第23章 鍵の墓場
- 山崎行政書士事務所
- 5月7日
- 読了時間: 19分
午前八時二十五分。
第三会議室のホワイトボードには、前夜の文字が残っていた。
鍵の墓場
三枝涼真は、その文字を見つめていた。
鍵。
それは、これまで何度も出てきた。
アカウントの鍵。委託先保守用アカウント。退職者アカウント。MFA通知先。APIトークン。クライアント証明書。秘密鍵。
鍵は、会社を守るためにある。
だが、鍵が墓場に残っているなら、それは守りではない。死んだはずの接続を、もう一度起こす道具になる。
大型モニターには、東海ITガバナンスから届いた一次報告が映っていた。
旧プロジェクトアーカイブ内に、ComplyVault導入支援時の証明書関連ファイルが残存している可能性あり。対象アーカイブは保全済み。暗号化ZIPの中身は未確認。パスワードは別メールに記載されていた可能性あり。
三枝は、息を吐いた。
証明書は失効した。だが、秘密鍵のコピーがあるかもしれない。
失効済みなら、同じ証明書はもう使えない。だが、秘密鍵がどこにあり、誰が見られ、同じ手順で発行された別の証明書があるかを確認しなければならない。
久我真琴が、オンライン画面の中で言った。
「今日確認するのは、“使えた鍵”と“残っていた鍵”を分けることです」
山崎行政書士事務所の山崎が頷いた。
「そして、“残っていた鍵”をどう処理するかです」
秋山法務総務部長が聞いた。
「暗号化ZIPを開くのですか」
久我は慎重に答えた。
「すぐには開きません。まず、何が含まれている可能性があるか、誰のデータが含まれるか、他社情報が混在していないか、開封権限と手順を確認します」
望月社長が眉を寄せた。
「他社情報?」
久我は頷いた。
「旧プロジェクトアーカイブには、東海ITガバナンスの複数顧客の導入支援資料が混在している可能性があります。駿河MLに関係する範囲だけを取り出す必要があります」
山崎が続けた。
「ここでも、保全と閲覧は別です。保全することと、見ることは違います。見る必要がある範囲、見てよい人、見た記録を残す必要があります」
三枝は、時系列表の横に新しいシートを作った。
鍵アーカイブ確認記録
列を入力する。
対象アーカイブ保全時刻保有者関連契約他社情報混在可能性閲覧承認者開封範囲含まれる可能性のある鍵情報処理方針証跡
山崎は、その表を見て言った。
「良いです。鍵の墓場を掘る時は、墓を荒らさない手順が必要です」
黒崎が苦い顔で言った。
「先生、表現が怖いですね」
山崎は真面目な顔で答えた。
「現実が怖いので」
会議室に、小さな笑いが起きた。
だが、長くは続かなかった。
午前九時。
東海ITガバナンスとの合同確認が始まった。
画面には、宮坂と若林が映っていた。その表情は、前日よりさらに重い。
宮坂が説明した。
「旧プロジェクトアーカイブは、弊社の長期保管領域にあります。対象は、ComplyVault導入支援プロジェクトの作業資料です。ただし、同時期の他社案件フォルダと同じ親ディレクトリにあり、誤って広い範囲を開くと他社情報に触れる可能性があります」
山崎が確認した。
「駿河MLに関係するフォルダだけを特定できますか」
若林が答えた。
「はい。フォルダ名、案件番号、契約番号で特定できます」
久我が言った。
「まずフォルダ一覧とメタデータだけを出してください。ファイル本体は、必要なものだけ」
宮坂が頷いた。
「承知しました」
数分後、フォルダ一覧が共有された。
/archive/2026/complyvault/suruga-ml/
中には、複数のサブフォルダがあった。
01_requirements02_design03_certificates04_workflow_test05_handover99_temp
三枝は、03_certificates と 99_temp を見た瞬間、嫌な予感を覚えた。
久我が言った。
「まず、03_certificatesのメタデータを」
若林が共有した。
