ドメイン番人
CertSpotterCT logSSLWeb 担当者

CertSpotter の使い方|ドメイン監視の始め方

ドメイン番人5 分で読めます
目次

CertSpotter の動作概要

この記事でわかること

  • CertSpotter が「自社ドメイン宛 SSL 証明書の発行を自動監視する」サービスであること
  • 無料版と有料版の境目
  • セットアップの 3 ステップ
  • 通知が来たときに確認すべき 4 項目

CertSpotter とは

CertSpotter は、SSLMate 社(米国)が提供する SSL 証明書発行モニタリングサービスです。CT log(Certificate Transparency log、SSL 証明書の公開台帳)を常時監視し、登録した自社ドメイン宛に新しい証明書が発行されたら通知してくれます。

CT log そのものの概念は CT log とは|中小企業向け で詳しく解説していますが、簡単に言うと「世界中で発行された SSL 証明書が全件記録される公開台帳」です。CertSpotter はこの台帳を 24 時間 365 日監視して、自社のドメイン名がカバーされる証明書が発行された瞬間に通知を飛ばす役割を担います。

なぜ監視するのか

「自社で取った証明書は自分で把握しているから監視は不要では?」と思いがちですが、次の 3 つのシナリオで監視が必須になります。

シナリオ 1: なりすまし証明書の早期発見

攻撃者が自社ドメイン宛にフィッシング用の証明書を取ろうとした場合、CertSpotter から即時通知が届きます。攻撃の準備段階で気づける貴重な情報源です。

シナリオ 2: シャドー IT の発見

社内の別部署が情シスを通さずにサブドメインを立てて証明書を取得しているケース。CertSpotter の通知で「知らないサブドメイン名」が出てきたら、社内棚卸しのきっかけになります。

シナリオ 3: 退職者・元委託先による証明書発行

過去の Web 制作会社や退職した担当者が、認証局のアカウントを使い続けて証明書を発行し続けているケース。これも CertSpotter で検出できます。

無料版と有料版

CertSpotter には無料の Public API と、有料の Pro プランがあります。

CertSpotter 無料 vs 有料

無料 Public API

  • 自社ドメイン 1 件を登録して、メール通知を受け取れる
  • 通知遅延は数時間〜半日程度
  • API レート制限あり(個人利用想定)

Pro プラン

  • 監視ドメイン数の上限拡張
  • 通知遅延が短い(リアルタイム寄り)
  • Slack / Webhook 等のチャネル連携
  • API レート制限の緩和

中小企業の最初の一歩としては無料版で十分です。複数ドメインを運用していて全件監視したい段階で Pro を検討します。複数ドメインの SSL 管理全般は 複数ドメインの SSL を一括管理する運用ガイド を参照。

セットアップの 3 ステップ

ステップ 1: アカウント登録

CertSpotter のサイト(sslmate.com)でアカウントを作成。メールアドレスとパスワードのみで開始できます。

ステップ 2: 監視ドメインを登録

「Add Domain」で監視対象のドメインを入力。example.co.jp を登録すると、www.example.co.jpshop.example.co.jp などのサブドメイン宛証明書もまとめて監視されます(include_subdomains オプション)。

ステップ 3: 通知方法の設定

無料版はメール通知のみ。Pro 版は Slack / Webhook を設定可能です。通知頻度は即時 / 日次サマリから選べます。

通知が来たときに確認する 4 項目

CertSpotter から通知が来たら、慌てずに次の 4 項目を確認します。

項目 1: 発行された認証局

自社が普段使っている認証局(Let's Encrypt / DigiCert / Cybertrust 等)か、見覚えのない認証局か。見覚えのない認証局なら警戒度を上げます。

項目 2: カバーするホスト名

*.example.co.jp のワイルドカードか、shop.example.co.jp のような具体的ホスト名か。心当たりのないサブドメイン名なら社内確認が必要です。

項目 3: 発行日時

通知のタイミングと発行日時が大きくずれていないか。古い証明書が遅れて反映されているだけの場合もあります。

項目 4: 社内の発行記録と照合

社内の SSL 発行ログ / 認証局アカウントの操作履歴と照合し、自社で発行したものか確認します。

不審な発行を確認したら、認証局への失効申請手順を取ります。詳しい対処は CT log とは|中小企業向け の「身に覚えのない証明書を見つけたとき」を参照。

運用ノウハウ

CertSpotter を導入したら、次の運用ルールも合わせて整えます。

  • 通知メールは個人アドレスではなく security-alerts@example.co.jp のようなロール宛に
  • 通知受信者は最低 2 名以上で多重化(退職リスク対策)
  • 月次で「先月の通知件数」「自社発行と一致した件数」「不審なもの」を集計
  • 半年に 1 回、CAA レコード(なりすまし対策の基本)と合わせて見直し

代替・補完サービス

CertSpotter 以外にも CT log 監視サービスはあります。

  • crt.sh(無料): 検索ベース、定期確認は手動
  • Sectigo Certificate Manager: 自社認証局として運用するなら有償 SaaS
  • Google CT API: 自前で監視基盤を組む場合の選択肢

複数併用するより、まず CertSpotter を 1 つ入れて運用を回す方が現実的です。CertSpotter と crt.sh の使い分けは certspotter vs crt.sh 比較|CT log 監視の選び方、5 ツールを並べた全体マップは CT log 監視ツール 5 選比較|不正証明書を防ぐ でそれぞれ詳しく扱っています。

まとめ

  • CertSpotter は CT log を自動監視して自社ドメイン宛の証明書発行を通知するサービス
  • 無料版で 1 ドメインから始められる、複数ドメインなら Pro 検討
  • なりすまし証明書 / シャドー IT / 退職者の発行 を早期発見できる
  • 通知が来たら認証局・ホスト名・発行日時・社内記録 の 4 項目で確認
  • ロール宛通知 + 多重化 + 月次集計の運用で定着させる

まずは現状を把握しましょう

自社の SSL 証明書の有効期限と設定状況は、ドメイン番人のSSL 単発チェックで確認できます。メール認証も含めた総合点検は無料診断をご利用ください。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから