「サーバ証明書」関連の最新 ニュース・レビュー・解説 記事 まとめ

架空の企業5社が暗躍
転職先は中国の情報機関だった――解雇されたITエンジニアが中国に狙われる理由
中国の情報機関が、採用活動と偽って米政権の方針で解雇された米政府元職員に接触しているという情報がある。中国の狙いとは。（2025/6/5）

FAインタビュー：
データを盗まれないために、まず守らなければならないものとは
IoT機器の導入によって外部のネットワークとつながる機会が増え、製造現場でもサイバー攻撃を受けるリスクが高まっている。そこで、これらの機器および利用する人のID（Identity）を適切に管理することが重要になる。IDセキュリティを手掛けるCyberArk Software 日本法人 執行役社長の柿澤光郎氏に話を聞いた。（2025/5/28）

いつ大きな損失につながってもおかしくない：
PR：増え続けるWebサイト、運用負荷増、DDoS攻撃、セキュリティ対策……面倒なインフラの課題を解決し、WordPressサイト運用保守を効率化するための現実解
Webサイト構築にWordPressを利用している企業は多い。しかし運用保守に当たってさまざまな課題がある。少ない負担で効率良く、安全で安定したWebサイトの運用保守を実現する方法とは。（2025/4/25）

Tech TIPS：
【Azure】App Serviceでリクエストヘッダをキャプチャしてプロトコルバージョンなど詳細を確認する
Azure App ServiceでWeb／APIを運用していて、クライアントが送信するリクエストヘッダから情報を得たい、と思ったことはないだろうか？　PHPを前提として、リクエストヘッダをログに記録して集計する手順を紹介する。（2025/4/16）

半径300メートルのIT：
Webブラウザ利用者が知らずに犯してしまう「ルール違反」とは？
インフォスティーラー（情報窃取型マルウェア）が流行しています。このマルウェアは基本的な対策だけでは防ぐのがなかなか難しい厄介なものです。特に従業員のWebブラウザの利用次第で感染を拡大させるリスクも……。詳細を解説します。（2025/4/8）

半径300メートルのIT：
「マイナンバーカードの電子証明書って何がいいの？」　仕組みとメリットを解説
マイナンバーカードの電子証明書周りの話はなかなか複雑で理解が難しい部分でもあります。本稿は、電子証明書によってどのようなメリットが得られるか、またはどのようなリスクがあるのかを解説します。（2025/4/1）

Cybersecurity Dive：
ランサムウェア集団の内情暴露　彼らが開発した“ヤバいフレームワーク”の実態
ランサムウェアグループBlack Bastaのプライベートなチャットログが流出し、その内情が明らかになった。彼らはVPNなどに使われている脆弱なパスワードを推測する自動化フレームワークを開発していたという。（2025/3/28）

Microsoft Azure最新機能フォローアップ（217）：
大幅刷新されたWebベースの管理ツール「Windows Admin Center 2410」、その中身を知る
Microsoftは2024年12月12日、「Windows Admin Center V2 Preview」としてテストされていた「Windows Admin Center 2410」を正式リリースしました。本稿では、正式リリース版で変更された内容を詳しく見ていきます。（2025/2/5）

データを守る「3大概念」【後編】
いまさら聞けない「データセキュリティ」と「データプライバシー」の違いとは？
データを守ることに関する概念は混同しやすい。「データセキュリティ」と「データプライバシー」の違いを押さえておこう。（2024/10/10）

すぐに手を打たなければ
Googleが提案した「SSL証明書の有効期限短縮」　今、すべきことは
2025年、SSL証明書の有効期限が大幅に短縮されるとみられている。対策は必ずしも容易ではなく、十分な検討が必要になる。どうすればいいのか。（2024/10/17）

