
    • SSE(Server-Sent Events)で双方向通信をサポートしている
    • MCPの各通信ステップの概要
  • MCP利用の判断事項
    • MCPやLLMは基本的にオーバーヘッドがあるし、小規模データのやり取りに最適化されている
    • 処理単位が早くなくてよく、データサイズも大きくない場面ではMCPを作る価値がある
  • MCPサーバーの設計パターン
    • 単一APIのラッパー vs 複数のAPIを活用したMCPサーバー(カスケード処理パターンと呼称)
    • ステートフル vs ステートレス
  • MCPサーバのキャッシュ戦略
    • L1(メモリ), L2(分散キャッシュ)、L3(ディスク)を用いたキャッシュ戦略
    • 利用ケースを考えて、よく聞かれてMCPサーバが問い合わせるような代表的なAPIの応答データなどはキャッシュしておくべきだなと感じた
  • MCPサーバのログ設計
    • 何を入れるべきで、何を入れないべきか(セキュリティ的に)
  • MCPサーバのエラーハンドリング
    • LLM側にわかりやすいエラーを返すことが大事で、MCPでは定義されているエラー種別も存在する
    • APIのレートリミットやタイムアウト時のエラーハンドリングや、リトライメカニズムの解説
  • MCPサーバーのテスト戦略
    • LLMの非決定性が故に、従来のテスト手法がうまくいかないケースがある
    • 本書が提唱する4層テストの部分がよかった、ぼんやりとこういうテストする感じになるんだろうなぁという考えが明文化されており、いざ作るときに参照しやすいなと感じた
    • 単体テストプロトコルテスト、カスケードテスト、E2Eテストというピラミッド構造での設計
    • E2Eテストの手法は特に役立ちそうだと感じた、どのようにテストをpass/failという扱いにするのかについて理解が深まった
  • MCPサーバの監視
    • レスポンス時間の考え方
    • 入出力トークン数
    • キャッシュ効率

おわりに

この本は、MCPサーバーの開発をメインとして、APIクライアント開発の基礎がまとまっている本であるという印象も受けた。もちろんMCPに特化した話として、MCPの基本やエラーハンドリングの仕方、個人的にとても納得感があったのはE2Eテストの手法など、多岐にわたって基礎や実践的な知識を提供してくれる本だった。実際に開発する際には辞書的に見返して、その都度理解を深めたり実践していける本になっていると感じた。買ってよかった。