午前七時四十分。

三枝涼真は、訂正版の経営ダッシュボードを見ていた。

昨日の朝、画面は緑だった。

Incident Health：GreenCritical Open Issues：0Public Communications：Completed

その緑は嘘だった。

再確認中、対応中、一次回答受領、次回確認時刻設定済み。それらが、すべてClosedとして扱われていた。

閾値も動かされていた。赤になるはずの項目が黄色になり、黄色になるはずの項目が緑になっていた。

会社は、それを戻した。

今朝のダッシュボードは、緑ではない。

Incident Health：AmberCritical Open Issues：7High-Risk Open Issues：31Public Communications：OngoingVendor Response：Partial / PendingDelivery Risk：Heightened

琥珀色の画面。

不安はある。だが、嘘ではない。

三枝は、その画面の方が安心できることを、もう知っていた。

赤や黄色は、人を動かす。根拠のない緑は、人を止める。

山崎行政書士事務所の山崎が前夜に言った。

「良いニュースにも、出典が必要です」

三枝は、ステータス辞書、closed_condition、Evidence Chainを確認した。

数字の作られ方。色の根拠。未了の条件。Closedになるための証跡。

まだ粗い。だが、昨日よりは強い。

その時、ダッシュボードの右下に、新しい注記が出ているのに気づいた。

Excluded by Risk Acceptance：18

三枝は眉をひそめた。

リスク受容により除外。

彼は、そのリンクを開いた。

一覧が表示された。

DNS APIトークン棚卸し未了問い合わせBPO終了証明未了共同訓練終了確認書未了PODアーカイブ制限恒久化未了電子印テンプレート棚卸し未了重要通知カテゴリ恒久設計未了当直表真正性レビュー未了ドメイン類似監視恒久化未了

重要な項目ばかりだった。

ステータスは、どれも Accepted。

承認者。

risk-committee-secretariat-old

承認日。

本日午前三時四十二分。

理由。

事業継続を優先するため、次回四半期レビューまで残存リスクとして受容。

三枝は、背筋が冷えた。

昨日、攻撃者は緑の画面を作ろうとした。今日は、赤や黄色を「例外」として外へ出そうとしている。

ダッシュボードはAmberのままだ。だが、重要な未了がカウントの外に追いやられている。

三枝は、すぐに黒崎課長を呼んだ。

「課長、リスク受容で十八件が除外されています」

黒崎は、画面を覗き込んだ。

「誰が承認した」

「risk-committee-secretariat-oldです。午前三時四十二分」

黒崎の顔が硬くなった。

「そんな委員会、今動いているか？」

秋山法務総務部長が会議室に入ってきた。

「リスク委員会事務局の旧アカウントかもしれません。以前、内部統制レビューの時に使っていました。今は使っていないはずです」

三枝は、画面を見たまま言った。

「また、“はず”です」

その時、山崎が入ってきた。

三枝は、モニターを指した。

「先生。今度は、未了が例外承認されています」

山崎は、一覧を見た。

そして、ホワイトボードへ向かい、黒いペンで書いた。

例外承認

その下に、もう一行。

リスク受容 ≠ リスク消滅

三枝は、その文字を見た。

閉じる。受け入れる。除外する。

それらは、似ているようで違う。

攻撃者は、未了を解決できなければ、例外として外へ出そうとしている。

午前八時。

望月社長、久我真琴、大石倉庫部長、営業部長が緊急参加した。

三枝は、リスク受容一覧を共有した。

「午前三時四十二分に、十八件の未了事項がRisk Acceptedとして扱われ、経営ダッシュボードの一部集計から除外されています。承認者はrisk-committee-secretariat-old。理由は、事業継続優先のため次回四半期レビューまで残存リスクとして受容、です」

