この記事のポイント
- 子会社ドメイン管理は『会社一覧』ではなく『外から見える公開面一覧』で回した方が、責任者不明を減らしやすくなります。
- M&A 後のドメイン引き継ぎでは、DNS 権限、証明書、委託先導線、古いログイン画面の継続理由を期限付きで確認する必要があります。
- グループ会社の統制は発見だけで終わらず、管理責任者・承認者・点検担当を公開面単位で戻し、月次で空欄と不要資産を潰す運用が重要です。
まず無料で確認する
無料でASM診断を開始
子会社 ドメイン 管理で触れている論点は、自社ドメインを実際に診断すると優先順位が掴みやすくなります。まずは外部公開資産を無料で可視化してください。
子会社ドメイン管理とは何を管理する話なのか
子会社ドメイン管理で見るべき対象は、会社名の一覧ではなく、外から見えるドメイン、ログイン画面、API、検証環境、委託先導線の束です。
管理対象は『法人』ではなく『公開面』でそろえる方が実務に効きます
子会社ドメイン管理という言葉から、グループ会社の法人一覧や whois 情報の管理を想像する人は少なくありません。しかし実際に事故の起点になるのは、法人名そのものではなく、外から見えるドメイン、ログイン画面、サポート窓口画面、公開 API、古い検証環境、ブランド用サブドメインのような公開面です。つまり子会社ドメイン管理の本質は、会社を並べることではなく、公開面を責任付きで並べ直すことにあります。
たとえば親会社の情報システム部が「子会社 A は把握している」と言っていても、その子会社名義の採用サイト、古い VPN ログイン画面、M&A 前から残っているブランドドメイン、委託先が運営しているキャンペーン向けページが一覧から漏れていれば、統制は成立していません。既存のサブドメイン棚卸しのやり方が発見の型を扱うのに対し、本記事で扱うのは発見後の統制です。見つけた公開面を誰が引き取るのか、どこまで残すのか、廃止を誰が承認するのかを決めるところまで含めて、子会社ドメイン管理と考える必要があります。
CISA の資産管理ベストプラクティスでも、資産管理は一覧の保有だけでなく、責任と更新が結び付いていることが重視されています。グループ会社の公開資産でも同じで、ドメインの存在を知っているだけでは不十分です。何のために残っているのか、誰が説明できるのか、いつ見直すのかが曖昧なら、事故が起きたときに止める判断が遅れます。
ブランド、委託先、M&A 後の残置資産が一番こぼれやすいです
子会社ドメイン管理が難しい理由は、親会社と子会社の二階層だけで終わらないからです。実務では、ブランドサイト、委託先経由のサポート導線、短期キャンペーン用ドメイン、閉じたはずのブランド用小規模サイト、M&A 前の古いホストが混在します。これらは公式組織図に載りにくく、かつ対外的には今も見え続けるため、統制の穴になりやすいです。
とくに M&A 後は、「とりあえず止めずに残す」という判断が増えます。DNS を止めると業務影響が怖い、証明書更新だけは続けている、委託先が触っているので社内は深く把握していない、といった状態が積み上がると、残置資産は年単位で残ります。だから子会社ドメイン管理では、残す理由を説明できない公開面は、将来の事故候補として扱うくらいの姿勢が必要です。
既存の 外部接続点は見えているか? や 外部公開資産台帳テンプレート と合わせて考えると、見えている接点を列挙するだけでなく、グループ会社をまたいで責任の所在を戻す必要性が分かりやすくなります。子会社ドメイン管理は、ドメイン管理部門だけの仕事ではなく、親会社側の統制設計そのものです。
なぜグループ会社の外部公開資産は統制が崩れやすいのか
