自社のパソコン、スマートフォン、クラウドサービス、メールアカウントは、ある程度把握している会社が多いと思います。
一方で、意外と見落とされやすいのが、インターネット側から見える自社のIT資産です。
たとえば、次のようなものです。
- 会社の公式Webサイト
- 採用サイト、キャンペーンサイト
- 昔作った特設ページ
- 使わなくなったサブドメイン
- VPN装置
- NASやファイル共有機器
- 複合機やネットワーク機器の管理画面
- クラウドサービスの管理画面
- テスト用に作ったWebシステム
- 退職者や前任ベンダーしか知らない外部公開サービス
社内では「もう使っていない」と思っていても、インターネット上ではまだ見える状態になっていることがあります。
こうした外部公開資産は、攻撃者から見れば「入口の候補」になります。
もちろん、インターネットに公開されていること自体が直ちに悪いわけではありません。会社のWebサイトやクラウドサービスは、公開されているからこそ業務に使えます。
問題は、会社が把握していないもの、管理者が不明なもの、更新されていないもの、不要なのに公開されたままのものです。
経済産業省の「ASM導入ガイダンス」では、ASMを、組織の外部、つまりインターネットからアクセス可能なIT資産を発見し、そこに存在する脆弱性などのリスクを継続的に検出・評価するプロセスとして説明しています。
中小企業でも、まずは難しいツールを導入する前に、**「自社が外からどう見えているか」**を棚卸しすることが大切です。
「外から見える資産」とは何か
ここでいう「外から見える資産」とは、インターネット経由でアクセスできる、または存在を確認できる可能性がある自社のIT資産を指します。
代表的なものは、次のとおりです。
1. ドメイン・サブドメイン
会社で利用しているドメインは、Webサイトやメールの基盤です。
たとえば、次のような用途で使われます。
- 公式Webサイト
- メールアドレス
- 採用サイト
- 予約サイト
- ECサイト
- 顧客向けポータル
- テスト環境
- キャンペーンページ
特に注意したいのは、サブドメインです。
たとえば、recruit.example.jp、shop.example.jp、test.example.jpのように、用途ごとにサブドメインを作成している場合があります。
昔のキャンペーン、終了した採用ページ、前任者が作ったテスト環境などが、そのまま残っていることもあります。
ドメインやサブドメインは、Webサイトだけでなく、メール、DNS設定、クラウドサービス連携にも関係します。
誰が管理しているか、更新期限はいつか、どのサービスに向いているかを把握しておきましょう。
2. VPN装置・リモート接続環境
テレワークや外出先からの業務のために、VPNやリモート接続を使っている会社もあります。
VPNは便利な仕組みですが、社外から社内ネットワークへ入るための入口でもあります。
そのため、次のような状態は避ける必要があります。
- 利用者が誰か分からない
- 退職者のVPNアカウントが残っている
- 管理者IDが共有されている
- ファームウェアやソフトウェアの更新状況が分からない
- 保守契約やサポート期限が分からない
- 使っていないVPN装置が接続されたままになっている
IPAの「中小企業の情報セキュリティ対策ガイドライン第4.0版」では、IT資産管理について、社内で利用しているIT機器、ソフトウェア、ライセンス、クラウドサービスなどを正確に把握し、セキュリティ更新やパッチ適用の状況を確認することが含まれると説明されています。
VPNは「導入して終わり」ではありません。
誰が使っているか、どの端末から接続してよいか、退職時にどう無効化するか、緊急時に誰が停止判断をするかまで決めておく必要があります。
3. NAS・ファイル共有機器
NASは、社内のファイル共有に便利な機器です。
しかし設定によっては、社外からアクセスできる機能が有効になっている場合があります。
NASで確認したい項目は、次のとおりです。
- インターネットから直接アクセスできる設定になっていないか
- 外部アクセス機能を本当に使っているか
- 管理者パスワードが初期値や簡単なものになっていないか
- ファームウェア更新が行われているか
- 共有フォルダの権限が適切か
- 退職者や外部協力者のアカウントが残っていないか
- バックアップ先と混同していないか
NASは、顧客情報、見積書、契約書、図面、写真、会計資料など、重要なデータの保管場所になっていることがあります。
そのため、単なる「便利な共有フォルダ」ではなく、重要な情報資産として管理する必要があります。
特に中小企業では、NASの導入や設定を外部ベンダーに任せたまま、現在の設定内容を社内で把握していないことがあります。
外部アクセス機能を使っている場合は、利用者、目的、認証方法、停止手順を確認しましょう。
4. Web管理画面・管理者ページ
Webサイト、ルーター、クラウドサービス、予約システム、ECサイト、CMSなどには、管理者用の画面があります。
管理画面は、業務上必要なものです。
しかし、誰でもアクセスできる場所に管理画面があり、認証が弱く、更新もされていない場合、不正アクセスのリスクが高まります。
確認したい項目は、次のとおりです。
- 管理画面のURLを把握しているか