cv-client-external-audit-temp.pfx.zipcv-client-compliance-reviewer-02.pfx.zipsuruga_cv_client_bundle_backup.zipcert_password_memo.txtrevocation_procedure_draft.docx
三枝は、画面を見つめた。
「パスワードメモ……」
秋山が、目を閉じた。
「別メールではなく、同じフォルダにあるのですか」
若林は、苦しそうに答えた。
「当時の一時フォルダから、バックアップ時に一緒に入ってしまった可能性があります」
久我が低い声で言った。
「秘密鍵とパスワードが同じアーカイブにある可能性があります」
山崎が、すぐに言った。
「事実として記録します。まだ中身は開いていません」
三枝は入力した。
09:12 東海ITガバナンス旧プロジェクトアーカイブ /suruga-ml/03_certificates に、cv-client-external-audit-temp.pfx.zip、cv-client-compliance-reviewer-02.pfx.zip、suruga_cv_client_bundle_backup.zip、cert_password_memo.txt、revocation_procedure_draft.docx のメタデータを確認。秘密鍵ファイルおよびパスワードメモが同一領域に残存している可能性。中身は未開封。
望月が静かに言った。
「これが、鍵の墓場ですね」
山崎は頷いた。
「はい。そして、墓場に鍵と解錠メモが一緒に置かれていた可能性があります」
会議室は沈黙した。
午前九時三十分。
開封範囲の承認が必要になった。
東海ITガバナンス側には他社情報混在リスクがある。駿河ML側には秘密鍵情報の閲覧リスクがある。ComplyVault Japanにも、証明書悪用に関わる調査として立会いが必要だった。
山崎は、三社間の開封メモを作った。
鍵アーカイブ限定開封メモ
目的:ComplyVault外部監査用証明書および秘密鍵残存有無の確認、攻撃利用可能性の評価、失効後の残存リスク確認。
対象範囲:/archive/2026/complyvault/suruga-ml/03_certificates 内の駿河ML関連ファイルに限定。
禁止事項:他社案件フォルダの閲覧、秘密鍵ファイルの不必要な複製、パスワードのチャット送信、開封結果の無制限共有。
作業者:東海ITガバナンス若林、北斗DFIR久我、駿河ML三枝。
記録確認:山崎行政書士事務所。
承認者:駿河ML望月社長、東海ITガバナンス宮坂、ComplyVault Japan杉浦。
山崎は言った。
「鍵を扱う時は、見ること自体がリスクです。必要な人だけ、必要な範囲だけ、必要な時間だけです」
三枝は頷いた。
「はい」
久我が補足した。
「秘密鍵そのものを画面に表示しないようにしてください。存在確認、フィンガープリント、証明書対応関係、更新日時、アクセス履歴で十分です」
若林が緊張した顔で頷いた。
「分かりました」
望月が言った。
「承認します」
宮坂も頷いた。
ComplyVaultの杉浦も頷いた。
三枝は、判断記録に入力した。
09:36 鍵アーカイブ限定開封を承認。目的:駿河ML関連ComplyVault外部監査用証明書・秘密鍵残存確認。対象範囲限定、他社情報閲覧禁止、秘密鍵の不必要な複製禁止、作業記録必須。判断者:望月社長ほか関係者。
保存。
午前十時五分。
若林が、最初のファイルのメタデータを開いた。
作成日。
二年前。
最終更新。
二年前。
最終アクセス。
三週間前。
三枝の心臓が跳ねた。
「三週間前にアクセスされています」
久我が聞いた。
「誰が」
若林はログを確認した。
「東海ITガバナンスの退職者アカウントです。昨日報告したアカウントと同じです」
山崎が言った。
「記録しましょう」
三枝は入力した。
10:07 cv-client-external-audit-temp.pfx.zipの最終アクセスが三週間前であることを確認。アクセス者は東海ITガバナンス退職者アカウント。本人操作ではない旨同社一次回答中。
次に、cert_password_memo.txt。
メタデータ。
最終アクセス。
三週間前、同じ時間帯。
三枝は、胃が沈んだ。
「パスワードメモも見られています」
久我が言った。
「これで、秘密鍵ファイルとパスワードの両方にアクセスされた可能性が高い」
山崎が、静かに補正した。
「メタデータ上、両方へのアクセス痕跡あり。中身が取得されたかは、ダウンロードログを確認します」
若林が、ダウンロード履歴を確認した。
沈黙。
その沈黙だけで、三枝は答えを予感した。
若林が言った。
「ダウンロードされています」
会議室の空気が固まった。
「二つともですか」
久我が聞く。
若林は頷いた。
「はい。pfx.zipとcert_password_memo.txtの両方が、三週間前にダウンロードされています」
三枝は、指先が冷たくなるのを感じた。
証明書と秘密鍵。パスワードメモ。外部監査用アカウント。承認API。ComplyVaultエクスポート。
すべて、つながった。
久我が言った。
「攻撃者は、秘密鍵とパスワードを入手し、それを使ってComplyVaultのAPI認証を行った可能性が高いです」
山崎が、すぐに言った。
「“可能性が高い”です。断定には、API認証時の証明書フィンガープリント一致、ダウンロード元、時間軸、他のログ突合が必要です」
三枝は入力した。
10:11 東海ITガバナンス旧アーカイブ内のcv-client-external-audit-temp.pfx.zipおよびcert_password_memo.txtについて、三週間前に同社退職者アカウントによるダウンロード履歴を確認。ComplyVault API認証に用いられた秘密鍵・パスワードが外部取得された可能性が高まる。証明書フィンガープリントおよびAPI認証ログとの突合を継続。
保存。
望月は、しばらく目を閉じていた。
そして言った。
「鍵が墓場から持ち出されていた」
誰も否定できなかった。
午前十時三十五分。
久我は、ダウンロードされた証明書ファイルのフィンガープリントと、ComplyVault API認証時に使われた証明書フィンガープリントを照合した。
結果は、一致。
cv-client-external-audit-temp一致。
cv-client-compliance-reviewer-02一致。
久我が言った。
「一致しました」
会議室は静かだった。
「秘密鍵ファイルが直接使われたか、同じ証明書が別経路から入手されたかはまだ表現に注意が必要ですが、少なくとも旧アーカイブ内の証明書と、API認証に使われた証明書は同一です」
山崎が頷いた。
「記録します」
三枝は入力した。
10:37 旧アーカイブ内証明書ファイルのフィンガープリントと、三週間前ComplyVault API認証時のクライアント証明書フィンガープリントが一致。旧アーカイブからダウンロードされた証明書・秘密鍵がAPI認証に利用された可能性が高い。
秋山が、東海ITガバナンスの宮坂を見た。
「御社の旧アーカイブ管理が、当社のアーカイブ侵害に直結した可能性があります」
宮坂は、深く頭を下げた。
「申し訳ありません」
山崎が、静かに言った。
「謝罪は記録します。ただし、今はまだ責任認定ではありません。必要なのは、同様の証明書、鍵、パスワードメモ、旧アーカイブが他にもないかを確認することです」
宮坂は頷いた。
「全件棚卸しを開始します」
望月が言った。
「当社も同じことをします。外部に出した鍵だけでなく、社内アーカイブに残る鍵も確認します」
三枝は、未了事項台帳に新しい行を追加した。
U-150 旧アーカイブ内秘密鍵・パスワード残存棚卸し未了
責任者。
三枝・黒崎・秋山
関係者。
東海ITガバナンス、ComplyVault Japan、各外部委託先
期限。
十四日以内に重要システム一次棚卸し
状態。
開始
保存。
午前十一時。
Blue Heronからメールが届いた。
件名は、Grave robber。
墓荒らし。
本文は、短い。
We did not break the lock.We found the key beside the grave.
