第54章 手すりのない橋
- 山崎行政書士事務所
- 5月7日
- 読了時間: 16分
午前七時四十五分。
三枝涼真は、例外台帳を開いた。
前夜、会社は例外を作り直した。
例外は、抜け道ではない。責任を持って通る、狭い橋である。
だから、橋には手すりが必要だ。
理由。責任者。期限。補完統制。監視方法。解除条件。経営承認。Evidence Chain登録。
一時的なものには、終了条件を必須にした。期限切れ例外は、未了に戻した。偽リスク受容十八件も、未了事項台帳へ復帰した。
三枝は、自分のメモを見た。
例外は、終わるから例外である。終わらない例外は、穴になる。
その言葉は、正しいと思えた。
だが、今朝の例外台帳には、新しい列が追加されていた。
補完統制状態
十八件のうち、いくつかに緑色の表示が付いている。
Compensating Control Active
補完統制、有効。
三枝は、眉をひそめた。
昨日の最終時点では、補完統制の多くは「設計中」または「確認中」だったはずだ。
DNS APIトークン棚卸し。問い合わせBPO終了証明。共同訓練終了確認書。PODアーカイブ制限。電子印テンプレート棚卸し。重要通知カテゴリ恒久設計。当直表真正性レビュー。類似ドメイン監視恒久化。
一晩で、全部の補完統制が有効になったとは思えない。
三枝は、詳細を開いた。
例外ID。
EX-2028-014
対象。
DNS APIトークン棚卸し未了
補完統制。
全DNS API操作について、hourly manual reviewを実施。
確認者。
control-reviewer-night
確認時刻。
午前三時二十四分。
証跡。
manual_review_log_0324.pdf
三枝は、手を止めた。
manual review。
手動確認。
確認者は、control-reviewer-night。
見覚えがない。
彼は、添付PDFを隔離環境で確認した。
表題。
補完統制実施記録
本文。
DNS APIトークン棚卸し完了までの間、夜間担当者が全DNS API操作ログを毎時確認し、不審な操作がないことを確認した。
確認者欄。
control-reviewer-night
電子署名。
Suruga Internal Control Review Seal
署名は有効に見える。
三枝は、背筋が冷えた。
また、印。また、夜間担当者。また、確認済み。
黒崎課長が会議室に入ってきた。
「三枝、何を見てる」
「補完統制が、勝手に有効になっています」
「補完統制?」
「はい。DNS APIトークン棚卸し未了に対して、夜間手動レビュー実施済みとあります。でも、誰が見たのか分かりません」
黒崎の顔が険しくなる。
「control-reviewer-night?」
「はい。見覚えがありません」
その時、山崎行政書士事務所の山崎が入ってきた。
三枝は、画面を指した。
「先生。今度は、補完統制です」
山崎は、画面を見た。
数秒、無言だった。
そしてホワイトボードに向かい、黒いペンで書いた。
手すりのない橋
その下に、もう一行。
補完統制あり ≠ 安全に受容できる
三枝は、その文字を見た。
例外は橋だ。
補完統制は、その手すりだ。
だが、その手すりが絵に描かれただけなら。
橋は、やはり危険なままだ。
午前八時。
望月社長、秋山法務総務部長、大石倉庫部長、久我真琴が緊急参加した。
三枝は、例外台帳を共有した。
「複数の例外に、補完統制有効の表示が付いています。確認者は control-reviewer-night。添付の実施記録には、夜間担当者がDNS API、TrustDesk、OnCallBoard、SealPortなどの操作ログを毎時手動確認したとあります」
久我が言った。
「実際に、そのレビューが行われたログはありますか」
三枝は、操作ログを確認した。
control-reviewer-nightのログイン履歴。
午前三時二十二分。
対象。
補完統制実施記録の作成。例外台帳の補完統制状態更新。PDF署名要求。
しかし、DNSログ、TrustDeskログ、OnCallBoardログ、SealPortログの閲覧履歴はない。
三枝は言った。
「レビュー対象システムの閲覧ログがありません。実施記録だけ作られています」
山崎が静かに言った。
「つまり、手すりを付けた記録はある。しかし、手すりそのものが見当たらない」
秋山が、顔をしかめた。
「補完統制の証明書だけがある」
「はい」
山崎は答えた。
久我が言った。
「補完統制を実施したなら、対象ログの閲覧履歴、確認結果、異常有無、確認者の本人性、確認時刻、確認対象範囲が残るはずです。今のところ、PDFしかありません」
望月が言った。
「これは無効です」
山崎は頷いた。
「無効として扱うべきです。ただし、まず事実として記録します」
三枝は時系列表を開いた。
08:03 例外台帳に複数の“Compensating Control Active”表示を確認。確認者control-reviewer-night、補完統制実施記録PDFにDNS API等の毎時手動確認済みと記載。ただし、対象システムの閲覧履歴・確認ログは現時点で確認できず。control-reviewer-nightは03:22に実施記録作成・例外台帳更新・PDF署名要求を実施。補完統制実体未確認。
保存。
画面右下。
保存しました。
午前八時二十五分。
Blue Heronからメールが届いた。
件名は、Handrails。
本文は、短かった。
You asked for handrails.We drew them.