望月は、すぐに言った。

「私は承認していません」

秋山も言った。

「法務総務でも承認していません」

黒崎が言った。

「情シスもです」

大石も首を横に振った。

「現場も、こんな重要項目を受け入れる判断はしていません」

山崎は、静かに言った。

「リスク受容は、非常に重い経営判断です。未了を消す行為ではありません。残存リスクを認識し、責任者、期限、代替策、監視条件を決めて受け入れるものです」

久我が頷いた。

「セキュリティ上も同じです。パッチ未適用を一時受容するなら、補完統制や期限が必要です。ただ“受容”にすれば安全になるわけではありません」

山崎は、ホワイトボードに書いた。

受容するには、責任が必要。

さらに続けた。

責任のない受容は、放置である。

三枝は、時系列表を開いた。

08:03　Incident Executive DashboardでExcluded by Risk Acceptance 18件を確認。DNS API、BPO終了証明、共同訓練終了確認、PODアーカイブ、電子印、重要通知、当直表、類似ドメイン監視等の未了がAccepted扱い。承認者risk-committee-secretariat-old、承認時刻03:42、理由“事業継続を優先し次回四半期レビューまで残存リスクとして受容”。望月社長、法務総務、情シス、現場は承認を否定。

保存。

画面右下。

保存しました。

午前八時二十五分。

Blue Heronからメールが届いた。

件名は、Accepted。

本文は、短かった。

You did not close the risk.You accepted yourself.

リスクを閉じたのではない。あなたたち自身を受け入れただけだ。

その下には、Risk Acceptance一覧のスクリーンショットが貼られていた。

三枝は、保全した。

望月は、画面を見つめた。

「当社自身を受け入れた、とは」

山崎が答えた。

「攻撃者は、未了のままの会社をそのまま受け入れろ、と言っています」

大石が低く言った。

「そんなことはしない」

山崎は頷いた。

「はい。受容と諦めは違います」

久我が言った。

「攻撃者が狙っているのは、残存リスクを正当化して対応を遅らせることです」

秋山が言った。

「例外承認は、監査でもよく見ます。期限付きでやるものですが、放置の抜け道にもなります」

山崎は、静かに言った。

「だから、例外も台帳化します。誰が、何を、なぜ、いつまで、どの補完統制で受け入れたか。これがなければ、例外ではありません」

三枝は入力した。

08:25　不明差出人より件名“Accepted”のメール受信。Risk Acceptance一覧を提示。“リスクを閉じたのではなく、自分たち自身を受け入れた”と記載。攻撃者が未了項目を例外承認扱いにし、対応遅延・経営判断鈍化を狙った可能性。証跡保全。

保存。

午前八時四十五分。

リスク受容の根拠文書が開かれた。

ファイル名。

Residual_Risk_Acceptance_Memo_Q2.pdf

電子署名付き。

署名者。

Suruga Medical Logistics Risk Committee Seal

署名時刻。

午前三時四十一分。

本文には、こう書かれていた。

本件インシデント対応に関連する複数の未了事項について、事業継続および顧客対応負荷の観点から、次回四半期リスクレビューまで残存リスクとして受容する。

対象リスト。

十八件。

補完統制。

現行監視を継続。

期限。

次回四半期レビュー。

責任者。

リスク委員会事務局。

山崎は、本文を見てすぐに言った。

「これは受容メモとして不十分です」

秋山が頷いた。

「補完統制が曖昧すぎます。責任者も事務局だけ」

望月が言った。

「次回四半期まで待つものではありません」

久我が言った。

「“現行監視を継続”も危険です。現行監視の一部が攻撃されていたのですから」

山崎は、ホワイトボードに書いた。

例外承認の最低条件

一　具体的リスク二　受容理由三　責任者四　期限五　補完統制六　監視方法七　解除条件八　経営承認

「これがない例外承認は、ただの穴です」

三枝は、PDFの署名ログを確認した。

SealPort。

署名アカウント。

risk-seal-batch-old

テンプレート。

risk_acceptance_memo_legacy

状態。

成功。

三枝は、また深く息を吐いた。

「旧リスク受容メモテンプレートです」

山崎は頷いた。

「会社印、委任状、回収指示、そしてリスク受容。古いテンプレートが続いています」

三枝は入力した。

08:50　Residual_Risk_Acceptance_Memo_Q2.pdfを確認。Risk Committee Sealによる有効電子署名あり。本文は18件の未了を次回四半期レビューまで残存リスクとして受容、補完統制は“現行監視を継続”、責任者はリスク委員会事務局のみ。SealPortログ上、risk-seal-batch-oldがrisk_acceptance_memo_legacyを用いて署名。正式経営承認なし。