鍵を壊したのではない。墓のそばに鍵を見つけただけだ。
その下には、証明書ファイル名とパスワードメモのファイル名が貼られていた。
三枝は、怒りを感じた。
だが、同時に、攻撃者の言葉が痛いほど正確だとも思った。
鍵を壊したのではない。
鍵が残っていた。
久我が言った。
「保全してください。攻撃者がファイル名を知っていることを確認」
三枝は手順どおり保全した。
山崎が言った。
「このメールは、対外説明にも影響します。攻撃者は脆弱性を突いたというより、旧アーカイブに残存した秘密鍵・パスワードを利用した可能性があります」
秋山が言った。
「それを言うと、東海ITガバナンスの責任に触れます」
山崎は頷いた。
「はい。ですから、対外説明では個社名や詳細経路は慎重に扱います。ただ、関係事業者の旧アーカイブに残存した認証情報が悪用された可能性について、調査していることは内部資料と弁護士向け資料に入れるべきです」
望月が言った。
「取引先向けには?」
「現時点では、“監査アーカイブの外部取得可能性に関し、契約終了済み外部支援アカウント、旧承認API、関連証明書の残存が判明し、関係事業者とともに保全・失効・影響確認を進めている”程度です。秘密鍵ファイル名や具体的な保管ミスは、調査・法務判断後です」
望月は頷いた。
「分かりました」
三枝は入力した。
11:03 不明差出人より件名“Grave robber”のメール受信。旧アーカイブ内証明書ファイル名およびパスワードメモ名を提示。“鍵を壊したのではなく、墓のそばに鍵を見つけた”と記載。攻撃者が旧アーカイブ内鍵情報を把握していた可能性が高い。
保存。
午前十一時四十分。
久我は、旧アーカイブ内の suruga_cv_client_bundle_backup.zip を確認する前に手を止めた。
「これは、危険です」
三枝が聞いた。
「なぜですか」
「名前からすると、複数のクライアント証明書がまとめられている可能性があります。ComplyVaultだけでなく、関連システム用の証明書が含まれているかもしれない」
山崎が確認した。
「開く必要がありますか」
久我は答えた。
「中身の確認は必要です。ただし、最小限です。まずメタデータとファイル一覧だけ。秘密鍵の内容は表示しない」
宮坂が同意した。
「ファイル一覧だけを抽出します」
作業が行われた。
ファイル一覧が表示される。
cv-client-external-audit-temp.pfxcv-client-compliance-reviewer-02.pfxnotifybridge-admin-old-client.pfxlegacy-biconnect-review.pfxquality-cloud-import-temp.pfx
三枝は、血の気が引くのを感じた。
ComplyVaultだけではない。
NotifyBridge。BI接続。品質クラウド。
鍵の墓場には、複数の鍵が入っていた。
久我が低く言った。
「これはまずいですね」
黒崎が言った。
「他の証明書も有効か確認します」
三枝は、それぞれを証明書棚卸し表へ追加した。
C-003 notifybridge-admin-old-client.pfxC-004 legacy-biconnect-review.pfxC-005 quality-cloud-import-temp.pfx
状態。
有効性未確認
関係システム。
NotifyBridge、BI、品質管理クラウド
三枝は、入力しながら思った。
攻撃者が「残りはいくつだ」と聞いた理由が分かる。
鍵は、一つではなかった。
久我が言った。
「この三つは、すぐに利用履歴と有効性を確認してください。もし有効なら、失効判断が必要です」
山崎が、望月を見た。
「経営判断として、ComplyVault以外の旧証明書についても、保全後に緊急失効する方針を取りますか。業務影響が出る可能性があります」
黒崎が補足した。
「NotifyBridgeは隔離済み。BIと品質クラウドは現行業務への影響があるかもしれません。ただ、旧レビュー用なら止めても大きな影響はないと思います」
