はじめに こんにちは。プロダクト開発部の塚原です。 第1回では「設定の油断が招く脆弱性（A02）」、第2回では「入力値と暗号の落とし穴（A04・A05）」として、タイミング攻撃やバインディング操作といった事例を紹介してきました。 第3回では、A07（Authentication Failures）とA08（Software or Data Integrity Failures）を取り上げます。いずれも「当たり前に信頼していた前提」が崩されるタイプの脆弱性です。処理時間の差、HTTPヘッダの値、復号したデータの中身など。普段あまり気に留めない要素が、攻撃の入口になってしまいます。3件のCVEを通…

プロダクト開発部の髙橋です。先日、入社から丸7年が経過し、8年目に入りました。 開発部のメンバーも当初は10名ほどでしたが、現在は100名に迫る規模になっており、さらに増えていく見込みです。8年前には中途採用で一番新しいメンバーだった私も、部署内で2番目に古い人間となってしまいました。 弊社の主力サービスであるコドモンは、2016年のサービス開始以来急激な成長を遂げており、2026年3月時点で25,000を超える施設にご利用をいただいています。 サービスの成長に伴い、システムの設計も、緩やかではありますが、段階的に見直しが行われてきました。この資料では、私が入社した2019年ごろから現在まで行…

こんにちは。プロダクト開発部の関口です。皆さんはシールを集めてますか？私は集めていません。ですが長女と次女が集めまくるせいで私のお財布からは毎週お金が飛んでいきます。昨今のシールはボンドロとかおはじきとかタイルとかシャカシャカとか水入りとか、色々あるみたいですよ？余ったシールを会社貸与の私のmacに貼ってくるので、私の「mac book」は「シール book」になりつつあります。 さて、今日は私がクラスを作るときに考えることをつらつらと述べてみようと思います。もう生成AIが全部作ってくれるからそんなこと考える必要ないんだよという向きもあると思いますが、誰かの何かの参考になれば幸いです。 うまく…

こんにちは、プロダクト開発部の加藤です。 ランニングを続けているおかげでフィットネス年齢が33.5歳になりました！ はじめに さて、私は個人的に日報を書いています。 日報の中には、今日やったことを通じて成功/失敗したことの深堀りや、チームメンバーへの感謝を綴ることが多いです。 ただ、日報を書くことが面倒に感じていたこともあり、AI を活用してもっと楽に作成できないか。あわよくば、日報をレビューしてもらい内省を深めることができないかと考えました。 そこで、出たアイデアが "音声入力日報システム" でした。自分で話した内容が自動で日報になり、AI がフィードバックをくれるシステムです。 当記事では…

2026年2月に中途入社しました、日暮（ひぐらし）です。 これまで仕事の内容や入社エントリーを外に向けて発信することはあまりなかったのですが、今回「入社エントリー」という良い機会をいただいたので、書いてみようと思います。 なぜ私がこのタイミングでコドモンという場所を選んだのか、そして今ここで何を実現しようとしているのか。少しお話しさせてください。 なぜ、転職活動を始めたのか 私はこれまで何度か転職を経験していますが、これまでの転職理由は「現職のここが納得いかない」や「こんな仕事やスキルを経験してみたい」といった、キャリアアップや現状打破の軸が強かったように思います。 しかし、今回の転職は、今ま…

こんにちは。エンジニアのjunです。ゴールデンウィークはプラレール博にいきました。会場限定の車両が欲しかったので息子に相談しましたが、要らないと一蹴されて断念し、彼が欲しがったミスタードーナツの移動販売のトミカを買いました。 さて今回は、保育園探しWebサービスであるホイシルの開発環境の改善のために、Floci(※ フローシーと読むのが正しいようです)というローカルAWSエミュレータを開発環境に導入したお話をさせていただきます。 どのような背景から必要になり、なぜFlociを選択し、何が得られたのか、Flociの特徴などについて説明していきます。 floci.io ホイシルにおけるAWS利用と…

AIが書いたコードのレビュー、つらくないですか？ LGTM本から得た気付きをきっかけに、生成AIを XP のペアプロ相手にする試みをはじめました。Claude Code への仕込み(SKILL.md・/retro) と、明日から試せる３ステップをご紹介します。

こんにちは！プロダクト開発部のせきねこです。ICTコドモンの請求関連機能を開発するチームに所属しています。先日久しぶりに風邪を引いてしまい、処方された点鼻薬が「シュッ！」と鼻に新鮮な感覚を届けてくれるのを面白く感じている今日この頃です🌷 カジュアル面談やインタビュー（面接）でお会いしたエンジニア職の希望者とお話させていただく中で「コドモンではどんな風に仕様を決めて開発しているんですか？」 という質問が何度かあり、今回はその問いにお応えする形で、最近チームで担当した給付費申請画面の刷新プロジェクトから仕様決めの実践例を紹介していきたいと思います！ 前提 実践したこと 1. 申請業務を行うユーザー…

