第20章 アーカイブの鏡
- 山崎行政書士事務所
- 5月7日
- 読了時間: 22分
午前八時十分。
第三会議室に入った瞬間、三枝涼真は違和感を覚えた。
会議室は静かだった。
それは、いつもの静けさではない。
疲労の沈黙でも、緊急対応前の緊張でもない。
音が足りなかった。
昨日まで、外部通知の確認、メール着信、チャット更新、監視アラート、誰かの電話、キーボードの音が絶えず重なっていた。
だが今朝は、そのいくつかが明らかに消えていた。
NotifyBridgeの旧通知集約チャンネル、ops-notify-archive は隔離された。
不明アカウント hb-observer も、旧管理者 notifybridge-admin-old も停止された。
MFA通知の古い転送経路も保全され、封じ込めが始まっている。
通知の巣は静かになった。
そのはずだった。
三枝は、ノートPCを開き、SOCダッシュボードを確認した。
Criticalなし。
Highなし。
Medium一件。
Low多数。
強制確認対象二件。
通知サプライチェーン棚卸し、進行中。
画面上は落ち着いている。
だが、何かが引っかかっていた。
山崎行政書士事務所の山崎が、会議室に入ってきた。
「おはようございます」
「おはようございます」
山崎は、三枝の顔を見ると、すぐに聞いた。
「何か気になりますか」
三枝は少し驚いた。
「分かりますか」
「はい」
三枝は、画面を見ながら言った。
「通知の巣は閉じました。でも、Blue Heronが急に静かになりすぎています」
山崎は、机の上に書類鞄を置いた。
「静かすぎる沈黙ですね」
「はい」
山崎は、椅子に座らず、ホワイトボードの前に立った。
「昨日、攻撃者は“Your nest is quiet.”と書きました。巣が静かになったことを知っていました」
「はい」
「では、次に考えるべきことは何でしょう」
三枝は少し考えた。
「巣を閉じた後も、どこかに通知が残っているか」
山崎は頷いた。
「または、巣に流れた通知が、別の場所へ写されていたか」
三枝は、背中が冷えた。
「アーカイブ……」
山崎は、黒いペンでホワイトボードに書いた。
通知の保存先
その下に、さらに書く。
アーカイブ
監査保管
eDiscovery
バックアップ
SIEM転送
三枝は、画面を切り替えた。
NotifyBridgeの設定。
ops-notify-archiveのチャンネル設定。
メッセージ保持。
監査エクスポート。
そこに、一つ、見覚えのある名前があった。
ComplyVault Archive Connector
三枝は、息を止めた。
「ありました」
山崎は、静かに画面を見た。
「これは何ですか」
「社内チャットや外部通知チャンネルを、監査用にアーカイブするサービスです。電子帳簿保存や監査対応のために、過去に導入したものです」
黒崎課長が会議室に入ってきた。
「ComplyVault?」
「はい。ops-notify-archiveが、ComplyVaultにも転送されています」
黒崎の顔が硬くなった。
「まだ動いていたのか」
三枝は設定を確認した。
Archive target: cv-suruga-audit-east
Retention: 7 years
Connector status: Active
Last sync: 06:02
最終同期は、今朝六時二分。
通知の巣は静かになった。
だが、巣の中身は、今朝まで別の倉庫へ写され続けていた。
山崎が、静かに言った。
「通知の巣の次は、アーカイブの鏡ですね」
三枝は、ホワイトボードにその言葉を書いた。
アーカイブの鏡
午前八時三十七分。
主要メンバーが集められた。
望月社長。
黒崎。
秋山。
大石。
久我真琴。
山崎。
そして、情報システム課の三枝。
大型モニターには、ComplyVaultの設定画面が映っている。
山崎は、最初に言った。
「まず誤解を避けます。アーカイブは悪ではありません。むしろ、監査や証跡保全には重要です」
秋山が頷いた。
「法務総務でも使っています。契約関連のやり取りや、監査対象のチャンネルを残すために」
山崎は続けた。
「問題は、何を保存し、誰が見られ、契約終了後の外部アカウントが残っていないか、インシデント時に攻撃者も見られる状態になっていないかです」
