この記事のポイント
- 終了したキャンペーンLPのリスクは、ページ本体よりも、旧フォーム、計測タグ、サブドメイン、配布 URL が別々に残ることから生まれます。
- 検索結果に載せない設定(noindex)や CMS 側の停止だけでは不十分で、外から見える URL、送信先、第三者スクリプト、委託先残置まで同時に確認する必要があります。
- 再発防止には、キャンペーン終了を単発作業で終わらせず、終了判定、例外管理、再確認日を含む運用サイクルへ戻すことが重要です。
終了したキャンペーンLPが危ない理由とは何か
キャンペーンLPの終了はページ公開の停止だけでは完了せず、フォーム、配布 URL、計測タグ、サブドメインの枝を同時にたどって初めて公開面を閉じやすくなります。
危ないのは「古いページ」そのものより、終了後も残る公開導線です
キャンペーンLPが危ないのは、古いコンテンツが残るからだけではありません。実務では、施策終了後も旧 URL、資料請求フォーム、計測タグ、委託先が設定したサブドメインが別々に残り、社内では停止済みのつもりでも、外からはまだ到達できる状態が続きやすくなります。特に LP は短期間で作られることが多く、通常の製品サイトより管理責任者が曖昧になりやすいため、終了後の片付けが抜けやすいです。
NIST CSF 2.0 は、組織が管理すべき対象としてシステム、ソフトウェア、サービス、データをライフサイクル全体で把握し続けることを求めています。キャンペーンLPは短命だから例外、ではなく、短命だからこそ運用サイクルでの管理が必要です。終了時の台帳更新が抜けると、『もう使わないページ』が『誰も責任を持たない公開面』へ変わります。
既存の未管理資産のリスクでも触れているように、外部公開面の事故は脆弱性の有無より、誰が持ち、いつ止め、何を残したかが追えないことで長引きます。キャンペーンLPはまさにこの条件を満たしやすい公開面です。終了時に管理責任が元の事業部へ戻り、制作会社や広告代理店の管理情報も分散し、結果として片付けの責任だけが宙に浮きます。
旧フォームと計測タグが残ると、内容更新より厄介な問題になります
ページ本文が古いだけならブランド毀損や誤案内で済むこともありますが、旧フォームや問い合わせ導線が残っている場合は話が変わります。入力された個人情報が古い通知先へ飛ぶ、使われていない保管先へ蓄積される、削除済みの API へ送信されてエラーになる、といった問題が起きます。見た目は古い LP でも、裏側ではまだ業務処理の入口として動いていることがあるためです。
さらに OWASP の Third Party JavaScript Management Cheat Sheet が示すように、第三者スクリプトはページ上で高い権限を持ち、読み込んだデータや依存先へ影響を与えます。計測タグや外部フォーム部品を『表示のためだけのコード』として軽く見ると危険です。停止したつもりの LP が第三者スクリプトの実行面として残るだけでも、不要なデータ送信や依存関係の温存につながります。
キャンペーン終了後に見るべき対象は、ページの見た目、フォーム送信先、通知メール、第三者タグ、配布ホスト、サブドメイン、公開ファイル群です。OWASP WSTG が old backup and unreferenced files を独立項目で扱うのも、業務側で『使っていない』と思っているファイルや導線が、外部からはまだ到達できる情報源になりやすいからです。
どんな残置が起きやすいのか
| 残りやすいもの | なぜ残るのか | 実務上のリスク |
|---|---|---|
| LP 本体と配布 URL | CMS 側では非表示にしても、静的配布先や CDN の成果物が残るため | 検索流入や直リンクから旧情報へ到達し、誤案内や古い資料配布が続く |
| 旧フォームと送信 API | 画面を閉じても action 先や Webhook、通知メール設定が残るため | 個人情報の誤送信、古い担当者への通知、保管先の野良化 |
| 計測タグと第三者スクリプト | タグマネージャーや埋め込み部品が施策単位で管理されるため | 不要なデータ送信、第三者依存の温存、停止漏れの長期化 |
| サブドメイン / CNAME / DNS | 制作会社や配信基盤側で設定し、施策終了後に本体サイトと別運用になるため | 使っていないホストの残存、後続施策との混線、乗っ取りの踏み台化 |
