草薙台帳怪盗とSaaS一覧の謎
- 山崎行政書士事務所
- 5月13日
- 読了時間: 17分
――山崎行政書士事務所事件簿
山崎行政書士事務所では、午後二時になると、所長の山崎が必ず言う言葉がある。
「そろそろ甘いものが必要だね」
その日も山崎は、戸棚から最中を取り出そうとしていた。
しかし、ちぎりが赤ペンを構えたまま言った。
「先生、その最中は昨日で在庫ゼロのはずです」
「なぜ知っている」
「さくらさんが、おやつ台帳に記録していました」
みおが静かにうなずいた。
「山崎事務所で一番成熟している管理台帳です」
「褒められている気がしないね」
そのとき、事務所の電話が鳴った。
受話器を取った山崎の表情が、最中より白くなった。
「……台帳が消えた?」
ちぎりの赤ペンが止まった。
みおの目が細くなる。
電話の相手は、草薙駅近くのWeb制作会社、株式会社クサナギリンクの代表、森下だった。
大手取引先からのセキュリティチェックシート提出期限が、今日の午後五時。回答はほぼ終わっていた。ところが、最後に添付するはずのクラウド・SaaS利用台帳だけが、共有フォルダから消えたという。
しかも、フォルダには一枚のメモだけが残されていた。
SaaS一覧は預かった。うそをつく者に、台帳は返さない。――草薙台帳怪盗
山崎は受話器を置き、静かに言った。
「ちぎりくん、みおくん」
「はい」
「今日は、おやつ台帳ではなく、SaaS台帳の怪盗だ」
ちぎりは立ち上がった。
「犯人探しより、提出内容の整合性を優先します」
みおもPCを閉じた。
「未取得なのに、ISMS取得済みに見せる回答は止めます」
山崎は最中を見た。
「では私は……」
「先生は移動中に食べないでください。証跡が残ります」
1 消えたSaaS一覧
クサナギリンクの会議室は、台風前の空のように重かった。
机には、ノートPCが三台。床には、紙袋が二つ。壁には、なぜか富士山のポスター。そしてホワイトボードには、赤字でこう書かれていた。
提出期限 17:00現在時刻 14:08SaaS台帳 行方不明
代表の森下は、髪をかきむしっていた。
「本当に消えたんです。昨日まではありました。クラウド・SaaS利用台帳.xlsx。取引先から“利用中のクラウドサービス一覧を提出してください”と言われていて」
営業責任者の杉谷が、青ざめた顔で続けた。
「大丈夫です。回答欄には“ISMS取得済み相当”って書いてありますから」
みおが、ぴたりと動きを止めた。
「相当?」
杉谷は笑顔を作ろうとして失敗した。
「いえ、その、実際には取得していないんですが、社内ではかなり頑張ってますし、取得予定もそのうち……」
みおは、静かにチェックシートを手に取った。
回答欄には、こう書かれていた。
ISMS認証:取得済み相当クラウドサービス管理:台帳により全件管理委託先管理:実施済みアカウント棚卸し:定期実施バックアップ:実施済み教育:全員受講済み
ちぎりが、赤ペンを置いた。
「これは危険です」
杉谷は慌てた。
「でも、商談が飛ぶかもしれないんです。相手先はセキュリティに厳しくて」
みおは言った。
「だからこそ、実態に合う説明をします。取得していない認証を取得済みに見せる回答は、信頼を増やしません。後で失います」
森下がうつむいた。
「でも、台帳がないと何も答えられません」
ちぎりは、ホワイトボードに四つの見出しを書いた。
委託先管理台帳アカウント管理台帳バックアップ管理表教育記録
「SaaS利用台帳が消えても、根拠は周辺に残ります。サービスは請求書に残る。利用者はアカウントに残る。保存データはバックアップ管理に残る。ルールは教育記録に残る。怪盗がファイルを盗んでも、実態までは盗めません」
山崎がうなずいた。
「ちぎりくん、今日の赤ペンは名探偵だね」
「先生は、怪盗のメモを嗅がないでください」
「紙の匂いで犯人がわかるかもしれない」
「わかりません」
2 怪盗の第一の謎
最初に見たのは、委託先管理台帳だった。
ちぎりは、クサナギリンクの管理担当・宮川から、契約書ファイルと請求書一覧を受け取った。
「SaaSは、委託先でもあり、情報の預け先でもあります。サービス名、提供会社、利用目的、保存される情報、契約者、管理責任者、解約時のデータ削除、サポート窓口。まずここを見ます」
宮川は小さく言った。
「そこまで書いていません……」
「なら、今日書けるところまで書きます」
請求書から、サービス名が次々に出てきた。
会計SaaS。勤怠SaaS。チャットツール。オンラインストレージ。プロジェクト管理。電子契約。メール配信。フォーム作成。デザイン共有。コード管理。オンライン会議。パスワード管理。問い合わせ管理。
森下が驚いた。
「うち、こんなに使っていたんですか」
ちぎりは淡々と答えた。
「便利なものは、気づくと増えます。おやつと同じです」
山崎が深くうなずいた。
「最中もいつの間にかなくなる」
「先生、それは使用者が明確です」
次に、アカウント管理台帳を開いた。
みおがすぐに眉を寄せた。
「退職者のアカウントが二つ残っています」
森下が顔を上げた。
「えっ」
「チャットツールとオンラインストレージです。ログインは最近ありません。ただ、残っていること自体は回答時に整理が必要です」
杉谷が慌てた。
「そこは書かない方が……」
みおは首を振った。
「隠すのではなく、対応予定を書くんです。“確認の結果、退職者アカウント二件を検出し、本日停止、再発防止として月次棚卸しを設定”なら、実態に合う説明になります」
ちぎりは、今度はバックアップ管理表を見た。
バックアップは「実施済み」と回答されていたが、管理表には三種類の記載が混ざっていた。
毎日バックアップ。週次エクスポート。SaaS事業者標準機能のみ。未確認。
「“実施済み”と一括で書けません」
ちぎりは言った。
「サービスごとに違います。何をバックアップしているか。誰が復元できるか。復元テストをしたか。ここを分けます」
杉谷は苦しそうに言った。
「回答が弱く見えます」
みおは、はっきり答えた。
「弱いところを強く見せると、将来の事故になります。弱いところは、改善予定と期限で補います」
最後に教育記録。
全員受講済み、と回答されていた。
しかし、教育記録には、パートナー社員三名の名前がなかった。
宮川が小声で言った。
「外部のデザイナーさんです。社内研修は対象外だと思っていて」
ちぎりは赤ペンで囲った。
「外部の人がSaaSにアクセスするなら、教育やルール周知の対象に入れた方がいいです。少なくとも、利用ルールと秘密保持の確認記録は残しましょう」
その瞬間、会議室のプリンターが突然動き出した。
誰も印刷していない。
紙が一枚、吐き出された。
第二の謎。“全件管理”とは、何件を指すのか。数えずに全件と言うな。――草薙台帳怪盗
森下が叫んだ。
「また怪盗!」
山崎は紙を見て言った。
「なかなか正論を言う怪盗だね」
みおは印刷ジョブを見た。
送信元は、総務PC。
宮川が固まった。
「私じゃありません!」
ちぎりは、印刷された紙の右下を見た。
小さな文字で、こう印字されていた。
Auto-Answer-Helper_v2
「自動回答支援ツール?」
森下が気まずそうに言った。
「セキュリティチェックシートの回答を楽にするため、前任者が作った簡易ツールです。過去回答を拾って、候補を出してくれるんです」
みおの目が細くなった。
「過去回答を、今の実態確認なしに使っていたんですね」
杉谷は黙った。
会議室の空気が、少し冷えた。
3 ISMS取得済み相当の崖
みおは、チェックシートの該当欄を画面に映した。
質問はこうだった。
貴社はISMS認証を取得していますか。取得済みの場合、認証番号・認証範囲・有効期限を記載してください。未取得の場合、同等の管理策または実施中の対策を記載してください。
杉谷が言った。
「だから“取得済み相当”で……」
みおは遮った。
「違います。この質問は、取得済みか未取得かを聞いています。認証番号も有効期限もないのに“取得済み相当”と書くと、相手に誤解を与えます」
「でも、未取得って書いたら不利です」
「不利でも、正確です」
山崎が静かに言った。
「取引は、背伸びで始めると、あとで足がつるよ」
みおは修正文案を打ち込んだ。
ISMS認証は未取得です。ただし、情報セキュリティ管理体制の整備を進めており、クラウド・SaaS利用状況、委託先、アカウント、バックアップ、教育記録を台帳化して管理しています。現時点で確認済みの未整備事項は、退職者アカウント二件の停止、外部パートナー向け教育記録の補完、SaaS別バックアップ方式の明確化です。これらは本日中に一次対応し、月次棚卸しと四半期レビューを開始します。
杉谷は画面を見つめた。
「正直すぎませんか」
みおは言った。
「取引先は、完璧な物語より、説明できる実態を求めていることがあります。もちろん、相手の判断は確認できません。でも、虚偽に近い回答をするより、ずっと強いです」