久我が、設定画面を見ながら言った。
「ComplyVault側の閲覧権限を確認しましょう。アーカイブされた通知を誰が検索できるか」
三枝は、管理画面を開いた。
ユーザー一覧。
audit-admin
legal-reviewer
it-compliance
external-audit-temp
cv-support-legacy
hinata-compliance-view
yamazaki-review-readonly
三枝は、最後の一つで手を止めた。
「山崎先生の読み取りアカウントがあります」
山崎はすぐに答えた。
「当事務所のアカウントですね。支援契約後に、法務総務部が一部監査資料確認用に発行したものです。閲覧範囲は限定されているはずです」
秋山が確認した。
「はい。山崎先生のアカウントは、今回のインシデント対応資料の一部だけです。ops-notify-archiveは対象外のはずです」
三枝は権限を確認した。
その通りだった。
yamazaki-review-readonly:Incident-Legal-Docs only
三枝は、少し安心した。
山崎は表情を変えずに言った。
「その確認も記録してください。私のアカウントも例外ではありません」
三枝は頷いた。
08:41 ComplyVault権限確認。yamazaki-review-readonlyはIncident-Legal-Docs限定。ops-notify-archiveアーカイブへの閲覧権限なし。確認済み。
入力後、三枝は他のアカウントに目を向けた。
external-audit-temp
一時外部監査。
作成日。
二年前。
最終ログイン。
三週間前。
三枝は、指を止めた。
また、三週間前。
黒崎が低く言った。
「それだな」
久我が言った。
「まだ断定しません。ただ、かなり怪しい」
山崎が、すぐに口を開いた。
「事実として記録しましょう。ComplyVaultの外部監査用一時アカウントexternal-audit-tempが二年前作成、三週間前に最終ログイン。現在も有効。所属・管理者未確認」
三枝は入力した。
08:43 ComplyVaultにexternal-audit-tempを確認。二年前作成、現在有効、最終ログイン三週間前。所属・管理者・契約根拠未確認。
秋山が顔を青くした。
「二年前の外部監査……たぶん、内部統制レビューの時に使ったアカウントです。監査法人ではなく、IT統制支援会社だったと思います」
山崎が聞いた。
「契約は現在も有効ですか」
秋山は、契約管理表を検索した。
「終了しています。一年半前です」
また同じ型だった。
契約終了。
一時アカウント残存。
三週間前のログイン。
アーカイブ閲覧。
望月は、静かに言った。
「保全してください」
久我が頷いた。
「停止前に現在状態、ログイン履歴、検索履歴、閲覧対象、エクスポート履歴を保全します」
山崎は、判断記録を開いた。
「このアーカイブには、通知の巣の内容が保存されています。外部監査用一時アカウントが三週間前にログインしているため、攻撃者がアーカイブ経由で通知履歴を確認した可能性があります。保全後、当該アカウントを停止する判断でよろしいですか」
望月は頷いた。
「はい」
三枝は入力した。
08:48 external-audit-tempについて、ComplyVaultアーカイブ閲覧経路として悪用可能性があるため、現在状態・権限・ログイン履歴・検索履歴・エクスポート履歴を保全後に停止する判断。判断者:望月社長。
午前九時十五分。
ComplyVaultの検索履歴が開かれた。
三枝は、息を呑んだ。
external-audit-tempが三週間前に検索していたキーワード。
DeviceActionRaw
Aster
Scenario Stress
route-support
前島
MFA
NotifyBridge
Public Disclosure
Vendor Delay
三枝は、画面を見たまま動けなかった。
Blue Heronが知っていた単語が、並んでいる。
久我が言った。
「ここです。攻撃者は、通知の巣だけではなく、アーカイブの鏡を検索していた」
