「サーバ証明書」関連の最新 ニュース・レビュー・解説 記事 まとめ

6つのオープンソースPaaS製品を比較【中編】
オープンソースPaaS製品「Cloud Foundry」「Dokku」「OKD」の違いとは？
オープンソースPaaS製品には代表的な製品が幾つかある。その中から、「Cloud Foundry」「Dokku」「OKD」の機能と特徴を説明する。（2022/5/25）

6つのオープンソースPaaS製品を比較【前編】
“普通のPaaS”が嫌なら「オープンソースPaaS」製品を使うべき理由
PaaSの課題は「オープンソースPaaS」製品を利用することで解消できる場合がある。オープンソースPaaS製品のメリットと、その一つである「CapRover」を取り上げる。（2022/5/11）

Cloud Nativeチートシート（12）：
不正アクセス、盗聴を防ぐ――マイクロサービスのセキュリティを向上させる4つのIstio機能
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、Istioのセキュリティ機能に焦点を当て、通信の暗号化、認証／認可の機能を紹介する。（2022/1/21）

接種証明アプリの通信内容が見えてしまう？　デジ庁「他人からは見えず問題ない」
デジタル庁が12月20日に公開した「新型コロナワクチン接種証明書アプリ」で、通信内容のデータが見られてしまうというツイートが話題になった。投稿者は該当ツイートを削除しているが、同庁は触れられている内容については「問題ない」との認識を示した。（2021/12/21）

TechTarget発　世界のITニュース
Cisco、F5、VMwareの製品に相次いで見つかった脆弱性の正体とは？
2021年8月、大手IT企業数社の製品に脆弱性が見つかった。各社は被害の報告は受けていないというが、セキュリティアップデートの実行を推奨している。脆弱性はどのようなものだったのか。（2021/11/30）

GoDaddyにデータ侵害、最大120万人のWordPressホスティングユーザーの個人情報が漏えい
大手ドメイン登録事業者GoDaddyは顧客のWordPressのシステムにデータ侵害があったと発表。最大120万人分の個人データが流出した可能性がある。メールアドレス、管理者番号、sFTP、SSL秘密鍵などにアクセスされた。（2021/11/23）

発生し得る攻撃の詳細と対策
「Apache HTTP Server」に脆弱性　専門家がパッチ適用を“強く推奨”の理由
「Apache HTTP Server」の脆弱性を悪用する攻撃を観測したという発表を受け、セキュリティ専門家は、利用者に対してパッチの適用を強く推奨している。その理由とは。（2021/11/5）

コンテナ実行基盤「Nomad」をKubernetesと比較検証（3）：
AWSでNomadクラスタを構築――クラスタやジョブ管理の仕組みと内部構造を知る
コンテナオーケストレーションツールとして知られる「Kubernetes」とHashiCorpが提供する「Nomad」を比較検証する本連載。第3回はNomadを用いたクラスタ構築の手順やNomadの内部構造、ジョブ管理を中心に解説します。（2021/10/19）

TechTarget発　世界のITニュース
無料SSLサーバ証明書発行のLet's Encryptに脆弱性　犯罪者が悪用する“穴”とは？
無料でSSLサーバ証明書を発行する「Let's Encrypt」に脆弱性が見つかった。不正発行を防ぐための仕組みにある落とし穴を、サイバー犯罪者はどう悪用しているのか。（2021/9/25）

半径300メートルのIT：
「取るのは簡単」でも「運用は大変」　ドメイン管理に潜む信用失墜につながるリスクとは
ユーザーがさまざまな経路を通じて自社のWebサイトに流入することが多くなってきています。自社のドメイン管理を見直し、第三者の不正なWebサイトにアクセスさせないようにするにはどうすればいいのでしょうか。（2021/9/7）

インターネットの「100ns（ナノ秒）の違い」を検出する攻撃も：
セキュリティカンファレンス「Black Hat USA 2021」と「DEF CON 29」の主要プレゼンまとめ　PortSwigger
PortSwiggerは、セキュリティカンファレンス「Black Hat USA 2021」と「DEF CON 29」の主要なプレゼンテーションをまとめたブログ記事を公開した。（2021/8/25）

情報漏えいを防ぐには：
緊急導入したテレワークを「恒常施策」に　必要なセキュリティ対策は？
コロナ禍で緊急導入したテレワークの恒常化に取り組む際、必要なセキュリティ対策とは？（2021/5/27）