統制が崩れる一番の理由は、公開面の責任ルートと法人の責任ルートが一致しないことです。親会社が予算を持ち、子会社が運用し、委託先が制作し、さらにブランド担当が継続判断を持つ、といった多層構造では、ドメイン一つに複数の当事者が関わります。この状態で「子会社 A のドメインは誰が見るのか」とだけ聞いても、実際の公開面単位では管理責任者が戻りません。
ここで重要なのは、公開面の管理責任者を「詳しい人」ではなく最初に説明責任を持てる人で決めることです。詳しいベンダー担当者や制作会社だけに依存すると、その人が変わった瞬間に責任の所在は空洞化します。社内の管理責任者、承認者、点検担当、外部窓口を同じ型で管理すると、法人をまたいでも責任の流れが切れにくくなります。
さらに、グループ会社の統制では「残す前提」の資産が多いことも難しさです。ERP 連携、ブランド移行中の公開ページ、取引先向けポータルなど、止めたいがすぐ止められない公開面が必ず存在します。だからこそ、単なる台帳ではなく、継続理由、停止条件、次回見直し日を一緒に持つ必要があります。ここがないと、子会社ドメイン管理はただの一覧表で終わります。
法人単位ではなく公開面単位で管理責任者を戻す
子会社名だけ管理しても、実際のログイン画面、API、古いサブドメインの責任者不明は解消しません。
M&A 後 90 日以内にドメイン台帳と DNS 権限を棚卸しする
引き継ぎが曖昧なまま放置すると、失効忘れや古い委託先導線が残りやすくなります。
廃止予定資産にも承認者と期限を持たせる
止める前提の資産ほど『あとで整理する』のまま残りやすく、例外承認が常態化しやすいためです。
委託先・ブランド別の管理を同じ台帳へ戻す
別表管理にすると、事案発生時に責任と停止判断の流れが切れやすくなります。
月次レビューで空欄の管理責任者と不要ドメインを潰す
子会社やグループ会社の公開資産は、人の異動と契約変更で急速に古くなるためです。
管理責任者・承認者・点検担当を同じ書式で持つと運用が安定します
管理書式を会社ごとに変えると、比較と引き継ぎが難しくなります。親会社、子会社、買収直後の法人、委託先管理のブランドサイトが、それぞれ別の台帳と粒度で管理されていると、事案のたびにどの表を見ればよいか分からなくなります。したがって、最初から同じ項目でそろえることが重要です。
最低限そろえたいのは、公開面、管理責任者、承認者、点検担当、委託先窓口、継続理由、停止条件、最終確認日です。これを子会社別ではなく公開面別に持つと、「同じ法人内でも公開面ごとに責任の流れが違う」現実を表現できます。子会社ドメイン管理を組織論だけで片付けないためには、公開面単位の責任データを持つ必要があります。
M&A 後に何を引き継ぐべきか
M&A 後のドメイン統合で最も危険なのは、「優先度が高いのは事業統合なので、公開資産は後回しでよい」という空気です。実際には逆で、公開資産は外から触られるため、統合直後からリスクが顕在化します。だから M&A 後 90 日くらいまでの間に、最低限の外部公開資産棚卸しを終える運用が必要です。
具体的に引き継ぐべき対象は、ルートドメインとサブドメインの一覧だけではありません。DNS のレジストラ情報、ゾーン編集権限、証明書、CDN・WAF、ログイン画面、公開 API のホスト、検証環境、採用サイト、旧ブランド向け転送設定、委託先の連絡先まで含めるべきです。どれか一つでも抜けると、「名前だけ引き継いだが運用権限は旧体制に残っている」状態になります。
ICANN の DNS security guidance や NIST CSF 2.0 の資産管理・統制の考え方を踏まえると、M&A 後に重要なのは完全な統合ではなく、誰が今の公開面を説明できるかを早く作ることです。完璧な整理を待ってから統制するのではなく、まず管理責任者と見直し期限を置き、あとから精度を上げる方が、実務では安全に寄せやすくなります。