黒崎が机に手を置いた。
「三週間前に、ここで全部探していたのか」
山崎は、静かに言った。
「検索履歴は、攻撃者の関心を示す重要な証跡です」
三枝は入力した。
09:16 ComplyVault検索履歴確認。external-audit-tempが三週間前にDeviceActionRaw、Aster、Scenario Stress、route-support、前島、MFA、NotifyBridge、Public Disclosure、Vendor Delay等を検索。Blue Heronが把握していた情報領域と一致または近接。
久我が続けた。
「エクスポート履歴を見ましょう」
三枝は、手が少し震えるのを感じながら、エクスポート履歴を開いた。
三週間前。
external-audit-temp。
エクスポート名。
ops_notify_archive_export_0414.zip
対象期間。
過去九十日。
対象チャンネル。
ops-notify-archive。
Incident-Legal-Docsは対象外。
ただし、DeviceActionRaw関連通知、Aster通知、地図サービス通知、品質クラウド通知を含む。
状態。
Export completed
ダウンロード時刻。
三週間前、午前二時二十二分。
三枝は、ゆっくり息を吐いた。
「ダウンロードされています」
会議室に、重い沈黙が落ちた。
通知の巣は、アーカイブされていた。
アーカイブは、外部監査用一時アカウントで検索され、エクスポートされていた。
攻撃者は、そのZIPを持っている可能性が高い。
だから、こちらの動きに速く反応できた。
アーカイブの鏡に、会社の反応が映っていた。
久我が言った。
「これは大きいです。観測経路の中心が見えました」
山崎が、表情を変えずに言った。
「ただし、ここでも断定しません。external-audit-tempがBlue Heronと同一か、資格情報が悪用されたか、別の第三者かは未確認です」
望月は頷いた。
「しかし、当社の通知アーカイブが外部取得された可能性は高い」
「はい」
山崎は答えた。
「その前提で対応すべきです」
三枝は入力した。
09:22 external-audit-tempにより、三週間前02:22にops-notify-archive過去90日分のアーカイブZIPがエクスポート・ダウンロードされていたことを確認。DeviceActionRaw関連通知、Aster通知、地図サービス通知、品質クラウド通知等を含む可能性。通知アーカイブ外部取得可能性が高まる。実行者実体は未確認。
保存。
午前九時四十八分。
山崎は、ホワイトボードに新しい線を描いた。
外部SaaS通知
↓
ops-notify-archive
↓
ComplyVault Archive
↓
external-audit-temp Export
↓
Blue Heron?
最後には、あえて疑問符が付いている。
山崎は言った。
「これで、攻撃者がどのように“知りすぎていた”のか、かなり説明できるようになりました」
久我が頷いた。
「内部会議を盗聴していたとは限らない。通知とアーカイブを見ていた」
秋山が言った。
「つまり、当社が証跡保全のために残していたアーカイブが、攻撃者の情報源になった」
山崎は頷いた。
「はい。ただし、アーカイブを残すこと自体が悪いわけではありません。閲覧権限と外部一時アカウントの管理が問題です」
望月が言った。
「証跡を残すことと、証跡を守ることは別ですね」
「その通りです」
山崎は答えた。
三枝は、その言葉を強く感じた。
ログを残す。
通知を残す。
アーカイブを残す。
それらは、会社を守るための行為だ。
だが、残したものを守らなければ、攻撃者の宝庫になる。
アーカイブは、鏡だ。
会社が何を見て、何に反応し、何を閉じようとしたかを映す。
その鏡を誰に見せるか。
そこを間違えれば、鏡は敵の目になる。
午前十時十五分。
Blue Heronからメールが届いた。
件名は、Mirror。
本文は、予想どおりだった。
You found the mirror.
Too late.
But mirrors remember everything.