Microsoft Azure最新機能フォローアップ（141）：
ちょっとしたアプリの作成に最適な「Azure Static Web Apps」が一般提供開始
Microsoftは2021年5月12日（米国時間）、「Azure Static Web Apps」の一般提供開始を発表しました。Azure Static Web Appsは、静的なコンテンツのホスティングを動的なスケールとサーバレスのAPIを通じて提供するもので、無料で利用できるFreeプランが用意されています。（2021/5/20）

サイバートラスト、マルチドメイン証明書を提供へ　厳格な認証レベルに対応
サイバートラストは、SSL／TLSサーバ証明書「SureServer Prime」のマルチドメイン証明書を2021年5月27日に提供開始する。認証レベルに応じて、「SureServer Prime MD」と「SureServer EV Prime MD」の2種類を用意した。（2021/4/28）

医療ITニュースフラッシュ
信州大学医学部附属病院が新型コロナの検査報告に「RPA」導入　その効果とは？
佐賀県の嬉野医療センターがNutanixのHCI製品を導入した事例や、新型コロナウイルス感染症の検査報告業務にUiPathのRPA製品を導入した信州大学医学部附属病院の事例など、医療ITの主要ニュースを紹介する。（2021/2/28）

大手ECなどかたるフィッシングメール、1年で5倍に　被害に遭わないためには？
大手ECサイトなどをかたるフィッシングメールが1年で5倍近く急増している。被害に遭わないためには何ができるのか、専門家に聞いた。（2021/2/18）

約66億件の脅威を分析：
Google Drive、Dropboxなどを悪用したサイバー攻撃が急増　ゼットスケーラー、調査結果を発表
ゼットスケーラーは、同社の研究組織「ThreatLabZ」が作成した調査「暗号化された攻撃の現状（2020年版）」を発表した。（2020/12/3）

ITセキュリティも超分散型へ：
PR：テレワークが当たり前の今、オフィスを飛び出し無限に広がる企業IT、超分散環境をエンドポイントでどう守ればよいか
ネットワークを安全な内部と危険な外部に分けて対策する境界セキュリティ防御は、テレワークやクラウド利用が広がる現在、効力を失いつつある。ユーザーや機器が社内外の超分散環境に点在する状況に適した企業向けのITセキュリティとはどのようなものなのだろうか。エンドポイントセキュリティが必要なのではないか。（2020/9/23）

コンテナ化されたワークロードのセキュリティリスクを軽減：
コンテナを保護するための10のベストプラクティス、InfraCloudが解説
InfraCloudが、アプリケーションコンテナのセキュリティを確保するための10のベストプラクティスを解説した。（2020/8/13）

「順守項目だが設定が難しいサーバ」のために「推奨項目」を追加：
TLS 1.3を採用しSSL 3.0を禁止に　IPAが「TLS暗号設定ガイドライン」の第3版を公開
IPAセキュリティセンターは、WebサーバでのTLS暗号設定方法をまとめた「TLS暗号設定ガイドライン」の第3版を公開。暗号技術評価プロジェクトのCRYPTRECが記載内容を第2版から全面的に見直した。（2020/7/8）

TLSサーバ証明書の最大有効期間、13カ月に短縮　GoogleやMozillaもAppleに追随
有効期間が398日を超える場合は不正な証明書として扱われ、ネットワークやアプリが機能しなくなったり、Webサイトが読み込まれなくなったりする可能性がある。（2020/6/30）

2つの鍵交換方式【後編】
鍵交換アルゴリズム「Diffie-Hellman」「RSA」が使われる暗号化通信とは？
暗号化通信に使用される代表的な鍵交換アルゴリズムが「Diffie-Hellman方式」（DH法）と「RSA方式」だ。それぞれの方式がどのような場面で使われているのかを紹介する。（2020/4/7）

「Microsoft Teams」「GitHub」「Google Nest」などの事例を分析：
2020年2月に発生した大手Webサイトの大規模障害について解説、Uptime.com
Uptime.comは、企業Webサイトなどで2020年2月に発生した大規模なサービス停止事例をまとめたレポート「February 2020 Downtime Report」を発表した。「Microsoft Teams」「GitHub」「Google Nest」などの事例を扱っている。（2020/4/2）

いつまで延びる？：
Let's Encrypt、証明書失効の期限を延期
「期限通りの失効は見送った方が、インターネットの健全性にとって最善」と判断したという。（2020/3/6）