ちぎりが続けた。
「今、必要なのは“よく見せる回答”ではなく、“後で説明できる回答”です」
その時、プリンターがまた動いた。
第三の謎。ISMSは、雰囲気では取得できない。取得済み相当という山には、登山道がない。――草薙台帳怪盗
山崎が紙を見た。
「この怪盗、しょうこくんの契約書回にも出てきそうだね」
みおは眉を寄せた。
「それにしても、文体が妙です」
「妙?」
「厳しいけれど、会社を守ろうとしている」
森下が小さく言った。
「それ、前任の情シス担当みたいです」
「前任者?」
「佐伯です。半年前に退職しました。真面目すぎる男で、“嘘のチェックシートは事故の予約票です”ってよく言っていました」
会議室に沈黙が落ちた。
退職者。自動回答支援ツール。怪盗の正論。消えた台帳。
まるで、辞めた情シス担当が、会社の嘘を止めに戻ってきたようだった。
山崎が言った。
「退職者アカウントは夜に歌うだけではなく、台帳も盗むのかね」
ちぎりが即答した。
「先生、過去事件と混ぜないでください」
4 SaaS一覧はどこに眠る
提出期限まで、残り一時間四十分。
ちぎりは、再構築した一覧をホワイトボードに書き出した。
SaaS合計、二十三件。業務利用承認済み、十八件。確認中、二件。未承認利用、三件。退職者アカウント残存、二件。外部パートナーアカウント、五件。バックアップ方式未確認、四件。教育記録不足、三名。
杉谷は頭を抱えた。
「これを出すんですか」
みおは言った。
「そのまま出すのではありません。取引先に必要な範囲へ整理します。サービス名、用途、保存情報、管理責任者、認証方法、外部共有、バックアップ、委託先確認状況、改善予定。これで十分です」
宮川がノートPCを見ながら言った。
「でも、元のSaaS台帳がないと、どれが正しいかわかりません」
その瞬間、ちぎりが動きを止めた。
「元の台帳……本当に、ありましたか?」
森下が顔を上げた。
「え?」
「皆さん、クラウド・SaaS利用台帳.xlsxを見たことがありますか」
会議室の全員が沈黙した。
杉谷が言った。
「私は、去年の提出用PDFなら見ました」
宮川は首をかしげた。
「私は、委託先管理台帳なら更新していました」
森下は言った。
「佐伯が“台帳化してあります”と言っていました」
みおが、静かに言った。
「つまり、実体のあるExcelファイルを全員が見たわけではない」
ちぎりは、過去提出フォルダを開いた。
そこには、一年前の取引先向け提出資料があった。
クラウド_SaaS利用台帳_提出用.pdf
PDFの下部に、小さくこう書かれていた。
委託先管理台帳、アカウント管理台帳、バックアップ管理表、教育記録から自動生成
ちぎりの目が光った。
「消えたのは台帳ではありません。提出用の一覧です」
「どういうことですか」
「SaaS台帳は、独立したファイルではなく、四つの台帳から生成されるビューだったんです」
みおが続けた。
「佐伯さんは、実態を四つの台帳で管理し、提出時だけSaaS一覧を生成していた。ところが後任は、提出用PDFだけを“台帳本体”だと思い込んだ」
山崎が手を打った。
「怪盗は台帳を盗んでいない。もともと、そこに台帳はなかった」
会議室に、ハッとする沈黙が広がった。
次の瞬間、プリンターが三度目の音を立てた。
最後の謎。台帳とは、ファイル名ではない。実態を追える仕組みである。――草薙台帳怪盗
ちぎりは印刷ジョブを追った。
送信元は、やはり Auto-Answer-Helper_v2。
森下が叫んだ。
「佐伯のツールだ……」
しかし、みおは首を振った。
「退職者が戻ってきたわけではありません。自動ツールが、条件に反応して警告を出しているだけです」
ちぎりが設定ファイルを開いた。
そこには、佐伯のコメントが残っていた。
提出用回答に以下の語が含まれる場合、警告を出す。“取得済み相当”“全件管理”“実施済み”“問題なし”根拠台帳が未更新の場合、提出を止める。これは怪盗ではない。最後の防波堤。
山崎が小さく笑った。
「佐伯さん、怪盗を名乗りながら、門番だったんだね」
宮川は、泣きそうな顔で言った。
「佐伯さん、辞める前に言っていました。“台帳は、提出のためじゃなくて、会社を守るためにある”って」
杉谷は椅子に座り込んだ。
「俺、商談を守るつもりで、会社を危なくしてたんですね」
みおは、責めなかった。
