――クラウドに残された、最後の証跡――

※以下は人物・企業・事件はフィクションとして構成しています。山崎行政書士事務所は、物語上では「サイバーセキュリティの技術情報を、契約・責任分界・行政報告・経営判断に接続する専門家」として登場させます。

プロローグ

事故の前日、会社は安全だった

事故の前日、駿河メディカルロジスティクス株式会社は、いつも通り安全だった。

少なくとも、そう見えていた。

静岡市清水区の海沿いにある本社兼物流センターでは、午前七時からフォークリフトが動き始め、午前九時には医療機器の交換部品と検査試薬、食品衛生検査キットが全国の病院、研究機関、食品工場へ向けて出荷されていた。

受付横の大型モニターには、配送遅延ゼロを示す緑色の数字が並んでいた。

クラウド移行は完了している。基幹システムは冗長化されている。バックアップもある。EDRも入っている。外部SOCとも契約している。MFAも有効化済み。サイバー保険にも加入している。

社長の望月玲子は、月例の経営会議でそう報告を受けた。

「つまり、うちは最低限の対策はできている、ということでいいのね」

会議室の端で、情報システム課長の黒崎が頷いた。

「はい。もちろん百パーセント安全ということはありませんが、同規模の中堅企業としては、かなり進んでいます」

役員たちは安心したように資料を閉じた。

一人だけ、資料を閉じなかった者がいた。

情報システム課の三枝涼真だった。

入社五年目。肩書きは「情報システム課 主任」だが、実際には社内ヘルプデスク、クラウド管理、アカウント発行、倉庫端末の故障対応、セキュリティアラートの一次確認まで、すべてを薄く広く抱えていた。

三枝は、会議資料の末尾にある一行を見ていた。

「委託先保守用アカウント：例外運用あり」

その注記は、小さかった。

会議で誰も触れなかった。

そのアカウントは、古い物流管理システムを保守するために残されていた。委託先のMSPが、緊急対応時に使うためのものだ。通常の社員アカウントとは違い、条件付きアクセスの一部が除外されている。

理由はあった。倉庫が止まった時、委託先がすぐに入れないと困るから。

例外は、現場を守るために作られる。そして、例外は、いつしか誰にも見直されなくなる。

会議が終わると、黒崎が三枝の肩を叩いた。

「三枝、さっきの資料、細かいところまで見るなあ」

「委託先アカウントの例外、棚卸しした方がいいと思います」

「分かってる。来月やる」

「来月ですか」

「今月はWMSの改修で手いっぱいだろ。優先順位を見ろ」

黒崎は悪い上司ではなかった。

むしろ現場を守るために、いつもぎりぎりの判断をしていた。サーバが落ちれば叱られる。端末が動かなければ倉庫から怒鳴られる。監査対応をすれば現場から「また書類か」と言われる。

だから、動いているものは後回しになる。

三枝は反論しなかった。

午後八時、ほとんどの社員が帰った後、三枝は自席に残っていた。蛍光灯を半分だけ落とした情報システム課の島で、冷めた缶コーヒーを飲みながら、クラウド管理画面の監査ログを眺める。

