山崎行政書士、サイバーセキュリティの現場へ

下記はフィクションです。

プロローグ

日本のプライム市場（東証プライム）に上場するグローバル医薬品企業「東亜製薬」。新薬の研究開発から国際治験、そして世界各国での販売まで手がけるこの企業では、機密性の高い研究データや個人情報を扱っている。そのため、国際基準に則った厳格な情報セキュリティ対策が経営上の最重要課題となっていた。

この東亜製薬で、情報セキュリティ対策の業務委託として日々奔走する男がいる。山崎隆文（やまざき たかふみ）、48歳。肩書きは行政書士だが、その経歴は一風変わっていた。もともと企業の法務部門でコンプライアンスや契約法務に携わっていた彼は、独学と実務経験を通じてサイバーセキュリティの専門知識も身につけていたのだ。法律と技術、二つの領域に精通した希少な人材として、彼は今この製薬企業の情報セキュリティ顧問を務めている。

山崎の使命は明確だ。医薬品企業として守るべき知的財産（創薬データや製造プロセス）、患者や被験者の個人情報、そしてグローバルな事業継続を支えるITインフラを、あらゆるサイバー脅威から防衛することである。企業法務の知見を活かし、内部統制（J-SOX対応）や個人情報保護法・GDPRといった法規制への準拠を図りつつ、技術担当者たちと協力して最新のセキュリティソリューションを導入・運用する。それが山崎の日常業務であった。

静かな夜、山崎はオフィスの一室でシステムログに目を通していた。世界各地に拠点を持つ東亜製薬では、時差の関係で深夜でも海外支社のユーザがシステムを利用している。セキュリティ情報イベント管理(SIEM)ツールのダッシュボードに流れる無数のログ——ファイアウォールの通信許可と遮断履歴、IDS/IPSのアラート、各サーバや端末から収集されたイベント——を監視しながら、山崎は自身の役割の重さを改めて感じていた。「このログの一行を見落とせば、明日の朝には会社が傾く事態もあり得る。」 そう自分に言い聞かせる。

幸いこのところ大きな事件は起きていない。しかし、国際的に医薬品企業を狙うサイバー攻撃が増加していることを、山崎は知っていた。新型ワクチン開発情報を狙う国家支援のAPT攻撃、病院へのランサムウェア攻撃、さらには業界団体へのDDoS攻撃…。いつ自社が標的になってもおかしくない。まして東亜製薬は東京証券取引所プライム市場上場企業として世間の注目も高く、サイバー攻撃者にとっては格好の獲物とも言えた。

山崎はディスプレイに並ぶ監視ツールの画面を確認し終えると、そっとコーヒーカップに手を伸ばした。その時だった。社内の**セキュリティオペレーションセンター（SOC）**チームから、内線電話が鳴り響いたのである。まだ夜10時を少し回った頃だった。

DDoS攻撃、発生

内線の相手はSOCアナリストの田中だった。緊迫した声で田中が伝える。「山崎さん、外部公開しているWebサイトが繋がりにくくなっています。アクセスが急増してサーバが悲鳴を上げているようです！」。山崎はすぐにPCで社外向けサービスの監視ダッシュボードを開いた。応答時間のグラフが急上昇し、エラーレートが100%に達している。嫌な予感が脳裏をよぎった。

ファイアウォールのトラフィック統計を確認すると、通常とは比較にならない量のパケットが押し寄せていた。世界中の無数のIPアドレスから、一斉にHTTPリクエストが送られてきている。典型的なDDoS（分散型サービス拒否）攻撃だ。Webサーバへの正当なユーザからのアクセスが偽の膨大なトラフィックに埋もれ、サービスが機能不全に陥っている。

山崎は即座に対策本部モードに入った。ネットワーク担当のエンジニアと連携し、まずはファイアウォールでの緊急フィルタリングを実施する。攻撃が特定の地域から集中している可能性もあるため、GeoIPフィルタを有効にし、明らかに通常業務ではアクセスのない国外IPからの通信を一時的に遮断した。