大石が言った。
「品質クラウドは慎重に。回収対応に使います」
久我が言った。
「現行本番証明書ではなく、旧インポート一時証明書なら、まず保全して影響範囲を確認。危険度が高ければ失効です」
望月は頷いた。
「保全後、現行業務影響を確認し、旧一時証明書であることが確認できたものから失効してください。危険度が高い場合は、業務影響を認識した上で失効を優先します」
山崎は記録した。
三枝は入力した。
11:48 suruga_cv_client_bundle_backup.zipのファイル一覧を限定確認。ComplyVault二件に加え、notifybridge-admin-old-client.pfx、legacy-biconnect-review.pfx、quality-cloud-import-temp.pfxを確認。秘密鍵内容は未表示。各証明書の有効性・利用履歴・業務影響を確認し、旧一時証明書は保全後に失効する方針。
保存。
午後零時三十分。
三枝と久我は、三つの証明書の有効性を確認した。
notifybridge-admin-old-client.pfx
状態。
すでに無効。ただし、三週間前にNotifyBridge旧管理者ログインに使われた可能性あり。
legacy-biconnect-review.pfx
状態。
有効。BIダッシュボードの外部レビュー環境に紐づく。最終利用、三週間前。
quality-cloud-import-temp.pfx
状態。
有効。品質管理クラウドの旧データインポート用。最終利用、昨日。
三枝は、特に最後のものを見て顔を上げた。
「品質クラウドの証明書、昨日使われています」
大石が画面越しに反応した。
「昨日?」
久我がログを確認した。
「品質事故・返品回収ルート一覧を確認した前後です。外部から旧データインポートAPIへの認証試行があり、成功しています」
会議室の空気が一気に重くなった。
「成功?」
黒崎が聞いた。
久我は頷いた。
「はい。ただし、データ変更は現時点では確認されていません。メタデータ閲覧と一部リスト取得の可能性があります」
大石が、低い声で言った。
「静脈も見られている」
山崎が言った。
「記録します。quality-cloud-import-temp証明書が有効であり、昨日、品質管理クラウド旧データインポートAPI認証に成功。操作内容はメタデータ閲覧・一部リスト取得の可能性。変更有無は未確認」
三枝は入力した。
12:37 quality-cloud-import-temp.pfxが有効であり、昨日、品質管理クラウド旧データインポートAPI認証に成功したログを確認。現時点でデータ変更は未確認。メタデータ閲覧・一部リスト取得の可能性。品質事故・返品回収ルート一覧調査時期と近接。
望月が即座に言った。
「保全後、失効してください」
大石も頷いた。
「業務影響があっても、止めてください。現行インポートには使っていないはずです」
黒崎が確認した。
「現行インポートは別証明書です。旧一時証明書を失効しても影響は限定的です」
山崎が記録した。
三枝は、品質管理クラウド事業者の立会いのもと、証明書失効作業に入った。
数分後。
quality-cloud-import-temp: Revoked
続いて、BIの旧レビュー証明書も失効。
legacy-biconnect-review: Revoked
NotifyBridge旧証明書は、既に無効だったが、状態を保全した。
三枝は入力した。
12:55 quality-cloud-import-tempおよびlegacy-biconnect-reviewを保全後失効。notifybridge-admin-old-clientは既に無効であることを確認し、状態保全。
保存。
また、扉が閉じた。
午後一時二十分。
Blue Heronからメールが届いた。
件名は、Vein closed。
本文は、二行。
You closed the vein key.But did you see what it carried?
静脈の鍵を閉じた。だが、それが何を運んだか見たか?
