第3章 バックアップはあるのに戻せない
- 山崎行政書士事務所
- 5月6日
- 読了時間: 25分
午後四時十九分。
バックアップ管理画面には、緑色の文字が並んでいた。
成功。成功。成功。成功。
毎日、決められた時刻に処理は走っていた。ログ上は失敗していない。容量も足りている。保存先も存在している。復元ポイントも表示されている。
それだけ見れば、駿河メディカルロジスティクス株式会社には、バックアップがあった。
三枝涼真は、その緑色の文字を見つめながら、なぜか安心できなかった。
久我真琴が、隣で画面を覗き込んでいた。外部フォレンジック会社、北斗DFIRのインシデントレスポンス担当。午前に到着してから、彼女は一度も椅子に深く座っていない。コーヒーも半分以上残したままだ。
久我は言った。
「バックアップジョブが成功していることと、業務が戻ることは別です」
黒崎課長が眉をひそめた。
「バックアップが成功しているなら、戻せるんじゃないんですか」
「戻せるものもあります。戻せないものもあります。戻してはいけないものもあります」
「戻してはいけない?」
久我は頷いた。
「侵害された後の状態を戻せば、攻撃者の足場も戻します。設定変更後の状態を戻せば、穴も戻します。バックアップは、過去の会社を保存しているだけです。その過去が安全だったかは、別に確認しないといけません」
会議室が静かになった。
大型モニターには、バックアップの一覧が映っている。その緑色は、もはや安全の色には見えなかった。
山崎行政書士事務所の山崎は、オンライン画面の向こうで資料を開いていた。山崎は、バックアップの技術的な復元手順には口を出さなかった。だが、復旧の判断をどのように記録し、誰が何を説明するのかについては、誰よりも早く整理を始めていた。
「まず確認します」
山崎が言った。
「御社にとって、今この時点での“復旧”とは何ですか」
黒崎が即答しかけて、止まった。
望月社長が代わりに聞いた。
「どういう意味でしょうか」
「全部を元通りにすることなのか。病院便を出せる状態にすることなのか。顧客情報を安全に確認できる状態にすることなのか。経理や請求まで含めるのか。復旧という言葉を一つにすると、判断を誤ります」
三枝は、ノートPCに新しいシートを作った。
復旧判断表
山崎が続けた。
「復旧対象、最終正常時刻、侵害可能性、証跡保全の要否、業務影響、判断者、判断理由。これを分けてください。バックアップを戻すかどうかは、技術作業である前に、経営判断です」
久我が頷いた。
「その表、助かります。技術側も、どの復元ポイントを優先検証するか決めやすい」
黒崎は苦い顔で言った。
「また表ですか」
山崎は静かに返した。
「黒崎さん。今から行う復旧作業は、後で必ず問われます。なぜその時点を選んだのか。なぜその端末を初期化したのか。なぜ全社復旧ではなく段階復旧にしたのか。表は、その説明のための足場です」
黒崎は反論しなかった。
三枝はセルに項目を打ち込んだ。
復旧対象。目的。候補復元ポイント。侵害可能性。業務影響。証跡保全。判断者。判断理由。未確認事項。
ただのExcelなのに、会議室の空気が少し変わった。漠然とした焦りが、項目に分解されていく。
倉庫部長の大石が、腕を組んで言った。
「現場としては、まずラベルを出したい。出荷指示が紙で来ても、ラベルが出ないと荷物になりません」
黒崎が頷いた。
「物流管理システム、ラベル発行、配送履歴参照。この三つが最優先だな」
秋山が口を挟んだ。
「顧客からの問い合わせ対応には、配送履歴も必要です。どの便が遅れているか答えられないと、電話が詰まります」
望月が言った。
「病院便を出すための最低限の復旧を、最優先にします。全面復旧は後回し」
山崎が確認した。
「理由は、“医療機関向け納品遅延による影響を最小化するため。全面復旧よりも、重要業務の限定復旧を優先する”でよろしいですか」
「はい」
三枝は入力した。
16:27 復旧方針:病院便・定温便に関わる最低限の業務機能を優先。全面復旧は安全性確認後。判断者:望月社長。理由:重要納品への影響最小化、再侵害防止、証跡保全。