手すりが欲しいと言った。描いてやった。
その下には、補完統制実施記録PDFの一部が貼られていた。
三枝は、保全した。
望月の声が低くなった。
「描いただけでは、手すりではありません」
山崎が頷いた。
「はい。補完統制は、文書ではなく、実際に働く仕組みです」
久我が続けた。
「監視なら、実際のアラート、レビュー履歴、レビュー結果、異常時の対応、確認者が必要です」
大石が言った。
「現場の仮設柵と同じですね。図面に柵があっても、現場に立っていなければ落ちます」
山崎は、ホワイトボードに書いた。
補完統制=実際に落下を防ぐもの
三枝は、その言葉を見て頷いた。
補完統制は、言葉ではない。
機能だ。
三枝は入力した。
08:25 不明差出人より件名“Handrails”のメール受信。補完統制実施記録を提示し、“手すりを描いた”と記載。攻撃者が補完統制の形式だけを作り、例外を安全に見せようとした可能性。証跡保全。
保存。
午前八時四十五分。
control-reviewer-nightの詳細確認が始まった。
アカウント種別。
共有レビューアカウント。
作成日。
二年前。
用途。
内部統制レビュー時の夜間ログ確認支援。
契約先。
東海内部統制アドバイザリー
契約終了済み。
状態。
Active。
MFA通知先。
旧内部統制レビュー共有メール。
権限。
例外台帳更新。補完統制記録作成。Internal Control Review Seal署名要求。一部ダッシュボード除外理由編集。
三枝は、深く息を吐いた。
「昨日のrisk-committee-secretariat-oldと同じ系統です」
秋山が頷いた。
「内部統制レビュー支援時のアカウントですね。残っていました」
山崎が言った。
「内部統制を確認するためのアカウントが、内部統制を偽装するために使われました」
会議室が静かになった。
久我が言った。
「保全後、停止です。さらにInternal Control Review Sealの署名経路も確認しましょう」
三枝は入力した。
08:49 control-reviewer-nightは東海内部統制アドバイザリーの夜間ログ確認支援用共有アカウント。契約終了済み、状態Active、MFA通知先は旧内部統制レビュー共有メール。権限:例外台帳更新、補完統制記録作成、Internal Control Review Seal署名要求、一部ダッシュボード除外理由編集。保全後停止対象。
保全後、停止。
control-reviewer-night: Disabled
保存。
午前九時十五分。
補完統制実施記録に使われた電子印を確認した。
Suruga Internal Control Review Seal
用途。
内部統制レビュー結果、是正状況確認、監査対応資料への署名。
SealPortログ。
午前三時二十三分。
要求アカウント。
control-seal-batch-old
テンプレート。
compensating_control_record_legacy
承認者。
不要。
また旧テンプレートだった。
山崎は、ホワイトボードに書いた。
監査印 ≠ 監査済み
秋山が、苦い顔で言った。
「また、印の意味を分ける必要がありますね」
「はい」
山崎は答えた。
「監査印があることは、監査またはレビューの正式完了を意味しません。署名経路、承認者、確認内容が必要です」
久我が言った。
「control-seal-batch-oldも停止します」
三枝は、保全後に停止した。
control-seal-batch-old: Disabledcompensating_control_record_legacy: Disabled
時系列へ入力。
09:18 補完統制実施記録PDFにはSuruga Internal Control Review Seal署名あり。SealPortログ上、control-seal-batch-oldがcompensating_control_record_legacyを用いて署名。承認者不要。監査印があることは正式レビュー完了を意味しない。保全後、旧バッチ・テンプレート停止。
保存。
午前九時四十分。
補完統制有効とされた十八件を再評価した。
結果。
実際に補完統制が確認できたもの。
三件。
CT監視。DMARC監視。TrustDesk優先度A人間確認。
実体未確認。
十一件。
DNS API手動レビュー。SealPort署名テンプレート手動レビュー。OnCallBoard当直変更日次確認。PODアーカイブ閲覧レビュー。BPO終了証明確認。共同訓練終了確認。連絡先マスタ変更二重確認。
虚偽または誤記。
四件。
存在しない夜間レビュー。外部ベンダー回答未受領なのに確認済み。未実装監視を稼働中と記載。次回四半期レビューを翌営業日確認と誤記。
山崎は言った。
「補完統制状態を三つに分けましょう」
ホワイトボードに書く。
有効確認済み実体未確認無効・虚偽
「緑、黄、赤です。ただし、緑にも出典を付けます」
三枝は、例外台帳に列を追加した。
補完統制証跡確認者確認対象ログ異常時対応最終テスト状態
時系列へ入力。
09:45 補完統制有効とされた18件を再評価。実際に有効確認済み3件、実体未確認11件、無効・虚偽4件。補完統制状態を有効確認済み、実体未確認、無効・虚偽に分類し、証跡・確認者・確認対象ログ・異常時対応・最終テストを必須化。
保存。
午前十時十五分。
Blue Heronからメールが届いた。
件名は、Yellow handrails。
本文は、一行だった。
You painted the handrails yellow.
