## この記事でわかること - Web 担当者がそのまま使える 12 項目チェックリスト - 半年に 1 回の棚卸し運用フロー - 各項目の判定基準 - 検出時の対応優先順位 ## 12 項目チェックリスト ![Web 担当者向けサブドメイン棚卸し 12 項目](/blog/subdomain-audit-checklist-smb/checklist-12.svg) ### 列挙フェーズ #### 1. CT log から全サブドメインを取得 crt.sh で `%.example.co.jp` 検索し、過去〜現在の全証明書からサブドメイン名を抽出。 #### 2. CertSpotter でフォールバック確認 crt.sh に漏れがある可能性も考慮し、`api.certspotter.com` で `include_subdomains=true` の結果と突き合わせる。CertSpotter の具体的な使い方は[CertSpotter の使い方](/blog/certspotter-tsukaikata)で解説しています。 #### 3. 自社 DNS 管理表との差分確認 情シスの DNS 管理表(Excel / Notion / Cloudflare の DNS 設定)と差分を取り、未把握のサブドメインを抽出。 ### 解析フェーズ #### 4. 各サブドメインの DNS 解決を確認 `dig` で A / AAAA / CNAME を取得。応答なしのサブドメインは要調査。 #### 5. CNAME 宛先の SaaS パターン照合 `*.herokuapp.com` `*.github.io` `*.netlify.app` `*.amazonaws.com` 等の既知 SaaS パターンに合致するか。 #### 6. SaaS 占有状況の確認 SaaS にアクセスして「リソース無し」の解約エラーが返ったら **dangling 確定**。 #### 7. SSL 証明書の期限確認 有効な証明書を持つサブドメインは攻撃面の優先度が高い。CT log の `not_after` で確認。 ### 是正フェーズ #### 8. dangling CNAME を DNS から削除 最優先。利用予定がない CNAME はすぐ消す。 #### 9. 自社で SaaS リソース名を占有 将来また使う可能性がある名前は、自社アカウントで再取得して占有。 #### 10. 部門担当者へのヒアリング シャドー IT 候補は担当者を特定し、現在も使っているか確認。 ### 再発防止フェーズ #### 11. サブドメイン作成・削除のフロー化 申請 → 情シス承認 → 利用 → 解約時の DNS 整理まで一連でルール化。 #### 12. 棚卸し頻度の決定(推奨: 半年〜1 年に 1 回) カレンダーに登録し、自動リマインダー設定。 ## 半年に 1 回の運用フロー ![半年棚卸しの運用フロー](/blog/subdomain-audit-checklist-smb/biannual-flow.svg) | 時期 | 所要時間 | 担当 | |---|---|---| | 棚卸し実施日 1 週間前 | 30 分 | 情シス(カレンダー確認 / 部門担当者への通知) | | 当日 列挙 | 30 分 | 情シス(自動列挙ツール / 単発チェック実行) | | 当日 解析 | 1 時間 | 情シス(dangling / 不明サブドメインの抽出) | | 翌日〜1 週間 ヒアリング | 部門 30 分 ×4 | 各部門担当者 | | 1 週間後 是正 | 1〜2 時間 | 情シス(DNS 削除 / SaaS 占有) | | 完了報告 | 30 分 | 情シス(次回までの ToDo を記録) | ## 検出時の対応優先順位 | 優先度 | 状況 | 対応期限 | |---|---|---| | 緊急 | dangling CNAME → 既知 SaaS(占有可能) | 即日 | | 高 | 不明サブドメイン(応答あり、用途不明) | 1 週間以内 | | 中 | 担当者不明だが応答なし | 1 ヶ月以内 | | 低 | 部門が使用中だが情シス未把握 | 次回棚卸しまでに台帳追加 | ## Web 担当者向けに割り切るポイント - **完璧な網羅は無理**。CT log にも限界(私的 CA / オンプレ証明書は載らない)はあるが、**外部から見える分**が攻撃面なので公開部分を押さえれば十分 - **半年に 1 回**で十分。毎月やる必要はない - **検出時は「即削除」が最も安全**。「もしかしたら使ってるかも」で残すのが最悪手 - **無料ツールで回せる**。crt.sh + dig + 単発チェッカーで OK ## まずは現状を把握しましょう ドメイン番人の [サブドメイン棚卸し 単発チェック](/subdomain/check) で 30 秒で初回の現状把握ができます。 定期棚卸しの仕組み化、是正計画の策定支援は [サブドメイン棚卸し+テイクオーバーリスク診断](/contact)(5 万円〜)でご相談ください。 関連記事: - [サブドメインテイクオーバーとは?仕組みと EC・スタートアップ・制作会社への影響](/blog/subdomain-takeover-toha) - [シャドー IT サブドメイン棚卸しの実践手順](/blog/shadow-it-subdomain-audit) - [退職者が立てた検証環境サブドメインの棚卸し方法](/blog/abandoned-staging-subdomain) 総合点検は [無料のドメイン診断](/diagnose)、SSL 単独は [SSL 単発チェック](/ssl/check) をご利用ください。