画面の端に、以前参加したオンラインセミナーの資料が開きっぱなしになっていた。

タイトルは、こうだった。

「クラウド法務 × Azure技術支援構成・権限・ログ・契約を、説明できる統制へ」

主催は、山崎行政書士事務所。

三枝は、そのセミナーを偶然見つけた。行政書士がサイバーセキュリティを語るという組み合わせが珍しく、半分は興味本位だった。

だが、講師の言葉は妙に残った。

「ログは、残っているだけでは足りません」

「事故の夜に問われるのは、誰が悪いかだけではありません。誰が何を判断し、その判断をどの証跡で説明できるかです」

「クラウドの構成図と契約書を別々に管理している会社は、事故が起きた瞬間に説明不能になります」

三枝は、その時は少し大げさだと思った。

ログはログだ。契約書は契約書だ。システムはシステムだ。

それらを全部つないで考える余裕など、現場にはなかった。

午後九時十八分。三枝はPCを閉じた。

その時、画面右下に小さな通知が出た。

Sign-in risk detected: Low

低リスク。

対象ユーザーは、委託先保守用アカウント。場所は国内。MFA成功。アプリケーションはクラウド管理ポータル。

三枝は一瞬だけ眉を寄せた。

だが、アラートは低リスクだった。SOCからのエスカレーションもない。ブロックもされていない。

彼は通知をクリックしなかった。

その判断もまた、どこにも記録されなかった。

翌日の午前二時十三分、会社は安全ではなくなった。

第1章

午前二時十三分のアラート

午前二時十三分。

三枝涼真のスマートフォンが、枕元で震えた。

最初の一度で、彼は目を覚まさなかった。二度目で、眉間に皺を寄せた。三度目で、意識の底に嫌なものが沈んだ。

深夜の通知には、二種類ある。

どうでもいい通知。そして、人生を変える通知。

三枝は手探りでスマートフォンを掴み、画面を見た。

通知はTeamsだった。

SOC Alert / Priority: MediumUnusual administrative activity detectedTarget tenant: SurugaML-Prod

三枝は布団の中で数秒止まった。

PriorityはMedium。緊急度は最高ではない。だが、対象は本番テナントだった。

彼は上体を起こし、寝室の暗がりで眼鏡を探した。ベッド脇の床に落ちていた眼鏡をかけると、スマートフォンの文字が急に鋭く見えた。

次の通知が来た。

Multiple privileged role activationsUser: svc-msp-maintenance

委託先保守用アカウント。

三枝の眠気は消えた。

「嘘だろ」

声は、喉の奥で潰れた。

隣室で寝ている妻を起こさないように、彼はそっと布団を抜け出した。廊下に出ると、五月の夜気が足元を冷やした。

リビングのテーブルにノートPCを置き、ACアダプタを差し込む。起動ロゴが出るまでの数秒が、異様に長く感じられた。

VPN。多要素認証。管理ポータル。セキュリティダッシュボード。

指が少し震えていた。

三枝はまず、サインインログを開いた。

対象ユーザー。時刻。IPアドレス。認証方式。条件付きアクセスの結果。使用アプリケーション。

アカウントは、確かに委託先保守用のものだった。サインインは成功。MFAも成功。ブロックはされていない。場所は日本国内。使用された端末は、管理対象外。

三枝は息を止めた。

海外からの怪しいログインなら、まだ分かりやすい。見慣れない国、深夜の試行、MFA失敗の連続。そういうものなら、機械も人間も警戒する。

だが、これは違った。

国内のIP。正しいID。正しいパスワード。成功したMFA。正規の管理ポータル。

攻撃というより、通常業務に見えた。

だから怖かった。

三枝はログの詳細を開いた。委託先保守用アカウントが、直近三十分の間に複数の管理者ロールを有効化している。続いて、端末管理機能にアクセスしていた。

画面の右上で、時刻が二時二十一分を示していた。

三枝は上司の黒崎に電話した。

呼び出し音が鳴る。

一回。二回。三回。

出ない。

もう一度かけた。出ない。

三枝は舌打ちを飲み込み、Teamsにメッセージを投げた。

送信。

既読は付かなかった。

三枝は、次に委託先MSPの緊急連絡先へ電話した。契約書のPDFを開く余裕はなかった。デスクトップに置いてある「緊急連絡先一覧.xlsx」を開き、二年前に黒崎が作ったシートから番号を探す。