手すりを黄色に塗ったのか。
三枝は、保全した。
山崎が言った。
「実体未確認は黄色です。正しい扱いです」
望月が頷いた。
「安全と断定しない」
久我が言った。
「補完統制は、設計済み、実装済み、動作確認済み、運用中を分けるべきです」
三枝は、さらに分類を細かくした。
設計中実装中動作確認済み運用中失敗検知済み無効
山崎が見て言った。
「良いです。補完統制にもステータス辞書が必要ですね」
三枝は入力した。
10:15 不明差出人より件名“Yellow handrails”のメール受信。補完統制実体未確認を黄色扱いにしたことに反応した可能性。補完統制の状態を設計中、実装中、動作確認済み、運用中、失敗検知済み、無効に分類する方針。証跡保全。
保存。
午前十一時。
東海内部統制アドバイザリーとの緊急確認が始まった。
担当の神谷は、昨日に続いて厳しい表情だった。
山崎が質問した。
「control-reviewer-nightおよびcontrol-seal-batch-oldは、御社支援時のアカウントまたはテンプレートですね」
神谷は頷いた。
「はい。内部統制レビュー支援時に利用しました。契約終了後に削除されるべきでした」
「本日午前三時台の補完統制実施記録作成、例外台帳更新は御社作業ですか」
「違います」
「旧内部統制レビュー共有メールの状態は」
「残っていました。昨日の調査で停止準備中でしたが、完全停止前でした。本日未明のMFAメール受信とクリック履歴があります」
秋山が、苦い表情で言った。
「停止準備中の隙ですか」
神谷は、深く頭を下げた。
「申し訳ありません」
山崎は、静かに言った。
「責任整理は続きます。今は、御社側の同型アカウント、監査印テンプレート、補完統制記録テンプレート、旧メール、退職者アカウントを全件確認してください」
神谷は頷いた。
「対応します」
三枝は入力した。
11:06 東海内部統制アドバイザリー追加確認。control-reviewer-night、control-seal-batch-oldは同社内部統制レビュー支援時のアカウント・テンプレート。契約終了後削除予定。午前3時台の操作は同社作業ではない旨。旧内部統制レビュー共有メールは停止準備中だったが残存し、本日未明MFA受信・クリック履歴あり。
保存。
午後零時。
補完統制の再設計会議が行われた。
対象は、最も危険な例外三つ。
DNS APIトークン棚卸し未了電子印テンプレート棚卸し未了問い合わせBPO終了証明未了
山崎が言った。
「補完統制は、例外ごとに具体化します。“現行監視を継続”のような抽象文は不可です」
久我が、DNS APIの補完統制を提案した。
DNS APIトークン棚卸し完了まで。
一、DNS変更は全件手動承認。二、TXT、CNAME、NS、CAA変更は即時アラート。三、CT監視。四、変更ログを四時間ごとに三枝または黒崎が確認。五、不明変更は即時ロールバック。六、日次Evidence Chain登録。
三枝は頷いた。
「これなら、実際に機能します」
電子印テンプレート棚卸し未了については、秋山と山崎が設計した。
一、旧テンプレート全件を無効化または保留。二、新規署名は現行承認フローのみ。三、会社印・部門印の署名要求は二名承認。四、署名後にPublicNoticeHubまたは登録窓口で真正性確認。五、SealPort利用ログを毎日レビュー。
問い合わせBPO終了証明未了については、営業部長と久我が設計した。
一、外部BPOアカウント全停止。二、BPO関連メール転送停止確認。三、TrustDeskテンプレート変更禁止。四、分類ルール変更二名承認。五、BPO会社から削除証明取得まで毎日確認。
山崎は言った。
「これが補完統制です。具体的で、誰が、いつ、何を見るかがある」
三枝は、例外台帳に入力した。
12:15 主要例外3件について補完統制を具体化。DNS API、電子印テンプレート、問い合わせBPO終了証明について、手動承認、即時アラート、ログレビュー、無効化、二名承認、削除証明取得等の具体的統制を設定。抽象的な“現行監視を継続”は禁止。
保存。
午後一時二十分。
Blue Heronからメールが届いた。
件名は、Real rails。
本文は、短かった。
Real handrails are expensive.