保存。

午前九時十分。

risk-committee-secretariat-oldの確認が始まった。

作成日。

三年前。

用途。

内部統制・リスク委員会資料管理。

契約先。

KPI Studio Japan と 外部内部統制支援会社。

状態。

Active。

MFA通知先。

旧内部統制レビュー共有メール。

最終ログイン。

午前三時三十七分。

権限。

リスク受容メモ作成。例外台帳更新。ダッシュボード除外フラグ設定。Risk Committee Seal署名要求。

三枝は、画面を見ながら言った。

「権限が強すぎます」

久我が頷いた。

「リスクを受け入れ、ダッシュボードから除外し、署名まで要求できる。経営判断を偽装するには十分です」

山崎が言った。

「リスク委員会事務局は、判断機関ではありません。事務局権限と承認権限を分ける必要があります」

秋山が頷いた。

「以前は、事務局が役員承認済みメモを一括登録していました。その運用が残っていたのだと思います」

山崎は、ホワイトボードに書いた。

事務局 ≠ 承認者

三枝は入力した。

09:13　risk-committee-secretariat-old確認。内部統制・リスク委員会資料管理用、契約終了済み外部支援関連、状態Active、MFA通知先は旧内部統制レビュー共有メール。権限：リスク受容メモ作成、例外台帳更新、ダッシュボード除外フラグ設定、Risk Committee Seal署名要求。事務局権限と承認権限が分離されていない。

保存。

保全後、停止。

risk-committee-secretariat-old: Disabledrisk-seal-batch-old: Disabledrisk_acceptance_memo_legacy: Disabled

午前九時四十五分。

Blue Heronからメールが届いた。

件名は、Exception。

本文は、一行。

Exceptions are doors with paperwork.

例外とは、書類のある扉だ。

三枝は、保全した。

山崎が、静かに言った。

「その通りです。だから、例外の扉にも鍵が必要です」

望月が頷いた。

「例外で開ける時ほど、記録する」

久我が言った。

「例外承認は、攻撃者にとって非常に魅力的です。通常ルールを迂回できるからです」

大石が言った。

「現場の例外出荷も同じですね」

山崎は頷いた。

「はい。緊急出荷、温度逸脱時の例外使用、代理受領、緊急回収、すべて例外です」

三枝は、時系列表に入力した。

09:45　不明差出人より件名“Exception”のメール受信。“例外とは書類のある扉”と記載。攻撃者が例外承認を通常統制迂回の入口として利用した可能性。証跡保全。

保存。

午前十時十五分。

例外台帳が確認された。

会社には、すでに複数の例外があった。

MFA一時除外。外部保守一時権限。緊急出荷キオスク利用。温度逸脱時の限定出荷判断。取引先確認番号未取得時の電話確認代替。電子署名手続き遅延時の紙原本代替。夜間当直代理。問い合わせ自動返信一時利用。

多くは正当な業務上の例外だった。

だが、形式はばらばらだった。

期限があるもの。期限がないもの。責任者が明確なもの。「当面」とだけ書かれたもの。補完統制があるもの。何もないもの。

山崎は言った。

「例外は、業務を止めないために必要です。しかし、管理されていない例外は、恒久的な穴になります」

秋山が頷いた。

「例外台帳を作り直します」

三枝は、例外台帳の新しい列を作った。

例外ID対象統制例外内容理由責任者承認者開始日終了日補完統制監視方法解除条件Evidence Chain登録次回レビュー

山崎が見て言った。

「良いです。解除条件を入れたのが重要です」

三枝は頷いた。

「終わりがない例外は怖いので」

「はい」

山崎は答えた。

午前十一時。

取締役会への緊急訂正が行われた。

望月は、冒頭で言った。

「本日、複数の未了事項がリスク受容済みとして処理され、経営ダッシュボード上の集計から除外されていることを確認しました。当社は、当該リスク受容を承認していません」

山崎が補足した。

「リスク受容は、リスク消滅ではありません。具体的リスク、理由、責任者、期限、補完統制、監視方法、解除条件、経営承認が必要です。今回確認されたメモは、これらを満たしていません」

