![複数ドメイン SSL 管理の 3 階層](/blog/multi-domain-ssl-management/management-layers.svg) ## この記事でわかること - 保有ドメインが増えたときに起きる SSL 管理の盲点 - 規模別の管理方式(スプレッドシート / 監視サービス / 自動化) - 期限管理 + 棚卸し + 担当者引き継ぎの仕組み化 - 廃止・統合時のチェックリスト ## ドメインが増えると何が起きるか ドメインの保有数は事業拡大とともに自然に増えます。コーポレートサイト、ブランドサイト、ECサイト、キャンペーンサイト、海外向けドメイン、防御目的のブランド保護ドメイン。気づくと 1 社で 20〜50 ドメインを保有するケースも珍しくありません。 各ドメインに少なくとも 1 枚の SSL 証明書が必要で、サブドメインを増やせばさらに枚数は増えます。証明書が増えると次の問題が同時多発します。 - どのドメインに、いつ期限切れの証明書があるか把握できない - 担当者の異動・退職で SSL の管理者が分からなくなる - 一部ドメインだけ自動更新が止まっていることに気づかない([SSL 自動更新の失敗](/blog/ssl-auto-renewal-failure)) - 使われていないキャンペーンドメインで警告画面が出続ける 1 枚の期限切れだけで、ブランド全体の信頼に傷がつくことがあります([SSL 失効の業務影響](/blog/ssl-expiry-business-impact))。 ## 規模別の管理方式 ![ドメイン数で見る管理方式](/blog/multi-domain-ssl-management/scale-method.svg) ### 5 ドメイン以下: スプレッドシート + カレンダー ドメイン数が少なければ、Google スプレッドシートで「ドメイン名 / レジストラ / 期限 / SSL 種別 / 担当者」を一覧化し、Google カレンダーに期限の 30 日前リマインダを入れるだけで十分です。 ### 6〜30 ドメイン: 監視サービスを併用 UptimeRobot / Datadog Synthetics / NewRelic Synthetics 等の外形監視サービスで、各ドメインの HTTPS アクセスと SSL 期限を自動チェックします。月額数千円〜で 50 ドメイン程度までは余裕です。期限の 30 日前 / 7 日前 / 当日に通知を仕込みます。 ### 30 ドメイン以上: 自動化と棚卸しの仕組み化 専用の SSL 管理 SaaS(DigiCert CertCentral / Sectigo Certificate Manager 等)、または自社で API 経由の管理スクリプトを運用します。同時に、年 1 回の「使っていないドメインを廃止する」棚卸しを必須化します。 ## 監視に入れる 4 項目 ドメインを監視に登録する際、最低限次の 4 項目をチェック対象にします。 - **HTTPS でアクセスできるか**: 鍵マークが正しく表示される状態か - **SSL 証明書の期限**: 30 日前 / 7 日前にアラート - **証明書のドメイン一致**: 証明書が対象ホスト名をカバーしているか - **HTTP → HTTPS リダイレクトの稼働**: 301 リダイレクトが正常に動いているか サブドメインを使っているなら、サブドメイン単位での監視も必要です([サブドメイン SSL は個別取得が必要?](/blog/ssl-subdomain-policy))。 ## 棚卸しのチェックリスト 年 1 回(決算後や年度初めが目安)、保有ドメイン全てを棚卸します。 | 項目 | 確認内容 | |---|---| | ドメインの利用状況 | 現在も Web / メールで使われているか | | 担当部門・担当者 | 連絡先が最新化されているか | | SSL 種別 | 無料 / 商用 / EV のどれか | | 期限 | 30 日以上の余裕があるか | | 自動更新 | 有効になっているか、動作確認済みか | | サブドメイン | 過去のキャンペーン用が放置されていないか | | 廃止候補 | 1 年以上使われていないドメインの判定 | 廃止候補は安易に手放さず、ブランド保護や DMARC 観点を確認してから判断します。 ## 担当者引き継ぎの仕組み化 ドメイン / SSL 管理の事故は、担当者の退職・異動時に集中して発生します。引き継ぎが個人作業に依存しない仕組みを作ります。 - ドメイン管理ツールの権限を「個人 ID」ではなく「組織アカウント」で管理 - 連絡先メールアドレスは個人ではなく `domains@example.com` のようなロール宛て - 期限アラートを最低 2 人以上が受け取る設定 - ドキュメントを共有スペース(Notion / Confluence / 共有ドライブ)で運用 メール周りの共有運用ルールは[共有メアド info@ のセキュリティ運用](/blog/shared-mailbox-security)が参考になります。 ## 廃止・統合時のチェックリスト ドメインを廃止 / 統合する際は次を必ず実行します。 - 旧ドメインから新ドメインへの 301 リダイレクト設定 - 旧ドメインでも SSL 証明書を維持(無効化するとリダイレクト失敗) - DNS の MX / SPF / DMARC レコードの廃止または転送設定 - レジストラ側で「自動更新オフ → 手動廃止」の手順を明示 - 過去の請求書 / 連絡先からの参照確認 特に旧ドメイン宛のメールが届かなくなるリスクがあるため、廃止前に取引先への告知も必要です。 ## まとめ - ドメイン数が増えると SSL 管理は線形ではなく指数的に複雑化 - 規模別に スプレッドシート → 監視サービス → 自動化 の段階で進化させる - 監視は 期限 / ドメイン一致 / リダイレクト の 4 項目 - 年 1 回の棚卸しと担当者引き継ぎを仕組み化して属人化を避ける - 廃止 / 統合時は旧ドメインの SSL も維持(リダイレクト用) ## まずは現状を把握しましょう 自社の SSL 証明書の有効期限と設定状況は、ドメイン番人の[SSL 単発チェック](/ssl/check)で確認できます。メール認証も含めた総合点検は[無料診断](/diagnose)をご利用ください。