## この記事でわかること

- シャドー IT が生むサブドメインリスクの構造
- 実態を可視化する 4 ステップ
- 部門別の典型パターン
- 棚卸し後の運用ルール化

## シャドー IT サブドメインとは

![シャドー IT が生むサブドメイン残骸](/blog/shadow-it-subdomain-audit/shadow-it-flow.svg)

「シャドー IT（Shadow IT）」とは、情シス部門の管理下にない部署独自の IT 利用を指します。サブドメインの文脈では:

- 営業部が独自に Hubspot / Pardot を契約 → サブドメインを切って利用 → 解約後に CNAME 残骸
- 開発部が個別に Heroku / Vercel / Netlify を試運用 → 削除後に DNS 整理漏れ
- マーケ部が短期キャンペーンで Shopify / Studio を試用 → 終了後の DNS 残骸

これらは情シスが**気付いた時には dangling CNAME になっている**ケースが多く、攻撃者の好餌です。

## 実態を可視化する 4 ステップ

### ステップ 1: CT log で全サブドメインを列挙

```bash
curl -s 'https://crt.sh/?q=%25.example.co.jp&output=json' \
  | jq -r '.[].name_value' | sort -u > all-subdomains.txt
```

詳細は [CT log でサブドメインを列挙する方法](/blog/ct-log-subdomain-enumeration) 参照。

### ステップ 2: 情シス管理リストとの差分

社内のドメイン台帳（DNS 管理表 / Excel / Notion 等）と差分を取ります:

```bash
diff <(sort all-subdomains.txt) <(sort dns-registry.txt) > unknown.txt
```

`unknown.txt` に出てきたものが**情シス未把握 = シャドー IT 候補**。

### ステップ 3: ヒアリングと特定

不明なサブドメインを見つけたら、以下で特定:

1. CNAME 宛先から SaaS を推定（例: `*.hubspot.com` → 営業 / マーケ）
2. 部門担当者に「これご存じですか？」と確認
3. 担当者不明な場合は退職者の作業履歴を確認

### ステップ 4: 是正方針の決定

| 状況 | 対応 |
|---|---|
| 現在も部署で使用中 | 情シスの管理下に移管 |
| 過去に使ったが今は不要 | DNS から削除 + SaaS 解約 |
| 担当者不明・dangling | 即 DNS 削除 + バケット / アプリ占有 |

## 部門別の典型パターン

![部門別シャドー IT パターン](/blog/shadow-it-subdomain-audit/department-patterns.svg)

### 営業部
- Hubspot / Pardot / Salesforce Pardot のメール配信用サブドメイン
- セミナー LP の独自 SaaS（Studio / Wix 等）

### 開発部
- Heroku / Vercel / Netlify の検証環境
- 個人 GitHub Pages で社内ドキュメント

### マーケ部
- 短期キャンペーンの Shopify / EC SaaS
- A/B テストツールの計測用サブドメイン

### 経営企画 / IR
- 株主向けの一時的な情報サイト
- IR 配信用 CDN

## 棚卸し後の運用ルール化

### サブドメイン作成・削除のフロー化

| フェーズ | 必須項目 |
|---|---|
| 作成時 | 申請書（用途 / 期間 / 担当者 / 想定 SaaS）+ 情シス承認 |
| 利用中 | 半年ごとの棚卸し（部門担当者の確認） |
| 終了時 | SaaS 解約 + DNS 削除 + 完了確認 |

### 情シスの台帳整備

- DNS レコード一覧（自動同期スクリプト推奨）
- 各サブドメインの「責任部門 / 用途 / 期限」を記録
- 退職時のドメイン引き継ぎチェックリスト

### 定期棚卸し（半年〜1 年に 1 回）

CT log + DoH + 既知 SaaS 照合を自動化しておくと、新しい dangling CNAME が出た瞬間に検知できます。

## まずは現状を把握しましょう

ドメイン番人の [サブドメイン棚卸し 単発チェック](/subdomain/check) で 30 秒で確認できます。情シス未把握のサブドメインや dangling CNAME を一覧化します。

棚卸しと是正の支援は [サブドメイン棚卸し＋テイクオーバーリスク診断](/contact)（5 万円〜）でご相談ください。

関連記事:
- [サブドメインテイクオーバーとは？仕組みと EC・スタートアップ・制作会社への影響](/blog/subdomain-takeover-toha)
- [Web 担当者向け サブドメイン棚卸しチェックリスト](/blog/subdomain-audit-checklist-smb)
- [退職者が立てた検証環境サブドメインの棚卸し方法](/blog/abandoned-staging-subdomain)

総合点検は [無料のドメイン診断](/diagnose)、SSL 単独は [SSL 単発チェック](/ssl/check) をご利用ください。