監査役が言った。

「例外承認が悪用されたということですね」

山崎は頷いた。

「はい。未了を完了に見せるのではなく、未了を例外としてカウント外へ出す攻撃です」

望月は言った。

「当社は、この十八件を未了事項へ戻します。対応を継続します」

三枝は、取締役会記録に入力した。

取締役会確認：偽または不正なリスク受容18件を無効化。未了事項として復帰。例外承認ルールを再設計。

保存。

午前十一時四十分。

Blue Heronからメールが届いた。

件名は、Unaccepted。

本文は、短かった。

You rejected your own acceptance.

自分たちの受容を拒否した。

三枝は、保全した。

望月は画面を見て言った。

「当社の受容ではありません」

山崎が頷いた。

「はい。承認者なき受容です」

秋山が言った。

「承認者のいない承認と同じですね」

「はい」

山崎は答えた。

「今回は、承認者のいない受容です」

三枝は入力した。

11:40　不明差出人より件名“Unaccepted”のメール受信。不正なRisk Acceptance無効化に反応した可能性。“自分たちの受容を拒否した”と記載。対応方針：当該リスク受容は正式経営承認を経ていないため無効。承認者なき受容として整理。

保存。

午後零時二十分。

KPI Studio Japanと、外部内部統制支援会社への確認が始まった。

外部内部統制支援会社の名前は、東海内部統制アドバイザリー。

担当の神谷は、risk-committee-secretariat-oldについて答えた。

「弊社が内部統制レビュー支援時に、リスク委員会資料の整理補助で利用したアカウントです。契約終了後に削除されるべきでした」

山崎が質問した。

「本日午前三時台のログイン、リスク受容メモ作成、例外台帳更新は御社作業ですか」

神谷は首を横に振った。

「違います」

久我が聞いた。

「MFA通知先の旧内部統制レビュー共有メールは残っていますか」

神谷は答えた。

「残っている可能性があります。保全します」

山崎が続けた。

「リスク受容テンプレート、例外台帳操作手順、Risk Committee Seal要求手順、退職者アカウント、再委託先、旧メール転送を確認してください」

神谷は頷いた。

「対応します」

三枝は入力した。

12:26　東海内部統制アドバイザリー一次確認。risk-committee-secretariat-oldは同社内部統制レビュー支援時アカウント。契約終了済み。本日03時台のログイン・リスク受容メモ作成・例外台帳更新は同社作業ではない旨。旧内部統制レビュー共有メール、MFA、テンプレート、操作手順、退職者アカウント等の保全を依頼。

保存。

午後一時半。

例外台帳を未了事項台帳と突合すると、さらに問題が見つかった。

過去にも、いくつかの例外が期限切れになっていた。

MFA除外：旧設備保守緊急連絡期限、六か月前。

外部監査アーカイブ閲覧例外期限、一年前。

訓練用地図共有例外期限、九か月前。

緊急出荷キオスク管理者共有例外期限、三か月前。

すべて、どこかで事件に関係していた。

山崎が言った。

「期限切れ例外は、未了の別名です」

ホワイトボードに書く。

期限切れ例外＝未了

三枝は、深く頷いた。

これまで見つけた古い扉の多くは、最初は例外だったのかもしれない。

一時的なMFA除外。外部支援アカウント。訓練用共有。緊急保守。バッチ署名。自動承認。

例外が期限を過ぎ、誰も見なくなり、攻撃者の道になった。

三枝は入力した。

13:34　例外台帳と未了事項台帳を突合。MFA除外、外部監査アーカイブ閲覧、訓練用地図共有、緊急出荷キオスク管理者共有等の期限切れ例外を確認。複数が本件攻撃経路と関連。期限切れ例外を未了として扱う方針。

保存。

午後二時二十分。

Blue Heronからメールが届いた。

件名は、Temporary forever。

本文は、一行。

Temporary is the longest word in your company.