| 配布資料や添付ファイル | PDF、画像、CSV が公開ディレクトリやオブジェクトストレージに残るため | 古い条件の資料配布、公開期限切れ情報の露出、問い合わせ増加 |
制作体制が短期案件だと管理責任者が切れやすくなります
キャンペーンLPは、事業部、制作会社、広告代理店、計測担当、インフラ担当が短期間だけ集まり、終了とともに解散することが多いです。そのため、通常サイトなら残るはずの引き継ぎが薄く、終了後の管理責任者が最後に決まっていないまま公開面だけが残ります。誰が DNS を外すか、誰がフォーム送信先を止めるか、誰が第三者タグを削除するかを事前に決めていないと、どれも「たぶん誰かがやる」扱いになります。
これは単なる連絡不足ではなく、施策設計の問題です。キャンペーン開始時に KPI や媒体計画は詳しく決めるのに、終了時の停止条件と証跡の置き場は決めないまま走るケースが多いからです。終了後の公開面を減らすには、開始時点で終了条件を埋め込んでおく必要があります。
検索結果に載せない設定や非表示化だけでは「外から見えない」状態にはなりません
現場では「検索に出ないようにした」「CMS から導線を外した」「公開フラグを切った」ので終わりと判断しがちですが、これは発見しにくくしただけで、到達不能にしたとは限りません。URL を知っていれば表示できる、配布先ホストがまだ応答する、フォーム送信先が稼働している、静的ファイルが直接取れる、といった残置は珍しくありません。
OWASP WSTG が entry points や admin interface の列挙を重視するのも、リンク構造や検索結果に出ない公開面が別に存在し得るからです。キャンペーンLPの終了確認でも、導線上から消えたことと、外から到達できないことを分けて確認する必要があります。公開停止の判断を CMS 内の状態だけに寄せると、外側確認が抜けます。
終了したキャンペーンページの URL、サブドメイン、配布先 CDN を同じ台帳で確認する
ページ本体だけ閉じても、公開 URL と配布経路が残れば外からは見え続けるためです。
旧フォームの送信先、保存先、通知先メールを棚卸しする
画面だけ停止しても、古いフォーム送信先や通知先が残ると、誤送信や情報蓄積が続くためです。
計測タグや外部スクリプトの読み込みを停止し、委託先と停止完了を突き合わせる
第三者スクリプトは公開停止後も読込設定が残ると、不要なデータ送信や依存関係の温存につながるためです。
公開を続ける例外ページは管理責任者、期限、終了条件を明記する
例外の理由と見直し日がないまま延命すると、次回の終了タイミングでも同じ残置が起きやすいためです。
停止後に外から再確認し、検索結果や配布 URL から実際に消えているかを見る
検索結果に載せない設定(noindex)や CMS 側の公開停止だけでは、配布 URL や古いホストが残るケースを拾い切れないためです。
どう確認し、どの順で止めるべきか
まず「公開面の棚卸し」と「例外の切り分け」を同時に行います
キャンペーン終了時の確認は、ページを止める作業だけ先に進めると漏れやすくなります。最初にやるべきは、公開面の棚卸しと残す例外の切り分けを同時に行うことです。停止前に URL、サブドメイン、フォーム、タグ、配布ファイル、第三者サービス連携を一覧にし、そのうえで「完全停止」「期限付き公開」「別導線へ移設」のどれかに分けます。
ここで例外を曖昧にすると、停止漏れが必ず起きます。たとえば広報用に残すページ、法務都合で残す応募要項、資料アーカイブとして残す PDF があるなら、残す理由と停止期限を先に書く必要があります。残す理由が言えないものは、原則停止側へ倒した方が安全です。
終了対象をページ単位ではなく公開面単位で洗い出す
LP 本体、サブドメイン、フォーム送信先、配布 URL、計測タグ、委託先アカウントまで含めて、終了対象を一つの一覧にまとめます。URL 単位だけで閉じると、外から見える導線が抜けやすくなります。
終了対象一覧停止対象と例外対象を分け、残す理由を明文化する
完全停止するページと、法務・広報・参照用に残すページを分け、残すなら管理責任者、公開期限、代替導線、停止条件を明文化します。例外を曖昧にすると、次回も同じ残置が起きます。
停止 / 例外判定表フォーム、タグ、サブドメインの三系統で停止確認する
CMS 側の公開停止だけで終えず、送信先 API、通知先メール、第三者スクリプト、DNS / CDN の各レイヤーで停止を確認します。公開面は複数レイヤーにまたがるためです。
