どうも、おはようございます。ラジオ「zenncast」、パーソナリティのマイクです。今日は2026年5月7日、木曜日の朝7時台ですね。この時間は、技術者のみなさんと一緒に、Zennで話題になっているトレンド記事をわいわい紹介していきたいと思います。コーヒー片手に、ゆるっとお付き合いください。
さて今日は、お便り紹介はお休みで、その分たっぷりと記事を取り上げていきますよ。今日ご紹介する記事は、全部で5本。セキュリティ、AIエージェント、オープンモデル、インフラ体験談、そして業務システム設計と、かなりバラエティ豊かなラインナップになっています。
ではさっそく、1本目からいきましょう。タイトルは「『Claude Codeに全部やらせる時代が来た』のか検証してみた」。名前からしてだいぶ攻めてますが、中身もかなりガチです。
この記事では、LLMベースのセキュリティスキャンツール「claude-security-scan」を、あの有名な脆弱性学習用アプリ、OWASP Juice Shopで本気検証しています。静的解析と依存ライブラリチェックをするフルスキャン、それから動的スキャンも回して、しかもLLMが答えを“カンニング”できないように、答えが書いてあるファイルはちゃんと事前削除。結果として、脆弱性の「クラス」単位では6〜7割、クリティカル級は8割近く拾えた一方で、個別チャレンジベースだと検出率は1割ちょっと。SQLインジェクションやJWT、依存CVE、ハードコードされた鍵なんかは得意だけど、認証フローやビジネスロジック、Race Condition、DOM XSSみたいな“構造を理解しないと見つからない系”はやっぱり苦手、というリアルな結果になっています。
面白いのは、「性能はLLMそのものより、“どの観点でチェックさせるか”のテンプレ設計にかなり左右されるよね」という指摘と、他の記事でよく見る「検出率100%でした!」とは、そもそもベンチマークの難易度が違うんじゃないかという冷静な比較視点。まとめとしては、「Claude Codeに全部やらせる時代」というよりは、まずセキュリティスキャン文化を組織に導入する“入り口ツール”として賢く使おう、というスタンスになっています。AIに過度な期待をしすぎず、でも現実的な効用はちゃんと認めていく、いいバランスの記事でした。
。。。。
続いて2本目。タイトルは「AIエージェントの Skill は書くだけでは足りない ⇒ Waza で評価して APM で配ろう!【ハーネスエンジニアリング】」。AIエージェントを本番で使っている方にはかなり刺さる内容ですね。
いまって、エージェントに「何ができるか」を書いたSKILL.mdみたいなファイルがありますけど、それを書いた瞬間はよくても、あとから改修したり、使うモデルを変えたりすると、本当に意図どおり動いてるのか全然わからない問題がありますよね。この記事では、それを「評価駆動」で回そう、という話をしています。MicrosoftのOSS「APM」は、instructions や prompts、skills、agents、それからMCP設定なんかを、依存関係付きで各クライアントに配る仕組み。そのうえで「Waza」というツールを使って、YAMLで定義したタスクと grader を組み合わせて、スキルをスコアリングしていきます。
題材にしているのは、Conventional Commits形式のコミットメッセージを自動生成するスキル。APMで配布物を展開して、Wazaでtextグレーダーとbehaviorグレーダーを組み合わせて評価しながら、SKILL.mdを3回ぐらい改訂していきます。この過程で、モデルごとの挙動差とか、指示を盛り盛りに書けばいいってもんじゃないとか、AGENTS.mdとの干渉など、実践的な知見がたくさん出てくるんですね。さらにGitHub Actions上でapm-actionとwazaを回して、配布物のドリフト検知やタスク・フィクスチャ・グレーダーの健全性チェックも自動化。最終的な結論としては、「スキルを組織で共有するなら、書く→Wazaで評価→改善→APMで配布→CIで検証、というループを前提に設計しよう」という提案になっています。LLMの“スキル設計”を人間のソフトウェア開発プロセスにちゃんと乗せようとしているのが印象的でした。
。。。。
3本目。「OpenCode Go + pi-coding-agent のすゝめ」という記事です。これは、最近の“オープンモデル時代のコスパとハーネス”の話ですね。
ClaudeやGPTみたいな高性能Closed Modelって、サブスク料金とか規約面でだんだん重くなってきている一方で、Kimi K2.6やQwen3.6みたいな、Opusクラスに迫る性能のオープンモデルがかなり安く使えるようになってきました。そこでキーになるのが「OpenCode Go」。月10ドルくらいでDeepSeek V4 Proをはじめ、複数の高性能オープンモデルをたっぷり使えて、「Claude Code Max100ドル分くらい使ってた」のを、ほぼ同規模でカバーできちゃう、という話が出てきます。
