午前七時三十二分。

三枝涼真は、TrustDeskの担当者真正性ルールを見直していた。

昨日、空の担当者が見つかった。

incident-response-liaison

契約終了済みBPO連携用の共有担当者。転送先は、無人の旧アーカイブメール。システム上は In Progress。SLA違反なし。しかし、誰も見ていなかった。

その裏で、清水臨床資材センターには偽の緊急回収指示が届き、実際に回収業者を名乗る車両まで来た。

サイバーで作った書類が、現物を動かそうとした。

だが、守衛が止めた。登録済み連絡先で確認した。現物は渡らなかった。

三枝は、その行を時系列表で何度も見返していた。

現物引渡しを阻止。

短い一文だが、重い。

昨日の夜、山崎行政書士事務所の山崎は言った。

「空の担当者に、会社の痛みを預けてはいけません」

三枝は、自分のメモにも書いた。

誰が見るかではなく、誰が責任を持つかを決める。

その言葉を読み返していた時、倉庫監視システムから通知が入った。

Cold Room East-2 temperature warning温度上昇傾向を検知現在 7.4℃通常範囲 2〜8℃警告閾値接近

東側第二定温庫。

まだ上限内だ。だが、上昇している。

三枝は、反射的に通知先を確認した。

担当者。

cold-chain-oncall

当直者。

当直表参照

通知状態。

Escalated

送信先。

cold-chain-oncall@suruga-ml.co.jp

三枝は、メールアドレスを見て眉をひそめた。

それは、グループアドレスだ。

実際の当直者は誰か。

彼は、当直表を開いた。

冷蔵・定温設備当直表

本日。

担当：設備夜間当直A

氏名欄。

cold-chain-night-response

三枝は、手を止めた。

人名ではない。

アカウント名だ。

所属。

空欄。

連絡先。

night-response-archive@setsumi-maint.example

外部設備保守会社の旧メールに見える。

三枝は、喉が乾いた。

「また、空の担当者か」

その瞬間、温度監視システムが更新された。

7.7℃

まだ範囲内。だが、上がっている。

三枝は、第三会議室の扉を開け放つようにして言った。

「課長、東側第二定温庫の当直先がおかしいです」

黒崎課長が立ち上がる。

「温度か？」

「はい。まだ上限内ですが上昇しています。通知先が、実在当直者ではなく、旧設備保守メールらしきものになっています」

山崎が、ちょうど会議室に入ってきた。

三枝は、画面を指した。

「先生。今度は、当直表です」

山崎は、画面を見た。

そして、ホワイトボードに黒いペンで書いた。

呼び出されない当直

その下に、もう一行。

通知済み ≠ 人が起きている

三枝は、その文字を見た。

昨日は、誰もいない担当者。

今日は、呼び出されない当直。

会社は、また空席に痛みを送っていた。

午前七時四十分。

大石倉庫部長がオンラインで入った。

「東側第二定温庫？　現場確認に向かわせます」

山崎がすぐに言った。

「現場安全と品質を優先してください。サイバー要因の有無にかかわらず、温度上昇は現物対応です」

大石は頷いた。

「了解。定温管理担当を向かわせます。対象庫の扉、冷却機、電源、温度ロガーを確認」

三枝は時系列表を開いた。

07:40　東側第二定温庫に温度上昇警告。7.4℃から7.7℃へ上昇傾向。通知先はcold-chain-oncallだが、当直表上の担当がcold-chain-night-response、連絡先night-response-archive@setsumi-maint.example。実在当直者不明。現場確認を開始。