あなたたちの会社で一番長い言葉は、一時的、だ。

三枝は、保全した。

会議室に、苦い沈黙が落ちた。

一時的。

本当に、何度出てきただろう。

一時アカウント。一時権限。一時バッチ。一時通知。一時共有。一時MFA除外。一時テンプレート。

一時的なものほど、長く残っていた。

山崎が、静かに言った。

「これも正しい指摘です。一時的なものには、終了条件が必要です」

望月が言った。

「一時的、という言葉を使う時は、終了日を必須にしましょう」

秋山が頷いた。

「規程に入れます」

三枝は入力した。

14:20　不明差出人より件名“Temporary forever”のメール受信。“一時的が最も長い言葉”と記載。一時権限・一時例外・一時共有の終了条件未設定が本件の主要リスクであることを再確認。対応方針：一時的設定には終了日・解除条件・責任者を必須化。

保存。

午後三時半。

例外承認フローの新設計が始まった。

山崎が、画面に案を出した。

例外承認フロー

申請者。対象統制。例外理由。事業影響。リスク影響。対象範囲。開始日時。終了日時。補完統制。監視方法。解除条件。責任者。承認者。次回レビュー。Evidence Chain登録。

さらに、例外種別。

技術例外MFA除外、証明書期限延長、APIキー一時利用。

業務例外緊急出荷、受領代替、配送ルート代替。

法務・契約例外書面遅延、押印代替、代理提出。

危機対応例外夜間当直代替、外部支援一時権限、暫定公開。

「例外は全部同じではありません」

山崎は言った。

「しかし、どの例外にも終わりが必要です」

大石が言った。

「現場の緊急出荷例外も、終わりまで記録します」

黒崎が言った。

「技術例外はPIMや期限付き権限にします」

秋山が言った。

「契約例外は法務総務承認と期限必須」

望月が言った。

「経営例外は、私か担当役員の承認を必須にしてください」

三枝は、例外フローをシステムに反映した。

午後四時四十五分。

偽リスク受容十八件は、すべて未了事項台帳へ戻された。

ステータス。

不正受容無効化未了復帰責任者確認中

各項目に、次回確認時刻が入る。

DNS API棚卸し。

本日十八時。

BPO終了証明。

明日十時。

共同訓練終了確認書。

三日以内。

PODアーカイブ制限。

本日中に暫定、七日以内に恒久。

電子印テンプレート棚卸し。

四十八時間以内。

重要通知カテゴリ恒久設計。

七日以内。

当直表真正性レビュー。

本日中に優先度A完了。

類似ドメイン監視。

運用開始済み、恒久化七日以内。

三枝は、それぞれに責任者を入れた。

今度は、事務局ではない。実在する責任者。

山崎が言った。

「これが、受容ではなく対応です」

三枝は入力した。

16:48　偽リスク受容18件を無効化し、未了事項台帳へ復帰。各項目に実在責任者、次回確認時刻、暫定対応期限、恒久対応期限を設定。ダッシュボード除外フラグを解除。

保存。

午後五時半。

Blue Heronからメールが届いた。

件名は、No exceptions。

本文は、短かった。

You make exceptions work harder than rules.