本物の手すりは高くつく。
三枝は、保全した。
望月が言った。
「払います」
山崎が頷いた。
「安全のためのコストです」
大石が言った。
「現場でも、仮設の柵を本当に置くには手間がかかる。でも必要です」
久我が言った。
「補完統制は、安い言葉ではなく、実際の作業です」
三枝は入力した。
13:20 不明差出人より件名“Real rails”のメール受信。具体的補完統制のコストを示唆。“本物の手すりは高くつく”と記載。対応方針:補完統制を実作業・実監視として設計し、必要な運用コストを経営判断として受け入れる。証跡保全。
保存。
午後二時。
経営ダッシュボードも更新された。
例外は、ただ除外されない。
新しい表示が追加された。
Exceptions Open:18Compensating Controls Verified:3Compensating Controls Pending:11Invalid Controls:4Exceptions Overdue:0Next Review Due:Today 18:00
望月は、画面を見て頷いた。
「これなら、例外も見えます」
山崎が言った。
「例外を隠さず、例外として見える化します」
久我が続けた。
「補完統制の状態も見えます。受容、設計中、動作確認済み、運用中を分ける」
秋山が言った。
「監査にも使えます」
三枝は入力した。
14:05 経営ダッシュボードへ例外承認・補完統制状態を追加表示。Exceptions Open 18、Verified 3、Pending 11、Invalid 4として可視化。例外を除外せず、例外として経営監視対象化。
保存。
午後三時三十分。
取締役会へ、補完統制の考え方が説明された。
山崎は、冒頭で言った。
「昨日、例外承認が悪用されました。今日は、その例外を安全に見せるための補完統制記録が偽装された可能性を確認しました」
監査役が言った。
「例外を受け入れるにも、補完統制が必要。しかし、その補完統制も偽装される」
山崎は頷いた。
「はい。ですから、補完統制は文書だけではなく、実際のログ、監視、確認者、異常時対応で確認します」
望月は言った。
「当社は、例外をなくすのではありません。例外を見える化し、補完統制を実体で確認します」
財務担当役員が聞いた。
「運用負荷は上がりますね」
望月は答えた。
「上がります。ただし、未了を見えないままにするより安いと判断します」
三枝は、その言葉を記録した。
未了を見えないままにするより、見るコストの方が安い。
保存。
午後四時四十五分。
Blue Heronからメールが届いた。
件名は、Cost center。
本文は、一行。
Visibility is a cost center now.
可視性は、今やコストセンターだ。
三枝は、保全した。
山崎が言った。
「可視性はコストですが、同時に防御です」
望月が頷いた。
「見えないコストの方が大きい」
久我が言った。
「見えない未了は、後で事件になります」
大石が言った。
「現場でも、見えない故障は一番高くつきます」
三枝は入力した。
16:45 不明差出人より件名“Cost center”のメール受信。補完統制・例外可視化の運用コストを揶揄。対応方針:可視性を防御投資として扱い、見えない未了のリスクと比較して経営判断する。証跡保全。
保存。
午後六時。
午後六時レビューが行われた。
DNS API補完統制。
四時間ごとのログレビュー完了。不審変更なし。CT監視正常。レビュー者、黒崎。確認者、三枝。
電子印補完統制。
旧テンプレート追加二件無効化。新規署名は現行フローのみ。SealPortログレビュー完了。確認者、秋山。
BPO終了証明補完統制。
CareLineから旧メール停止証明受領。Webhook旧キー削除証明待ち。TrustDeskテンプレート変更なし。確認者、営業部長。
例外台帳の三件が、実装中 から 動作確認済み へ変わった。
ただし、Closedではない。
三枝は入力した。
18:05 主要補完統制の初回レビュー実施。DNS API、電子印、BPO終了証明について、ログレビュー・テンプレート無効化・旧メール停止証明等を確認。三件を動作確認済みへ更新。ただし解除条件未達のため例外はOpen継続。
保存。
山崎が言った。
「良いです。動作確認済みとClosedを分けています」
三枝は頷いた。
「まだ橋を渡り終わっていないので」
午後七時二十分。
Blue Heronから、その日最後のメールが届いた。
件名は、Still open。
本文は、短い。
You did the work.Still open?