同時に、Webサーバの直前に導入している**WAF（Webアプリケーションファイアウォール）**の設定画面を開き、一分間あたりのリクエスト数制限（レートリミット）のルールを厳しく調整した。例えば、単一のIPからのリクエストを数十件/秒に制限し、それを超えるものは自動的にブロックする設定だ。

だが相手も巧妙だった。攻撃元のIPは世界各地に分散し、使い捨てられたボットネットの端末ばかりでGeoIPによる遮断も限定的な効果しかない。レートリミットも、多数のIPで分散攻撃されると追いつかない。山崎は予め契約していたクラウド型のDDoS緩和サービスのスイッチを入れることを決断した。外部のトラフィックを一度クラウド側で受け止めてもらい、悪質な通信を取捨選択してから社内に届ける緊急措置だ。ネットワークエンジニアが迅速に設定を適用し、数分後にはトラフィックの流れが変わった。大量のリクエストのうち、大半がクラウド側で捌かれるようになり、徐々にWebサイトの応答が戻り始めた。

攻撃は約1時間ほど続いた。ピーク時には通常時の100倍ものトラフィックが押し寄せ、ネットワーク回線帯域のほとんどを食い尽くしていたという記録が残った。明らかに自然なアクセス増加ではない。山崎は攻撃の最中、社内チャットでCISO（最高情報セキュリティ責任者）やIT部長に状況を逐次報告し、取るべき対策と影響範囲を共有していた。幸い、人命に直結するようなシステム（たとえば医薬品製造ラインの制御システムや治験データ管理DBなど）は社内ネットワーク内に隔離されており、今回の攻撃の標的ではなかった。しかし、企業の顔であるWebサイトが一時閲覧不能となったことは顧客や投資家へのイメージに関わる。山崎は早急に暫定レポートを作成し、経営陣向けに今回の事象と対策、今後の追加策を報告した。

攻撃源を完全に特定することは困難だった。ログ分析の結果、攻撃に使われたIPは数万に及び、一部はウイルスに感染したIoT機器（監視カメラや家庭用ルータ等）で構成された既知のボットネットからのものも含まれていた。SOCチームは攻撃パターンから、闇市場でサービスとして提供されているDDoSボットネットを誰かが雇った可能性が高いと推測した。

事実、この攻撃の直前、匿名のメールアドレスから「貴社Webサイトを停止した。我々と取引したければ連絡せよ」という趣旨の脅迫メールが広報宛に届いていたことも判明した。

「金銭目的のサイバー犯罪か…。」山崎は眉をひそめた。ランサム（身代金要求）型のDDoS攻撃は近年増えているとはいえ、自社が実際に標的になるとは、と内心の驚きを隠せない。だが要求に屈する選択肢はなかった。脅迫に応じればさらに付け込まれるだけでなく、一度金を出せば犯罪組織の資金源となり次の犯罪を助長する。何より、法務の観点からも、そうした金銭授受は後々問題になるリスクがある（場合によっては制裁対象国の勢力に資金提供することにもなりかねない）。

山崎は経営陣とも協議の上、警察とJPCERT/CC（日本のコンピュータ緊急対応チーム）にこの攻撃を情報提供し、捜査協力の意思を示した。もっとも、DDoS攻撃の犯人特定は難しく、大きな成果は期待できない。だが公的機関へ報告することで、万一この攻撃が後に法的問題に発展した際にも適切な対応を取っていた証跡にはなる。

深夜0時過ぎ、ようやく攻撃は沈静化した。Webサイトは平常通り稼働に戻り、社内外への被害報告も今のところ届いていない。山崎は疲労を感じながらも、安堵の息をついた。しかし彼は知らなかった。このDDoS攻撃は、より重大な侵入の隠れ蓑に過ぎなかったことを——。

見えざる侵入

翌朝、山崎は数時間の仮眠を取って再びオフィスに戻ってきた。昨夜のDDoS攻撃についての詳報をまとめるため、システムログ全般を精査していたその時、SIEM上で一つの気になるログを発見した。前夜22時45分頃（DDoS攻撃への対応に追われていた最中だ）、社内のあるサーバから国外の不審なIPアドレス宛に暗号化通信が発生していたのだ。