- 管理者IDが誰に付与されているか
- 退職者や前任ベンダーのIDが残っていないか
- 多要素認証を使える場合に有効化しているか
- 管理画面へのアクセス元制限が可能か
- CMSやプラグインを更新しているか
- 保守会社との役割分担が明確か
ここで重要なのは、管理画面を「隠しているから大丈夫」と考えないことです。
URLが分かりにくい場所にあることは、一定の補助にはなります。
しかし、セキュリティ対策の中心は、認証、権限管理、更新、ログ確認、不要アカウントの削除です。
5. 昔作ったWebサイト・テスト環境
見落とされやすいのが、昔作ったWebサイトやテスト環境です。
たとえば、次のようなものです。
- 期間限定キャンペーンサイト
- 採用イベント用サイト
- 旧会社名のWebサイト
- 旧サービスの紹介ページ
- 開発会社が作ったテスト環境
- リニューアル前の旧CMS
- 使わなくなった問い合わせフォーム
これらは、現在の担当者が存在を知らないことがあります。
しかし、インターネット上に残っていれば、古いCMS、古いプラグイン、古い問い合わせフォームなどが攻撃対象になる可能性があります。
経済産業省のASM導入ガイダンスでも、ASMの活用場面として、情報システム部門以外が構築・運用しているWebサイトや、設定ミスにより外部からアクセス可能になっている社内システムの発見が挙げられています。
中小企業でも、広報、営業、採用、店舗、外部制作会社が個別に作ったサイトがないかを確認しておくことが重要です。
棚卸しで作りたい「外部公開資産台帳」
外から見えるIT資産を管理するには、まず簡単な台帳を作るところから始めます。
最初から高度なツールを使う必要はありません。
表計算ソフトでも構いません。
台帳には、最低限、次の項目を入れるとよいでしょう。
| 項目 | 記入例 |
|---|---|
| 資産名 | 公式Webサイト、採用サイト、VPN装置、NASなど |
| URL・ドメイン | example.jp、recruit.example.jpなど |
| 用途 | 会社案内、採用、リモート接続、ファイル共有など |
| 管理者 | 社内担当者、部署、外部ベンダー |
| 保守会社 | 制作会社、ITベンダー、クラウド事業者など |
| 公開の必要性 | 必要、不要、確認中 |
| 認証の有無 | あり、なし、多要素認証あり |
| 更新状況 | 更新済み、未確認、サポート終了の可能性あり |
| 契約・更新期限 | ドメイン期限、保守契約期限、証明書期限など |
| 対応方針 | 継続、停止、設定変更、詳細確認 |
ポイントは、技術的な情報だけでなく、**「誰が管理しているか」と「今も必要か」**を入れることです。
管理者が不明な資産は、トラブル時に対応が遅れます。
不要な資産は、止める、閉じる、削除する、契約を整理するなどの判断が必要です。
棚卸しの進め方
外部公開資産の棚卸しは、次の順番で進めると現実的です。
1. 会社で使っているドメインを一覧化する
まず、会社で使っているドメインを洗い出します。
公式Webサイトのドメインだけでなく、メール、採用、EC、予約、旧サービス、キャンペーンなども対象です。
ドメインの管理会社、更新期限、支払方法、管理IDを確認します。
ドメインの更新漏れは、Webサイトやメールの停止につながります。
また、管理IDが前任者や外部業者だけに依存している場合も注意が必要です。
2. Webサイトとサブドメインを確認する
次に、現在公開されているWebサイトやサブドメインを確認します。
このとき、公開ページだけでなく、管理画面、問い合わせフォーム、古いページ、テストページも対象にします。
確認する観点は、次のとおりです。
- 今も使っているか
- 誰が更新しているか
- CMSやプラグインは更新されているか
- 問い合わせフォームが動いているか
- 個人情報を受け取るページがあるか
- SSL証明書の期限は問題ないか
- 不要なページが残っていないか
問い合わせフォームがある場合は、個人情報を受け取っている可能性があります。
フォームの送信先、保存先、通知先、保管期間も確認しましょう。
3. VPN・リモート接続を確認する
VPNやリモート接続は、外部から社内へ入る仕組みです。
そのため、単に「使えるか」ではなく、次の点を確認します。
- 利用者は誰か
- 管理者は誰か
- 退職者のアカウントは残っていないか
- 多要素認証を使えるか
- 接続元や端末の制限があるか
- 装置やソフトウェアの更新状況はどうか
- 障害時や不正アクセス疑い時に誰が停止できるか
特に、外部ベンダーの保守用アカウントがある場合は、利用目的、利用時間、連絡先、停止方法を確認しておきましょう。
4. NAS・複合機・ネットワーク機器を確認する
NAS、複合機、ルーター、Wi-Fi機器などは、管理画面を持っていることがあります。
確認したいのは、次の点です。
- 管理画面に誰がログインできるか
- 管理者パスワードは初期値から変更されているか
- 外部から管理画面にアクセスできないか
- ファームウェア更新が行われているか
- 廃棄・入替予定の機器が放置されていないか
- 保守会社の連絡先が分かるか
特に複合機やNASは、スキャンデータ、アドレス帳、共有フォルダ、過去の保存データなど、業務情報を扱うことがあります。
機器としては小さく見えても、情報資産としては重要です。