停止確認記録停止後の外側確認と見直し日を運用へ組み込む
停止直後の確認、数日後の再確認、次回キャンペーン前の見直しをセットにし、終了対応を一回限りの作業ではなく運用サイクルへ戻します。
再確認カレンダーフォーム、タグ、DNS の三系統で止めると判断ミスを減らせます
実務では、変更直後にページ本体を止め、その日のうちにフォーム送信先とタグ設定を確認し、翌日以降に DNS / CDN / 直リンク到達性を外から再確認する三段階に分けると、終了したつもりの導線をかなり減らせます。画面の公開停止、業務処理の停止、外部到達性の停止は別のレイヤーだからです。
具体的には、フォーム送信先 API の応答、通知先メールの生存、タグマネージャーでの公開設定、サブドメインの DNS 応答、CDN キャッシュの配信状況をそれぞれ見ます。`/article/external-asset-register-template` で扱っているような台帳を使って、停止結果を URL 単位だけでなく導線単位で残すと、次回施策でも再利用しやすくなります。
さらに、停止直後の確認だけで終わらせず、数日後の検索結果、広告配信先、メールの自動返信、資料ダウンロード URL も抜き取り確認してください。キャンペーンLPの残置は「停止時にミスした」だけでなく、関連システムの反映遅延や委託先の作業漏れでも起きます。一回で完了と見なさない運用の方が現実的です。
再発防止の運用をどう設計するか
開始時点で「終了条件」と「停止証跡」を持たせます
再発防止で最も効くのは、終了後の片付けを頑張ることより、開始時点で終了条件を埋め込むことです。キャンペーン起案のテンプレートに「使用するドメイン / サブドメイン」「委託先管理項目」「停止日」「停止確認者」「残置を許す例外条件」を入れておくと、終了時に必要な確認項目が自然に残るようになります。
逆に、終了時にゼロから棚卸しを始める運用だと、担当者が変わるたびに視点がぶれます。特設サイトや LP は例外案件として扱われやすいため、通常のサイト管理よりも軽いが必須の終了チェックを標準化しておく方が現実的です。長い審査フローより、最小限の停止証跡を漏らさない仕組みが重要です。
委託先と事業部の引き継ぎを曖昧にしないことが重要です
制作会社や広告代理店が構築した LP では、終了時に「公開停止は委託先が行う」「DNS は情シスが外す」「タグはマーケ担当が止める」と責任が分かれます。ここを口頭のまま終えると、誰か一人の未実施で外部公開面が残る状態になります。終了チェックは、作業分担表ではなく、完了証跡を一枚で見られる表にしておくべきです。
既存の外部接続点と攻撃面管理の全体像でも書いているように、外から見える面は部署横断です。事業部はコンテンツ、情シスはインフラ、ベンダーは制作物、と分けて考えると見落としが出ます。キャンペーン終了時だけは、公開面に見える単位で責任を束ねる方が事故を減らせます。
また、終了後に残す例外ページは、見直し日をカレンダーに登録して終わりでは足りません。更新担当、停止条件、再承認条件まで決めておくと、半年後に「なぜ残っているのか」が説明できます。例外管理が説明できないページは、次回のキャンペーン終了でも同じように残ります。
例外ページを残すときの判断基準
参照用として残すなら、終了後の役割を言い換えて管理します
実務では、すべてのキャンペーンLPを即時削除できるとは限りません。法務確認のために当時の表示内容を残したい、既存顧客向けに旧キャンペーンの適用条件を参照させたい、投資家向け広報(IR)や広報の履歴として一定期間置いておきたい、といった事情はあります。ただし、その場合でも「終了した施策の名残」として残すのではなく、「参照用ページ」として再定義する必要があります。目的が変わるなら、更新担当、表示期間、問い合わせ導線、リンク元、削除条件も作り直さなければなりません。
参照用ページへ切り替えるなら、旧フォーム、応募導線、資料請求、計測タグ、配布ファイルのうち不要なものは先に外します。残すのは本文だけでよいのか、画像や PDF は必要か、外部 JavaScript は不要かを切り分けると、残すページの役割と残してはいけない導線がはっきりします。ここを曖昧にすると、参照用のつもりで残したページが、実際にはまだ個人情報の入口や第三者スクリプトの実行面として動き続けます。