「このサーバから外部に通信するはずがないが…？」山崎は即座に詳細を確認した。そのサーバは研究開発部門のファイルサーバで、機密の新薬開発データが保存されている。通常、外部との通信は遮断されており、内部ユーザからのアクセスのみ許可されたセグメントにある。ところがログによれば、そのサーバ自身が外部とSSL通信を確立し、大量のデータを送信した形跡が残っていた。

山崎は緊張感を取り戻した。すぐにSOCチームに指示を飛ばす。「R&Dファイルサーバのネットワークを切り離して！何者かに侵入された可能性がある。」ネットワーク担当者が迅速に該当サーバのポートをスイッチ側で遮断し、サーバをネットワークから隔離する。同時に、サーバ自体への緊急のリモートアクセスを試みた。しかし奇妙なことに、そのサーバの管理者用アカウントのパスワードが変更されており、すぐにはログインできない状態だった。

代替手段として、山崎たちはサーバ室に駆け込み、直接コンソールから当該サーバを操作した。サーバは稼働していたが、何らかの不審なプロセスが動いている兆候があった。CPU使用率が高騰し、ディスクアクセスが断続的に発生している。山崎は管理者権限でログインし直し、まずは**EDR（エンドポイント検知・対応）**ツールでのスキャンを実行した。幸い、東亜製薬では主要なサーバとクライアントPCに最新のEDRエージェントが導入済みであり、遠隔からマルウェア検知やプロセスの隔離が可能になっている。

EDRのアラート一覧に、昨夜22時半頃に「未知のプロセスによる異常なメモリアクティビティ検知」という警告が記録されていた。それはWindowsのシステムプロセスに偽装した不審な実行ファイルがメモリ上で展開され、外部と通信を試みたことを示唆していた。さらに詳細な分析を進めるため、山崎はEDRのリモートメモリダンプ機能を用いて当該サーバのメモリイメージを取得し、マルウェア分析チームに送った。並行して、サーバ上に残された不審なファイルや最近変更されたシステム設定を調査する。

ほどなくして判明したのは、このサーバが**標的型攻撃（APT攻撃）**の一環としてマルウェアに感染させられていたという事実だった。サーバ上には通常存在しない名前のDLLファイルが置かれており、Windowsの自動起動設定（レジストリのRunキー）にそのDLLをロードする不審なエントリが追加されていた。また、管理者アカウントのパスワードが攻撃者によって改変されていた痕跡も見つかった。外部に向けて行われた暗号化通信は、おそらくサーバ内の機密データを圧縮・暗号化して攻撃者のC2（コマンド＆コントロール）サーバへ送信していたものと推測された。

山崎はすぐに社内のインシデント対応チームと共に緊急会議を開いた。参加者は情報システム部門のエンジニアに加え、法務部からは個人情報保護担当の松田、広報部からはリスクコミュニケーション担当の今井も駆けつけた。山崎は今回の侵入が極めて巧妙かつ悪質であり、外部からの高度な攻撃者によるものと分析結果を共有した。

「今回の攻撃者は、昨夜のDDoS攻撃の裏で当社ネットワークに侵入し、機密データの取得を試みました。」山崎は静かに皆に説明を始めた。「R&Dのファイルサーバがマルウェアに感染し、一部データが外部に送信された可能性があります。」

会議室内がざわついた。研究開発データの流出は会社の存亡にも関わる重大問題だ。松田が青ざめた表情で質問する。「個人情報の漏洩は…？」東亜製薬では治験に参加した被験者の個人データも管理している。

山崎はログから判明している範囲の事実を答えた。「今のところ、個人情報データベースへのアクセスや社外流出は確認されていません。ただし攻撃の全容はまだ調査中です。機密の研究データが盗まれた可能性は高いですが、被験者などの個人情報は暗号化DBに格納されており、現時点では影響を受けていないとみられます。」