『止める』『残す』『移す』を分けて判断してください
M&A 後の公開資産は、すべて統合する必要はありません。重要なのは、止める、残す、移す、の三つを明示することです。止める資産は停止計画と影響確認を、残す資産は継続理由と管理責任者を、移す資産は移管期限と移管先を持つ必要があります。この区別が曖昧だと、全部が「とりあえず残す」へ流れてしまいます。
特にブランド移行期は、「今月は残すが来期には畳む」資産が多くなります。そのときに承認者がいないと、例外承認が無期限化します。公開資産の統制で一番避けたいのは、期限のない例外です。子会社ドメイン管理では、期限付きの継続理由を持てない公開面は高リスクと考えてください。
法人一覧ではなく公開面一覧を起点にする
親会社、子会社、ブランド、委託先をまたいで、ドメイン、ログイン画面、API、検証環境、サポート導線を一つの一覧へ戻します。
公開面一覧管理責任者・承認者・点検担当を同じ型で付ける
会社ごとに書式を変えず、公開面単位で管理責任者、承認者、月次レビュー担当、委託先窓口を付けます。
責任ルートM&A 後の引き継ぎ対象を期限付きで整理する
DNS 権限、証明書、委託先、廃止予定のホスト、ブランド用ドメインの継続理由を期限付きで確認します。
引き継ぎ backlog監視・是正・廃止の定例運用へ載せる
棚卸しで終わらせず、月次の差分確認、管理責任者空欄の解消、期限超過資産の停止判断まで回します。
継続運用ルール子会社ドメイン台帳に最低限入れるべき項目
台帳はドメイン名だけでなく、停止判断に必要な情報まで持ちます
子会社ドメイン管理が止まりやすいのは、ドメイン名だけが並び、肝心の判断材料が台帳に入っていないからです。最低限必要なのは、公開面の名称、用途、管理責任者、承認者、停止条件、次回見直し日です。これに加えて DNS の編集権限、証明書の更新主体、委託先窓口、外から見えるログイン画面や API の有無まで入ると、事案時の説明精度が大きく上がります。
台帳はきれいに作ることより、止める判断に必要な情報が一行で分かることを優先した方が実務向きです。子会社別、ブランド別、委託先別に資料が分かれていても、最終的には公開面単位へ戻して見られる形にそろえる必要があります。
DNS 権限・証明書・委託先窓口は同じ行で持つ方が実務で迷いません
どれか一つだけ別表に逃がすと、M&A 後や担当交代のたびに照合が止まります。DNS 権限は親会社、証明書は委託先、公開画面は子会社運用、という分かれ方はよくありますが、公開面単位で見れば同じ資産の話です。だから台帳でも同じ行で持つ方が、異常時に話を戻しやすくなります。
とくに証明書だけ更新され続けている古いホストや、DNS は残っているが委託先契約は終わっている資産は、複数表管理だと見逃しやすいです。子会社ドメイン管理では、権限と公開面を分離したまま放置しないことが重要です。
例外資産には見直し期限と終了条件を必ず付けます
「まだ止められない」「移行中なので一時的に残す」という例外は必ず発生します。ただし、期限のない例外はそのまま恒久運用になりやすく、最も危険な残置資産になります。だから例外資産には、継続理由だけでなく、次回見直し日、終了条件、承認者を必ず付けるべきです。
月次レビューでこの例外一覧を確認し、条件が失効していないか、まだ外から見えている理由が妥当かを点検すると、子会社やブランド再編のたびに積み上がる残骸を減らしやすくなります。例外管理を「いったん残す」の一言で終わらせず、いつ終わらせるかまで書くことで、子会社ドメイン管理は初めて統制として機能します。
複数法人の監視・管理責任者整理・廃止判断をどう回すか
発見、管理責任者整理、是正、廃止を同じ会議で混ぜない方が回ります