鏡を見つけた。
遅すぎる。
だが、鏡はすべてを覚えている。
その下には、ComplyVaultのエクスポート履歴画面が貼られていた。
ops_notify_archive_export_0414.zip
三枝は、静かに保全手順を進めた。
録画。
ヘッダー。
本文。
画像。
ハッシュ。
時系列。
もう、手は震えなかった。
山崎が言った。
「攻撃者がComplyVaultエクスポート履歴を把握していることを確認しました」
久我が頷いた。
「これで、external-audit-tempまたはそのエクスポート取得物が攻撃者側にある可能性はかなり高い」
山崎は、三枝に言った。
「記録は、可能性が高い、までです」
三枝は入力した。
10:15 不明差出人より件名“Mirror”のメール受信。ComplyVaultエクスポート履歴ops_notify_archive_export_0414.zipの画面を提示。攻撃者がComplyVaultアーカイブまたはエクスポート情報を把握している可能性が高い。証跡保全。
望月は、画面を見ながら言った。
「この件も、取引先へ説明が必要ですか」
山崎は、少し考えた。
「通知アーカイブそのものに取引先個人情報や業務地図情報が含まれている可能性があります。まず、エクスポート対象の内容を分類します。そのうえで、既存の情報影響に追加する形で説明する必要があります」
秋山が頷いた。
「個人情報影響整理表に、通知アーカイブを追加します」
久我が言った。
「通知には、資料名、閲覧者、時刻、場合によってはファイル名やコメントの一部が含まれます。地図や連絡先そのものではなくても、メタ情報として重要です」
山崎が補足した。
「メタ情報も漏えいリスクです。何を見たか、いつ見たか、誰が関心を持ったか。攻撃者には十分価値があります」
三枝は、新しい行を追加した。
M-009 通知アーカイブ/ComplyVaultエクスポート
個人情報。
可能性あり
業務機密性。
高
攻撃利用可能性。
高
観測機能。
アーカイブ検索・エクスポートあり
未了事項。
外部監査用一時アカウント削除未了、アーカイブ閲覧権限管理未了
保存。
午前十一時。
ComplyVaultの契約書が確認された。
契約先は、ComplyVault Japan株式会社。
導入支援は、IT統制支援会社の 東海ITガバナンス。
external-audit-tempは、この東海ITガバナンス用に作成されたアカウントだった。
契約は、一年半前に終了。
アカウント削除は、成果物検収後に行うと記載。
だが、削除確認証跡はない。
秋山が、書類を見ながら言った。
「また、検収後削除です」
山崎が、静かに言った。
「検収後、とは期限ではありません」
三枝は、ホワイトボードに小さく書いた。
検収後 ≠ 期限
本番安定後。
次年度以降。
確認中。
契約終了予定。
移行済み。
検収後。
会社には、期限のようで期限ではない言葉が多すぎる。
望月が言った。
「東海ITガバナンスへ確認を」
秋山は頷いた。
「連絡します」
山崎が文案を作る。
確認事項
一 external-audit-tempの利用者、最終利用日、資格情報管理
二 契約終了時のアカウント削除確認有無
三 三週間前のComplyVaultログイン・検索・エクスポートの実施有無
四 同社または再委託先における資格情報漏えい可能性
五 関係ログの保全
久我が補足した。
「ComplyVault側にも、同じく保全要請を出してください。外部監査アカウントのログ、IP、ダウンロード先、セッション情報、管理者操作、エクスポートファイルの保存先」
山崎は頷いた。
「両方へ出します」
三枝は、未了事項台帳に追加した。
U-145 監査アーカイブ外部一時アカウント削除未了
責任者。
秋山・三枝
関係者。
東海ITガバナンス、ComplyVault Japan
期限。
本日中に停止・保全、七日以内に恒久管理案
状態。
緊急対応中
保存。
午後零時二十分。
東海ITガバナンスから一次回答が来る前に、久我がComplyVaultのIPログを確認した。
「external-audit-tempの三週間前のログイン元、NotifyBridge旧管理者のアクセス元と同じクラウド事業者です」
三枝が聞いた。
「同じIPですか」
「完全一致ではありませんが、同じレンジです。攻撃者が同じ基盤を使っていた可能性があります」
黒崎が言った。