三枝は、胃の奥が冷えた。
品質管理クラウドの旧データインポートAPIが、何を見せたのか。何を取得したのか。
久我が言った。
「quality-cloud-import-tempのAPI操作内容を詳細に追いましょう」
大石が頷いた。
「お願いします」
ログが確認された。
操作内容。
List recall_routesRead metadata: cold_chain_recall_priorityRead metadata: customer_quality_sensitivityExport attempt: failed
三枝は、最後で少し息を吐いた。
エクスポートは失敗している。
だが、メタデータは読まれている。
山崎が言った。
「記録は、“回収ルート一覧、定温回収優先度、顧客品質感度メタデータの閲覧可能性。エクスポート試行は失敗。実データ取得範囲は継続確認”です」
三枝は入力した。
13:24 quality-cloud-import-temp利用時の操作内容を確認。recall_routes一覧、cold_chain_recall_priority、customer_quality_sensitivityメタデータ閲覧可能性。Export attemptはfailed。実データ取得範囲は継続確認。
大石が低く言った。
「顧客品質感度……そんな項目まで」
品質管理部長が答えた。
「品質事故時に、どの顧客へどの順番で連絡するかを判断するための項目です」
山崎が言った。
「説明システムの地図ですね」
三枝は頷いた。
攻撃者は、また説明の急所を見ようとしていた。
午後二時四十分。
山崎は、鍵の墓場に関する中間整理を作成した。
鍵の墓場 中間整理
一 旧プロジェクトアーカイブに、外部監査用証明書・秘密鍵・パスワードメモが残存していた可能性。
二 当該証明書はComplyVaultエクスポート要求・承認APIに利用されたログと一致。
三 同一バックアップ内に、NotifyBridge、BI、品質管理クラウド関連の旧証明書も残存。
四 一部証明書は三週間前または昨日の外部認証に利用された可能性。
五 失効済み証明書については、失効後の拒否ログを確認。
六 終了管理に、証明書失効、秘密鍵削除、パスワードメモ削除、失効後拒否ログ確認を組み込む。
望月は、その資料を読んだ。
「これを、取締役会と弁護士へ共有します」
秋山が頷いた。
「東海ITガバナンスとの責任整理にも必要です」
山崎は言った。
「はい。ただし、今回も責任追及の前に、同型の鍵を閉じることを優先します」
久我が言った。
「攻撃者が“残りはいくつだ”と言っている以上、同じ型の鍵が他にもあると考えた方がいい」
黒崎が頷いた。
「全重要外部連携の証明書棚卸しを前倒しします」
三枝は、未了事項台帳の期限を更新した。
U-149 外部連携証明書・秘密鍵棚卸し未了
期限。
七日以内 → 七十二時間以内に優先度A完了
保存。
また、期限が短くなった。
だが、必要だった。
午後三時三十分。
証明書棚卸しが進む中、三枝は奇妙な項目を見つけた。
cv-client-emergency-legal-hold
用途。
緊急リーガルホールド用。ComplyVault内の証跡保全を停止不能にするための管理証明書。
所有者。
法務総務部。
発行日。
三年前。
有効期限。
二年後。
最終利用。
なし。
状態。
Valid。
三枝は、秋山を見た。
「緊急リーガルホールド用の証明書があります」
秋山が眉をひそめた。
「使ったことはありません。導入時に作った非常用では」
久我が言った。
「非常用の証明書は、特に危険です。使わないから忘れられますが、権限が強い」
山崎が聞いた。
「保管場所は」
三枝は確認した。
「法務総務部の保管庫と、ComplyVault管理画面上の登録。秘密鍵保管場所は未確認です」
秋山がすぐに言った。
「確認します」
望月が聞いた。
「これは失効すべきですか」
久我は慎重に答えた。
「非常用として必要かもしれません。ただし、今のまま所有者・保管場所・利用条件が不明なら危険です。使うなら再発行し、現行責任者で管理した方がよいです」
山崎が言った。
「非常用ほど、定期確認が必要です」
ホワイトボードに書く。
非常用 ≠ 放置用
三枝は、少し笑いそうになった。
だが、笑えなかった。
非常用。緊急用。一時用。本番安定後。検収後。
会社の曖昧な言葉は、まだまだ多い。
三枝は入力した。
15:36 ComplyVault緊急リーガルホールド用証明書cv-client-emergency-legal-holdを確認。状態Valid、最終利用なし、秘密鍵保管場所未確認。非常用証明書として必要性・保管・利用条件・再発行要否を確認。
山崎は言った。
「次章の候補が出ましたね」
三枝は顔を上げた。
「非常用の鍵ですか」
「はい。攻撃者は、日常の鍵だけでなく、非常用の鍵を探すかもしれません」
三枝は、背筋が冷えた。
非常用の鍵。
使わないからこそ、誰も見ていない。
誰も見ていないからこそ、攻撃者が見る。
午後四時十五分。
Blue Heronからメールが届いた。
件名は、Emergency。
本文は、短かった。
Break glass.Who keeps the glass?