こんにちは、プロダクト開発部の中田です。 現在はテーブル解体チームに所属し、メインプロダクトのレガシーシステムと向き合う日々です。 本記事では、その中で取り組んでいるDB負荷調査について、Claude Code で調査を自動化しようとした過程と、そこから得た気づきをご紹介します。 はじめに DB負荷の典型的な調査パターン 調査結果の「正しさ」をどう確認するか 報告された調査結果は本当に正しいのか？ 調査プロセスのレビューポイント AIに調査させるときの注意点 Claude Code に調査を任せてみたが、うまくいかない レガシーシステムゆえの複雑さ 機密情報の扱いと承認の手間 調査プロセスの再…

自己紹介 こんにちは！コドモンでエンジニアをしているごんでぃーです。 2025年12月に入社して5ヶ月が経ちました。 入社エントリー代わりに春のブログリレーに参加してみました。 初ブログ参加なのでお手柔らかに見届けてもらえると嬉しいです！ 開発スタイルの変化 ふと入社してからを振り返ってみると、自分の開発スタイルに大きな変化が2つあったと感じています。 ペアプロ 自分でコードをほとんど書かなくなったこと 入社前の自分からすると、どちらもかなり大きな変化でした。 しかし、この2つが開発の楽しさそのものを変えてくれたと思っています！ 1つ目の変化はペアプロ コドモンでは、基本的に開発をペアで進めて…

はじめに こんにちは、コドモンでエンジニアリングマネージャーをしている堀口です。 GWが終わり少し寂しい気持ちですが、今年の夏は海や山にたくさん遊びに行きたいのですでにワクワクしています🌊⛰️ 2025年12月のアドベントカレンダーで、最近EMとして取り組んでいることを紹介する記事を書きました。その中でCREチームの再始動について少しだけ触れていたのですが、今回はCREチームで実際にどう改善を進めているかを紹介したいと思います！ tech.codmon.com CREチームは、ユーザーからの問い合わせ対応と、問い合わせを起点としたプロダクト改善を両方行っているチームです。改善活動の進め方は最近…

こんにちは、プロダクト開発部の郡司です。 コドモン開発部による春のブログリレーが始まってます。 春のブログリレー、爽やかですね。花粉症も過ぎ去った。とても良いです。 ただ私は、そんな春の爽やかさも吹き飛ばすような、熱いハートで燃えたぎるようなブログを届けたいなと思い執筆しました。 振り返ると2025年12月に、アドカレでこんな記事を書きました。 「やりゃ良いだけのことがやれない私へ」 自分の弱さと向き合い、強制退路断絶と10分ハックで負けループを断ち切った話です。 そして2026年5月の今、状況が変わりつつあります。 やりゃ良いと思っていたのに、私は今、ふと気づいたら「やりたい」が勝っています…

春のブログリレー、市川さんからバトンを受け取りました、プロダクト開発部の塚原です。 本日4月27日は、哲学の日らしいです。そこで、ソクラテスの言葉を借りて、日々のデプロイに怯える（？）私たちへのアドバイスを。 「ぜひパッケージ管理しなさい。安全なパッケージに恵まれれば、運用は幸せになる。脆弱なパッケージに出会ってしまえば……私のように、セキュリティ記事を書く機会を得られるのだから。」 。。。残念ながら哲学の域には届いていませんが、今日はOSSサプライチェーン攻撃対策とComposerに関するお話をします。 目次 目次 なぜ今、OSSサプライチェーンセキュリティなのか OSSサプライチェーン攻撃…

こんにちは、コドモンでエンジニアリングマネージャーをしている市川です！ 春のブログリレーに便乗して、今日は「2026年4月時点のコドモン開発チームのAI活用状況」をまとめてみます！ 「コドモンでのAI活用はどう？」にさっと答えられるようにしたいという目的もありつつ、AI活用については“今の当たり前”が“来年の当たり前”ではなくなるだろうとも思っており、「来年の自分たちが読んで懐かしめる記事」としてもスナップショットを残しておこうという気持ちで、書いています。 前提 会社としてのAI活用のムード 開発のチーム編成 AI活用レベルの定義 各チームのAI活用状況 共通して定着していること 活用状況に…

こんにちは！プロダクト開発部の村松です！ 突然ですが皆さん、こんな悩みはないでしょうか？ 「AIが実装している間、ローカル環境を自由に触れない」 「定期的にコマンド実行の承認待ちになり、他の作業に集中できない」 Claude Codeが登場して以降、git worktreeを使った並列開発が流行り、AIの待ち時間は大幅に短縮されました。しかし、依然としてローカル環境が占有され、時折承認待ちになる問題は残ります。 この問題を解消するため、私のチームではGitHub Copilot cloud agentを使い、GitHubのクラウド上で並列開発を行っています。 (※ 以後、copilotと表記し…

