セキュリティシャドー ITサブドメインWeb 担当者
シャドー IT サブドメイン棚卸しの実践手順|Web 担当者・情シス・制作会社向け
ドメイン番人約 3 分で読めます
目次
この記事でわかること
- シャドー IT が生むサブドメインリスクの構造
- 実態を可視化する 4 ステップ
- 部門別の典型パターン
- 棚卸し後の運用ルール化
シャドー IT サブドメインとは
「シャドー IT(Shadow IT)」とは、情シス部門の管理下にない部署独自の IT 利用を指します。サブドメインの文脈では:
- 営業部が独自に Hubspot / Pardot を契約 → サブドメインを切って利用 → 解約後に CNAME 残骸
- 開発部が個別に Heroku / Vercel / Netlify を試運用 → 削除後に DNS 整理漏れ
- マーケ部が短期キャンペーンで Shopify / Studio を試用 → 終了後の DNS 残骸
これらは情シスが気付いた時には dangling CNAME になっているケースが多く、攻撃者の好餌です。
実態を可視化する 4 ステップ
ステップ 1: CT log で全サブドメインを列挙
curl -s 'https://crt.sh/?q=%25.example.co.jp&output=json' \
| jq -r '.[].name_value' | sort -u > all-subdomains.txt
詳細は CT log でサブドメインを列挙する方法 参照。
ステップ 2: 情シス管理リストとの差分
社内のドメイン台帳(DNS 管理表 / Excel / Notion 等)と差分を取ります:
diff <(sort all-subdomains.txt) <(sort dns-registry.txt) > unknown.txt
unknown.txt に出てきたものが情シス未把握 = シャドー IT 候補。
ステップ 3: ヒアリングと特定
不明なサブドメインを見つけたら、以下で特定:
- CNAME 宛先から SaaS を推定(例:
*.hubspot.com→ 営業 / マーケ) - 部門担当者に「これご存じですか?」と確認
- 担当者不明な場合は退職者の作業履歴を確認
ステップ 4: 是正方針の決定
| 状況 | 対応 |
|---|---|
| 現在も部署で使用中 | 情シスの管理下に移管 |
| 過去に使ったが今は不要 | DNS から削除 + SaaS 解約 |
| 担当者不明・dangling | 即 DNS 削除 + バケット / アプリ占有 |
部門別の典型パターン
営業部
- Hubspot / Pardot / Salesforce Pardot のメール配信用サブドメイン
- セミナー LP の独自 SaaS(Studio / Wix 等)
開発部
- Heroku / Vercel / Netlify の検証環境
- 個人 GitHub Pages で社内ドキュメント
マーケ部
- 短期キャンペーンの Shopify / EC SaaS
- A/B テストツールの計測用サブドメイン
経営企画 / IR
- 株主向けの一時的な情報サイト
- IR 配信用 CDN
棚卸し後の運用ルール化
サブドメイン作成・削除のフロー化
| フェーズ | 必須項目 |
|---|---|
| 作成時 | 申請書(用途 / 期間 / 担当者 / 想定 SaaS)+ 情シス承認 |
| 利用中 | 半年ごとの棚卸し(部門担当者の確認) |
| 終了時 | SaaS 解約 + DNS 削除 + 完了確認 |
情シスの台帳整備
- DNS レコード一覧(自動同期スクリプト推奨)
- 各サブドメインの「責任部門 / 用途 / 期限」を記録
- 退職時のドメイン引き継ぎチェックリスト
定期棚卸し(半年〜1 年に 1 回)
CT log + DoH + 既知 SaaS 照合を自動化しておくと、新しい dangling CNAME が出た瞬間に検知できます。
まずは現状を把握しましょう
ドメイン番人の サブドメイン棚卸し 単発チェック で 30 秒で確認できます。情シス未把握のサブドメインや dangling CNAME を一覧化します。
棚卸しと是正の支援は サブドメイン棚卸し+テイクオーバーリスク診断(5 万円〜)でご相談ください。
関連記事:
総合点検は 無料のドメイン診断、SSL 単独は SSL 単発チェック をご利用ください。