その一行を書いた瞬間、復旧という言葉が少しだけ形を持った。
午後四時四十六分。
久我は、隔離された復旧環境の準備を始めた。
本番ネットワークにはつながない。管理者権限も分ける。復元先は検証用。アクセスできるのは、対応チームの限られたメンバーだけ。
「本番に直接戻すのは、最後です」
久我は言った。
「まず、バックアップの中身を見る。正常に起動するか。攻撃の痕跡が含まれていないか。必要な設定がそろっているか。外部に通信しようとしないか。そこを確認します」
三枝は隣で作業を手伝った。
復旧対象は、物流管理システムのデータベース。候補の復元ポイントは三つ。
五月五日 二十三時。五月五日 十二時。五月一日 二十三時。
五月五日二十三時は、業務データの損失が少ない。だが、侵害が始まっていた可能性がある。五月五日十二時は、少し古い。五月一日は、さらに安全かもしれないが、失うデータが大きすぎる。
大石が苛立った声で言った。
「五月一日まで戻したら、今週の出荷データはどうなるんですか」
久我は答えた。
「消えます。少なくとも、そのままでは使えません」
「そんなの復旧じゃないでしょう」
「だから、検証します。新しい復元ポイントが安全なら、それを使う。危なければ古いものを使う。古いものを使うなら、失われるデータを手作業で補正する」
大石は、天井を見上げた。
「現場に死ねって言ってるようなもんだ」
誰も笑わなかった。
山崎が言った。
「大石さん、その業務負荷も復旧判断表に入れます。技術的に安全でも、現場が処理できなければ復旧とは言えません」
大石は、山崎を見た。
「それを書いたら、誰か助けてくれるんですか」
「少なくとも、経営判断の材料になります。人員をどこに回すか、取引先へどの程度遅延を説明するか、どの業務を一時停止するかを決められます」
望月が頷いた。
「大石さん、必要な人数を出してください。営業部から応援を回します。今日中に全部は無理でも、病院便を優先します」
大石の表情が少しだけ変わった。
「分かりました。人数を出します」
三枝は、そのやり取りを聞きながら思った。
山崎行政書士事務所が作っているのは、単なる文書ではない。技術者、現場、経営者が同じ机で話すための言語だった。
午後五時十三分。
最初の復元が始まった。
対象は、五月五日二十三時のデータベースバックアップ。
進捗バーが、ゆっくり伸びていく。
一パーセント。三パーセント。七パーセント。
会議室の誰もが、それを見ていた。
出荷遅延の電話は鳴り続けている。委託先からの回答は遅い。Blue Heronからの脅迫メールは、証跡保全用の隔離領域に保存された。警察への相談準備も進んでいる。個人情報漏えいの可能性について、秋山は山崎とともに論点整理を始めていた。
それでも、今この瞬間、全員の視線は進捗バーに向いていた。
三十四パーセント。
久我が言った。
「ここまでは順調」
黒崎が小さく息を吐いた。
三枝は、油断しないよう自分に言い聞かせた。
六十二パーセント。七十八パーセント。九十一パーセント。
そして、百パーセント。
画面にメッセージが表示された。
復元完了。
会議室に、かすかな安堵が流れた。
大石が言った。
「じゃあ、戻せるんですね」
久我は手を上げた。
「まだです。データベースが戻っただけです」
「だけ?」
「アプリが起動するか、データが読めるか、ラベル発行ができるか、認証が通るか、外部連携が安全か。これからです」
大石は椅子に沈み込んだ。
三枝は、復元環境のアプリケーションを起動した。
ログイン画面が表示された。
黒崎が言った。
「出た」
三枝は検証用アカウントでログインしようとした。
エラー。
認証に失敗しました。
もう一度。
エラー。
三枝は、設定を確認した。アプリケーションは、クラウド上のID基盤と連携している。だが、隔離環境では本番の認証に直接つなげない。検証用の認証設定が必要だった。
「認証設定が足りません」
黒崎が言った。
「バックアップに入ってないのか」
「データベースには入っていません。アプリ設定、証明書、シークレット、ID連携設定が別です」