複数法人をまたぐ管理では、発見、管理責任者付与、是正、廃止、月次レビューの 5 つを分けて設計した方が運用しやすくなります。発見は外から見える接点を洗い出す工程、管理責任者付与は責任ルートを戻す工程、是正は直す工程、廃止は止める工程、月次レビューは空欄や期限超過を潰す工程です。これらを全部「ドメイン管理チームが見る」に寄せるとすぐ詰まります。
たとえば親会社のセキュリティ部門は発見と優先度付け、各事業会社は管理責任者、IT 統括は承認、委託先管理部門は外部窓口、というように役割を工程ごとに分けると流れが安定します。公開面が残る限り、その面に管理責任者と承認者が必要であり、会議体も「見つける場」と「止める場」と「期限を更新する場」を分けた方が判断が速くなります。
空欄の管理責任者を月次で残さない仕組みが必要です
子会社ドメイン管理の成熟度は、一覧の件数ではなく、空欄項目を翌月へ持ち越さない力で測るべきです。新しい子会社の採用サイト、買収したブランドの問い合わせフォーム、委託先が追加したサポート用公開ホストなど、差分は毎月必ず出ます。そのたびに管理責任者不明のまま積むと、一覧だけが育って統制は弱くなります。
そのため、月次会議では件数の報告より先に、空欄の管理責任者、期限超過の例外、停止判断待ちの公開面を確認する方が実務的です。ここで決まらない公開面は翌月に再び問題化するため、会議で決める対象を最初から絞る必要があります。既存の 外部公開資産のオーナー管理 や 公開資産の是正 SLA とつなげると、誰が持つかと、いつまでに直すかを同時に設計しやすくなります。
ブランド再編や組織再編のたびに公開面を見直すべきです
グループ会社では、組織再編やブランド統合が頻繁に起きます。法人名が変わらなくても、問い合わせ窓口、採用サイト、販売導線、サポートページの構成は変わります。このときに外部公開面の見直しが遅れると、旧ブランド用ホストや古いログイン画面が長期間残ります。
したがって、M&A 直後だけでなく、ブランド再編や委託先切り替えのタイミングでも再棚卸しを入れる方が安全です。子会社ドメイン管理は、一度整えたら終わる仕事ではなく、組織変更のたびに外部公開面を再評価する運用として考える必要があります。発見した差分をそのまま翌月へ送らず、再編のたびに「残す理由」「止める条件」「今の説明責任者」を更新していくことが、最終的に残置資産の削減につながります。
子会社ドメイン管理を月次運用へ定着させる指標
最初に見るべき数字は件数より空欄の管理責任者です
グループ会社の公開資産台帳を回し始めると、最初は件数の増減に目が向きます。しかし実務で本当に効くのは、総件数ではなく、管理責任者が空欄の公開面が何件残っているかです。空欄が減らないまま件数だけ追っても、統制の質は上がりません。
そのため月次レビューでは、新規公開面の件数より先に、管理責任者未設定、承認待ち、停止判断待ちの三つを先頭に置く方が現実的です。数字の見方を変えるだけで、会議が「一覧の報告」から「未解決項目を潰す場」へ変わります。
例外資産と停止待ち公開面を同じ表で追います
子会社ドメイン管理で長く残るのは、すぐ止められない例外資産と、止める方針は決まったが実行待ちの公開面です。この二つを別表にすると、どちらも「後で見る」扱いになりやすく、残置資産が恒久化する温床になります。
例外資産、停止待ち、委託先確認中の公開面を同じ表で追うと、どの項目が長期化しているかが見えやすくなります。子会社ドメイン管理では、停止候補が増えること自体より、停止候補が説明責任のないまま残り続けることの方が危険です。
組織変更イベントを監視の起点にしておくと取りこぼしが減ります
毎月同じ点検を続けるだけでは、M&A、ブランド統合、委託先切り替えのような大きな変更を拾い切れません。そこで有効なのが、組織変更イベントが起きたら再棚卸しを必ず走らせるという運用です。月次レビューに加えて、再編イベントを点検トリガーとして明文化しておくと、旧ブランド資産や古い委託先導線の取りこぼしを減らせます。