リダイレクトだけで終わらせず、旧資産の停止証跡も残します
終了LPでは「トップページへ 301 を返したので片付いた」と判断されがちですが、現場ではそれだけで十分とは言えません。旧ホストや旧 URL をリダイレクトしていても、画像、PDF、フォーム送信先、計測タグ、古いサブドメインの DNS 応答が残っていれば、公開面の残置は続きます。遷移先を決めることと、旧資産を止めることは別の作業です。特に CDN やオブジェクトストレージへ静的成果物を置いている場合は、HTML 以外の配布物まで確認しないと終了判定を誤ります。
そのため、例外ページを残すときでも、最低限「どの URL を残すか」「どの URL は停止したか」「旧ファイル群は削除済みか」「旧送信先は閉鎖したか」を一枚の記録へまとめてください。終了対応はページの見た目より裏側の導線が止まった証跡を残せるかで品質差が出ます。停止証跡があれば、半年後に別担当者が見ても『なぜこのページだけ残っているのか』『何が止まっているのか』を説明しやすくなります。
終了判定のテンプレートを持つと、次回施策でも同じ迷いが減ります
実務で効くのは、終了時に都度判断することではなく、開始時点から終了判定テンプレートを持っておくことです。たとえば「完全停止」「参照用に残す」「別 URL へ統合する」の 3 択を先に決め、その判定ごとに必要な停止項目を用意しておくと、担当者ごとのばらつきが減ります。テンプレートには URL、ホスト、フォーム、資料配布、外部タグ、管理責任者、再確認日、例外理由を含めておくと、終了時に抜けやすい論点を先回りして残せます。
キャンペーンLPは開始時の勢いで走りやすい反面、終了時の判断は毎回似た論点に戻ります。残すなら何を止めるか、残す理由は何か、いつまで残すか、誰が次に見直すかをテンプレート化しておくと、終了対応が「その場の片付け」ではなく、再現できる運用へ変わります。結果として、次回キャンペーンでも同じ残置を繰り返しにくくなるのが大きな利点です。
終了したキャンペーンLPの棚卸しにASM診断 PROを活かすなら
停止したつもりの LP でも、外から見える URL やホストが残っていれば、外部到達確認では公開面として見え続けます。
終了したキャンペーンLPの運用で難しいのは、社内の台帳上では施策が終わっているのに、外から見るとまだ URL やホストが生きていることです。CMS で非表示にした、制作会社へ停止依頼を出した、タグマネージャーで配信を止めた、という作業記録が残っていても、それだけでは外から見た公開面が本当に消えたかは分かりません。公開 URL、古いサブドメイン、資料配布ホスト、旧 LP の到達性は、最終的には外から見直す必要があります。
ASM診断 PRO は、キャンペーンLPの管理台帳そのものを置き換える製品ではありません。一方で、停止後にまだ外から見えている面がないかを洗い出す役割とは相性があります。特設サブドメインや終了済み施策の配布 URL が残っていないか、公開停止後に外部公開資産の見え方が変わったかを確認することで、社内の『停止したつもり』と外部の実態を突き合わせやすくなります。
特に、事業部、制作会社、広告代理店、情シスで分業している環境では、停止確認の責任が分散しやすいです。その状態で LP 終了対応を回すなら、内部のチェックシートだけで閉じず、外から見える URL とホストを最後に一本化して確認する方が再発防止に効きます。停止証跡と外部到達確認の結果がそろうと、次回キャンペーン時にも『どこまで片付ければ終わりか』を説明しやすくなります。
もし今、終了したキャンペーンLPや旧フォームの残置が不安なら、公開停止の完了条件に「台帳更新」と「外部到達確認」を両方入れてください。ASM診断 PRO で外部公開資産を洗い出しておくと、終了後の抜き取り確認を個人依存にせず、次の施策へ持ち越す公開面も見つけやすくなります。キャンペーン運用の最後を「公開停止作業」ではなく、公開面の終息確認として閉じられるようになります。
次のアクション
終了した施策の公開面を外から見直す
停止したつもりの LP、旧フォーム、特設サブドメインが残っていないかを外から確認してください。ASM診断 PRO なら、外部公開資産を無料で洗い出し、終了したキャンペーンの残置確認を公開面ベースで進められます。
よくある質問(FAQ)
終了したキャンペーンLPは検索結果に載せない設定だけで十分ですか?