緊急時に壊せ。そのガラスを、誰が保管している?
三枝は、画面を見つめた。
Break glass。
非常用アカウント。緊急証明書。リーガルホールド。災害時地図。緊急出荷キオスク。緊急保守グループ。
Blue Heronは、また次の扉を指している。
山崎が、静かに言った。
「非常用統制ですね」
望月が頷いた。
「今日の証明書棚卸しの中で、非常用のものを全て抽出してください」
黒崎が言った。
「Break glassアカウント、緊急保守、非常用証明書、緊急承認、全部ですね」
秋山が続けた。
「法務総務の緊急リーガルホールドも確認します」
大石が言った。
「現場の緊急出荷キオスクも」
久我が言った。
「非常用は、通常時に無効化されているか、厳重に監視されている必要があります」
山崎は、時系列表に入力する三枝を見て言った。
「記録してください。攻撃者は非常用の鍵を示唆しています。ただし、調査は攻撃者の誘導ではなく、当社の証明書・承認・終了管理方針に基づいて進める」
三枝は入力した。
16:15 不明差出人より件名“Emergency”のメール受信。“Break glass. Who keeps the glass?”と記載。非常用アカウント・証明書・承認・緊急保守・緊急出荷等への揺さぶりの可能性。当社方針に基づき非常用統制の棚卸しを開始。
保存。
午後五時。
その日の終わりに、望月は短く言った。
「今日、一つの鍵の墓場を見つけました。そこから複数の鍵が出てきました。いくつかは閉じました。いくつかは、まだ確認中です」
会議室は静かだった。
「明日は、非常用の鍵を確認します。緊急時のために作ったものが、平時に攻撃者の鍵になっていないかを見ます」
山崎が頷いた。
「非常用統制は、会社の最後の扉です」
久我が言った。
「最後の扉が攻撃者に使われると、被害は大きいです」
三枝は、未了事項台帳に新しい大分類を作った。
非常用統制
最初の行。
U-151 非常用アカウント・証明書・承認経路棚卸し未了
責任者。
三枝・黒崎・秋山・大石
期限。
七十二時間以内に優先度A完了
状態。
開始
保存。
午前零時。
三枝は、時系列表の最後に入力した。
00:00 東海ITガバナンス旧プロジェクトアーカイブ内に、ComplyVault外部監査用証明書・秘密鍵・パスワードメモ、およびNotifyBridge、BI、品質管理クラウド関連の旧証明書が残存していたことを確認。一部は三週間前または昨日の外部認証に利用された可能性があり、保全後に失効。終了証明パックへ失効後拒否ログ確認、秘密鍵削除確認、終了通知先確認を追加。非常用統制棚卸しを開始。
保存。
画面右下。
保存しました。
三枝は、自分のノートにも一行書いた。
鍵は、なくした時より、忘れた時の方が危ない。
保存。
第三会議室の窓の外には、夜の倉庫が見える。
ラベルが出る。荷物が流れる。鍵が閉じる。
だが、非常用のガラスケースの中には、まだ誰が持っているか分からない鍵がある。
明日は、そのガラスを見る。
コメント