保存。

久我真琴がオンラインで入った。

「まず、温度上昇そのものを見ます。センサー、扉開閉、冷却機、電源、ネットワーク、監視通知。並行で当直表の変更履歴」

三枝は、当直表の履歴を開いた。

変更時刻。

午前二時十二分。

変更者。

facility-scheduler-bot

変更内容。

本日の冷蔵・定温設備当直を、社内設備担当の 村瀬 から cold-chain-night-response へ変更。

理由欄。

緊急時外部応援体制へ切替

承認者。

auto-approved: holiday/night schedule adjustment

三枝は、目を細めた。

「午前二時十二分に当直が外部応援体制へ切り替えられています。自動承認です」

黒崎が言った。

「誰の承認だ」

「夜間休日スケジュール調整の自動承認です」

山崎が、ホワイトボードに書く。

当直変更 ≠ 軽微変更

「当直表の変更は、軽微ではありません。特に温度、設備、セキュリティ、緊急連絡に関わる当直は、会社の反応先です」

大石が言った。

「村瀬は今日の当直のはずです。確認します」

数十秒後、大石から返答が来た。

「村瀬は出社しています。自分が当直から外れたことを知りません」

会議室の空気が硬くなった。

三枝は入力した。

07:46　当直表変更履歴確認。02:12にfacility-scheduler-botが本日の冷蔵・定温設備当直を村瀬からcold-chain-night-responseへ変更。理由：緊急時外部応援体制へ切替。承認：holiday/night schedule adjustment自動承認。村瀬本人は当直変更を認識していない。

保存。

午前七時五十五分。

現場から第一報が入った。

大石の声は緊張していた。

「東側第二定温庫、扉は閉まっています。ただ、冷却機の片系統が停止しています。予備系統は動いていますが、負荷が高い」

三枝は、設備管理システムを開いた。

冷却機E2-A。

状態。

Standby fault

冷却機E2-B。

状態。

Running high load

アラート履歴。

E2-Aの故障アラートが、午前六時五十二分に出ている。

通知先。

cold-chain-oncall

応答。

Acknowledged

三枝は、声を低くした。

「六時五十二分に故障アラートが出て、Acknowledgedになっています」

黒崎が聞いた。

「誰が応答した」

三枝はログを開いた。

応答者。

cold-chain-night-response

応答コメント。

外部応援で現地確認中。一次対応済み。

大石が、画面越しに言った。

「現地確認なんて来ていません。村瀬も知らない」

山崎が静かに言った。

「偽の応答です」

久我が続けた。

「アラートを止めるためのAckですね。通知先を空の当直へ変え、故障アラートをAckし、実対応があるように見せた」

三枝は入力した。

07:57　設備管理ログ確認。06:52に冷却機E2-A故障アラート発生。通知先cold-chain-oncall。06:54にcold-chain-night-responseがAcknowledgedし、“外部応援で現地確認中。一次対応済み”とコメント。現場では外部応援到着なし、村瀬当直者も認識なし。偽応答可能性。

保存。

大石が指示した。

「村瀬、E2-Aを見ろ。予備系統の負荷も確認。必要なら定温庫を隣へ移す準備」

現場の声が、倉庫から聞こえる。

物理対応が始まった。

午前八時十七分。

Blue Heronからメールが届いた。

件名は、Acknowledged。

本文は、短かった。

An acknowledged alarm is a sleeping alarm.

確認済みのアラームは、眠ったアラームだ。

三枝は、保全した。

久我が言った。

「アラート疲れの次は、偽Ackです」

山崎が頷いた。

「アラートは、鳴るだけでは足りません。誰が確認し、何をしたかまで必要です」

ホワイトボードに書く。

Ack ≠ 対応

さらに、

Ackには、現実の作業が必要。

秋山が言った。

「確認済みというステータスも、解決済みと同じですね」

山崎は頷いた。

「はい。ステータスは、現実とつながって初めて意味を持ちます」

三枝は、時系列表に入力した。

08:17　不明差出人より件名“Acknowledged”のメール受信。“確認済みのアラームは眠ったアラーム”と記載。通知先変更・偽Ackにより設備故障アラート対応が行われたように見せる攻撃の可能性。証跡保全。