はじめに 前回（第1回）では「https://example.com/?--env=local というリクエストで環境を操作できる」「.env のAPP_KEYが漏れると致命的なリスクにつながる」という事例を通じ、A02（Security Misconfiguration）を読み解きました。 今回はA04（Cryptographic Failures）とA05（Injection）を取り上げます。どちらも「対策してあるはず」という思い込みが落とし穴になりやすいカテゴリです。「プリペアドステートメントを使っているからSQLインジェクションは大丈夫」「=== で比較しているから問題ない」——これら…

こんにちは！コドモンでEMをしている上代です。 自分はずっと、社外での登壇に興味がありました。でも、なかなか踏み出すことができませんでした。「いつかは登壇してみたい」と思いつつ、社内の勉強会で発表するのが精一杯で社外で話すなんて想像もできませんでした。 そんな自分が、今では国内最大級のJavaカンファレンス「JJUG CCC」で登壇するまでになりました。この記事では、登壇経験ゼロだった自分がどうやってここまで来たのかを振り返りながら、同じように「やりたいけど踏み出せない」と感じている方の背中を少しでも押せたらいいなと思っています。 きっかけは「誘われたこと」だった 自分の初めての社外登壇は、2…

こんにちは！コドモン開発部の岡村 亮太です！ 4月17日は恐竜の日ですね。私はブラキオサウルスが好きです🦕 「それ、AIでよくない？」 Claude Codeを使い始めた頃、使いこなしたくてAI関連の記事を読み漁っていました。読めば読むほど感じたのは、「AIに頼めばなんでもできてしまう」という感覚。気づいたら、ずっとこの一言が頭から離れなくなっていました。 勉強のために何か作ろうとしても、「それAIでいいじゃん」と思ってしまう。 正直、モチベーションはかなり下がっていました。 でも、あるとき、組織の課題を解決するために文字起こしアプリを作ったと自慢してきたエンジニアがいました。 その時、悔しい…

こんにちは。プロダクト開発部の友野です。 春のブログリレーが始まりました。松浦さんからバトンを受け取り、花粉と戦いながらがんばります。 さて、AI普及に伴い開発のあり方が大きく変化して久しいですが、AIを我々のペアプロ文化とどう組み合わせるか、XP（エクストリーム・プログラミング）の価値原則をどう保つかはチームの共通の問いとして、より良いアプローチを求めて今も議論は続いています。松浦さんの先日のブログでも、「ペアでの会話という習慣が、AI時代でも活きるのではないか」という予感を綴っていました。 tech.codmon.com 私もその思いは同じで、ただこれまでのペアプロのやり方をそのまま続ける…

会話の文字起こしアプリを自作したら、ペアプロの価値を再発見しました。一人語りでは言葉が続かない。でも誰かがいると、言葉も刺激も続いていく。AIのトークンでは生成できない、人間同士のトークから生まれるもの。

こんにちは！Engineering Officeのおかぱるです。 今回は4月〜6月で実施する「コドモン春のブログリレー」について紹介します🌷 コドモン春のブログリレー 公開記事 終わりに コドモン春のブログリレー 春のブログリレーは、コドモン開発チームとしては“初の試み”となります。開発チームとして日々いろいろなチャレンジを行い、たくさん知見は溜まっているのに、記事でのアウトプットが追いついていない...！と気付き、毎年12月に実施しているアドベントカレンダーのようにお祭り感を出しつつ、楽しみながらアウトプットを増やして行こうということになりました💪 現在なんと、約30名の開発チームメンバーが…

こんにちは、新規事業のプロダクト開発を担当している杉山です。 今回は、障害調査やエラー分析をClaude Codeを活用し、迅速化・精度向上させる方法について紹介します。Datadog MCP、AWS CLI、GitHub CLI（ghコマンド）などを組み合わせることで、ターミナルから一歩も出ることなく、Slackに来たアラート通知の原因特定からコード修正の提案まで一気通貫で行えるようになりました。 本記事は、AIを活用した障害調査や開発ワークフローの効率化に興味のあるエンジニアの方を中心に、お役に立てればと思い書いた記事です。 Slackにアラートが来た。さて、どうする？ 私たちの新規事業の…

こんにちは！プロダクト開発部の塚原です。 3月27日、開発チームで CTF形式のイベント「社内SECCON」 を開催しました。この記事では、企画の背景から当日の様子、振り返りまでをレポートします。 企画の背景：なぜ「攻撃者の視点」を学ぶのか コドモンのプロダクトは、保育施設に通う子どもたちの記録や健康情報、保護者とのやり取りといった、生活に密着した大切なデータを預かっています 。私たちはこれらを単なるデータではなく、社会インフラを支える基盤であると捉え、日々開発に向き合っています。 セキュリティはこの基盤を維持するための「土台」です 。問題が起きてから対処するのではなく、日頃の実装やレビューに…

