Web 担当者向け サブドメイン棚卸しチェックリスト|半年に 1 回の運用ルール
目次
この記事でわかること
- Web 担当者がそのまま使える 12 項目チェックリスト
- 半年に 1 回の棚卸し運用フロー
- 各項目の判定基準
- 検出時の対応優先順位
12 項目チェックリスト
列挙フェーズ
1. CT log から全サブドメインを取得
crt.sh で %.example.co.jp 検索し、過去〜現在の全証明書からサブドメイン名を抽出。
2. CertSpotter でフォールバック確認
crt.sh に漏れがある可能性も考慮し、api.certspotter.com で include_subdomains=true の結果と突き合わせる。CertSpotter の具体的な使い方はCertSpotter の使い方で解説しています。
3. 自社 DNS 管理表との差分確認
情シスの DNS 管理表(Excel / Notion / Cloudflare の DNS 設定)と差分を取り、未把握のサブドメインを抽出。
解析フェーズ
4. 各サブドメインの DNS 解決を確認
dig で A / AAAA / CNAME を取得。応答なしのサブドメインは要調査。
5. CNAME 宛先の SaaS パターン照合
*.herokuapp.com *.github.io *.netlify.app *.amazonaws.com 等の既知 SaaS パターンに合致するか。
6. SaaS 占有状況の確認
SaaS にアクセスして「リソース無し」の解約エラーが返ったら dangling 確定。
7. SSL 証明書の期限確認
有効な証明書を持つサブドメインは攻撃面の優先度が高い。CT log の not_after で確認。
是正フェーズ
8. dangling CNAME を DNS から削除
最優先。利用予定がない CNAME はすぐ消す。
9. 自社で SaaS リソース名を占有
将来また使う可能性がある名前は、自社アカウントで再取得して占有。
10. 部門担当者へのヒアリング
シャドー IT 候補は担当者を特定し、現在も使っているか確認。
再発防止フェーズ
11. サブドメイン作成・削除のフロー化
申請 → 情シス承認 → 利用 → 解約時の DNS 整理まで一連でルール化。
12. 棚卸し頻度の決定(推奨: 半年〜1 年に 1 回)
カレンダーに登録し、自動リマインダー設定。
半年に 1 回の運用フロー
| 時期 | 所要時間 | 担当 |
|---|---|---|
| 棚卸し実施日 1 週間前 | 30 分 | 情シス(カレンダー確認 / 部門担当者への通知) |
| 当日 列挙 | 30 分 | 情シス(自動列挙ツール / 単発チェック実行) |
| 当日 解析 | 1 時間 | 情シス(dangling / 不明サブドメインの抽出) |
| 翌日〜1 週間 ヒアリング | 部門 30 分 ×4 | 各部門担当者 |
| 1 週間後 是正 | 1〜2 時間 | 情シス(DNS 削除 / SaaS 占有) |
| 完了報告 | 30 分 | 情シス(次回までの ToDo を記録) |
検出時の対応優先順位
| 優先度 | 状況 | 対応期限 |
|---|---|---|
| 緊急 | dangling CNAME → 既知 SaaS(占有可能) | 即日 |
| 高 | 不明サブドメイン(応答あり、用途不明) | 1 週間以内 |
| 中 | 担当者不明だが応答なし | 1 ヶ月以内 |
| 低 | 部門が使用中だが情シス未把握 | 次回棚卸しまでに台帳追加 |
Web 担当者向けに割り切るポイント
- 完璧な網羅は無理。CT log にも限界(私的 CA / オンプレ証明書は載らない)はあるが、外部から見える分が攻撃面なので公開部分を押さえれば十分
- 半年に 1 回で十分。毎月やる必要はない
- 検出時は「即削除」が最も安全。「もしかしたら使ってるかも」で残すのが最悪手
- 無料ツールで回せる。crt.sh + dig + 単発チェッカーで OK
まずは現状を把握しましょう
ドメイン番人の サブドメイン棚卸し 単発チェック で 30 秒で初回の現状把握ができます。
定期棚卸しの仕組み化、是正計画の策定支援は サブドメイン棚卸し+テイクオーバーリスク診断(5 万円〜)でご相談ください。
関連記事:
総合点検は 無料のドメイン診断、SSL 単独は SSL 単発チェック をご利用ください。