次に今井が手を挙げた。「この件、公表は必要でしょうか？」広報担当としては情報開示の判断が気になるところだ。

山崎は慎重に言葉を選んだ。「現時点では調査途中であり、外部への公表は控えています。ただし、今後個人情報漏洩が判明した場合は早急に所管当局（個人情報保護委員会や欧州当局等）への報告と、当事者への通知が法的に必要になります。また、研究データの漏洩についても、株主やパートナー企業への説明責任が出てくる可能性があります。」法務の観点から、彼は既に頭の中で関連法規と社内規程に基づく対応フローを組み立てていた。

テクニカルな対応も急務だ。山崎はエンジニアに向き直り、指示を出す。「まず、被害範囲を徹底的に洗い出しましょう。類似のマルウェアが他の端末に潜伏していないか、ネットワーク全体をスキャンします。EDRやIDSのログから、当該サーバ以外に不審な挙動を示したPCやサーバがないかチェックしてください。また、侵入経路の特定も重要です。このサーバ自体に直接攻撃者が入れるわけではないので、最初の侵入口がどこかにあるはずです。」

推測される侵入経路として、山崎の脳裏にはいくつかの可能性が浮かんでいた。フィッシングメールによる社員端末の乗っ取り、VPN経由での不正アクセス、あるいは公開サーバの脆弱性悪用…。そこで彼は直近の社内外の通信ログをSIEMで横断検索した。

その結果、同じ22時台に社内のあるPCから大量の外部通信と管理共有フォルダへのアクセスが発生していたことが分かった。そのPCは営業部の平野という社員のノートパソコンで、普段はR&Dファイルサーバにアクセスする権限などないはずだ。にもかかわらず、平野のPCからR&Dサーバ上のデータにアクセスした痕跡が残っている。

山崎は即座に平野のPCもネットワークから隔離させ、EDRでスキャンを行った。案の定、平野の端末からマルウェアが検知された。どうやら平野宛に届いたフィッシングメールに添付されていた不正なOffice文書ファイルを開いてしまったことが発端のようだ。そのマルウェア（リモートアクセス型トロイの木馬）は平野PCを乗っ取り、そこから社内ネットワークに潜伏しつつ横展開を図ったらしい。権限昇格の手口は不明だが、おそらく平野が社内で使っていたVPNクレデンシャルやキャッシュされたドメイン資格情報が悪用され、R&Dサーバへのアクセスに成功したのだろう。

「人の不注意につけ込む典型的なAPT攻撃だな…。」山崎は悔しそうに呟いた。平野自身に悪意はなかったにせよ、一通の不審メールが大きなセキュリティホールを生み出してしまったのだ。

山崎は直ちに全社員に対し、今回の事例を踏まえた注意喚起のメールを送信することも決めた。「巧妙なフィッシング手口が実際に社内に届いています。絶対に不審なメールのリンクや添付ファイルを開かないでください」といった内容を、多言語で記載した啓発メッセージだ。同時に、メールゲートウェイの設定を見直し、既知の悪性URLやマルウェアを検知するフィルタ（サンドボックス型の添付ファイル検査など）のルールを強化するようIT担当者に依頼した。

幸い迅速な対応により、この時点で攻撃者の潜伏プロセスは一掃できたかに思われた。しかし、事態はこれで収束しなかった。攻撃者は更なる一手を準備していたのである。

ランサムウェアの暗号化攻撃

APT攻撃から二日後の早朝、東亜製薬のシステムに新たな異変が起きた。出社した社員から「PCのファイルが開けない」との問い合わせが立て続けに入り、社内ヘルプデスクが慌ただしくなったのだ。山崎が状況を確認するためSOCのモニターをチェックすると、いくつかの端末から一斉に異常なアラートが上がっているのが見えた。「ファイル暗号化の兆候検知」——EDRが発する見慣れない警告だった。

「まさか…ランサムウェアか！？」山崎はすぐに事態を理解した。複数のPCで同時多発的にファイルが暗号化され始めている。社員たちのPC上ではファイル名が次々と「.locked」「.encrypt」といった拡張子に変わり、開こうとしても意味不明な文字化けファイルになっているという。さらにはデスクトップに「README_解読方法.txt」といったテキストファイルが生成されているとの報告も入った。

