スピード感で日本は惨敗、グローバルではやっていけない テラスカイ ダニエルソン氏の辛口日本論から何を学ぶか Force.comベースのシステム開発を手掛けるテラスカイで海外事業を担当するジェイソン・ダニエルソン氏はIT企業で働く傍ら、お笑い芸人として活動している。米国にいる頃にお笑い番組で日本語を学び、日本に来てからは週末にお笑い学校で学び、ITとお笑いの二足のわらじを履くに至った。 同氏のここまでのユニークな経歴は、インタビュー「2年勉強しても日本語を話せなかった悔しさが“お笑い”の原動力に」をご覧いただきたい。ITとお笑いのほか、国際的なビジネスコンペやMBAのビジネススクールに参加するなど、多彩な活動ぶりが分かる。 この記事はインタビューの続編に当たる。「記者の眼」としたのは、ここでダニエルソン氏が語った内容は、日本でITに関わる人間として、さらに日本人として非常に考えさせられるもの

「コードから読み解くマルウエアの真実」 5日間に渡るセキュリティ・キャンプの中で、私が担当したのは6時間分の講義でした。マルウエア分析をするためにはOSやネットワークといった多岐にわたる知識が必要となりますし、分析手法に関しては環境構築方法や様々なツールの使い方を知る必要があります。しかしながら、短い時間の講義にあれこれを詰め込むのは難しいため、セキュリティ・キャンプでは人気の高い「静的分析手法（リバースエンジニアリング）」を主に取り上げることにしました。静的分析手法はマルウエアに含まれるコードを読む手法であり、他の分析手法よりも難しく、分析に長い時間を要しますが、より詳細にマルウエアの挙動を明らかにすることができます。 講義は次の2部構成で行いました。 前半2時間 マルウエアの現状と分析手法についての基礎知識を説明してから、静的分析の基礎（アセンブリ言語や効率的なコードの読み方など）をハ

上図中の青い部分にあるセキュアWebゲートウェアやファイアウォール（F/W）、IPSなどは既にほとんどの中小企業が持っている、あるいは欲しがっているセキュリティ機能で、基本的な予防対策となるものだ。 次に緑部分にあるNGFWやWebアプリケーションファイアウォール、SIEM（セキュリティ情報イベント管理）などは大企業が求めるもので、青部分のソリューションとともにすでに成熟している領域である。 そしてオレンジ部分は、今まさに登場してきたテクノロジーで、サンドボックスやネットワークフォレンジクス、ユーザー行動アナリティクス、クラウドアクセスセキュリティブローカーなどが挙げられる。これらは専門的に特化したものの中で最も良いもの、つまりベスト・オブ・ブリードの技術だと言える。 「ここで理解していただきたいのは、オレンジ部分のテクノロジーも将来的には緑部分に含まれていくということだ。オレンジ領域にあ

補足 この記事は旧徳丸浩の日記からの転載です（元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2）。 備忘のため転載いたしますが、この記事は2007年12月6日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 最近、画像ファイルを用いたクロスサイト・スクリプティングが注目されている。本稿では、画像を悪用したXSSについて説明した後、対策方法について解説する。 画像によるXSSとはどのようなものか Internet Explorer(IE)の特性として、コンテンツの種類を判別する際に、レスポンスヘッダ内のContent-Typeだけでなく、コンテンツの内容も判断基準にしている。このため、Content-Typeが例えばimage/gif(GIF画像)となっていても、中身がHTMLであればHTMLと解釈して表示する。

先日、旧友と久しぶりに再会した。彼は外資系の製造業に就職をしたのだが、学生時代と変わらず、ストイックな人間であった。同じ業界の幾つかの会社を経て、彼は現在、管理職となっており、ひとつの部門を率いている。 「管理職は大変では？」と聞くと、彼は「重要なことが分かるまでは大変だった」と言った。 私は「重要なこと？」と聞くと、彼は話をしてくれた。 聞けば彼は数年前、管理職に昇進を果たしたのだが、初年度の成果は惨憺たるものであったそうだ。その原因は「部下との関係」であった。 基本的に彼は学生の時から完璧を期す人間であった。ミスを極力減らし、成果をあげるため努力する。彼が今の地位にあるのは、ひとえにその賜である。 だが、彼は自分に厳しいだけではない。人にもそれを求める人間であった。当然、部下にもそれを求めたのだろう。自らを律し、成果に対して真摯に向かい合うことを部下にも要求した。 彼は「厳しい管理職」