この環境だと、「ベンダーロックインされた専用CLIにこだわる必要って本当にある?」という問いが出てくるんですよね。そこで登場するのが「pi-coding-agent」。MCPとかサブエージェント、しつこい承認ダイアログみたいなものを省いた、最小構成のコーディングエージェントCLIです。OpenCode GoやCodexなど複数のサブスク認証に対応していて、fallbackモデルも簡単に設定できる。さらにWeb取得や検索はJina AI+Codex、長時間タスクはpueue、サンドボックスはsrtみたいに、外部ツールと組み合わせる前提の設計になっているのが特徴的です。
AGENTS.mdで「このタスクはこのモデルで」「こういうオーケストレーションで」といった方針も書けるので、自分なりの“AIワークステーション”を作るイメージ。記事では、2026年時点の選択肢として、Closed Model専用CLIからの乗り換え候補としてかなり推していて、コスト・柔軟性・規約リスクのバランスを取りたい人にとっては、実践的なガイドになっています。
。。。。
4本目。「インフラ知識ゼロの学生が、イベントNOCで監視システム諸々をキメてきた話」。これ、読んでてめちゃくちゃエモいです。
筆者はもともとインフラの知識ゼロなんですが、サークルの先輩経由で「UEC Career Boot Festa 2026」というイベントのNOCチームに参加することになります。JPNICから機材を借りて、参加者向けWi-Fiを構築・運用しつつ、監視もちゃんとやるという、いきなり本番環境デビューなやつですね。最初はスイッチにホスト名を付けてCLIに慣れるところから始まって、Docker上のUptime KumaでスイッチやNAPTルーターの死活監視、Slack通知の仕組みを組み上げていきます。
物理作業もがっつりで、光ファイバーを敷設したり、T568B方式でLANケーブルを自作したり。イベント当日は、ZabbixとJavaScriptのWebhookを使って、障害が起きるとパトライトが光ってアラートが鳴る仕掛けまで実装します。さらに、ArubaとMerakiが混在した無線環境で、ローミングしても切れないWi-Fiを実現するために、SSIDや暗号化方式の統一、802.11rはあえて無効、802.11k/vは有効、最小ビットレートを24Mbps固定にして、送信出力を調整するなど、本職顔負けのチューニングをしているのがすごいです。
結果として、イベントはほぼ無停止で完走。物理層からアプリケーション層までを一通り触れたことで、「インフラってこうなってるのか!」という実感を持てた、という振り返りとともに、支えてくれた先輩やJPNIC、仲間への感謝で締めくくられています。インフラに興味ある学生さんとか、NOC運営に関わる人にはぜひ読んでほしい一記事です。
。。。。
そして5本目。タイトルは「部署マスタの設計について考えた」。業務アプリケーションを作ったことがある人なら、「あー、これは刺さる」となるテーマです。
題材は、原料や製品スペックを管理するアプリで、「どの部署が登録したのか」をちゃんと長期にわたって追跡したい、という要件。ここで雑にやりがちなのが、末端部署のレコードに「上位部署名」をカラムとして持たせる方式なんですよね。これをやってしまうと、階層が変わるたびにテーブル定義を変えなきゃいけなかったり、部署名変更のたびに大量UPDATEが発生したりと、運用がつらくなります。
この記事で提案されているのは、部署の階層をすべてレコードとして持ち、`parent_dept_id`で自己参照する構造にするやり方です。さらに`valid_from`/`valid_to`で有効期間を表現して、組織の“歴史”をデータとして残す。それに加えて`dept_group_id`という概念を導入して、「キッチン用品開発部が生活用品開発部に名前を変えた」みたいな継承関係をひとつの系統として扱えるようにしているのがポイントです。
製品マスタ側は、登録時点の`dept_id`を持っておき、「あの頃はどの部署だったか」という“事実”を固定しつつ、過去の名前でも今の名前でもたどれるようにする。これによって、組織改編が起きてもDDLをいじらず、データ操作だけで対応できる、長期運用に強いシステムになるよ、という話になっています。普段なんとなく作ってしまいがちな部署マスタですけど、一度こういう設計をちゃんと考えておくと、後々の苦労がだいぶ減りそうです。
。。。。
というわけで、今日は5本の記事を駆け足でご紹介してきました。
まずは「Claude Codeに全部やらせる時代が来たのか?」を本気検証したセキュリティスキャンの記事。次に、AIエージェントのスキルをWazaとAPMで評価・配布していく“評価駆動”の話。そして3本目、OpenCode Goとpi-coding-agentで、オープンモデル時代のコスパと柔軟性を取りにいくという提案。4本目は、インフラ初心者の学生さんがイベントNOCで監視やWi-Fiチューニングをやりきった体験談。最後5本目が、組織変更に強い部署マスタ設計という、業務システム屋さん必読の設計論でした。
気になった記事があれば、詳しい内容や元の記事タイトルはショーノートにまとめてありますので、通勤・通学のあとでぜひチェックしてみてください。この番組「zenncast」では、みなさんからの感想や、「こんなテーマを取り上げてほしい!」といったメッセージもいつでも募集しています。
それでは、そろそろお別れの時間です。また次回の配信でお会いしましょう。ここまでのお相手は、マイクでした。今日も良い一日をお過ごしください。