子会社ドメイン管理を定着させるには、静的な台帳ではなく、組織変更に反応する運用へ変える必要があります。月次点検とイベント起点の再棚卸しを組み合わせると、発見、責任付与、停止判断までを無理なく継続しやすくなります。
子会社やブランドの公開面を見直すなら ASM診断 PRO
ASM診断 PRO はグループ会社やブランドをまたいで外から見えるホスト、管理画面、API、古いサブドメインを棚卸しし、管理責任者を戻す対象をそろえる起点として使いやすい構成です。
ASM診断 PRO は会社組織図や M&A 台帳を直接管理する製品ではありません。しかし、子会社ドメイン管理で最初に詰まるのは「何を管理責任者整理の対象にするのか」が曖昧なことです。親会社、子会社、ブランド、委託先で責任が分かれる環境では、外から見えるホストやログイン画面をそろえないと、責任の所在の議論が抽象論で終わります。
ASM診断 PRO を起点にすると、外から見えるサブドメイン、管理画面、公開 API、証明書、用途不明ホストを一覧できるため、グループ会社をまたいだ公開面の棚卸しを始めやすくなります。これにより、「この資産はどの法人の管理責任者へ戻すか」「委託先窓口は誰か」「廃止予定なのに外から見えていないか」を一つずつ確認できます。つまり子会社ドメイン管理を前へ進めるには、組織論の前に、外から見える公開面を同じ土俵へ戻すことが重要です。
さらに、M&A 後やブランド再編の直後は、意図せず古いホストが残りやすくなります。ASM診断 PRO で差分を見られると、新しい公開面の追加や、閉じたはずのホストの再露出にも気づきやすくなります。既存の サブドメイン棚卸しのやり方 や 外部接続点は見えているか? と合わせると、発見と統制を同じ流れで回しやすくなります。
グループ会社統制で本当に欲しいのは、完璧な一覧表ではなく、責任者不明の公開面を毎月減らせることです。ASM診断 PRO はその最初の土台として、外から見える接点を整理し、管理責任者・承認者・点検担当を戻す起点を作りやすいです。子会社ドメイン管理を棚卸しだけで終わらせず、月次レビューと停止判断へつなげたいなら、まずは公開面の実物をそろえてください。
次のアクション
グループ会社をまたぐ公開面を、まず外から棚卸ししてください
無料で外部公開資産を診断し、子会社、ブランド、委託先導線にまたがるホスト、ログイン画面、API、古いサブドメインを洗い出して、管理責任者と停止判断を戻す対象を明確にできます。
よくある質問(FAQ)
子会社ごとに別台帳で管理してもよいですか
可能ですが、事案発生時に横断比較しづらくなります。最低でも公開面の共通項目は同じ型で持ち、親会社から横断で見られるようにした方が管理しやすくなります。
M&A 直後はどこまで引き継げば十分ですか
ルートドメインと DNS 権限だけでは不十分です。証明書、公開 API、ログイン画面、検証環境、委託先窓口、継続理由、停止条件まで引き継ぐ必要があります。
委託先が運用するブランドサイトも社内の管理責任者が必要ですか
必要です。委託先だけが状況を知っている構成だと、契約変更や事案発生時に責任が切れます。社内の管理責任者と承認者は必ず持ってください。
どの記事と一緒に読むと理解しやすいですか
発見の型は サブドメイン棚卸しのやり方、責任の戻し方は 外部公開資産のオーナー管理、是正期限は 公開資産の是正 SLA がつながります。
子会社ドメイン台帳に最低限入れるべき項目は何ですか