「焦る気持ちはわかります。でも、ここから直せます」
5 怪盗ではなく、回答者になる
提出期限まで残り五十五分。
会議室は、犯人探しの場から、回答作成の現場に変わった。
ちぎりは、四つの台帳を突合した。
委託先管理台帳から、SaaS提供会社と利用目的。アカウント管理台帳から、管理者と利用者数、退職者アカウントの有無。バックアップ管理表から、保存対象と復元方法。教育記録から、社内外の利用ルール周知状況。
みおは、チェックシートの回答文を整えた。
ISMS認証は未取得です。取得済みとは表示しません。現在、情報セキュリティ管理体制を整備中であり、クラウド・SaaS利用については、委託先管理台帳、アカウント管理台帳、バックアップ管理表、教育記録を基礎資料として管理しています。回答日時点で利用確認済みのSaaSは二十三件です。うち三件は未承認利用として本日利用停止または承認審査へ回付しました。退職者アカウント二件は本日停止済みです。外部パートナー三名の教育記録は不足していたため、利用ルール再周知と確認記録の取得を本日中に実施します。バックアップ方式が未確認の四件については、各サービスの契約・管理画面を確認し、二週間以内にバックアップ管理表を更新します。月次でアカウント棚卸し、四半期でSaaS利用棚卸しを行う運用へ変更します。
杉谷は、その文面を黙って読んだ。
「これ、弱さも書いてあります」
みおはうなずいた。
「はい」
「でも、逃げてないですね」
「はい」
森下は、静かに言った。
「これで出しましょう。取引先に聞かれたら、私が説明します」
山崎は微笑んだ。
「いい回答です。怪盗を追うより、回答者になる。これが一番強い」
その時、プリンターが四度目の音を立てた。
全員が身構えた。
紙には、最後の一行だけが印刷されていた。
それでよい。――草薙台帳怪盗
宮川が泣き笑いした。
「佐伯さん、厳しすぎます」
ちぎりは言った。
「いい設計です。厳しいけれど、会社を守っています」
6 午後五時の送信
午後四時五十六分。
クサナギリンクは、取引先へセキュリティチェックシートを送信した。
添付したのは、再構築したクラウド・SaaS利用一覧。ただし、タイトルは変わっていた。
クラウド・SaaS利用状況説明書兼 改善予定一覧
杉谷が不安そうに言った。
「これで商談が落ちたら……」
森下は首を振った。
「落ちたとしても、嘘で取るよりいい。いや、落とさないように、ここから整備する」
みおは静かに言った。
「その方針なら、次の回答はもっと強くなります」
ちぎりは、佐伯の自動ツールに新しい設定を追加した。
“取得済み相当”を検出した場合:警告“全件管理”を検出した場合:件数入力を要求“実施済み”を検出した場合:証跡台帳のリンクを要求“問題なし”を検出した場合:確認日と確認者を要求
山崎が覗き込んだ。
「怪盗が、ますます厳しくなったね」
ちぎりは答えた。
「怪盗ではありません。社内統制です」
宮川が笑った。
「名前は残してもいいですか」
みおが首をかしげた。
「何の名前ですか」
宮川は、ツール名を入力した。
草薙台帳怪盗
山崎が満足げにうなずいた。
「愛される統制だ」
7 怪盗の正体
翌日、取引先から返信が来た。
件名は、
セキュリティチェックシート回答について
会議室に、森下、杉谷、宮川、山崎、ちぎり、みおが集まった。
森下がメールを開く。
ご回答ありがとうございます。ISMS未取得である旨を明記いただき、現状の管理状況と改善予定を具体的に記載いただいた点を評価します。未整備事項については、次回打合せで改善計画を確認させてください。現時点では、取引継続の前提で進めます。
杉谷が椅子にもたれた。
「助かった……」
みおは言った。
「助かったのではなく、説明が通ったんです」
ちぎりは補足した。
「そして、これで終わりではありません。二週間後にバックアップ方式の確認、月末にアカウント棚卸し、四半期でSaaS棚卸し。提出後が本番です」
森下は深くうなずいた。
「やります」
山崎は、窓の外の草薙の空を見た。
「佐伯さんにも、報告したいですね」
宮川がスマートフォンを出した。
「実は、連絡先があります」
数分後、退職した佐伯とオンライン通話がつながった。
画面に映った佐伯は、少し眠そうな顔をしていた。
「まさか、あのツールがまだ動いているとは思いませんでした」
森下が頭を下げた。
「助けられたよ」
佐伯は困ったように笑った。