「hb-observerとも?」
久我は確認した。
「近いです。hb-observerの追加元、notifybridge-admin-oldのサインイン元、external-audit-tempのログイン元は、同一クラウド事業者の近接レンジです」
山崎が言った。
「関連可能性あり。断定はしない」
三枝は入力した。
12:23 external-audit-temp、notifybridge-admin-old、hb-observer関連操作の接続元が同一クラウド事業者の近接IPレンジにあることを確認。Blue Heron利用基盤との関連可能性あり。実体は未確認。警察・フォレンジック調査へ共有。
保存。
警察向け追加資料にも反映する。
攻撃者の像は、少しずつ輪郭を持ってきた。
だが、まだ正体ではない。
山崎の言葉が、三枝の中で繰り返された。
分からないことを物語にしない。
午後一時十五分。
東海ITガバナンスとの緊急会議が始まった。
相手は、統制コンサルタントの宮坂と、当時の導入担当だった若林。
宮坂は、最初から緊張していた。
「external-audit-tempは、弊社がComplyVault導入支援時に利用した一時アカウントです。契約終了後に削除されているべきものでした」
山崎が聞いた。
「削除依頼または削除確認の記録はありますか」
宮坂は、視線を落とした。
「現在のところ、確認できていません」
「三週間前のログイン、検索、エクスポートは、御社によるものですか」
「違います。弊社では実施していません」
久我が聞いた。
「資格情報はどこに保存されていましたか」
若林が答えた。
「導入時の作業手順書に、初期資格情報が記載されていた可能性があります。ただし、当時は変更済みの認識でした」
山崎が言った。
「変更済みであることを確認した証跡は」
若林は、答えられなかった。
また、認識。
また、証跡なし。
山崎は、淡々と確認した。
「御社の手順書、チケット、メール、パスワード管理、再委託先の有無、端末ログを保全してください。責任認定ではなく、資格情報流出経路の確認です」
宮坂は頷いた。
「対応します」
望月が言った。
「当社としても、契約終了時にアカウント削除証跡を確認していません。そこは当社の未了でもあります」
宮坂は、少し驚いた顔をした。
山崎は、その言葉を記録した。
三枝は思った。
この会社は、少しずつ変わっている。
相手を責めるだけではなく、自社の未了も認める。
だから、相手も協力せざるを得ない。
逃げ道を塞ぐのではなく、協力できる道を作る。
それが、山崎のやり方だった。
午後二時三十分。
ComplyVaultのエクスポートZIPの内容分類が進んだ。
ops-notify-archive過去九十日分。
通知数、約二万件。
含まれていたもの。
外部地図サービスの閲覧・編集通知。
Asterモデル評価基盤の実行・閲覧通知。
品質管理クラウドのコメント通知。
営業資料閲覧通知。
電子契約の閲覧通知。
端末管理関連ログ閲覧通知。
DeviceActionRaw検索通知。
一部のファイル名。
一部のコメント本文。
一部の担当者名。
一部のメールアドレス。
一部のURL。
三枝は、分類表に入力しながら、頭が重くなるのを感じた。
通知は、本文ではない。
だが、本文の影を持っている。
誰が、何を、いつ見たか。
どのファイルが重要か。
どの地図に価値があるか。
どの証跡を会社が探しているか。
攻撃者にとっては、十分すぎる。
秋山が言った。
「通知アーカイブは、個人情報漏えいの対象に入りますね」
山崎は頷いた。
「はい。一部担当者名やメールアドレスが含まれます。また、業務機密メタ情報としても対象です」
営業部長が苦い顔で言った。
「取引先への説明が、また増えます」
望月は静かに答えた。
「増えます。でも、既に説明の枠組みがあります」
山崎が補足した。
「今回は、既存の情報影響説明に“通知アーカイブ”を追加します。対象情報の性質、実施済み対応、二次被害注意、未確認事項を整理すれば、説明できます」
三枝は、その言葉を聞いて思った。
説明できる会社とは、被害が増えない会社ではない。
新しい被害が分かった時に、説明を更新できる会社だ。
午後三時四十五分。
Blue Heronからメールが届いた。
件名は、Archive.zip。
本文には、こうあった。
Two million lines of nervous system.