ITmedia Security Week 2024 夏：
誰とも代わることのできない“唯我独尊”であるが故に――「セキュリティのアレ」の3人は認証認可をどう見るか
2024年8月28日、アイティメディア主催セミナー「ITmedia Security Week 2024 夏」で、ポッドキャスト「セキュリティのアレ」を主催する、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」を運営するpiyokango氏ら3人が「認証認可唯我独尊」と題して講演した。（2024/9/27）

クラウド時代のセキュリティ認定資格10選【後編】
セキュリティエンジニアとしての活躍の場が広がる「お薦め認定資格」6選
セキュリティの専門家として活躍するためには、さまざまな知識やノウハウを身に付けることが重要だ。クラウドを中心に幅広いセキュリティの知識とノウハウが身に付く認定資格とは。（2024/9/11）

世界中で“パッチ未適用”状態
「GitLabの脆弱性」の悪用が判明　“第三者によるパスワード変更”が可能に
OSSの開発支援ツール「GitLab」に見つかった脆弱性が攻撃活動に悪用されていると、米国の政府機関は警鐘を鳴らした。脆弱性の特性と、その影響範囲は。（2024/8/29）

SEOタイムズ編集部が初心者向けにわかりやすく解説：
SEOに「被リンク」はもう意味がない？　Google公式コメントや悪質な被リンクへの対処法を解説
「被リンクは今でもSEOに効果があるのか知りたい」「どのような被リンクであれば質が高いと言えるのか分からない」「悪質な被リンクを受けたらどのような対応が必要なのか知りたい」など、被リンクにまつわる疑問を解消します。（2024/6/28）

見落としがちなDNSセキュリティ ：
PR：クラウド移行で台頭する新たな脅威「サブドメインハイジャック」とは？
近年、企業のセキュリティを脅かす新たな存在として「サブドメインハイジャック」が台頭している。企業のドメインを巧みに悪用する詐欺手法の実態と対策について、セキュリティベンダーの視点から解説する。（2024/6/14）

セキュリティニュースアラート：
リモートデスクトップアプリAnyDesk、サイバー侵害後に関連証明書を全て失効
AnyDesk Softwareは本番システムがセキュリティインシデントによって侵害されたと報じた。同社はセキュリティ証明書を更新し、ユーザーに対応を促している。（2024/2/6）

Macを安全に使うには【第2回】
Macユーザーが「Apple ID」を守るための“セキュリティ機能”はこれだ
MacをはじめとしたAppleデバイスへの攻撃が活性化する中、セキュリティ対策の重要性が高まっている。Macを攻撃から保護するための、具体的な機能を取り上げる。（2024/2/2）

クライアント側QUICやTLSハンドシェイクにおける証明書圧縮に対応：
OpenSSL Project、「OpenSSL 3.2.0」を公開
OpenSSL Projectは、クライアント側QUICやTLSハンドシェイクにおける証明書圧縮に対応した「OpenSSL 3.2.0」を公開した。（2023/12/14）

Tech TIPS：
【Azure】デプロイ時にApp ServiceのSSLサーバ証明書をKey Vaultから自動インポートする
「Azure Key Vault」でSSLサーバ証明書を管理する場合、App ServiceによるWebサイトやWeb APIをデプロイする時に、Key Vaultから証明書を自動でインポートしたいところだ。そのためのARM（Azure Resource Manager）テンプレート（Bicep）を注意点とともに紹介する。（2023/11/29）

Tech TIPS：
【Azure】Key Vault（キーコンテナ）にSSLサーバ証明書をインポートして利用する（App Service編）
App ServiceによるWebサイトやWeb APIにAzure外で発行したSSLサーバ証明書を割り当てる場合、App Serviceに直接インポートすると更新時に手間が掛かりやすい。機密情報を安全に取り扱える「Azure Key Vault」を使って、効率良く証明書を更新できるようにしよう。（2023/11/15）