例外の方が、通常ルールより働かされている。

三枝は、保全した。

山崎が少しだけ笑った。

「良い状態です」

望月が言った。

「例外で楽をしない」

「はい」

山崎は答えた。

「例外は、通常より丁寧に扱う必要があります。統制を外すのですから」

久我が言った。

「攻撃者は例外を楽な道にしたかった。こちらは、例外を重い道にした」

三枝は入力した。

17:30　不明差出人より件名“No exceptions”のメール受信。例外承認フロー厳格化に反応した可能性。“例外の方が通常ルールより働かされている”と記載。証跡保全。

保存。

午後六時半。

取締役会向けに、例外承認統制の説明が行われた。

望月は言った。

「当社は、例外を禁止するわけではありません。事業を継続するために、例外は必要です。ただし、例外は未了を隠すための箱ではありません」

山崎が補足した。

「例外承認は、残存リスクを明示し、期限と補完統制を置いて、一時的に受け入れる経営判断です。今回のように、旧アカウントや旧テンプレートで作成された受容メモは、正式な経営判断ではありません」

監査役が言った。

「例外台帳を監査対象にします」

望月は頷いた。

「お願いします」

三枝は、会議記録に入力した。

取締役会確認：例外承認は未了の隠し場所ではなく、期限・責任者・補完統制・解除条件付きの経営判断として管理する。

保存。

午後八時。

その日の最終会議で、山崎はまとめた。

ホワイトボードには、今日の言葉が並んでいる。

例外承認リスク受容 ≠ リスク消滅責任のない受容は、放置である。事務局 ≠ 承認者期限切れ例外＝未了一時的なものには終了条件が必要

山崎は言った。

「今日、攻撃者は未了を閉じるのではなく、受け入れたことにしようとしました。ダッシュボードの外へ出し、経営判断を遅らせる攻撃です」

望月が頷いた。

「例外に隠す」

「はい」

久我が言った。

「攻撃者は、通常ルールより例外ルールを好みます。例外はルールを迂回するからです」

秋山が言った。

「法務総務も、例外契約や暫定運用を台帳化します」

大石が言った。

「現場も、緊急出荷や温度逸脱時の例外を記録します」

黒崎が言った。

「情シスも、一時権限やMFA除外を期限付きにします」

三枝が言った。

「例外にもclosed_conditionを入れます」

山崎は、静かに頷いた。

「それで、例外が会社の穴ではなく、管理された判断になります」

午後十時。

三枝は、一人で例外台帳を見ていた。

例外は、悪ではない。

そう理解できた。

緊急出荷。夜間対応。外部支援。暫定公開。一時権限。代理受領。温度逸脱時の判断。

会社が動くには、例外が必要だ。

だが、例外は軽くてはいけない。

例外は、通常の道より危険な道だ。だから、標識が必要だ。期限が必要だ。誰が通るかの記録が必要だ。いつ元の道へ戻るかが必要だ。

三枝は、自分のノートに書いた。

例外は、抜け道ではない。責任を持って通る、狭い橋である。

保存。

山崎が、背後から言った。

「今日の結論ですね」

三枝は振り返った。

「先生、例外って、便利だけど怖いですね」

山崎は頷いた。

「はい。だから、例外をなくすのではなく、橋にします。手すりと通行記録のある橋に」

三枝は、例外台帳を保存した。

午前零時。

三枝は、時系列表の最後に入力した。

00:00　Incident Executive DashboardでExcluded by Risk Acceptance 18件を確認。DNS API、BPO終了証明、共同訓練終了確認、PODアーカイブ、電子印、重要通知、当直表、類似ドメイン監視等の未了が、risk-committee-secretariat-oldにより残存リスク受容済みとして除外されていた。Residual_Risk_Acceptance_Memo_Q2.pdfにはRisk Committee Seal署名があったが、正式経営承認なし。risk-committee-secretariat-old、risk-seal-batch-old、risk_acceptance_memo_legacyを保全後停止。偽リスク受容18件を無効化し、未了事項台帳へ復帰。例外承認フロー、例外台帳、期限切れ例外の未了化を開始。

保存。

画面右下。

保存しました。

三枝は、自分のメモにも一行追加した。

例外は、終わるから例外である。終わらない例外は、穴になる。

保存。

第三会議室の外では、倉庫が静かに動いていた。

通常ルートがある。例外ルートがある。緊急の橋がある。

会社は、その橋を渡ることを恐れない。

ただし、橋を渡ったら、誰が、なぜ、いつ戻るのかを記録する。

攻撃者に、例外を穴に変えさせないために。