久我が頷いた。
「よくある話です。データは戻る。でも、動かすための鍵がない」
山崎が尋ねた。
「その“鍵”にあたる情報は、どこに管理されていますか」
三枝は、構成図を開いた。
アプリ設定。シークレット管理。証明書。プライベート接続。DNS。倉庫端末のプリンタ設定。
資料上は、ある。
だが、最終更新日は一年前。
「古いです」
三枝は言った。
「今の構成と一致していない可能性があります」
黒崎が額に手を当てた。
「構成図、更新したはずだろ」
「更新予定のチケットはあります。ただ、完了していません」
その言葉を口にした瞬間、三枝は嫌なものを感じた。
完了していない。未了。
まただ。
山崎が言った。
「その構成図更新チケットも、説明不能リストに入れてください。復旧できない理由の一つです」
黒崎は顔をしかめた。
「それ、今必要ですか」
「はい。なぜバックアップがあるのに戻せないのかを、後で説明する必要があります。理由を人の記憶に残すのではなく、事実として残してください」
三枝は入力した。
17:31 五月五日二十三時復元ポイントからデータベース復元完了。ただし、認証設定・アプリ設定・シークレット・接続情報が別管理であり、検証環境でアプリ起動不可。構成図更新チケット未完了を確認。
その一行は、残酷だった。
バックアップは成功している。だが、業務は戻っていない。
午後六時二分。
日向システムサービスの高瀬から、バックアップ契約に関する資料が送られてきた。
秋山がPDFを開いた。
そこには、バックアップサービスの仕様が書かれていた。
日次バックアップ取得。バックアップ成功監視。障害時の復旧支援。復旧作業は別途協議。定期的な復元テストはオプション。
秋山が読み上げた。
「定期的な復元テストは、オプション……」
黒崎が目を閉じた。
「見積もりに入ってなかったのか」
高瀬は画面の向こうで言った。
「初期提案時には、年二回の復元テストをご提案しています。ただ、費用調整の過程で対象外になったと認識しています」
黒崎が低く言った。
「誰が外した」
高瀬は答えなかった。
秋山が、古い稟議書を検索した。
数分後、該当する資料が出てきた。
クラウド移行費用調整メモ。復元テスト:次年度以降検討。理由:初年度費用圧縮のため。
承認者は、当時の役員会。説明資料作成者は、黒崎。技術補足欄には、小田切拓の名前があった。
会議室の空気が重くなった。
黒崎が、かすれた声で言った。
「俺が、説明した」
望月が資料を見つめていた。
「でも、役員会で承認したのは私たちです」
誰も、何も言えなかった。
山崎が静かに口を開いた。
「ここで大切なのは、誰か一人に責任を押し付けることではありません。復元テストがオプションであり、費用調整で外れた。その後、次年度以降に検討するとされたが、実施記録がない。これは事実です」
黒崎が呟いた。
「言い訳にしか聞こえない」
山崎は首を横に振った。
「いいえ。事実は言い訳ではありません。事実を整理しないと、再発防止策も作れません」
望月が顔を上げた。
「山崎先生。これは、当社が“バックアップはある”と説明してきたことと矛盾しますか」
「矛盾とは限りません。バックアップ取得は事実です。ただし、“業務復旧可能性を定期的に検証していた”とは言えません」
その言い方に、三枝は胸を刺された。
言えること。言えないこと。
その境界を見誤れば、会社は嘘をつくことになる。
山崎は続けた。
「今後の説明では、“バックアップは取得していたが、復元テストの実施状況に課題があり、現在、安全な復旧ポイントの検証を進めている”という表現になります」
望月は頷いた。
「分かりました」
黒崎は、机の一点を見つめたままだった。
三枝は時系列表に書いた。
18:09 バックアップ契約資料確認。定期復元テストはオプションであり、初年度費用調整により対象外。次年度以降検討とされたが、実施記録未確認。
書きながら、手が重かった。
それは誰かのミスではなく、会社の選択だった。
午後六時四十分。
三枝は、古い共有フォルダから「復元テスト」という文字列を検索した。
検索結果は少なかった。