Tech TIPS：
【Azure】WebサーバをいじらずにHTTPレスポンスヘッダを追加／変更する（Front Door編）
WebサイトやWeb APIが返すHTTPレスポンスヘッダを追加／変更しようとしても、設定が難しかったり、そもそも変更できなかったりすることがある。AzureのCDN／リバースプロキシである「Front Door」を利用すると、比較的簡単にレスポンスヘッダを改変できる。その方法と注意点は？（2023/10/18）

ラズパイで製造業のお手軽IoT活用（14）：
ラズパイにもセキュリティを、不良実績入力の品質管理を暗号化通信で実現
小型ボードコンピュータ「Raspberry Pi（ラズパイ）」を使って、低コストかつ現場レベルでIoT（モノのインターネット）を活用する手法について解説する本連載。第14回は、ラズパイのセキュリティとして暗号化通信を導入する方法を紹介します。併せて、不良実績入力の品質管理での応用も取り上げます。（2023/8/23）

セキュリティ対策としてのAWS移行のススメ：
「クラウドのセキュリティは不安」を払しょくする　中堅・中小企業がクラウド移行で実現する“モダンな”セキュリティ対策とは
セキュリティへの不安から、クラウド移行を推進できない中堅・中小企業は多い。本連載では、クラウドを利用することで享受できるセキュリティのメリットを紹介する。（2023/8/18）

Herokuの「代替PaaS」を比較【第5回】
“Heroku代替”として無料で使える「CapRover」「Fly.io」とは？
Salesforceが「Heroku」の無償プランを廃止したことにより、これまで無償プランを使っていたHerokuユーザーは、代替手段を検討しなければならなくなった。選択肢となり得るのが「CapRover」「Fly.io」だ。（2023/7/14）

ふぉーんなハナシ：
さよならスマホ版「iコンシェル」　「ひつじのしつじくん」「メイドのメイちゃん」はどうなる？
6月30日をもって、NTTドコモの「iコンシェル」のスマートフォン向けサービスの提供が終了します。主要なサービスは「my daiz」を通して引き続き利用できるのですが、iコンシェルに絡む“あの”キャラクターたちはどうなるのでしょうか……？（2023/6/30）

GIGABYTEはBIOS更新プログラムを公開へ：
GIGABYTE製マザーボードのファームウェア更新機能に中間者攻撃リスク　数百モデルに影響
サイバーセキュリティ企業のEclypsiumは、GIGABYTE製マザーボードのUEFIファームウェアやソフトウェアを更新する機能でバックドアに類似した仕組みが採用されており、サイバー攻撃に悪用される恐れがあることを明らかにした。（2023/6/6）

「ユニークで価値のある機能を提供する」：
セキュリティ専門家がリアルに活用、「オンラインデバイス検索ツール」5選　ESET
ESETは、インターネットに接続されたデバイスやサービスを検索するツールを紹介した。それらのツールは脅威インテリジェンスの取り組みを強化する必要がある企業にとって「ユニークで価値のある機能を提供する」という。（2023/5/31）

有効期限前のドメイン廃止に注意：
2024年3月末に「ニフクラ レンタルサーバ」が終了　富士通クラウドテクノロジーズ
富士通クラウドテクノロジーズは、同社が提供するレンタルサーバのサービスを2024年3月31日に終了することを発表した。2024年4月1日以降はWeb環境やメール環境、DNS情報、ドメインの全データが削除される。（2023/5/26）

IoTセキュリティ：
電子証明書とPKIの一元管理でデジタルトラストを確保、デジサートが新サービス
デジサート・ジャパンは、米国本社CEOのアミット・シンハ氏の来日に合わせて東京都内で会見を開催。グローバル戦略を説明するとともに、認証局ベンダーに依存しない電子証明書管理とPKIサービスを一元管理する「DigiCert Trust Lifecycle Manager」を発表した。（2023/4/6）