Beautiful.
二百万行の神経系。
美しい。
添付はなかった。
だが、本文の下に、ops_notify_archive_export_0414.zip 内の一部らしき通知ログが貼られていた。
DeviceActionRaw queried by saegusa…
Scenario Stress 04 viewed…
Route map permission changed…
Contact list export warning…
三枝は、自分の名前を見た。
saegusa
胸の奥がざわついた。
自分がログを見たこと。
自分が証跡を探したこと。
それも攻撃者に見られていた。
久我が言った。
「個人名も含まれています。三枝さん、気にしすぎないでください。これは攻撃者の揺さぶりです」
山崎も言った。
「三枝さんがログを見たことは、正当な対応です。攻撃者は、それを心理的に使っています」
三枝は、ゆっくり頷いた。
「分かっています」
本当は、少し分かっていなかった。
自分の名前が攻撃者の手元にある。
自分の行動が見られていた。
それは、想像以上に気味が悪かった。
望月が、三枝を見た。
「三枝さん。あなたが見たから、私たちはここまで来ました」
三枝は顔を上げた。
望月は続けた。
「攻撃者に見られたことは問題です。でも、あなたが見たこと自体は、間違いではありません」
三枝は、短く答えた。
「はい」
山崎が言った。
「記録しましょう。攻撃者が担当者名を含む通知ログ断片を提示。担当者への心理的揺さぶりの可能性。対応者保護の観点から、社内で個人攻撃を防ぐ周知も必要です」
秋山が頷いた。
「社内向けに出します」
三枝は入力した。
15:45 不明差出人より件名“Archive.zip”のメール受信。ops_notify_archive_export_0414.zip由来と思われる通知ログ断片を提示。三枝を含む担当者名、証跡閲覧、Aster閲覧、地図権限変更等の通知を含む。担当者への心理的揺さぶりの可能性。対応者保護を含め社内周知準備。
保存。
手は、少しだけ震えていた。
だが、止まらなかった。
午後四時三十分。
山崎は、社内向けの短い周知文を作った。
インシデント対応に従事する社員名や操作記録の一部が、攻撃者により示唆される可能性があります。対応担当者が正規手順に基づきログ確認、証跡保全、権限変更等を行ったことは、会社として承認された対応です。個人への責任追及、憶測、社内外への不用意な共有を行わないでください。疑問がある場合は、対策本部へ確認してください。
望月は、それを読んですぐに承認した。
「出してください」
三枝は、少し驚いた。
「社長、そこまでしなくても」
望月は、首を横に振った。
「必要です。攻撃者は、人を孤立させようとします。会社が守らなければいけません」
山崎が頷いた。
「対応者保護も、インシデント対応の一部です」
三枝は、何も言えなかった。
三か月前、深夜に一人でログを見ていた時、誰が自分を守ってくれるのか分からなかった。
今は違う。
会社が、対応者を守る言葉を出している。
それもまた、説明できる会社の一部だった。
午後五時二十分。
取締役会への更新報告では、通知アーカイブの件が中心になった。
山崎が、資料を説明する。
「本件で新たに確認されたのは、外部SaaS通知が旧通知集約チャンネルへ集まり、その内容がComplyVault監査アーカイブへ保存され、契約終了済み外部監査用一時アカウントにより三週間前にエクスポートされていた可能性です」
監査役が、苦い顔で言った。
「監査のためのアーカイブが攻撃者に使われた」