二年前のクラウド移行時テスト。一年半前のデータベース単体復元。一年前の棚卸し資料。そして、ひとつだけ気になるファイルがあった。
WMS復元検証_未了事項.xlsx
ファイル名を見た瞬間、三枝の背中に冷たいものが走った。
未了事項。
彼はファイルを開いた。
最終更新者は、小田切拓。更新日は、半年前。小田切が日向システムサービスを退職する少し前だった。
シートには、復元検証の項目が並んでいた。
データベース復元:完了。アプリケーション起動:一部完了。認証連携:未了。ラベルプリンタ連携:未了。倉庫端末設定再配布:未了。本番切替手順:未了。経営報告:未了。
備考欄に、小田切のコメントが残っていた。
本番稼働後、構成変更が多く、復旧手順書の更新が追随していない。障害発生時、DB単体復元だけでは業務再開不可。次回保守会議で要確認。
三枝は声を失った。
半年前に、分かっていた。
少なくとも、小田切は分かっていた。
バックアップはある。だが、業務は戻らない。その危険は、半年前のExcelに書かれていた。
黒崎が隣で画面を見た。
「これ……俺は見たか?」
三枝は、ファイルの共有履歴を確認した。
閲覧者。小田切拓。高瀬。黒崎。三枝。
三枝の名前もあった。
閲覧日は、半年前。
彼は思い出した。
あの時、たしかに開いた。小田切から「復旧手順に未了事項があります」とチャットが来た。だが、その日は倉庫端末の大規模障害があり、三枝はファイルを開いただけで、後で見るつもりになった。
後で。
後で見る。後で直す。後で棚卸しする。後で契約を見直す。後で復元テストをする。
攻撃者は、その「後で」の中から来た。
三枝は、胸の奥が苦しくなった。
「僕も見ています」
黒崎が横を向いた。
「何?」
「このファイル、僕も半年前に開いています。でも、対応していません」
黒崎は黙った。
三枝は続けた。
「小田切さんが指摘していた。DB単体復元だけでは業務再開できないって」
会議室に、重い沈黙が落ちた。
山崎が静かに言った。
「三枝さん、その事実も記録してください」
三枝は、一瞬、山崎を見た。
自分の不備を書くのか。自分が見ていたのに対応しなかったことを。
山崎は、画面越しに真っ直ぐこちらを見ていた。
「記録は、誰かを罰するためだけのものではありません。会社が次に同じことを繰り返さないためのものです」
三枝は、唇を噛んだ。
そして入力した。
18:46 半年前の復元検証ファイルを確認。WMS復元検証において、認証連携、ラベルプリンタ連携、倉庫端末設定再配布、本番切替手順、経営報告が未了と記載。閲覧履歴に黒崎課長、三枝を確認。対応完了記録なし。
入力後、三枝はしばらく画面を見つめていた。
自分の名前が、未了ログの中にあった。
午後七時十三分。
二度目の復元検証が行われた。
今度は、五月五日十二時の復元ポイント。同時に、認証連携を本番とは切り離した検証用設定に差し替えた。
久我は、必要最低限の接続だけを許可した。三枝は、古い手順書と現在の構成を見比べながら、足りない設定を埋めていった。
認証。データベース接続。ストレージ参照。ラベルプリンタ設定。倉庫端末グループ。配送マスタ。温度管理用連携。
一つ戻すたびに、別のものが足りなかった。
「このシステム、依存関係が多すぎます」
三枝が呟いた。
久我は言った。
「業務システムはだいたいそうです。図にしないと、誰も全体を覚えられない」
「構成図はあります。でも、古い」
「古い構成図は、ない構成図より危ない時があります。あると思って信じるから」
その言葉に、三枝は何も返せなかった。
午後七時四十二分。
アプリケーションは起動した。
検証用アカウントでログインできた。配送履歴も表示された。病院便の出荷指示も参照できた。
会議室に、小さな声が漏れた。
「出た……」
大石が画面に近づいた。
「ラベルは?」
三枝は、テスト用伝票を選択し、ラベル発行ボタンを押した。
数秒。
プリンタは沈黙した。
エラー。
プリンタ構成が見つかりません。
大石が天を仰いだ。
「そこかよ」
三枝は設定を確認した。