ITmedia Security Week 2023 春：
AI、RPA、データベース――3つの技術がサイバー攻撃を変え、「デジタル災害」を引き起こした背景とは
2023年3月に開催された「ITmedia Security Week 2023 春」の「拡大するアタックサーフェス、“社内攻撃”を想定せよ」ゾーンにおいて、ニューリジェンセキュリティでCTO（最高技術責任者）を務める仲上竜太氏が「災害化するサイバー脅威とアタックサーフェス管理」と題して基調講演に登壇した。（2023/3/23）

Tech TIPS：
【Azure】Front Doorで「配信元（origin）」に送るHostヘッダを変更するには
Azureのリバースプロキシ／CDNなどのサービスである「Azure Front Door」で、配信元のサーバ／サイトからクライアントへコンテンツが正しく送られない場合がある。その原因の1つである、配信元へ送出される「Host」ヘッダの設定方法や設定上の注意点などを説明する。（2023/3/1）

ラーメン「一蘭」公式アプリに「盗聴の恐れ」　サーバ証明書の検証不備で　最新版で修正済み
JPCERT/CCと情報処理推進機構が、「一蘭公式アプリ」（iOS／Android）で、サーバ証明書の検証不備の脆弱性が見つかったと報告した。（2023/2/7）

HTTPSが信頼できるとは限らない　増え続けるHTTPSを使ったフィッシング詐欺
フィッシング対策協議会から証明書の種類を確認する方法が説明された。最近のWebブラウザはEV（Extendit Validation）証明書であるかどうかの確認ができず、信頼度の確認が困難だ。増加するフィッシング詐欺の脅威へ対処するために、サーバ証明書の種類を確認する方法を把握しよう。（2022/9/8）

Japan Drone2022：
“ドローン新時代の空の安全を確保”するGMOホワイトハッカーによるセキュリティ診断、通信暗号化と機体認証も
ドローンが社会実装となれば、いかにして空域の安全性を確保するかが新たな課題となってくる。数々のインターネット事業を手掛けるGMOインターネットグループは、ホワイトハッカー集団によるIoTセキュリティ診断と、通信暗号化、認証技術で空の「セキュリティ」を担保するという。（2022/8/22）

「Cloud Operator Days Tokyo 2022」セミナーレポート＃3：
「気付けない」「気付いても対処できない」障害をヤプリのSREグループはどう回避したのか
Cloud Operator Days Tokyo 2022のセッション「顧客影響に気付けるアラート設計と原因特定が素早くできるSREへ ヤプリが乗り越えてきた監視運用の失敗と改善」にてヤプリの望月真仁氏は、監視に関する失敗談とそれをどのように解決したのかについて紹介した。（2022/8/4）

スモールスタートが可能に：
HubSpotが無料版「CMS Hub」を提供　お金をかけずにどこまでできる？
HubSpotが「CMS Hub」の無料版を提供開始。CRMとの連携を活用したWebサイトの構築と運営管理を低コストで実現。（2022/7/26）

半径300メートルのIT：
自社の偽Webサイトが検索トップに……あなたならどうする？
近年、Webサイトやメールを利用したフィッシングはますます高度化し、一見しただけでは本物と偽物の区別が付かないケースも出てきています。さらに自社のWebサイトが検索トップに表示されるなんてことも起きたらどうすればいいのでしょうか。（2022/6/21）

富士通の“政府認定クラウド”への不正アクセス、ロードバランサー内で任意のコマンドが実行できる状態だった　被害状況の調査結果
クラウドサービス「ニフクラ」「FJcloud-V」が不正アクセスを受け、ユーザーの認証情報などが盗まれた可能性がある件を巡り、脆弱性のあったロードバランサー内で任意のコマンドが実行できる状態だったことが分かった。（2022/6/8）

6つのオープンソースPaaS製品を比較【中編】
オープンソースPaaS製品「Cloud Foundry」「Dokku」「OKD」の違いとは？
オープンソースPaaS製品には代表的な製品が幾つかある。その中から、「Cloud Foundry」「Dokku」「OKD」の機能と特徴を説明する。（2022/5/25）