保存。

午前八時三十分。

設備夜間当直システムの確認が始まった。

システム名。

OnCallBoard

用途。

設備、冷蔵・定温、情シス、品質、配送管理の当直表とエスカレーション。

連携先。

設備管理システム。TrustDesk。SafetyBoard。社内チャット。電話通知サービス。

当直変更権限を持つアカウント。

oncall-adminfacility-scheduler-botexternal-maint-schedulerhr-roster-sync

三枝は、external-maint-schedulerで手を止めた。

状態。

Active。

用途。

外部設備保守会社との当直連携。

契約状態。

現行施設保守契約あり。ただし、旧外部応援体制設定は契約終了済み。

最終ログイン。

午前二時十一分。

MFA通知先。

施設管理会社の旧夜間監視メール。

三枝は、また同じ型を見た。

facility-scheduler-botの認証元は、このexternal-maint-schedulerの連携だった。

久我が言った。

「当直システムへの連携権限が残っていた。攻撃者は当直表を変更し、通知先を空のメールへ向けた」

山崎が聞いた。

「現在の施設保守契約で、外部会社が当直変更を行う権限はありますか」

秋山が契約書を確認する。

「ありません。故障時の連絡先として登録されていますが、当社の当直者を変更する権限は定義していません」

山崎が言った。

「契約とシステム権限が一致していません」

三枝は入力した。

08:35　OnCallBoard確認。external-maint-schedulerがActiveで、外部設備保守会社との当直連携用。最終ログイン02:11。施設管理会社の旧夜間監視メールをMFA通知先とする。現行契約では外部会社が当社当直者を変更する権限は定義されていないが、システム上はfacility-scheduler-botを通じて当直変更可能。契約・システム権限不一致。

保存。

午前八時五十分。

現場から第二報が入った。

大石の声は少し落ち着いていた。

「E2-Aは、冷却ユニットの制御リレーが落ちています。村瀬が現地リセットを試みましたが、再起動せず。E2-Bだけで温度は現在7.8℃で止まっています。ただし、余裕はありません」

品質管理部長が入室した。

「対象庫の内容物は？」

大石が答えた。

「検査資材と一部の定温保管品。患者検体はありません」

品質管理部長は、すぐに言った。

「温度逸脱にはまだ至っていません。ただし、八度超過が一定時間続くと隔離判断が必要です。隣接庫へ移送できるものは移送準備を」

望月が判断した。

「移送準備を開始してください。温度逸脱前に動きます」

山崎が記録する。

「判断理由は、E2-A停止、E2-B高負荷、温度上限接近、対象物の品質確保。温度逸脱を待たずに予防的移送準備。よろしいですね」

望月は頷いた。

「はい」

三枝は入力した。

08:53　現場確認。E2-A制御リレー異常で再起動せず。E2-B稼働高負荷。温度7.8℃で上昇は一旦停止。対象庫に検査資材・定温保管品あり、患者検体なし。品質確保のため温度逸脱前に隣接庫への予防的移送準備を開始。判断者：望月社長。

保存。

偽Ackで眠らされていたアラームは、現場の手で起こされた。

午前九時十五分。

OnCallBoardの当直変更履歴をさらに追うと、午前二時十二分の変更だけではなかった。

過去三日間で、複数の当直変更が行われている。

情シス夜間一次連絡。品質事故一次連絡。配送緊急連絡。施設冷蔵当直。

いずれも、実在担当者から共有アカウントや外部旧メールへ切り替えられていた。

ただし、すべて即時発火するような問題ではなかった。

攻撃者は、複数の当直先を少しずつ空席に変えていた。

三枝は、背筋が冷えた。

「複数当直が書き換えられています」

久我が画面を見た。

「これは事前配置ですね。何か起きた時、通知が空席へ行くようにしている」

山崎が言った。

「信頼根汚染の当直版です」

ホワイトボードに書く。

当直根汚染

三枝は入力した。

09:18　OnCallBoard過去三日分の変更履歴確認。情シス夜間一次連絡、品質事故一次連絡、配送緊急連絡、施設冷蔵当直等が、実在担当者から共有アカウント・外部旧メールへ切替えられていた痕跡。複数当直先を空席化する事前配置の可能性。当直根汚染として整理。