山崎は即座に社内ネットワークを分断する決断を下した。IT部門に指示し、被害が発生しているセグメントを切り離し、可能な限り感染拡大を防止する。警察庁のガイドラインでもまずネットワークから隔離することが推奨されているとおり、感染拡大防止の初動が肝心だ。全社的に一斉通知を出し、各部門のIT担当者にも周知してもらった。「各PCをネットワークから切り離してください。Wi-Fiはオフにし、LANケーブルを抜き、感染が疑われる端末はそのまま電源を落とさず放置してください。」下手に再起動すると暗号鍵が消失する恐れがあるためだ。

それと並行して、山崎はEDRの管理コンソールで被害状況を把握した。既に数十台規模のPCと数台のサーバが暗号化の被害を受けている。EDRは一部の端末で暗号化プロセスを検知し、自動隔離を行ってくれていたが、それでも攻撃のスピードに追いつかない箇所があった。特に社員のノートPCは社外に持ち出していたものも多く、VPN経由で繋がったタイミングで感染が広がった可能性が高い。

被害端末の一つから、攻撃者からのメッセージが確認された。READMEファイルには日本語と英語で次のように書かれていた。

これを読んだ瞬間、山崎の背筋に冷たいものが走った。攻撃者は事前に窃取した機密データを人質に、今度はランサムウェアによって追い打ちをかけてきたのだ。完全に二重の脅迫である。要求額は日本円にして数億円規模であり、期限も示されている。72時間以内に対応を誤れば、機密研究データがネット上に暴露される恐れがあるというわけだ。

緊急の経営会議が招集された。社長以下役員たちも駆けつけ、会社全体としての対応が協議される。システムは一部停止し業務に支障が出ており、取引先への報告も必要になり始めていた。山崎は現状を説明し、二つの大きな論点を提示した。一つは事業継続のためのシステム復旧、もう一つは脅迫への対応、すなわち身代金を支払うか否かである。

復旧については、バックアップからのリストアが唯一の確実な解決策だ。幸い、東亜製薬では日次・週次で重要サーバのデータバックアップを取得しており、オフラインにも保管していた。山崎は既にITチームにバックアップサーバの無事を確認させていたが、それらはネットワーク分離されていたため暗号化被害を免れていた。製造関連システムや研究データベースも定期的にバックアップがあり、最悪数日分のデータ入力や実験ログが失われる程度で復元可能と見込まれた。ただし、完全復旧には数日から一週間程度はかかる見通しだ。

問題は身代金への対応だ。役員の中には「支払ってでも早期解決を」との意見も出たが、山崎は毅然と反対意見を述べた。「要求に屈してはいけません。一度支払えば、データが返ってくる保証はなく、むしろ追加の金銭要求や再攻撃を招く可能性があります。そもそも犯罪者に資金提供すること自体、企業倫理に反しますし、制裁リスクもあります。」さらに、盗まれたデータに関しては既に漏えいしたとみなして対応すべきであり、たとえ金銭を支払って公開を防げたとしても、コピーが出回っている可能性は排除できない、と指摘した。

議論の末、会社としては身代金は支払わず、技術的対応と法的対応に全力を挙げる方針が確認された。すなわち、自力でシステムを復旧し、盗まれたデータの流出による影響を最小化する策を講じつつ、法的には警察や関係当局と連携して犯人追跡と被害拡大防止に当たる、という決断である。

山崎たちは直ちに非常対応モードに入った。被害を受けた端末のディスクイメージを保存して証拠保全を行いつつ、クリーンなバックアップからサーバ群をリストアし始めた。社内のネットワークは最小限の重要セグメントのみ復旧し、他は一旦遮断したまま、各PCは順次ウイルススキャンとOS再インストールを進める。普段であれば大掛かりすぎる対応だが、今回は迅速な復旧と信頼確保のために必要な措置だった。

法務的な対応も同時に進められた。個人情報保護委員会や警察庁サイバー犯罪対策課への連絡、経済産業省へのインシデント報告、海外拠点が所在する国々の規制当局への通知準備が始まった。広報チームはプレスリリース案を作成し、株主や顧客向けの説明文にも着手する。山崎はその文案を法的観点からチェックし、虚偽や漏れがないよう目を光らせた。