セキュリティ・アディッショナルタイム（40）：
2020年、サーバ証明書はどう変わる？　DigiCert担当者に聞いてみた
DigiCertが2020年1月に年次カンファレンス「DigiCert 2020 Security Summit」を開催。DigiCert、そしてWebブラウザのベンダーや電子証明書発行サービスを提供する事業者からなる業界団体であるCA/Browser Forumの取り組みを聞いた。（2020/3/5）

Let's Encryptの証明書に不具合、約300万件を無効化へ
影響を受けるのは、Let's Encrypが発行した証明書約1億1600万件のうち、2.6％に当たる300万件あまり。無効になる2020年3月4日までに更新しなければ、セキュリティ警告が表示される状態になる。（2020/3/4）

BGP攻撃などを困難に：
SSL/TLS証明書の「不正発行」を防ぐ多視点ドメイン検証、Let's Encryptが開始
SSL/TLS向けのサーバ証明書を無料で発行している認証局「Let's Encrypt」は、BGPの乗っ取りのような攻撃に対抗するため、多視点ドメイン検証を開始した。証明書の不正発行につながる攻撃を抑え込む役に立つという。（2020/2/27）

Apple、9月1日からサーバ証明書の最大有効期間を13カ月に制限
AppleはGoogle、Microsoftに同調し、サーバ証明書の有効期間制限を実施する。（2020/2/25）

この頃、セキュリティ界隈で：
「安全な接続」の普及に伴う負担急増、Microsoftも対応に苦慮？
SSL証明書でMicrosoftが大失態。その背景を解説する。（2020/2/20）

「Microsoft Teams」に2時間ほどアクセスできない障害発生　原因はサーバ証明書の更新し忘れ
「Microsoft Teams」で障害が発生。日本時間2月3日夜11時19分〜翌2月4日午前1時19分の少なくとも2時間、ユーザーからアクセスできない状態となった。原因はサーバ証明書の更新し忘れだった。（2020/2/6）

「日テレニュース24」Androidアプリに脆弱性　通信内容の取得や改ざんの恐れも
日本テレビ放送網が提供するAndroidアプリ「日テレニュース24」の脆弱性が発表された。通信内容の取得や改ざんなどが行なわれる可能性があるため、JPCERT コーディネーションセンターはアプリを最新版へアップデートするよう注意を促している。（2019/12/20）

第4回 スマートビルディング EXPO：
「BIMを現場へ連れていけ」、“CheX”新機能はiPadでBIMモデルに自在書き込み
スーパーゼネコンなどで導入が進むクラウド型図面共有システム「CheX」は、「BIMを現場に連れていけ」をコンセプトに、最新バージョンでBIMモデルをタブレット上で閲覧できる新機能を搭載した。（2019/12/13）

「2024年ISDNデータ通信終了とEDI移行」まる分かりガイド【第4回】
失敗できないインターネットEDI移行で、製品を見極める9つのポイント
ISDNのデータ通信終了に向けて「インターネットEDIに移行するか否か」「移行するならどの製品に乗り換えるか」を検討する必要性に迫られている企業は少なくない。製品選定のポイントは。（2019/11/29）

半径300メートルのIT：
セキュリティ意識の陳腐化について　「これなら安心安全！」はすぐに危険になる
情報セキュリティの世界に「絶対」はありません。「この対策さえすれば、絶対安全ですよ！」というフレーズは、大抵間違っています。特に怖いのは、その「絶対安全」の基準がすでに古くなり、むしろ犯罪者の狙い目になっていることで……（2019/11/19）

SSL通信も量子コンピュータの前では無意味に？　今から備えるべき「耐量子コンピュータ暗号」とは
約10年後に訪れると見込まれる量子コンピュータの実用化の際には、現在の暗号の一部は解読されてしまう恐れがある。デジサート・ジャパンの林正人さんは、「量子コンピュータの脅威を正しく認識し、耐量子コンピュータ暗号の導入に今から備えるべき」という。（2019/11/15）

PR：セキュリティとシームレスな使い勝手、そしてハイブリッドクラウドに注力――Synology Japan代表に聞く
ネットワークストレージで知られるSynology Japanが、現状の事業展開、2020年に向けた展望と今後の製品ロードマップなどを紹介するイベント「Synology 2020 Tokyo」を開催した。この記事では、今回のイベントをレポートする。（2019/11/8）