保存。

望月が言った。

「全当直表を即時確認してください」

黒崎が頷いた。

「やります」

大石が言った。

「現場の当直表も紙で確認します」

山崎が言った。

「紙も、現行か確認してください。古い紙当直表に戻ると、それも危険です」

大石は頷いた。

「分かっています」

午前九時四十五分。

施設管理会社との緊急確認が始まった。

担当の三浦は、画面に映るなり言った。

「external-maint-schedulerは、弊社との夜間連携用アカウントだと思います。ただ、当社側で駿河ML様の当直表を変更する運用はありません」

山崎が質問した。

「本日午前二時十一分のログインおよび当直変更は、御社作業ですか」

「違います」

「MFA通知先の旧夜間監視メールは」

三浦は、苦しそうに答えた。

「旧監視メールが残っています。以前の火災警報の件でも問題になった監視センター経路と関連します」

久我が言った。

「同じ設備・防災通知サプライチェーンですね」

山崎は、確認事項を伝えた。

旧夜間監視メール。転送設定。MFAリンククリック履歴。当直連携手順書。再委託先。旧監視センター共有メール。退職者アカウント。

三浦は頷いた。

「保全します」

三枝は入力した。

09:50　施設管理会社確認。external-maint-schedulerは夜間連携用アカウントだが、駿河ML当直表を変更する運用はない旨。本日02:11ログイン・当直変更は同社作業ではない。MFA通知先は旧夜間監視メールで、過去の設備・防災通知サプライチェーンと関連。保全依頼。

保存。

午前十時二十分。

Blue Heronからメールが届いた。

件名は、On call。

本文は短かった。

On call means someone might answer.Off call means no one will.

当直とは、誰かが応答するかもしれないという意味だ。非当直とは、誰も応答しないという意味だ。

三枝は、保全した。

山崎が言った。

「攻撃者は、当直の意味をよく理解しています」

久我が頷いた。

「通知やアラートの有効性は、当直者が実在し、起きて、権限を持ち、対応できることに依存します」

大石が言った。

「当直表は、ただの勤務表じゃない」

山崎は頷いた。

「はい。当直表は、会社の夜間反応地図です」

三枝は、ホワイトボードに書かれた言葉を見た。

夜間反応地図

また地図だった。

昼間の組織図とは別に、夜の会社がある。

夜の会社は、少ない人数で動く。だから、当直表が会社の神経になる。

三枝は入力した。

10:20　不明差出人より件名“On call”のメール受信。当直者有無が応答可能性に直結することを示唆。当直表を夜間反応地図として管理対象化。証跡保全。

保存。

午前十一時。

全当直表の緊急確認が完了した。

情シス夜間一次連絡。

正規担当へ復旧。

品質事故一次連絡。

正規担当へ復旧。

配送緊急連絡。

正規担当へ復旧。

施設冷蔵当直。

村瀬へ復旧。

外部旧メール、共有アカウント、休眠グループはすべて保全後に無効化。

OnCallBoardの変更権限は、社内責任者に限定。外部保守会社は、当直表変更不可。外部連絡先として登録するのみ。当直変更は二名承認。変更通知は、変更前当直者と変更後当直者、上長へ送信。変更時には、本人確認応答が必要。

三枝は入力した。

11:05　OnCallBoard全当直表を緊急確認。情シス、品質、配送、施設冷蔵の不審当直変更を正規担当へ復旧。外部旧メール・共有アカウント・休眠グループを保全後無効化。外部保守会社による当直表変更権限を停止。当直変更は二名承認、変更前後当直者・上長通知、本人確認応答を必須化。

保存。

午前十一時四十分。

東側第二定温庫の移送が完了した。

温度は、一時7.9℃まで上がったが、八度超過には至らなかった。対象資材は、隣接庫へ移送済み。温度ロガー正常。品質管理部が、使用可否判定を進める。

大石が言った。

「現物は守れました」

品質管理部長も頷いた。

「温度逸脱には至っていません。ただし、E2-A故障と移送記録は残します」

山崎が言った。

「アラートが偽Ackされたこと、当直変更が不正だったこと、現物対応で温度逸脱を防いだことを分けて記録します」

三枝は入力した。

11:42　東側第二定温庫対象資材の隣接庫移送完了。温度は最大7.9℃、8℃超過なし。温度ロガー正常。品質管理部が使用可否判定中。E2-A故障、偽Ack、当直不正変更、予防的移送を分けて記録。

保存。

現物は守れた。

また一つ、ギリギリだった。

午後零時二十分。

Blue Heronからメールが届いた。

件名は、Still cold。

本文は、一行。

The boxes stayed cold.Disappointing.