電話は、コールセンターにつながった。

「はい、夜間受付センターです」

「駿河メディカルロジスティクスの三枝です。御社の保守用アカウントで異常な管理者操作が出ています。担当者に至急つないでください」

「恐れ入ります。ご契約番号をお願いいたします」

「今、契約番号を確認している時間がありません。セキュリティインシデントの可能性があります」

「規定上、ご契約番号または登録電話番号での確認が必要です」

三枝はリビングの暗闇で目を閉じた。

規定。手順。本人確認。

平時には必要なものが、緊急時には壁になる。

「登録電話番号は、本社代表番号です。今この時間は誰も出ません」

「では、折り返しのご連絡先を――」

「折り返しでは遅いんです」

言いながら、三枝は自分が無力な怒りをぶつけていることに気づいた。オペレーターに責任はない。彼女は決められた手順を守っているだけだ。

問題は、事故の夜に機能する手順を、会社が作っていなかったことだった。

通話を切ると、さらに通知が来た。

Endpoint management action initiatedDevice group: Warehouse-Terminal-East

倉庫東側端末グループ。

三枝の背筋に冷たいものが走った。

それは出荷ラインの端末群だった。バーコードスキャナとラベルプリンタを接続し、物流管理システムにアクセスするための端末。朝七時の稼働開始まで、あと五時間もない。

三枝は、端末管理画面を開いた。

対象端末の一覧に、実行済みの管理命令が並んでいる。一部の端末が再起動状態。一部は応答なし。一部は構成変更待ち。

彼は詳細を確認しようとした。

しかし、操作ログの一部が遅延していた。クラウド側に反映されるまで数分のタイムラグがある。

その数分が、たまらなく長い。

三枝は自分に言い聞かせた。

まず、止める。被害範囲を広げない。だが、何を止める。

委託先保守用アカウントを無効化するか。管理者ロールを剥奪するか。端末管理サービスを一時停止するか。条件付きアクセスを緊急変更するか。倉庫端末をネットワークから切り離すか。

どれも正しいように見える。そして、どれも業務を止める可能性があった。

三枝は、黒崎の言葉を思い出した。

優先順位を見ろ。

だが、今の優先順位は誰が決めるのか。

情報システム課の主任である自分が、深夜二時に会社の出荷業務を止めていいのか。

三枝は、取締役でもなければ、セキュリティ責任者でもない。正式なインシデント対応責任者も、文書上は決まっていなかった。社内規程には「必要に応じて情報システム課長が対応する」と書かれている。だが、課長は電話に出ない。