山崎は頷いた。
「はい。ただし、監査アーカイブ自体を否定するものではありません。アーカイブは必要です。問題は、外部一時アカウント、検索権限、エクスポート権限、契約終了後削除確認、エクスポート通知、MFA通知先が未管理だったことです」
財務担当役員が聞いた。
「費用はどれくらいかかりますか。通知サプライチェーン管理やアーカイブ権限見直しまで入れると、また大きな投資になります」
望月が答えた。
「費用はかかります。しかし、今回のエクスポート一件で、攻撃者は当社の調査状況、業務地図、証跡閲覧、取引先対応の多くを推測できた可能性があります。これは、費用の問題ではなく、会社の神経系を守る問題です」
会議室が静かになった。
山崎は、資料の最後を示した。
再発防止追加項目
一 監査アーカイブ権限の棚卸し
二 外部一時アカウントの期限・自動失効
三 アーカイブ検索・エクスポートの二名承認
四 エクスポート通知の限定化
五 MFA通知先台帳
六 通知サプライチェーン台帳
七 対応者名を含む通知の機密分類
八 契約終了時のアーカイブ権限削除証明
監査役が頷いた。
「これは、内部統制のテーマです」
山崎は答えた。
「はい。サイバーセキュリティは、内部統制と分かれていません」
三枝は、その言葉を聞いて思った。
また、線がつながった。
サイバー。
法務。
監査。
契約。
現場。
経営。
分けていたものが、攻撃でつながり、防御でもつながる。
午後六時四十分。
ComplyVault Japanから、アーカイブエクスポートの詳細ログが届いた。
external-audit-tempによるエクスポートは、三週間前の午前二時二十二分。
ダウンロード先は、匿名化されたクラウド環境。
エクスポート時に、管理者通知が発生していた。
通知先は、駿河MLの旧監査通知メール。
三枝は、嫌な予感がした。
旧監査通知メール。
また、別の通知先。
設定を確認すると、そのメールボックスは、監査役、秋山、そして外部IT統制支援会社の旧担当者に通知を転送していた。
秋山が、額に手を当てた。
「ここにも旧担当者……」
山崎は、静かに言った。
「アーカイブのエクスポート通知も、観測窓です」
久我が補足した。
「攻撃者がexternal-audit-tempでエクスポートした時、通知が旧監査通知メールへ飛んだ。その通知を誰かが見ていれば、エクスポート成功も分かります」
三枝は、未了事項台帳にさらに追加した。
U-146 監査アーカイブエクスポート通知先管理未了
責任者。
秋山・三枝
期限。
本日中に旧通知先停止、七日以内に恒久設計
状態。
緊急対応中
保存。
窓の先に巣があり、巣の先に鏡があり、鏡にもまた通知がある。
入れ子になっている。
三枝は、軽いめまいを覚えた。
山崎が、それに気づいたように言った。
「三枝さん。入れ子構造を図にしましょう」
「はい」
山崎は、ホワイトボードに階層を書いた。
業務資料
↓ 通知
通知チャンネル
↓ アーカイブ
監査アーカイブ
↓ エクスポート通知
監査通知メール
↓ 転送
外部旧担当者
山崎は言った。
「攻撃者は、この入れ子のどこかに座れば、かなり多くを見られます」
三枝は、静かに頷いた。
「通知の巣が、さらに巣を持っている」
「はい」
山崎は答えた。
「だから、サプライチェーンとして管理します」
午後七時五十五分。
Blue Heronからメールが届いた。
件名は、Matryoshka。
マトリョーシカ。
本文には、こうあった。
Nest in a mirror.
Mirror in a mailbox.
Mailbox in a ghost.