作業したのに、まだ未完了か?
三枝は、保全した。
山崎が言った。
「はい。解除条件を満たすまで、まだOpenです」
望月が頷いた。
「作業したことと、終わったことは違う」
大石が言った。
「現場でも、仮復旧と本復旧は違います」
久我が言った。
「セキュリティでも、実装、動作確認、運用安定、解除条件達成は違います」
三枝は入力した。
19:20 不明差出人より件名“Still open”のメール受信。補完統制作業後も例外をOpen継続したことに反応。“作業したのにまだ未完了か”と記載。対応方針:実装・動作確認・運用安定・解除条件達成を分け、解除条件未達の例外はOpen継続。
保存。
午後八時半。
その日の最終会議で、山崎はまとめた。
ホワイトボードには、今日の言葉が並んでいる。
手すりのない橋補完統制あり ≠ 安全に受容できる補完統制=実際に落下を防ぐもの監査印 ≠ 監査済み補完統制の状態:設計中/実装中/動作確認済み/運用中/無効作業したことと、終わったことは違う
山崎は言った。
「今日、攻撃者は補完統制を偽装しました。例外を受け入れるための手すりを、文書上だけ描いたのです」
望月が頷いた。
「手すりが本当にあるか、触って確かめる」
「はい」
久我が言った。
「ログ、アラート、レビュー、異常時対応、確認者。これらがなければ補完統制ではありません」
秋山が言った。
「監査印やレビュー印があっても、何をレビューしたかを見る」
大石が言った。
「現場の仮設柵も、写真だけじゃなく現物を見る」
三枝は、全員の発言を記録した。
例外の橋には、手すりが必要だ。
そして、手すりもまた、確認する必要がある。
午後十時。
三枝は、一人で例外台帳を見ていた。
昨日より複雑になった。
例外。補完統制。状態。証跡。解除条件。次回レビュー。
だが、見える。
危険な橋が、どこにあるのか。手すりが本物か。まだ設計中なのか。仮設なのか。運用中なのか。無効なのか。
三枝は、自分のノートに書いた。
補完統制とは、危険を消す魔法ではない。危険な橋を渡る間、落ちないための手すりである。
保存。
山崎が、背後から言った。
「今日の結論ですね」
三枝は振り返った。
「手すりを描くだけでは駄目ですね」
山崎は頷いた。
「はい。掴めなければ、手すりではありません」
三枝は、例外台帳を保存した。
午前零時。
三枝は、時系列表の最後に入力した。
00:00 例外台帳において複数未了事項がCompensating Control Activeとなっていることを確認。control-reviewer-nightにより補完統制実施記録PDFが作成され、Suruga Internal Control Review Seal署名が付与されていたが、対象システムの閲覧履歴・確認ログは確認できず。control-reviewer-night、control-seal-batch-old、compensating_control_record_legacyはいずれも契約終了済み東海内部統制アドバイザリー関連の旧アカウント・テンプレート。保全後停止。補完統制18件を再評価し、有効確認済み3件、実体未確認11件、無効・虚偽4件へ分類。補完統制状態・証跡・確認対象ログ・解除条件を例外台帳と経営ダッシュボードへ追加。
保存。
画面右下。
保存しました。
三枝は、自分のメモにも一行追加した。
手すりは、そこにあるだけでは足りない。掴めること。支えること。壊れたら気づくこと。それで初めて、橋を渡れる。
保存。
第三会議室の外では、夜の倉庫が静かに動いていた。
通路には手すりがある。段差には警告がある。冷蔵庫には温度計がある。扉には鍵がある。
会社のサイバーの橋にも、同じものが必要だった。
見えること。触れること。支えること。壊れたら分かること。
それが、補完統制だった。
コメント