半径300メートルのIT：
URLバーの組織名表示を信用できる？ 変化するEV SSLサーバ証明書の取り扱い方
フィッシング詐欺サイトを見抜く方法として何度も紹介してきた「EV SSL証明書」に、大きな変化が起きようとしています。「鍵マークさえあれば安心」「組織名が表示されていれば安全」という先入観に付け入る悪意への対抗策を、皆さんは認識されているでしょうか？（2019/8/20）

AD FSを使ったSaaSとのSSO環境構築（6）：
実践「AD FS 2016」を使って「Office 365」とのSSO評価環境構築：WAPとAzure Connect構築編
Windows Server 2016のAD FSを使って、SaaSとのSSO環境構築方法を紹介する本連載。今回は、WAPの構築とAzure Connectの構築手順を説明します。（2019/8/5）

IoT時代のセキュリティ絶対防衛ライン：
狙われた大量のIoTデバイス　なぜ攻撃される？　有効な対応策は
各業界のIoT関連サービスが抱える問題点、そして有効な対応策とは？　セキュリティの専門機関が情勢を伝えます。（2019/7/16）

接続障害のトラブルシューティング
「リモートデスクトップがつながらない」を解決する5つの対策
リモートデスクトップ接続ができないときは、ファイアウォール、セキュリティ証明書などに原因がある可能性がある。接続の問題を特定する方法と、簡単にできる解決策について説明する。（2019/7/8）

「GMOコイン」検索広告にフィッシングサイト確認　注意喚起
Google検索で「GMOコイン」などを検索した際、GMOコインの正規サイトを装ったフィッシングサイトの検索連動広告が掲載されていたことを確認。GMOコインが注意を呼び掛けた。（2019/6/27）

「SHA-1証明書」の無効化を表明、Apple
Appleは「SHA-1で署名されたTLS証明書は、信頼できるものとは見なさない」と表明した。今後、SHA-1の証明書を使っているWebサイトは、主要なブラウザ全てでブロックされる。（2019/6/10）

IoT時代のセキュリティ絶対防衛ライン：
元妻が住む家のエアコンを遠隔操作で嫌がらせ、商品レビューで告白　スマートホームの注意点とは？
各業界のIoT関連サービスが抱える問題点、そして有効な対応策とは？　セキュリティの専門機関が情勢を伝えます。（2019/6/3）

国家レベルの組織が標的に
インターネットを危険にする「DNS乗っ取り攻撃」の周到な手口
国家のセキュリティ機関や重要インフラを狙ったドメインネームシステム（DNS）乗っ取り攻撃が、新たなトレンドとして浮上している。専門家に話を聞いた。（2019/5/17）

仕組みとセキュリティ確保手順を解説
APIを安全に利用する4つのセキュリティ対策、具体的な実装方法は？
企業がAPI利用におけるセキュリティポリシーを定める際は、APIの仕組みとその使用方法を理解することが重要だ。セキュリティポリシー策定時に有用な4つのヒントを紹介する。（2019/4/24）

「ラブライブ！」乗っ取りを“教訓”に　ドメイン名の価値に見合った管理方法
人気アニメ「ラブライブ！」の公式サイトが乗っ取られ、ページに「ラブライブは我々が頂いた！」と表示される事件が発生。ドメイン管理の“落とし穴”を狙った類似の手口は以前から起きていた。その手口は。（2019/4/11）

Keycloak超入門（8）：
Keycloakで認可サービスを試してみよう［前編］
本連載では、近年注目されている認証プロトコル「OpenID Connect」をサポートするオープンソースのシングルサインオン（SSO）ソフトウェア「Keycloak」の活用方法を解説していきます。Keycloakの認可サービスを利用することで、アプリケーションに対して、より細やかで柔軟なアクセス制御を実現することが可能です。前編、後編の2回に分けて、その方法を解説します。（2019/4/3）

特集・RPAで仕事が変わる：
RPA導入で気になるセキュリティ問題
社員の誰よりもだまされやすく、成長することもない、愚直ながらも勤勉な人間が職場にいたら？（2019/3/29）

iOS 12.2の新機能と変更点を徹底解説
MACお宝鑑定団の解説記事をITmedia NEWSのためにまとめた。（2019/3/29）

仮想環境に適したバックアップ手法とは
「VMware vSphere」バックアップのための主要テクニックとNGリスト
仮想環境のアーキテクチャと運用は、従来のバックアップ環境とは異なり、特殊なテクニックが必要だ。本稿では、「VMware vSphere」をバックアップする場合の主なテクニックを紹介する。（2019/3/27）