ランサムウェア攻撃発生から24時間以内に、主要システムの復旧作業が完了し始めた。メールサーバや基幹システム、そして最も重要な研究データベースも無事にバックアップから復旧できた。社員のPCについても、バックアップでカバーできないものはOSを再セットアップし、必要なデータはサーバ上のコピーから復元する作業が続けられた。被害の全容把握と完全復旧にはなお時間を要したが、事業継続は最低限確保された。

山崎が緊張の糸を少し緩めたのは、攻撃から三日目の深夜だった。ほぼ全ての重要システムのリストアが成功し、攻撃者の72時間の猶予が迫る中で、公開されて困るデータの多くは無事保全できた。もちろん既に攻撃者が握っているデータは存在するが、それ以上の流出は阻止できた形だ。社内には疲労困憊しながらも安堵の空気が漂い始めていた。しかし、このサイバー攻防劇にはもう一幕残されていた。社内の誰もが予想しなかった「内なる敵」の存在が明らかになるのである。

内部犯の発覚

ランサムウェア攻撃の復旧作業が一段落したころ、山崎は今回の一連の攻撃経路を改めて振り返り、ログの精査を始めた。外部からの攻撃だけでここまで巧妙かつ大胆な犯行を実現できただろうか——どこか内部に協力者がいるのではないか。そんな疑念が頭をもたげたのだ。

調査の中で、いくつか説明のつかない事実が浮かび上がった。まず、最初のフィッシングメールが平野に届いた経緯である。通常、東亜製薬のメールシステムには強力なスパムフィルタとサンドボックスが導入されており、マルウェア付きのメールは高確率でブロックされる。ところが問題のメールはフィルタをすり抜けていた。ログを確認すると、偶然にもそのメールが届いた直前、一時的に社内メールゲートウェイのフィルタ設定が緩和されていたことが判明した。まるで誰かが“通り道”を作ったかのように。

さらに決定的だったのは、ランサムウェアが社内に拡散したタイミングに関するデータだ。ドメインコントローラの操作ログを分析したところ、ランサムウェア感染が拡大し始める直前の午前4時過ぎ、管理者権限を持つアカウントで一斉配布用のスクリプトが実行されていたことが分かった。社内の全端末に対し、ある特定のバッチファイルを実行するよう仕向ける内容で、そのバッチこそがランサムウェアのペイロードを起動するトリガーとなっていたのだ。そして、その管理者アカウント「s-adachi」は情報システム部の社員、足立によって日常的に使用されているものであることが判明した。

足立は30代半ばのインフラエンジニアで、社内ネットワークの権限管理を担当していた。事件発生当初から復旧作業に従事していたが、特に不審な様子は見せていなかった人物だ。山崎は足立の上司を交え、本人への聞き取りを行うことにした。緊張した面持ちの足立を会議室に呼び出し、山崎は静かに切り出した。「足立さん、今回の攻撃であなたのアカウントが使われました。何が起こったのか、説明してもらえますか？」

当初、足立は「身に覚えがない。自分のアカウント情報が盗まれたのではないか」と否定した。しかし山崎は更なる追及の手を緩めなかった。SIEMのログには、足立のPCからドメインコントローラへのリモート接続が深夜に行われた記録が残っていたからだ。その時刻、足立は自宅からVPNで社内に接続していた形跡もあった。山崎は証拠を一つ一つ突きつけ、なぜそのような操作をしたのか問いただした。

しばらくの沈黙の後、足立は観念したように口を開いた。「…私がやりました。」彼は搾り出すような声で語り始めた。数ヶ月前、匿名の人物から接触を受けたという。最初はSNS経由で「サイバーセキュリティ分野の副業に興味はないか」と持ちかけられ、興味本位で返事をしたのが間違いだった。やり取りを重ねるうちに、高額な報酬と引き換えに社内システムへの裏口を提供するよう要求され、断り切れなくなったのだという。

メールフィルタの一時無効化や、マルウェア配布スクリプトの実行を依頼され、具体的な手順も示されたと足立は白状した。その背後にいるのが今回のハッカー集団であることは想像に難くなかった。