十分ではありません。検索結果に載せない設定(noindex)は検索結果への出方を抑えるための設定であり、URL 自体の到達性やフォーム送信先、配布ホストの公開を止めるものではありません。終了確認では、検索非表示と公開停止を分けて確認する必要があります。
旧フォームが残ると何が一番危険ですか?
個人情報や問い合わせ内容が古い通知先や想定外の保存先へ流れ続けることです。見た目のページが古いだけなら案内ミスで済むこともありますが、フォームは業務処理の入口になり得るため、停止漏れの影響が大きくなります。
計測タグはデータ取得だけなので、残っていても大きな問題ではないですか?
軽く見るべきではありません。第三者 JavaScript はページ上で高い権限を持ち、不要なデータ送信や依存関係の温存を招きます。停止済み施策のページに不要なタグを残すこと自体が、公開面管理の抜けになります。
制作会社や広告代理店が作ったページでも、自社で棚卸しする必要がありますか?
必要です。公開面の責任は最終的に自社へ戻るためです。委託先が停止作業を実施しても、外から見た URL、サブドメイン、フォーム送信先が残っていないかは、自社の管理台帳と照合して確認する方が安全です。
終了LPの確認頻度はどのくらいが現実的ですか?
停止直後、数日後、次回キャンペーン前の三段階が現実的です。終了直後は実装ミスを見つけ、数日後は反映遅延や委託先漏れを拾い、次回施策前は過去の残置を持ち込まないための見直しとして機能します。
まとめ
キャンペーンLPの停止運用は、ページを閉じるだけでなく、終了判定、例外管理、数日後の再確認までを同じ循環に載せると残置を減らしやすくなります。
終了したキャンペーンLPが危ない理由は、古いページが残るからだけではありません。実際に問題になるのは、旧 URL、資料配布ホスト、フォーム送信先、計測タグ、委託先が設定したサブドメインなどが別々に残り、社内では停止済みでも外部到達確認ではまだ到達できる状態が続くことです。キャンペーン施策は短期間で立ち上がるぶん、通常サイトより管理責任者が曖昧になりやすく、終了時の停止証跡も残りにくくなります。
そのため、終了対応は「LP を閉じる」ではなく、「公開面を終息させる」と捉え直す必要があります。ページ本体、フォーム、第三者スクリプト、サブドメイン、配布ファイルの各レイヤーを同時に棚卸しし、完全停止、期限付き例外、別導線への移設に分けて判断する方が現実的です。検索結果に載せない設定(noindex)や CMS 側の非表示はその一部でしかなく、URL の到達性や送信先の生存、配布ホストの公開状態まで見なければ、停止したつもりの公開面が残り続けます。
再発防止の要点は、終了後の片付けを頑張ることだけではありません。キャンペーン開始時点で、使用する URL、サブドメイン、委託先設定、停止日、停止確認者、例外条件をテンプレートに入れ、終了時に必要な確認項目が自然に残るようにしておくことが重要です。終了判定、停止証跡、数日後の再確認までを運用サイクルの一部にすると、次回施策でも同じ残置を繰り返しにくくなります。
そして最後は、社内の台帳更新だけで閉じず、外から見える公開面が本当に消えているかを確認してください。停止記録と外部到達確認の結果がそろって初めて、キャンペーンLPは安全に終了したと言いやすくなります。公開面の管理を URL 単位ではなく運用サイクル単位で持てるようになると、終了施策の残置はかなり減らせます。
次のアクション
読み終えたら、無料でASM診断を開始
外部公開資産の現状を無料で確認し、管理漏れや優先して見るべきリスクを洗い出してください。記事で読んだ内容を、そのまま自社の判断へつなげやすくなります。
参考にした一次ソース
重要論点の根拠として参照した一次ソースだけを掲載しています。
資産、サービス、データをライフサイクル全体で管理し続ける考え方の根拠として参照。
計測タグや外部スクリプトを軽視せず、第三者 JavaScript として管理する観点の根拠。
使われていないつもりのファイルや旧導線が外部から到達できるリスクの根拠として参照。
リンク構造や検索結果に出ない公開導線も列挙対象に含める考え方の根拠として参照。