箱は冷たいままだった。残念だ。

三枝は、保全した。

大石が、初めて少しだけ笑った。

「残念で結構」

望月も頷いた。

「本当に」

山崎は、静かに言った。

「現物を守れたことは、重要な防御成功です」

三枝は入力した。

12:20　不明差出人より件名“Still cold”のメール受信。東側第二定温庫の温度逸脱回避に反応した可能性。“箱は冷たいままだった。残念”と記載。証跡保全。

保存。

午後一時。

山崎は、当直真正性の方針案を作成した。

当直真正性方針

一　当直表は、夜間反応地図として重要情報に分類する。

二　当直者は、実在する個人または実在責任部署とし、無人メール、休眠グループ、契約終了済み外部者を禁止する。

三　当直変更は、変更前当直者、変更後当直者、上長への通知と本人確認応答を必須とする。

四　外部保守会社は、連絡先として登録できるが、当社当直表を変更できない。

五　アラートAckには、対応内容、現場確認、作業者、次アクションを記録する。

六　Ackだけでは対応完了としない。

七　夜間当直・休日当直・非常用当直は、四半期レビュー対象とする。

八　当直表変更、Ack、EscalationはEvidence Chain対象ログとする。

黒崎が言った。

「当直変更までEvidence Chainですか」

山崎は頷いた。

「重要アラートや品質に関わる当直変更は、会社の反応経路を変えます。記録の真正性が必要です」

大石が言った。

「現場にも、当直変更は口頭だけでなく、システムと本人確認でやります」

品質管理部長も言った。

「品質事故当直も対象にします」

三枝は、当直台帳を作った。

当直ID対象業務当直者責任部署連絡手段変更権限者外部連絡先本人確認応答最終確認日休眠・外部・共有判定

保存。

午後二時三十分。

施設管理会社から追加回答が届いた。

旧夜間監視メールは、東海ファシリティ監視センター共有メールへ転送されていた。同センター側で、以前問題になった monitor-legacy-read とは別の旧読み取りアカウントが残っていた。そのアカウントで、午前二時十一分前にMFAリンクがクリックされていた。当直連携手順書には、OnCallBoardで外部応援体制へ切り替える手順が残っていた。

三枝は、入力した。

14:34　施設管理会社追加回答。旧夜間監視メールは東海ファシリティ監視センター共有メールへ転送。同センターで別の旧読み取りアカウントが残存し、02:11前にMFAリンククリック履歴あり。当直連携手順書にOnCallBoard外部応援体制切替手順が残存。

山崎が言った。

「火災警報の時と同じ設備・防災通知サプライチェーンが、当直変更にも使われました」

久我が頷いた。

「設備系の未了は、かなり深いです」

望月が言った。

「施設管理会社には、改めて改善計画を求めます」

秋山が頷いた。

「契約見直しも進めます」

午後三時四十五分。

Blue Heronからメールが届いた。

件名は、Night map。

本文は、短い。

Day maps show structure.Night maps show weakness.

昼の地図は構造を示す。夜の地図は弱点を示す。

三枝は、保全した。

山崎が言った。

「当直表が夜間反応地図であることを示しています」

大石が、静かに言った。

「夜は、人が少ない。確かに弱い」

久我が頷いた。

「攻撃者は、夜間・早朝に何度も動いています。通知の巣、証明書、時刻、当直変更、偽回収準備。夜間反応経路の弱さを見ています」

望月が言った。

「夜の会社を設計し直しましょう」

山崎は頷いた。

「はい。夜間統制です」

三枝は、未了事項台帳に追加した。

U-178　夜間・休日反応経路統制未整備

責任者。

黒崎・大石・品質管理部長・秋山・山崎行政書士事務所

期限。

三十日以内に方針案、七日以内に緊急確認

状態。

開始

時系列にも入力。

15:45　不明差出人より件名“Night map”のメール受信。夜間当直表が弱点を示す地図であることを示唆。夜間・休日反応経路統制を新たに管理対象化。

保存。

午後五時。

夜間反応経路の緊急確認が行われた。

対象。

冷蔵・定温。火災・設備。情シス。品質事故。配送遅延。セキュリティインシデント。取引先緊急連絡。経営判断。

それぞれについて、次を確認した。

誰が起きるか。どう呼ぶか。応答がなければ誰へ上げるか。外部業者は何ができるか。当直変更は誰が承認するか。Ack後に何を確認するか。夜間に使ってよい非常用権限は何か。

三枝は、表を見て思った。

昼の組織図では足りない。

夜には、夜の組織図がある。

しかも、それは攻撃者にとって魅力的な地図だ。

少ない人。短い判断。眠い時間。外部保守頼み。自動承認。共有メール。旧当直表。

その全部を、攻撃者は見ていた。

山崎が言った。

「夜間統制は、人間的でなければいけません。眠っている人を前提に設計する。応答できない時の次の手を決める。自動化に任せる範囲と、人間を起こす範囲を分ける」

三枝は、メモした。

夜間統制は、人が眠ることを前提にする。

午後六時三十分。

Blue Heronから、その日最後のメールが届いた。

件名は、Sleep well。

本文は、一行。

Everyone sleeps.Systems pretend they do not.