必要に応じて。誰が必要と判断するのか。

ログ画面の青白い光が、三枝の顔に貼り付いた。

午前二時二十九分。

黒崎から折り返しが来た。

「三枝か。どうした」

声は寝起きだった。

「委託先保守用アカウントが管理者ロールを有効化しています。端末管理機能にもアクセスしています。倉庫端末グループに操作が入っています」

「SOCは？」

「Mediumです」

「Highじゃないのか」

「はい。ただ、操作内容がまずいです」

電話の向こうで、布団が擦れる音がした。

「委託先の作業予定は？」

「少なくとも、僕は聞いていません」

「予定表は見たか」

「今見ます」

三枝は保守作業予定表を開いた。今月の作業欄。空白。

いや、違う。

別シートに、古い予定が残っていた。五月六日、午前二時から四時。物流管理システムのパッチ適用。担当、MSP。承認者、黒崎。

三枝は一瞬、力が抜けた。

「課長、五月六日の二時から保守予定が入っています」

「だろ？ じゃあそれじゃないのか」

「でも、作業対象は物流管理システムです。管理者ロールの有効化と端末管理機能の操作は範囲外です」

「委託先に確認したのか」

「夜間受付で止まっています。契約番号が必要だと」

黒崎が小さく悪態をついた。

「契約番号は共有フォルダの法務関連にあるはずだ」

「法務関連フォルダ、権限ありません」

沈黙。

三枝は、自分の言葉が空気を重くしたのを感じた。

セキュリティのために、契約書フォルダは情報システム課の一般メンバーから見えないようにしてあった。それ自体は間違っていない。

だが、事故の夜に必要な情報が、必要な人間から見えない。

そういう設計になっていた。

黒崎が言った。

「俺が入る。待て」

電話の向こうでキーボードの音が聞こえた。三枝はログ画面に戻った。

新しいイベントが増えていた。

Conditional Access policy modified

条件付きアクセスの変更。

三枝は思わず立ち上がった。

「課長、条件付きアクセスが変更されています」

「誰が」

「同じアカウントです」

「保守作業で条件付きアクセスを触る必要はない」

黒崎の声から眠気が消えた。

「三枝、委託先アカウントを止めろ」

「業務影響は」

「俺が責任を取る。止めろ」

その一言を聞いて、三枝はようやく操作できた。

委託先保守用アカウント。サインインブロック。有効なセッションの失効。管理者ロールの無効化。

画面上では、数クリックだった。

だが、その数クリックには会社の事業を止める重みがあった。

三枝は、実行前にスクリーンショットを撮った。時刻をメモした。対象アカウント、理由、実施者、承認者。

彼がそうしたのは、山崎行政書士事務所のセミナーで聞いた言葉が頭をよぎったからだった。

「緊急時の判断ほど、後で説明できるように残してください。正しかったかどうかだけでなく、なぜその時点でそう判断したのかが問われます」

三枝は実行ボタンを押した。

午前二時三十七分。

委託先保守用アカウントは停止された。

だが、事態は止まらなかった。

数分後、倉庫東側端末グループの状態が変わった。

Offline

一台。三台。七台。十九台。

端末が次々に沈黙していく。

「何が起きてる」

黒崎の声が震えた。

「端末が落ちています。倉庫東側、ほぼ全滅です」

「西側は」

「まだ生きています。ただ、同じ管理命令が予約されている可能性があります」

「キャンセルできるか」

「確認します」

三枝は画面を切り替えた。管理命令のキュー。対象端末。実行状態。キャンセル可否。

一部はキャンセルできる。一部はすでに実行済み。一部は応答待ち。

端末管理の便利さは、平時には美徳だった。一括配布。一括更新。一括再起動。一括設定変更。

だが、奪われれば、それは一括停止の機能になる。

午前二時四十四分。

黒崎が言った。

「社長に連絡する」

「この時間にですか」

「倉庫が止まる可能性がある。社長案件だ」

「インシデント対応規程では、まず課長判断で――」

「規程は明日読む。今は止血だ」

電話が切れた。

三枝は一人になった。

リビングの時計が、秒針の音を立てていた。外では車の音もない。世界は眠っている。だが、会社の中では、見えない何かが確実に動いていた。

三枝はログを追った。

サインイン。ロール有効化。条件付きアクセス変更。端末管理命令。ストレージアクセス。バックアップ管理画面への接続。

バックアップ。

その単語を見た瞬間、三枝は冷や汗をかいた。

「まさか」

バックアップ管理サービスにログインする。認証。ダッシュボード表示。

バックアップジョブの一覧が表示された。

昨夜のバックアップ。成功。

一昨日。成功。

三日前。成功。

三枝は少しだけ息を吐いた。

だが、復元ポイントの詳細を見たところで、その息は止まった。

一部のバックアップポリシーが変更されていた。

保存期間。対象範囲。除外設定。

変更者は、委託先保守用アカウント。

時刻は、午前二時二十二分。

三枝は椅子に座り直した。背中が冷たかった。

バックアップはある。だが、戻せるとは限らない。

彼は黒崎にメッセージを送った。

既読がついた。

返信はなかった。

午前三時六分。

社長の望月玲子から、三枝の携帯に直接電話が来た。

三枝は一瞬、画面を見つめた。

社長と直接話したことは、ほとんどない。月例会議で説明したことはあるが、深夜三時に電話を受ける関係ではなかった。

彼は通話ボタンを押した。

「三枝です」

「望月です。黒崎さんから聞きました。今、何が起きていますか」

声は静かだった。だが、静かすぎた。

三枝は言葉を探した。

ランサムウェアかもしれません。委託先アカウントが侵害された可能性があります。倉庫端末が止まっています。バックアップにも影響があるかもしれません。条件付きアクセスが変更されています。

どれも正しい。だが、どれも断片だった。

彼は、自分がまだ全体を説明できないことに気づいた。

「現時点で確認できている事実を申し上げます」

三枝は、画面を見ながら一つずつ話した。

「午前二時十三分、外部SOCから中優先度のアラートが出ました。対象は委託先保守用アカウントです。午前二時台に、このアカウントで管理者権限の有効化、条件付きアクセスの変更、倉庫端末グループへの管理命令、バックアップ管理画面へのアクセスが確認されています」