本番倉庫のプリンタは、端末管理機能で配布される設定に依存していた。だが、その端末管理機能こそ、攻撃者に悪用された可能性がある。安全確認が終わるまで、そのまま使えない。
久我が言った。
「端末管理経由の再配布は、まだやめた方がいいです」
大石が言った。
「じゃあラベルは出せないんですか」
三枝は考えた。
端末管理を使わず、検証用端末に個別設定する。プリンタを一台だけ直接接続する。配送履歴を手動で取り込み、限定的にラベルを出す。
完全ではない。だが、病院便の一部なら出せるかもしれない。
「限定復旧なら、できます」
三枝は言った。
「東側ライン全部は無理です。でも、検証済み端末一台とプリンタ一台で、病院便のラベルだけ出します。配送履歴は確認済みデータだけ使う。出荷件数は絞ります」
大石はすぐに言った。
「何件出せる」
「最初は二十件。動けば増やします」
大石は望月を見た。
望月は久我に聞いた。
「安全性は」
久我は答えた。
「本番環境へ戻すよりは安全です。ただし、限定運用です。操作ログを残すこと、対象データを絞ること、端末を隔離することが条件です」
山崎が続けた。
「経営判断として記録しましょう。“全面復旧ではなく、検証済み限定環境で病院便ラベル発行を再開。対象件数を限定し、操作記録を残す”」
望月は頷いた。
「実施します」
三枝は、時系列表に入力した。
19:49 限定復旧判断:検証済み端末一台・プリンタ一台により、病院便ラベル発行を限定再開。対象データを確認済み分に限定。操作記録を残す。判断者:望月社長。技術助言:久我。資料整理助言:山崎行政書士事務所。
その一行を書いた時、三枝は初めて、復旧という言葉に現実味を感じた。
元通りではない。完全でもない。だが、止まり切ってはいない。
午後八時十四分。
倉庫の片隅で、検証用端末が置かれた。
机は急ごしらえだった。LANケーブルには赤いテープが巻かれ、他のネットワークと混ざらないようにしてある。プリンタは一台だけ。横には紙の記録表。誰が何時にどの伝票を出したかを手書きで残す。
三枝は、最初の病院便を選択した。
画面には、納品先、品目、温度帯、配送番号が表示されている。
大石が後ろで腕を組んでいた。倉庫の作業員たちも、少し離れて見ていた。
三枝はラベル発行ボタンを押した。
プリンタが小さく唸った。
紙が出た。
誰も、すぐには声を出さなかった。
白いラベルに、黒い文字が印字されている。当たり前のものが、当たり前ではなくなっていた。
大石がラベルを手に取り、内容を確認した。
「出てる」
倉庫の誰かが、小さく拍手した。すぐに止んだ。喜ぶには、まだ早すぎることを全員が知っていた。
大石は、三枝の肩を叩いた。
「二十件、すぐ回す」
「はい。ただ、対象を広げる前に確認を」
「分かってる。記録も残す」
その言葉に、三枝は少しだけ救われた。
現場は、記録を嫌がっていたわけではない。意味の分からない記録を嫌がっていただけなのだ。
山崎が言っていたことは、ここでも当たっていた。
記録は現場を縛るためではなく、現場を守るためにある。
午後八時五十七分。
会議室に戻ると、秋山が個人情報漏えいの論点整理を進めていた。
顧客情報。担当者名。配送先。医療機関名。納品履歴。一部ファイル取得の可能性。外部送信量は限定的。退職者アカウント使用。取得者不明。
秋山の顔は疲れていた。
「本人通知の文案、難しいですね」
山崎が言った。
「難しいのは、まだ事実が確定していないからです。ですので、文案は確定版ではなく、準備版にします」
「準備版」
「はい。現時点で分かっている事実、まだ確認中の事項、会社として実施中の対応、問い合わせ窓口。この骨子だけ先に作ります」
秋山は画面を見ながら言った。
「“漏えいしました”とは、まだ書けない」
「書けません。ただし、“漏えいの可能性がない”とも書けません」
秋山はため息をついた。
「言葉って怖いですね」
山崎は頷いた。
「事故対応では、言葉も証跡です」
三枝は、その言葉を聞いて顔を上げた。
言葉も証跡。
ログだけではない。メールも、会議メモも、取引先への連絡文も、社内指示も、すべてが後で会社を説明する材料になる。