はじめに こんにちは。プロダクト開発部の塚原です。 エンジニアとして日頃からセキュアな実装を意識していますが、「この実装、怪しいかも？」という勘所はなかなか磨きにくいと感じています。脆弱性のある処理に遭遇したり修正する機会が、実際の開発ではそう多くないからです。 普段、composer update を実行した際、ターミナルに流れる多数のパッケージ更新。「Security fixes」の文字を見ても、「お！直ったな」で終わらせてしまう —正直、私もそのひとりでした。でも、その数行の修正diffには、セキュリティ教材が隠れています。 そこで本連載では、Laravelなど活発にメンテナンスされてい…

こんにちは、新規事業のプロダクト開発を担当している杉山です。 Webアプリケーションの監視は、サーバーのログやメトリクスを見れば多くの問題に気づけます。しかしモバイルアプリはそうはいきません。ユーザーの端末で起きたクラッシュやエラーは、ユーザーからの問い合わせがくるまで開発チームには見えません。 私たちのチームでは、React Native（Expo）で開発しているモバイルアプリにDatadog RUM SDKを導入し、監視基盤を構築しました。この記事では、設計判断と実際のコードを交えながら、導入の全体像を紹介します。 Datadog RUMとは Error Tracking フルスタック連携…

こんにちは！Engineering Officeのおかぱるです。 今回は先日実施した"場所に縛られず​熱量をもって​働く | コドモンの​チーム開発と​カルチャー"イベントの当日の様子や発表内容について記事を書いていきます！ アーカイブも公開しておりますので、ぜひご覧ください👇️ www.youtube.com イベント開催の背景 イベントの流れ フルリモートのその先へ〜パパね、いつも家にいるけどちゃんとこうして働いてるよ〜 by エンジニア 郡司 ペアプロ未経験・未知のスキル領域・フルリモートからでも挑戦できる？ 40代転職者の実態 by エンジニア 加藤 多様な働き方を支えるチーム開発…

こんにちは、プロダクト開発部の中田です。 新規プロダクトの開発においてバッチ処理を作る機会があったのですが、 設計時の考え方がこれまでとは少し違うところがあったので、今回はその話をします。 「つつましさ」とは 最小限の構成要素とし、構築・運用コストを抑える 周辺システムへの負荷や影響を最小限にする バッチ処理の前提 性能についての考え方 採用したアーキテクチャ システムアーキテクチャ システムアーキテクチャの採用理由 (1) スループットの調整がしやすい (2) バッチ処理用のHWリソース追加が不要 (3) 定期バッチ以外からも利用しやすい ソフトウェアアーキテクチャ SQSリスナーのサンプル…

EMConf JP 2026 参加レポート ── コドモンEM3名が語る、熱かったセッションと企画 こんにちは！コドモンでEM（エンジニアリングマネージャー）をやっている かじろ・しげた・せきねこ です。 3月4日に開催された EMConf JP 2026 に参加してきました。昨年に引き続き2回目の開催。参加者はなんと昨年の約400人から 700人超 に増え、熱気もパワーアップ！ この記事では、コドモンから参加したEM3名がそれぞれ印象に残ったセッション・企画を、熱い想いとともにご紹介します 🔥 自己紹介 かじろ 2022年12月コドモン入社 引っ越し前でバタバタしてます しげた 2023年1…

SREチームの檜山です！2026年1月にコドモンに入社しました。この記事では私がこれまで取り組んできたことと、コドモンに入社した感想、これからコドモンでやってみたいことを書きます。 これまでやってきたこと 入社するまで イベントやコミュニティ 働く意味の追求 技術スタック コドモンに決めた決定打 入社してみて サポートの手厚さ 会社としてのプロダクトへの熱量の大きさ スピード感と連携力 技術スタックの挑戦 いまどんなことをしているか 今後やってみたいこと さいごに これまでやってきたこと 私は10年間、ずっとインフラエンジニアとして働いてきました。最初の6年はSESとしてオンプレをメインとした…

要件の整理 検討した2つのアプローチ TypeScriptインターフェースの直接定義 YAMLベースの定義 + TypeScript自動生成 - こちらを採用 イベント定義（YAML） 同じイベント名を異なる画面で使うケース 生成スクリプトとバリデーション 重複検出 GA4制約バリデーション 型名の一意性確保 生成されるTypeScript型 アダプターパターンによる複数サービス対応 Coreロガー hooks この設計で良かったこと 型で厳密に縛られている 人が読みやすいフォーマット バリデーションを自然に組み込める 拡張しやすい この設計の注意点 生成スクリプトの保守 イベント使用箇所の追…