6つのオープンソースPaaS製品を比較【前編】
“普通のPaaS”が嫌なら「オープンソースPaaS」製品を使うべき理由
PaaSの課題は「オープンソースPaaS」製品を利用することで解消できる場合がある。オープンソースPaaS製品のメリットと、その一つである「CapRover」を取り上げる。（2022/5/11）

Cloud Nativeチートシート（12）：
不正アクセス、盗聴を防ぐ――マイクロサービスのセキュリティを向上させる4つのIstio機能
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、Istioのセキュリティ機能に焦点を当て、通信の暗号化、認証／認可の機能を紹介する。（2022/1/21）

接種証明アプリの通信内容が見えてしまう？　デジ庁「他人からは見えず問題ない」
デジタル庁が12月20日に公開した「新型コロナワクチン接種証明書アプリ」で、通信内容のデータが見られてしまうというツイートが話題になった。投稿者は該当ツイートを削除しているが、同庁は触れられている内容については「問題ない」との認識を示した。（2021/12/21）

TechTarget発　世界のITニュース
Cisco、F5、VMwareの製品に相次いで見つかった脆弱性の正体とは？
2021年8月、大手IT企業数社の製品に脆弱性が見つかった。各社は被害の報告は受けていないというが、セキュリティアップデートの実行を推奨している。脆弱性はどのようなものだったのか。（2021/11/30）

GoDaddyにデータ侵害、最大120万人のWordPressホスティングユーザーの個人情報が漏えい
大手ドメイン登録事業者GoDaddyは顧客のWordPressのシステムにデータ侵害があったと発表。最大120万人分の個人データが流出した可能性がある。メールアドレス、管理者番号、sFTP、SSL秘密鍵などにアクセスされた。（2021/11/23）

発生し得る攻撃の詳細と対策
「Apache HTTP Server」に脆弱性　専門家がパッチ適用を“強く推奨”の理由
「Apache HTTP Server」の脆弱性を悪用する攻撃を観測したという発表を受け、セキュリティ専門家は、利用者に対してパッチの適用を強く推奨している。その理由とは。（2021/11/5）

コンテナ実行基盤「Nomad」をKubernetesと比較検証（3）：
AWSでNomadクラスタを構築――クラスタやジョブ管理の仕組みと内部構造を知る
コンテナオーケストレーションツールとして知られる「Kubernetes」とHashiCorpが提供する「Nomad」を比較検証する本連載。第3回はNomadを用いたクラスタ構築の手順やNomadの内部構造、ジョブ管理を中心に解説します。（2021/10/19）

TechTarget発　世界のITニュース
無料SSLサーバ証明書発行のLet's Encryptに脆弱性　犯罪者が悪用する“穴”とは？
無料でSSLサーバ証明書を発行する「Let's Encrypt」に脆弱性が見つかった。不正発行を防ぐための仕組みにある落とし穴を、サイバー犯罪者はどう悪用しているのか。（2021/9/25）

半径300メートルのIT：
「取るのは簡単」でも「運用は大変」　ドメイン管理に潜む信用失墜につながるリスクとは
ユーザーがさまざまな経路を通じて自社のWebサイトに流入することが多くなってきています。自社のドメイン管理を見直し、第三者の不正なWebサイトにアクセスさせないようにするにはどうすればいいのでしょうか。（2021/9/7）

インターネットの「100ns（ナノ秒）の違い」を検出する攻撃も：
セキュリティカンファレンス「Black Hat USA 2021」と「DEF CON 29」の主要プレゼンまとめ　PortSwigger
PortSwiggerは、セキュリティカンファレンス「Black Hat USA 2021」と「DEF CON 29」の主要なプレゼンテーションをまとめたブログ記事を公開した。（2021/8/25）

情報漏えいを防ぐには：
緊急導入したテレワークを「恒常施策」に　必要なセキュリティ対策は？
コロナ禍で緊急導入したテレワークの恒常化に取り組む際、必要なセキュリティ対策とは？（2021/5/27）