子会社ドメイン管理が止まりやすいのは、ドメイン名だけが並び、肝心の判断材料が台帳に入っていないからです。最低限必要なのは、公開面の名称、用途、管理責任者、承認者、停止条件、次回見直し日です。これに加えて DNS の編集権限、証明書の更新主体、委託先窓口、外から見えるログイン画面や API の有無まで入ると、事案時の説明精度が大きく上がります。
台帳はきれいに作ることより、「止める判断に必要な情報が一行で分かること」を優先した方が実務向きです。子会社別、ブランド別、委託先別に資料が分かれていても、最終的には公開面単位へ戻して見られる形にそろえる必要があります。
DNS権限・証明書・委託先窓口は同じ行で持つべきですか
はい。どれか一つだけ別表に逃がすと、M&A 後や担当交代のたびに照合が止まります。DNS 権限は親会社、証明書は委託先、公開画面は子会社運用、という分かれ方はよくありますが、公開面単位で見れば同じ資産の話です。だから台帳でも同じ行で持つ方が、異常時に話を戻しやすくなります。
とくに証明書だけ更新され続けている古いホストや、DNS は残っているが委託先契約は終わっている資産は、複数表管理だと見逃しやすいです。子会社ドメイン管理では、権限と公開面を分離したまま放置しないことが重要です。
例外資産には見直し期限と終了条件が必要です
「まだ止められない」「移行中なので一時的に残す」という例外は必ず発生します。ただし、期限のない例外はそのまま恒久運用になりやすく、最も危険な残置資産になります。だから例外資産には、継続理由だけでなく、次回見直し日、終了条件、承認者を必ず付けるべきです。
月次レビューでこの例外一覧を確認し、条件が失効していないか、まだ外から見えている理由が妥当かを点検すると、子会社やブランド再編のたびに積み上がる残骸を減らしやすくなります。
まとめ
子会社ドメイン管理は一度きりの発見で終わるものではなく、管理責任者の付与、継続判断、廃止、月次レビューを循環させて維持する必要があります。
子会社ドメイン管理で重要なのは、法人名の一覧を整えることではありません。親会社、子会社、ブランド、委託先をまたいで、外から見える公開面を同じ型へ戻し、誰が説明し、誰が承認し、誰が見直すかを切らさないことが本質です。公開面が見えていても管理責任者が空欄なら直せず、継続理由が曖昧なら停止判断も進みません。だからこそ、グループ統制は発見と統制を一つの流れで回す必要があります。
特に M&A 後やブランド再編の時期は、古いドメイン、旧ログイン画面、委託先管理のサポート用公開ホストが残りやすく、例外承認が増えます。このときに重要なのは、完璧な統合を待たず、まず公開面単位で管理責任者と見直し期限を置くことです。ルートドメイン、証明書、DNS 権限、公開 API、検証環境、委託先窓口まで確認し、止める、残す、移す、を明示すると、無期限の例外を減らせます。
最後に、子会社ドメイン管理は単発の棚卸しで終わる仕事ではありません。月次で差分を確認し、管理責任者の空欄を潰し、期限超過の公開面へ是正か停止かを戻す運用が必要です。公開面を見つけること、責任者を戻すこと、継続理由を残すこと、この三つが回り始めて初めて、グループ会社の外部公開資産統制は実務として機能します。まずは外から見える接点をそろえ、責任者不明の公開面を一つずつ減らすところから始めてください。
次のアクション
読み終えたら、無料でASM診断を開始
外部公開資産の現状を無料で確認し、管理漏れや優先して見るべきリスクを洗い出してください。記事で読んだ内容を、そのまま自社の判断へつなげやすくなります。
参考にした一次ソース
重要論点の根拠として参照した一次ソースだけを掲載しています。
資産管理を一覧の保有だけでなく責任と更新まで含めて考える観点を参照しました。
統制と資産管理の考え方を参照しました。
継続的な資産管理と責任割り当ての観点を参照しました。
DNS 運用とドメイン管理の基礎整理に参照しました。