「助けたというより、止めただけです。あのツールは、怪盗じゃなくてブレーキです。提出前に嘘っぽい言葉を見つけたら、止めるようにしてありました」
杉谷が言った。
「すみません。“取得済み相当”って書きました」
佐伯は苦笑した。
「それ、私が一番嫌いな言葉です」
山崎が笑った。
「怪盗の正体は、会社を守る前任者の置き土産だったわけですね」
佐伯は首を振った。
「いえ、本当の正体は、台帳を提出用ファイルだと思い込む文化です。台帳は生き物です。更新しないと死にます」
みおがうなずいた。
「その通りです」
佐伯は最後に言った。
「犯人を探すより、実態を見てください。実態に合う説明を積み重ねれば、会社は強くなります」
通話が切れたあと、会議室は少し温かくなった。
杉谷がぽつりと言った。
「俺、今までチェックシートを“通過儀礼”だと思っていました」
ちぎりは言った。
「本当は、会社の鏡です」
「鏡、怖いですね」
山崎が言った。
「でも、鏡を見ないと、寝癖は直らない」
みおが小さく笑った。
「先生、それは珍しく的確です」
8 山崎事務所に戻って
夕方、山崎行政書士事務所に戻ると、さくらが出迎えた。
「お疲れさまでした。怪盗は捕まりましたか」
山崎は答えた。
「捕まえる必要はなかったよ。怪盗は、会社を守る門番だった」
さくらは目を輝かせた。
「かっこいいですね」
ちぎりはファイルを机に置いた。
「ただし、門番に頼りきりではだめです。台帳は日々の運用です」
みおは、チェックシートの控えを閉じた。
「今日の一番大事なところは、ISMS未取得を未取得と書いたことです」
山崎が頷いた。
「できていないことを、できていると言わない。できていないことを、これからどうするか書く。実務はそこから始まる」
さくらは、おやつ台帳を開いた。
「ちなみに、今日の最中は在庫ゼロです」
山崎は肩を落とした。
「そこは実態に合わなくていいのに」
ちぎりが即答した。
「合わないと困ります」
みおが言った。
「先生、改善予定を書いてください」
山崎はしぶしぶペンを取った。
最中補充予定:明日午前管理責任者:山崎未整備事項:買い忘れ防止
さくらが満足そうにうなずいた。
「実態に合う説明です」
事務所に笑いが広がった。
草薙台帳怪盗は、誰かを陥れるために現れたのではなかった。
消えたSaaS一覧は、会社の嘘を暴くためでもなかった。
それは、台帳が問いかけていたのだ。
「私は本当に、使われていますか」「提出用の飾りになっていませんか」「できていないことを、できていると言っていませんか」
山崎行政書士事務所の面々は、その問いに、犯人探しではなく、再構築で答えた。
委託先を見直す。アカウントを棚卸しする。バックアップを確認する。教育記録をそろえる。そして、未取得の認証は、未取得と書く。
それは派手な名推理ではない。
けれど、会社を守るための、いちばんプロフェッショナルな推理だった。
作中の実務背景
確認日:2026年5月13日。
IPAの「中小企業のためのクラウドサービス安全利用の手引き」説明資料は2026年3月の資料で、クラウドサービスについて、サービス事業者と利用者が役割・責任を分担して対策を実施する考え方や、クラウドサービス安全利用チェックシートで確認すべき事項を示しています。作中の「SaaS利用状況説明書」は、この発想を物語向けに言い換えたものです。
IPAの「中小企業の情報セキュリティ対策ガイドライン第4.0版」ページには、資産管理台帳サンプルやクラウドサービス安全利用の手引きなどの付録が掲載されています。作中でちぎりが委託先管理台帳、アカウント管理台帳、バックアップ管理表、教育記録を突合したのは、単一の“提出用一覧”ではなく、複数の管理記録で実態を説明するための演出です。
ISMS認証は、ISMS-ACの説明では、ISO/IEC 27001・JIS Q 27001を基準として、第三者である認証機関が組織の適合性を評価する制度です。作中のみおが「未取得なのに取得済みに見せない」と止めたのは、認証番号や有効期限がない状態で“取得済み相当”と書くと、相手に誤解を与えるためです。
経済産業省は2023年3月24日に「サイバーセキュリティ経営ガイドライン」を改訂し、サプライチェーン全体を通じた対策や、役割・責任の明確化を改訂ポイントに含めています。作中の取引先チェックシートは、このようなサプライチェーン上の確認実務をコメディサスペンス化したものです。
コメント