「会社を裏切る行為だと分かっていたはずだ。」山崎の声には怒りがにじんでいたが、同時に悲しみもあった。内部者の協力が無ければ、ここまでの被害には至らなかった可能性が高い。足立一人が引き金となり、何百人もの社員の業務と会社の信用が危険に晒されたのだ。足立はうなだれ、「自分が蒔いた種です。報酬目当てで深く考えていなかった。」と震える声で答えた。

この自白を受け、山崎は直ちに経営陣に報告するとともに、法務部と連携して足立への厳正な処分を進めた。足立は即日アクセス権を剥奪され、懲戒解雇の手続きに入った。併せて、不正行為の内容からして刑事事件に該当する可能性が高いため、会社として警察への被害届提出と足立に対する告訴も検討された。山崎は証拠書類を整え、必要に応じて自身が事情聴取に応じる準備も整えた。

内部犯の存在が明るみに出たことで、一連のサイバー攻撃の全貌がようやく明らかになった。外部の高度なハッカー集団による攻撃と、内部協力者の裏切り。それらが重なり合って発生した未曾有のインシデント——山崎は改めてその深刻さを噛み締めつつも、一つの区切りがついたことに安堵していた。

エピローグ

その後、東亜製薬は今回のインシデントから得られた教訓を活かし、情報セキュリティ体制をさらに強化する施策を矢継ぎ早に打ち出した。まず、全社的なセキュリティ教育の徹底だ。社員一人ひとりがフィッシングメールの巧妙さや情報漏洩のリスクを正しく理解し、日常業務でセキュリティ意識を持つよう、定期的なトレーニングと模擬演習が開始された。

また、内部不正を防止するための監視体制も見直された。重要システムの管理者操作ログをリアルタイムでモニタリングし、通常と異なる深夜のアクセスや設定変更があれば直ちにアラートが上がる仕組みを導入した。

技術的な防御策も強化された。ネットワークはより細かくセグメント化され、万一一部が侵害されても他へ水平展開しにくい構成とした。IDS/IPSやEDRのルールセットも再調整され、新たに導入した振る舞い検知型AIにより未知のマルウェアにも素早く対処できるようになった。

さらにゼロトラストの考え方を取り入れ、社内システムへのアクセス認証を一層厳格化（多要素認証の全面適用や端末のコンプライアンスチェックなど）し、境界内部であっても常に疑い検証するポリシーへと移行した。

法務面では、事故対応のプロセスが詳細に文書化され、インシデントレスポンス計画として整備された。山崎は行政書士としてその文書作成にも深く関与し、当局報告や被害者通知のテンプレート、証拠保全手順、さらに取締役会への定期報告事項などを盛り込んだ包括的な手順書を完成させた。この計画はISO/IEC 27001の更新審査でも高く評価され、東亜製薬は情報セキュリティマネジメントシステムの国際認証を引き続き維持・更新することができた。

幸いなことに、盗み出された研究データは流出直後に警察やセキュリティ企業の協力で流通経路を特定され、大きな拡散には至らなかった。足立による内部関与の発覚もあり、警察の捜査は大きく進展した。犯行グループの一部メンバーが海外で拘束されたとの報せが入ったのは、事件から数ヶ月後のことだった。国際的ハッカー集団との闘いは依然続いているものの、少なくとも今回の脅威については一定の決着がついた形だ。

深夜のオフィスで、山崎は一人静かにPC画面を見つめていた。SIEMに流れるログは相変わらず膨大だが、その行間から危険な兆候を読み取る目は以前にも増して研ぎ澄まされていると感じる。法務と技術、両方の知見を武器に、彼はこれからも企業の盾として戦い続けるだろう。幸い、経営陣もサイバーセキュリティへの投資と理解を一層深めてくれている。山崎はマグカップの残りのコーヒーを飲み干し、そっと呟いた。

「終わりなき戦い、かもしれない。それでも——守るべきものがある限り、私は闘い続ける。」

画面には安定稼働を示すシステム監視の緑色のランプが点滅していた。嵐の去った夜、その小さな光は山崎にとって次なる日の希望のようにも見えた。