逆に言えば、雑な言葉は会社を傷つける。
望月は、秋山の文案を読んで言った。
「隠しているように見えないかしら」
山崎は答えた。
「隠さないために、分かっていないことを分かっていないと書く必要があります」
「顧客は納得しますか」
「全員が納得するとは限りません。ただ、後で説明を更新できる形にしておくことが重要です」
望月は、深く頷いた。
「分かりました」
午後九時二十一分。
日向システムサービスから、再委託先ネストリンクの一次回答が届いた。
高瀬が読み上げた。
「ネストリンク社の夜間監視担当者は、画面共有を閲覧していたが、クラウド管理画面の操作はしていない。録画は保存されている。保全済み。提出については、社内確認中」
黒崎が言った。
「また提出は確認中ですか」
高瀬は疲れた顔で言った。
「申し訳ありません。ただ、保全は要請済みです」
山崎が言った。
「保全済みであることは重要です。次に、録画に何が映っているかの確認が必要です。認証画面、承認画面、管理URL、アカウント名、作業端末情報が映っているかどうか」
久我が補足した。
「あと、画面共有中にチャットで認証情報を送っていないか。作業手順書に一時パスワードや緊急コードが残っていないかも確認してください」
高瀬は頷いた。
「確認します」
望月が言った。
「高瀬さん。御社を責めるためではなく、事実を知るために必要です。協力してください」
高瀬は画面の向こうで頭を下げた。
「承知しました」
その瞬間、三枝は思った。
委託先は敵ではない。だが、曖昧な契約と曖昧な運用は、敵と同じくらい会社を苦しめる。
山崎行政書士事務所が「責任分界」を重視する理由が、少しずつ分かってきた。
責任分界とは、責任を押し付ける線ではない。事故の夜に、誰が何を確認し、誰が何を出し、誰が何を止めるかを迷わないための線だ。
その線がなければ、すべてが「確認中」になる。
午後十時三分。
限定復旧で、最初の病院便二十件が出荷された。
通常なら、誰も気に留めない件数だった。だが、その二十件は、今日の会社にとって大きな意味を持っていた。
出荷できた。手作業と限定復旧で、何とかつないだ。記録も残した。対象も説明できる。
大石から会議室へメッセージが届いた。
病院便二十件、出荷完了。手作業記録、ラベル発行記録、確認者名を紙で残しています。写真も撮影済み。次の十件を準備中。
三枝は、そのメッセージを時系列表に貼り付けた。
22:03 限定復旧環境により病院便二十件出荷完了。手作業記録、ラベル発行記録、確認者名を保全。
黒崎が、小さく笑った。
「大石さんが記録って言葉を使ってる」
三枝も少しだけ笑った。
その笑いは、すぐに消えた。
久我がバックアップログを見ながら言った。
「三枝さん、これを見てください」
画面には、削除予約が入っていた復元ポイントの一覧が表示されていた。
「削除予約自体は止められました。ただ、保持設定の変更前後に、バックアップ対象から外された領域があります」
「対象から外された領域?」
「はい。顧客別配送履歴の一部と、旧システム連携用のストレージです」
三枝は息を止めた。
「そこ、退職者アカウントがアクセスしていた領域です」
久我が頷いた。
「偶然ではなさそうです」
黒崎が言った。
「つまり、攻撃者はバックアップからもその領域を外した?」
「そう見えます。ただし、バックアップ対象外になった時刻と、実際のデータアクセスの時刻を突合する必要があります」
山崎が言った。
「時系列上、別シートで“データ領域別の影響整理”を作りましょう。バックアップ対象、アクセス有無、個人情報可能性、復旧可否、証跡保全状況を並べます」
三枝は頷いた。
もう驚かなかった。
攻撃者は、ただ暗号化して身代金を要求するだけではない。ログを欠けさせる。バックアップを疑わせる。委託先を黙らせる。説明できない領域を作る。
Blue Heronは、会社の沈黙を作ろうとしている。
午後十時四十六分。
二通目のメールが届いた。
差出人は、また不明。件名はなかった。
本文は短い。
You restored the wrong thing.