巣は鏡の中に。
鏡はメールボックスの中に。
メールボックスは亡霊の中に。
三枝は、保全しながら、思わず小さく息を吐いた。
攻撃者は、こちらが入れ子に気づいたことも知っている。
いや、もしかすると、攻撃者は最初からこの入れ子を見ていた。
山崎が言った。
「相手は、自分たちが使った構造を詩のように見せています」
久我が頷いた。
「ただ、詩ではなく経路です」
望月が言った。
「経路なら、閉じられます」
山崎は頷いた。
「はい。保全して、閉じます」
三枝は入力した。
19:55 不明差出人より件名“Matryoshka”のメール受信。通知チャンネル、アーカイブ、メールボックス、旧アカウントの入れ子構造を示唆。攻撃者が通知・アーカイブ・メール転送の多層経路を把握している可能性。証跡保全。
保存。
午後八時三十分。
その日の最後の対策会議で、望月は全員に言った。
「今日は、通知の巣だけでなく、アーカイブの鏡を見つけました。正直、会社がここまで自分の通知や記録を説明できていなかったことに驚いています」
誰も口を挟まなかった。
望月は続けた。
「しかし、記録を残すことはやめません。通知を集めることも、アーカイブすることも、監査することも必要です。ただし、誰が見られるのか、いつ閉じるのか、どこへ転送されるのかを説明できるようにします」
山崎は頷いた。
「それが、次の統制です」
秋山が言った。
「アーカイブ権限規程を作ります」
黒崎が続けた。
「通知チャンネルとアーカイブの連携台帳を作ります」
久我が言った。
「ComplyVaultの全エクスポート履歴をフォレンジック対象にします」
大石が言った。
「現場通知も対象にしてください。配送管理のLINE的な簡易通知もあります」
全員が大石を見た。
大石は、少し気まずそうに言った。
「すみません。現場で使いやすいから……」
山崎は、すぐに答えた。
「申告ありがとうございます。それも棚卸しに入れましょう。責めるためではありません」
大石は、少しだけ安心した顔をした。
三枝は、また新しい行を追加した。
M-010 現場簡易通知グループ
まだ中身は分からない。
だが、見つかった。
見つかれば、管理できる。
午後九時四十五分。
会議が終わった後、三枝は一人でComplyVaultの画面を見ていた。
アーカイブには、膨大な通知が残っている。
会社の神経信号。
会社の反応。
会社の痛み。
会社が何を見たか。
何を開いたか。
何を閉じようとしたか。
三枝は思った。
記録は、会社を守る。
だが、記録は、会社を裸にもする。
だから、記録を守る必要がある。
山崎が、背後から言った。
「三枝さん。アーカイブは、鏡です」
三枝は振り返った。
山崎は、モニターを見ながら続けた。
「鏡は、自分を見るために必要です。しかし、鏡を外へ向けたままにすると、外から自分を見られます」
三枝は頷いた。
「鏡にも、カーテンが必要ですね」
山崎は、少しだけ笑った。
「はい。権限、期限、承認、ログ、削除証明というカーテンです」
三枝は、ノートに書いた。
アーカイブは鏡。
鏡にもカーテンがいる。
保存。
午前零時。
三枝は、時系列表の最後に入力した。
00:00 NotifyBridge旧通知集約チャンネルのComplyVaultアーカイブ連携を確認。external-audit-tempによる三週間前の検索・エクスポート履歴を確認し、ops_notify_archive_export_0414.zipに外部SaaS通知、業務地図通知、DeviceActionRaw関連通知等が含まれる可能性を整理。通知アーカイブ、監査アーカイブ、MFA通知先、エクスポート通知を統制対象化。
保存。
画面右下。
保存しました。
第三会議室は、静かだった。
だが、その静けさの中で、会社はまた一つ、自分の鏡を内側へ向け直した。
ログは眠らない。
通知も眠らない。
アーカイブも眠らない。
だから、誰がその記録を見るのかを決めなければならない。
三枝は、ノートPCを閉じた。
会議室の窓には、三枝自身の顔が薄く映っていた。
疲れた顔。
だが、以前より少しだけ目が強くなった顔。
鏡は、こちらを見返している。
今度は、こちらも見返す番だった。
コメント