5. 担当者不明・用途不明のものを放置しない
棚卸しをすると、次のようなものが見つかることがあります。
- 誰が作ったか分からないサブドメイン
- 何のためにあるか分からないWebページ
- 管理者IDが分からないクラウドサービス
- 契約先が分からないドメイン
- 前任ベンダーしか詳細を知らないサーバ
- 使っていないはずなのに公開されている画面
このような資産は、すぐに削除するのではなく、まず業務影響を確認します。
現在使っていないように見えても、取引先、外部システム、広告、メール、予約システムなどと連携している場合があります。
停止や削除の前に、関係部署と保守会社へ確認しましょう。
ただし、担当者不明のまま放置するのは避けるべきです。
「確認中」として台帳に残し、期限を決めて、継続・停止・移管の判断を行います。
注意点:自社の範囲を超えた調査はしない
外部公開資産の棚卸しでは、調査範囲を明確にすることが重要です。
確認してよいのは、自社が管理しているドメイン、サーバ、クラウド、ネットワーク機器など、自社または契約上権限のある範囲です。
取引先、顧客、外部サービス、第三者のシステムに対して、許可なく詳細な確認や負荷のかかる調査を行うべきではありません。
経済産業省のASM導入ガイダンスでは、ASMのプロセスとして、攻撃面の発見、情報収集、リスク評価が示されていますが、情報収集は一般的に、調査対象に影響を及ぼさないよう、Webページの表示など通常のアクセスの範囲で行われると説明されています。
中小企業で最初に取り組む場合は、無理に専門的な調査を行うより、まずは次の3つから始めるのが安全です。
- 自社が使っているドメインを一覧化する
- 公開しているWebサイトと管理者を確認する
- VPN、NAS、管理画面の管理者と更新状況を確認する
必要に応じて、ITベンダーや情報処理安全確保支援士など、専門家に相談しましょう。
月1回の確認でよいので、継続する
外部公開資産の棚卸しは、一度実施して終わりではありません。
新しいクラウドサービスを契約する。
採用サイトを作る。
キャンペーンページを公開する。
テレワーク用にVPNを追加する。
NASや複合機を入れ替える。
このように、外から見える資産は日々変化します。
最初から完璧な管理を目指す必要はありません。
まずは、月1回、次の項目だけでも確認してみてください。
- 新しく公開したWebページはないか
- 終了したキャンペーンサイトはないか
- 使っていないサブドメインはないか
- 退職者の管理者IDは残っていないか
- VPN利用者に変更はないか
- ドメインやSSL証明書の期限は近づいていないか
- NASやネットワーク機器の更新状況は確認したか
- 管理者不明の資産は残っていないか
IPAのガイドラインでも、IT資産管理は単なるリスト作りや棚卸しではなく、事業を守るリスク管理であり、一覧表や管理台帳の作成から始め、定期的な見直しを習慣化することが示されています。
外部公開資産チェックリスト
最後に、中小企業向けのチェックリストをまとめます。
- 会社で使っているドメインを一覧化している
- ドメインの管理会社、更新期限、支払方法を把握している
- 公式サイト以外のサブドメインを確認している
- 採用サイト、キャンペーンサイト、旧サイトを把握している
- Webサイトの管理者と保守会社を確認している
- CMSやプラグインの更新状況を確認している
- 問い合わせフォームの送信先と保存先を確認している
- VPN利用者と管理者を一覧化している
- 退職者や外部協力者のVPNアカウントを確認している
- NASの外部アクセス設定を確認している
- ルーター、複合機、NASの管理者パスワードを確認している
- 管理画面に多要素認証やアクセス制限を設定できるか確認している
- 用途不明、担当者不明の資産を「確認中」として放置していない
- 停止・削除・契約終了の判断手順を決めている
- 月1回または四半期に1回、台帳を見直している
すべてを一度に行う必要はありません。
まずは、ドメイン、Webサイト、VPN、NAS、管理画面の5つに絞って確認するだけでも、自社のリスクを見える化しやすくなります。
まとめ
中小企業の情報セキュリティ対策では、社内のパソコンやアカウント管理だけでなく、外から見えるIT資産の把握も重要です。
特に、ドメイン、サブドメイン、Webサイト、VPN、NAS、複合機、ネットワーク機器、クラウド管理画面は、管理者や更新状況が分からないまま放置されやすい資産です。
大切なのは、いきなり高度なツールを導入することではありません。
まずは、
何が公開されているか。
誰が管理しているか。
今も必要か。
更新されているか。
不要ならいつ止めるか。
この5点を台帳に整理することから始めましょう。
ライトハウスコンサルタントでは、福岡・九州の中小企業、個人事業主、小規模事業者向けに、中小企業セキュリティ現状診断を行っています。同診断では、パソコン、スマートフォン、クラウドサービス、メール、ファイル共有、バックアップ、アカウント管理、情報資産、インシデント対応体制などを確認し、今すぐ対応すべきこと、後回しでよいこと、ITベンダーに確認すべきことを整理しています。
自社の外部公開資産や管理画面の状態に不安がある場合は、まずは現状を見える化するところから始めてみてください。