あなたたちは、間違ったものを戻した。
その下に、一枚の画像があった。
物流管理システムの古い復元検証ファイル。先ほど三枝が見つけた、半年前の「WMS復元検証_未了事項.xlsx」のスクリーンショットだった。
赤枠で囲まれているのは、備考欄。
DB単体復元だけでは業務再開不可。
三枝の背筋が凍った。
「なんで……」
そのファイルは、社内の古い共有フォルダにあった。アクセス権は広めだったが、外部に公開されているものではない。
久我が、すぐに言った。
「メールを触らないでください。ヘッダー保全。画像も保存。添付やリンクはなし?」
「なしです」
「じゃあ、内容保全だけ。三枝さん、このファイルのアクセスログを追えますか」
「やります」
山崎が言った。
「このメールに反応して判断を変えないでください。相手は、御社が見つけた弱点を先に突きつけて、焦らせようとしています」
望月が画面を見つめた。
「相手は、当社の資料を見ているということですね」
久我が答えた。
「少なくとも、過去に見たか、今も見られるか、どちらかです」
黒崎が低い声で言った。
「共有フォルダも侵害範囲か」
三枝は、ログを確認しながら言った。
「可能性があります」
秋山が震える声で言った。
「社内資料にも、個人情報や契約情報があります」
山崎がすぐに整理した。
「では、影響範囲に“社内共有フォルダ”を追加します。資料種別ごとに、顧客情報、契約情報、従業員情報、システム構成情報を分けて確認しましょう」
望月は、疲れた顔で頷いた。
「お願いします」
三枝は時系列表に入力した。
22:46 不明差出人より二通目の脅迫的メール受信。“WMS復元検証_未了事項.xlsx”のスクリーンショットを提示。社内共有フォルダ侵害可能性を追加調査。
入力しながら、三枝の手は震えていた。
自分たちが見つけた未了を、攻撃者も見ている。
いや、もしかすると逆だ。
攻撃者は、最初から未了を見ていた。こちらがようやく追いついただけなのかもしれない。
午後十一時二十分。
会議室の空気は、夜の重さを帯びていた。
窓の外には、倉庫の照明が白く光っている。出荷ラインは完全復旧していない。それでも、人は動いていた。紙の伝票、限定端末、手書き記録、電話、謝罪、確認。
サイバー事故は、画面の中だけで起きるものではない。
望月が、全員に向けて言った。
「今日はここで体制を切り替えます。徹夜で全員が潰れたら、明日判断できません」
黒崎が反射的に言った。
「まだ帰れません」
「帰れとは言っていません。交代制にします。黒崎さん、三枝さん、久我さんは技術対応班。秋山さんと山崎先生は文書・対外対応班。大石さんは現場継続班。私は経営判断と顧客対応に入ります」
山崎が補足した。
「交代記録も残しましょう。誰がいつからいつまで対応したか。引き継ぎ事項は何か。疲労による判断ミスも、事故対応では大きなリスクです」
黒崎が小さく笑った。
「先生、本当に何でも記録ですね」
山崎もわずかに表情を緩めた。
「記録しないと、人は自分がどれだけ無理をしているかも説明できません」
その言葉に、三枝は少しだけ救われた。
記録は、会社だけでなく、人を守ることもある。
午前零時六分。
日付が変わった。
五月七日。
Blue Heronが突きつけた七十二時間のうち、最初の一日が終わろうとしていた。
三枝は、隔離環境のログを確認していた。
限定復旧環境は、今のところ安定している。病院便は合計四十八件出荷できた。完全ではない。だが、ゼロではない。
久我は、保全対象端末の解析準備を続けている。黒崎は、権限一覧の棚卸しに取りかかっていた。秋山は、山崎とともに個人情報漏えい可能性の整理表を作っている。望月は、主要取引先への個別連絡を終えたところだった。
三枝は、ふと自分の時系列表を見た。
行数は、二百を超えていた。
その隣にある「説明不能リスト」も、増え続けている。
退職者アカウント停止未了。委託先元担当者権限削除未了。復元テスト未了。構成図更新未了。再委託先アクセス管理未了。ログ出力権限棚卸し未了。共有フォルダ分類未了。
