CT log 監視ツール 5 選比較|不正証明書を防ぐ
目次
この記事でわかること
- CT log 監視ツールを 5 つ並べて、それぞれの立ち位置がわかる
- 個人 / 中小企業 / 法人で何を選ぶべきかの基準
- 「監視ツール」と「閲覧ツール」と「インフラ提供」の 3 層に分けて考える方法
- 導入の優先順位(最初の 1 本 → 補完ツール → 業務基盤)
CT log 監視ツールの全体像
CT log(Certificate Transparency log)は、世界中の認証局が発行した SSL 証明書を全件記録する公開台帳です。CT log そのものの解説は CT log とは|中小企業向け に譲ります。ここでは、この台帳を「自社のために監視・閲覧する」ためのツール 5 種類を整理します。
選定対象は中小企業の Web 担当者がすぐに評価できる、無料 / 試用しやすい / 日本からアクセス可能の 3 条件を満たすものに絞りました。
- certspotter(SSLMate)
- crt.sh(Sectigo)
- Google Argon / 関連 CT log API
- Cloudflare Merkle Town
- Sectigo Subscribe(旧 Sectigo Certificate Manager 周辺)
certspotter と crt.sh の 2 ツールに絞った比較は certspotter vs crt.sh 比較|CT log 監視の選び方 で詳しく扱っています。本記事は「監視ツール選び全体マップ」として、5 種類を 3 つの層に整理して見ていきます。
ツールを 3 層に分けて理解する
5 つを並列に並べると混乱しやすいので、まず役割の層で分けます。
層 1: 個別監視サービス(通知に強い)
certspotter / Sectigo Subscribe がここ。「自社ドメインを登録 → 該当する証明書発行を検知 → 通知」までを 1 サービスで完結します。中小企業が最初に導入するのはこの層から。
層 2: 公開検索インターフェース(調査に強い)
crt.sh がここ。CT log の DB を SQL ライクに検索できる Web UI と API を提供します。通知機能はないが、過去の発行履歴を遡る / 同じ SAN を持つ証明書を横串で見る、といった調査用途で力を発揮します。
層 3: CT log そのものの提供と可視化(基盤レイヤー)
Google Argon と Cloudflare Merkle Town がここ。Google / Cloudflare は CT log の運営側として、ログそのものと可視化ダッシュボードを公開しています。直接「自社ドメインを監視」する用途には向きませんが、CT log エコシステムを理解するうえで押さえておくと役立ちます。
5 ツールを観点別に比較
監視ツール選びで気にしたい 5 つの観点で並べます。
certspotter
- 立ち位置: 個別監視サービスの代表格
- 通知: メール / Slack / Webhook(Pro)
- 無料枠: Public API で 1 ドメイン
- 強み: セットアップが最も早い、API も使いやすい
- 弱み: 監視ドメイン数を増やすには Pro が必要
詳細は CertSpotter の使い方 を参照。
crt.sh
- 立ち位置: 公開検索インターフェース
- 通知: なし
- 無料枠: 完全無料
- 強み: ワイルドカード検索、過去履歴の遡り、SQL ライクな絞り込み
- 弱み: 自分から見にいかないと気づかない、SLA なし
サブドメイン棚卸しでの使い方は crt.sh でサブドメイン棚卸し に手順をまとめています。
Google Argon(および関連 CT log)
- 立ち位置: CT log そのものの提供者
- 通知: なし(ログ提供のみ)
- 無料枠: ログは公開、API も無料
- 強み: 一次情報源として最も上流、Chrome の信頼性ポリシーに直結
- 弱み: 直接監視に使うには自前ツール構築が必要
Google の CT 関連ドキュメントは公式の Certificate Transparency サイト(certificate.transparency.dev)で公開されています。
Cloudflare Merkle Town
- 立ち位置: CT log の可視化ダッシュボード
- 通知: なし
- 無料枠: 完全無料
- 強み: 認証局別 / 発行数 / Merkle tree 状態などの統計が見やすい
- 弱み: 自社ドメイン単体の監視には不向き、業界全体の把握用
CT エコシステムを俯瞰したいときの参考ツールとして覚えておくと良いです。
Sectigo Subscribe
- 立ち位置: 認証局付随の CT 監視
- 通知: メール中心
- 無料枠: 限定的(プラン依存)
- 強み: 同社認証局を使う企業との親和性
- 弱み: 認証局縛りがある、価格透明度は低め
Sectigo の認証局製品を既に使っている企業なら検討候補ですが、認証局を絞らずに使うなら certspotter の方が汎用的です。
中小企業の導入順序
ツールが多くて迷ったら、次の順番で考えると整理しやすいです。
最初の 1 本: certspotter
1 ドメインだけでもよいので、まず certspotter 無料 Public API でメール通知を受け取れる状態にします。設定は数分で終わります。手順は CertSpotter の使い方 に詳しく書いています。
補完ツール: crt.sh
四半期に 1 回、%.example.co.jp の形でワイルドカード検索し、サブドメインの棚卸しをします。シャドー IT や退職者が発行した証明書の検出に有効です。
全体把握: Merkle Town / Argon
業界の動向(どの認証局のシェアが伸びているか / 発行数の異常がないか)を年に 1〜2 回チェックする程度で十分。
認証局を統一できる場合: Sectigo Subscribe
社内の SSL 証明書を Sectigo 系に統一しているなら、Sectigo Subscribe の検討余地あり。そうでなければ certspotter 一本で問題ありません。
よくある質問
Q1: 自社で発行した証明書も全部通知が来ますか
certspotter の場合、登録ドメインに該当する発行はすべて通知対象。自社発行か攻撃者発行かは通知本文では判別できないので、社内の発行ログと照合します。社内記録があると確認は数分で終わります。
Q2: CT log に載らない証明書はあるのですか
主要なブラウザ(Chrome / Edge / Safari)は CT log 登録のない証明書を信頼しません。実質的にすべての公開向け証明書は CT log に載ります。社内専用 PKI で独自 CA を使う場合は別の話になります。
Q3: SSL Labs の評価と組み合わせて使えますか
CT log 監視は「誰が証明書を発行したか」を見る視点、SSL Labs は「いま運用している証明書 / 設定の質」を見る視点で、補完関係です。SSL Labs A+ の取り方は SSL Labs A+ 取得ガイド を参照してください。
まとめ
- CT log 監視ツールは「個別監視 / 公開検索 / 基盤提供」の 3 層に分けると理解しやすい
- 中小企業の出発点は certspotter 1 本でほぼ十分、crt.sh で四半期棚卸しを補完
- Google Argon / Merkle Town は業界俯瞰用、自社監視の主役にはしない
- Sectigo Subscribe は認証局統一済みの企業向け
- 「最初の 1 本」を選ぶときは設定にかかる時間と通知のしやすさを優先
まずは現状を把握しましょう
自社の SSL 証明書の有効期限と設定状況は、ドメイン番人の SSL 単発チェック で確認できます。メール認証も含めた総合点検は 無料診断 をご利用ください。
関連記事: CertSpotter の使い方 / certspotter vs crt.sh 比較 / CT log とは / SSL Labs A+ 取得