誰もが眠る。システムは眠らないふりをする。

三枝は、保全した。

望月は、画面を見て言った。

「人が眠ることを前提に、会社を守る」

山崎が頷いた。

「はい。システムが通知を送っただけでは、人間が起きたとは言えません」

大石が言った。

「当直確認は、応答まで見る」

黒崎が言った。

「Ackだけではなく、対応ログまで見る」

品質管理部長が言った。

「温度アラートは、現物確認まで」

三枝は時系列表に入力した。

18:30　不明差出人より件名“Sleep well”のメール受信。“誰もが眠る。システムは眠らないふりをする”と記載。夜間統制では通知送信だけでなく、人間の応答、現場確認、次アクションを確認する方針。証跡保全。

保存。

午後八時。

その日の最終会議で、山崎はまとめた。

ホワイトボードには、今日の言葉が並んでいる。

呼び出されない当直通知済み ≠ 人が起きている当直変更 ≠ 軽微変更Ack ≠ 対応夜間反応地図当直根汚染夜間統制は、人が眠ることを前提にする

山崎は言った。

「今日、攻撃者は当直表とAckを攻撃しました。アラートは鳴っていました。しかし、空の当直に通知され、偽Ackで眠らされていました」

望月が頷いた。

「それでも、現物は守れた」

「はい」

大石が言った。

「村瀬が動けたのが大きかった」

品質管理部長が続けた。

「温度逸脱前に移送できました」

久我が言った。

「当直表の不正変更も、全体確認で見つかりました」

秋山が言った。

「契約とシステム権限の不一致も分かりました」

三枝は、全員の発言を記録した。

会社は、夜の姿を見始めた。

昼とは違う、眠る会社。

その会社を、攻撃者に任せてはいけない。

午後十時。

三枝は、一人でOnCallBoardの画面を見ていた。

当直者。

村瀬。情シス一次当直。品質事故当直。配送緊急当直。経営エスカレーション。

全員が実在する。本人確認応答あり。通知テスト済み。Ackテスト済み。エスカレーション確認済み。

画面上の当直表が、初めて「人がいる」ように見えた。

三枝は、自分のノートに書いた。

当直表は、名前の一覧ではない。夜に会社を起こすための約束である。

保存。

山崎が、背後から言った。

「今日の結論ですね」

三枝は振り返った。

「夜って、弱いですね」

山崎は頷いた。

「はい。でも、弱いことを認めれば、設計できます」

「眠ることを前提にする」

「はい。人間が眠ることを責めず、起こす仕組みを作るのです」

三枝は、OnCallBoardを保存した。

午前零時。

三枝は、時系列表の最後に入力した。

00:00　東側第二定温庫の温度上昇警告において、OnCallBoard上の冷蔵・定温設備当直が村瀬からcold-chain-night-responseへ不正変更され、E2-A故障アラートがcold-chain-night-responseにより偽Ackされていたことを確認。通知先は外部旧メールで、実対応なし。現場確認によりE2-A制御リレー異常、E2-B高負荷を確認し、温度逸脱前に対象資材を隣接庫へ予防的移送。全当直表を緊急確認し、共有アカウント・外部旧メール・休眠グループを排除。当直真正性、Ack真正性、夜間・休日反応経路統制を開始。

保存。

画面右下。

保存しました。

三枝は、自分のメモにも一行追加した。

夜の会社にも、責任者がいる。通知を送るだけではなく、人を起こす。起きた人が、現実を見る。

保存。

第三会議室の外では、倉庫が静かに動いていた。

夜勤者がいる。当直者がいる。冷蔵庫が唸っている。温度ロガーが記録している。

システムは眠らない。

だが、人は眠る。

だから、会社は、人が眠ることまで設計し始めていた。