未了。未了。未了。
三枝は、そこで初めて、この事件の本当の名前を理解した気がした。
これは、ランサムウェアの事件ではない。バックアップ障害でもない。委託先トラブルでもない。
会社の未了が、攻撃者に読まれた事件だ。
山崎が、画面越しに言った。
「三枝さん、少し休んでください」
「まだ大丈夫です」
「大丈夫かどうかも、記録だけでは分かりません」
三枝は苦笑した。
「山崎先生らしいですね」
「よく言われます」
その短いやり取りの後、山崎は少し声を落とした。
「今日、御社は完全には復旧できませんでした。ですが、重要なことはできています」
「重要なこと?」
「戻せるものと戻せないものを分けた。言えることと言えないことを分けた。守る証跡と諦める証跡を分けた。業務を止める判断と動かす判断を記録した」
山崎は続けた。
「これは、山崎行政書士事務所がクラウド法務とAzure技術支援で重視していることです。構成、権限、ログ、契約、業務判断を切り離さない。事故の夜に、それらを一つの説明可能な統制として扱う」
三枝は、画面を見つめた。
「説明できる統制……」
「はい。セキュリティ製品だけでは、今日のような夜は乗り切れません。製品が出したログを、会社の判断と言葉に変える仕組みが必要です」
三枝は頷いた。
この一日で、その意味は骨身に染みていた。
午前零時三十四分。
高瀬から、短いメールが届いた。
件名は、小田切拓氏に関する確認。
本文には、こうあった。
小田切拓氏は、半年前に当社を退職後、株式会社ネストリンクに転籍している可能性があります。正式確認中です。
三枝は、画面を見つめた。
小田切拓。
日向システムサービスの元担当者。駿河メディカルロジスティクスの監査ログ出力権限を持ったままの人物。半年前の復元検証で、未了事項を指摘した人物。そして、再委託先ネストリンクに転籍している可能性がある人物。
黒崎が、低く言った。
「つながったな」
久我はすぐに言った。
「まだです。つながったように見える、です」
山崎も同じように言った。
「事実は、“転籍の可能性がある”までです。小田切氏が不正に関与したとは記録しないでください」
三枝は頷いた。
入力した。
00:34 日向システムサービスより、小田切拓氏が退職後、再委託先ネストリンクに転籍している可能性ありとの一次情報。正式確認中。不正関与は未確認。
その一行を書いた時、三枝は妙な感情を覚えた。
疑い。怒り。恐れ。そして、わずかな違和感。
小田切は、半年前に危険を指摘していた。もし彼が攻撃者なら、なぜわざわざ未了事項を残したのか。
逆に、もし彼が攻撃者でないなら、なぜ彼の名前だけが、こんなにも多くの未了に残っているのか。
山崎が言った。
「明日、責任分界を整理します」
望月が疲れた声で聞いた。
「責任追及ですか」
「いいえ」
山崎は答えた。
「まずは、事実の分界です。誰が何を知っていたのか。誰が何を管理していたのか。誰が何を依頼し、誰が何を完了していなかったのか。責任の結論は、その後です」
久我が付け加えた。
「技術的にも同じです。どこから入ったかを決めつける前に、どこまで見えているかを分ける」
望月は、ゆっくり頷いた。
「分かりました。明日は、そこから始めましょう」
三枝は、時系列表を保存した。
ファイル名は、最初のままだ。
incident_timeline_20280506.xlsx
だが、その中身はもう、単なる時系列ではなかった。
会社が安全だと思っていたもの。後でやるつもりだったもの。誰かが知っていると思っていたもの。契約で決まっていると思っていたもの。バックアップで戻せると思っていたもの。
それらが、一つずつ白いセルの中に並んでいる。
午前零時五十二分。
三枝は、説明不能リストの最後に、新しい行を追加した。
責任分界線:未整理。
入力してから、しばらくその文字を見つめた。
未了ログは、まだ終わらない。
むしろ、ここからが本番だった。
コメント