この記事のポイント
- 未管理資産は 資産台帳の問題であり、脆弱性以前の統治課題です
- 放置サブドメイン、委託先サイト、部門独自SaaSが典型パターンです
- 対策は可視化・台帳・継続監視・廃止フロー整備を同時に回すことです
まず無料で確認する
無料でASM診断を開始
未管理資産 リスクで触れている論点は、自社ドメインを実際に診断すると優先順位が掴みやすくなります。まずは外部公開資産を無料で可視化してください。
未管理資産とは何か
未管理資産は『悪意ある資産』ではなく、『誰の責任か不明な公開面』として増えます。
未管理資産とは、インターネットから見えているのに、責任者・用途・更新ルールが明確でない資産です。CISA の CPGs が known, unknown, and unmanaged assets という表現を使うのは、この問題が脆弱性管理の前提条件だからです。何があるか分からない状態では、監視も優先度付けも始まりません。
ここで重要なのは、未管理資産が違法な資産や勝手に作られた資産に限らないことです。かつては正規だったが引き継がれず、台帳と運用から外れた資産も未管理資産です。つまり問題は存在そのものではなく、統治から外れていること にあります。
放置サブドメインとシャドーITの典型パターン
未管理資産は 1 パターンではなく、廃止漏れ、統制漏れ、委託先依存、検証環境の残置が混ざって増えていきます。まずは下のような典型例で、自社に近い事故パターンを短時間で当ててください。
放置サブドメイン
採用サイトやキャンペーン終了後も DNS や証明書だけ残り、担当と廃止判断が消えている状態です。
委託先 microsite
制作会社や委託先が作った公開ページが契約終了後も残り、管理責任者と更新ルールが曖昧になります。
部門独自 SaaS の公開導線
フォーム、予約、採用、海外拠点向け portal が中央台帳に載らず、公開面だけが増えていくパターンです。
検証・一時公開環境
staging や admin、移行用サブドメインが役目を終えた後も インターネット-facing のまま残ります。
放置サブドメインは「かつて管理されていたが、今は責任線から外れた公開面」であることが多く、CNAME の残骸があると ダングリングDNS に直結します。対してシャドーITの公開面は「業務上は使われているが中央管理に入っていない公開面」で、管理責任者確定と台帳化が先になります。
事故に繋がるメカニズム
未管理資産が危ないのは、修正・監視・廃止のどれも回らないからです。証明書が切れても誰も気づかず、管理画面が露出しても担当が分からず、SaaS の廃止後に CNAME が残っても変更依頼が出ません。つまり、技術的な問題が起きたときに、それを止める責任線が存在しない 状態です。
CISA の Exposure Reduction Guidance が インターネット-facing assets の露出削減を重視するのは、このためです。露出しているだけならまだしも、未管理状態だと露出を減らす判断そのものが遅れます。事故が起きたときに初めて『こんな資産があったのか』と分かるのが最悪のパターンです。
未管理資産を洗う
台帳にない公開面は、攻撃者にとっては普通の入口です
まずは外部観点で現状を見える化し、管理責任者と用途が空欄の資産を洗い出してください。そこから台帳と廃止フローを整えるのが合理的です。
30分でできる未管理資産セルフチェック
最初の 30 分では、公開面の全量把握よりも「管理責任者不明の公開面があるか」を見つけることを優先してください。次の 4 点だけでも、未管理資産対策の必要性はかなり判断できます。
主要ドメインのサブドメイン一覧を出す
いま外から見えている公開面の母集団を先に固めるためです。
台帳にない名前を抽出する
中央管理から外れた候補を最短で見つけられます。
「管理責任者」「用途」「last seen」の空欄を数える
脆弱性の有無より先に、統治の空白を可視化できます。
ログイン面、古い CNAME、終了済み microsite を優先確認する
少ない時間でも事故に近い公開面から見られます。
具体的には、終了済みキャンペーン、委託先が作った microsite、テスト用のサブドメイン、古い証明書に残る名前を見てください。外から見える現実を先に確認したい場合は、サブドメイン棚卸し と 証明書監視 がつながります。
まずやるべき棚卸し
最初の一歩は、ドメイン、サブドメイン、DNS、TLS、HTTP を外部観点で棚卸しすることです。次に、その結果を台帳へ落とし、管理責任者と状態を埋めます。用途不明の資産は「unknown」として扱い、月次レビューで部門へ確認を返す流れを作ると、未管理資産を減らしやすくなります。
重要なのは、発見して終わらせないことです。用途不明資産の削除判断、委託先との連携、部門独自SaaS のルール整備まで含めて、改善サイクルを回さなければ再発します。未管理資産対策は一斉調査ではなく、統治を継続する仕組みづくり です。
放置サブドメインとシャドーIT公開資産の違い
放置サブドメインは「かつて管理されていたが、今は責任線から外れた公開面」であることが多く、シャドーIT公開資産は「正規業務で使われているが中央管理に入っていない公開面」であることが多いです。前者は廃止漏れ、後者は統制漏れが起点になります。
どちらも外部観点では同じ「見える公開面」ですが、直し方は違います。放置サブドメインは削除や統合、シャドーIT公開資産は管理責任者確定と運用ルール整備が先になります。この切り分けができると、レビュー会での議論が速くなります。
よくある質問(FAQ)
未管理資産は脆弱性がなくても危険ですか
危険です。問題は脆弱性の有無より、誰も監視・修正・廃止判断をしない状態にあります。
最初に見るべき資産は何ですか
事業影響が大きい本番ドメイン、その周辺サブドメイン、委託先が関わる公開面、管理画面系から見るのが効率的です。
ASM診断 PRO はどこで役立ちますか
外部観点で現実の公開面を洗い出し、未管理候補を最初に見つける入口として役立ちます。その後の管理責任者確定と台帳化は社内運用で補います。
未管理資産とシャドーITは同じものとして扱ってよいですか
完全には同じではありません。未管理資産は「誰も責任を持っていない公開面」全般を指し、シャドーIT公開資産は「業務上は使われているが中央管理に入っていない公開面」を指すことが多いです。前者は削除や統合、後者は管理責任者確定と運用ルール整備が先になります。
未管理資産対策の初動は棚卸しか削除か、どちらを優先すべきですか
まずは外部観点の棚卸しで母集団を把握し、そのうえで危険な公開面から優先的に止めるのが現実的です。いきなり削除へ進むと、現役資産や委託先資産を巻き込む恐れがあります。「管理責任者/ 用途 /状態」を付けてから止める順番を決める方が事故を防ぎやすくなります。
まとめ
未管理資産のリスクは、公開面の発見から owner 特定、優先順位付け、是正までを同じ流れで扱うと説明しやすくなります。
未管理資産は、脆弱性スキャンを増やせば解決する問題ではありません。まず何が見えているかを知り、台帳と管理責任者を整え、継続監視と廃止フローへ繋げる必要があります。ASM診断 PRO は、この最初の可視化と継続観測を始める入口として使いやすく設計しています。
自社の未管理資産リスクを疑うなら、内部資料より先に外から見える現実を確認してください。そこから サブドメイン棚卸し と 台帳整備 を進めるのが、最も無駄の少ない順序です。
次のアクション
読み終えたら、無料でASM診断を開始
外部公開資産の現状を無料で確認し、管理漏れや優先して見るべきリスクを洗い出してください。記事で読んだ内容を、そのまま自社の判断へつなげやすくなります。
参考にした一次ソース
重要論点の根拠として参照した一次ソースだけを掲載しています。
known / unknown / unmanaged assets の管理が基礎要件であることを参照しました。
インターネット-facing assets の露出削減を運用テーマとして参照しました。