「それは、委託先の保守作業ではないのですか」

「保守予定はありました。ただし、確認できている操作内容は、予定された作業範囲を超えています」

「倉庫は動きますか」

三枝は答えに詰まった。

技術者としては、まだ分からないと言いたい。経営者は、動くか動かないかを知りたい。現場は、朝七時に荷物を出せるかを知りたい。

「東側端末の多くがオフラインです。西側は現時点で一部稼働しています。ただ、朝の出荷に影響が出る可能性は高いです」

「個人情報は」

「まだ確認中です」

「漏えいしたのですか」

「現時点では、断定できません。ただ、バックアップ管理画面とストレージへのアクセスがあり、調査が必要です」

望月は少し黙った。

電話の向こうで、紙をめくる音がした。おそらく黒崎から送られたメモを見ているのだろう。

「三枝さん」

「はい」

「今、会社として何を決めなければいけませんか」

その問いに、三枝はすぐ答えられなかった。

何を決めるべきか。

アカウント停止。ネットワーク遮断。倉庫の手作業切替。委託先への緊急連絡。フォレンジック会社への相談。警察への相談。個人情報保護委員会への報告可能性。取引先への一次連絡。社員への出社指示。バックアップ復旧可否。

決めることは多すぎた。

そして、それを誰が決めるかが決まっていなかった。

三枝の脳裏に、またセミナーの言葉が浮かんだ。

「サイバー事故は、技術の事故であると同時に、意思決定の事故です。意思決定の経路がない会社は、攻撃者より先に自分たちの混乱で止まります」

三枝は言った。

「社長。技術対応だけでは足りません」

「どういう意味ですか」

「ログの保全、委託先との責任範囲、個人情報漏えいの可能性、取引先説明、復旧判断を同時に整理する必要があります。情シスだけでは判断できません」

「誰に相談すべきですか」

三枝は一瞬迷った。

深夜三時。まだ被害も確定していない。外部に話すのは早いのではないか。

だが、早すぎる相談と、遅すぎる相談なら、事故の夜に危険なのは後者だった。

「以前、クラウド法務とAzure技術支援を扱う行政書士事務所のセミナーを受けました」

「行政書士？」

望月の声に、わずかな戸惑いが混じった。

「はい。山崎行政書士事務所です。セキュリティ製品の導入ではなく、構成、権限、ログ、契約、報告文書をつないで、説明できる体制にするという内容でした。今の状況には合っていると思います」

「弁護士ではなく？」

「紛争や法的判断は弁護士が必要になると思います。ただ、今必要なのは、事実関係、契約、委託先、ログ、行政報告の可能性を整理することです。技術と法務の間をつなぐ人が必要です」

電話の向こうで、望月が息を吸う音がした。

「分かりました。連絡先を送ってください」

「はい」

「それから三枝さん」

「はい」

「今からあなたが確認したことは、全部、時刻付きで残してください。分からないことは分からないと書いてください。推測は推測と分けてください」

三枝は驚いた。

それは、彼が言おうとしていたことだった。

「承知しました」

通話が切れた。

三枝は、セミナー資料の最後にあった問い合わせ先を開いた。そこには、山崎行政書士事務所の名前と、短いコピーが記されていた。

クラウド法務 × Azure技術支援構成・権限・ログ・契約を、説明できる統制へ。

三枝は、その言葉を今になって初めて理解した。

セキュリティは、攻撃を防ぐためだけにあるのではない。

攻撃が起きた後、会社が何を知っていて、何を知らず、何を判断し、誰にどう説明するのか。そのためにも、セキュリティは必要だった。

午前三時二十二分。

三枝は、新しいファイルを作成した。

ファイル名は、迷った末にこうした。

incident_timeline_20280506.xlsx

一行目に、時刻を書いた。

02:13　SOCより中優先度アラート受信。対象：委託先保守用アカウント。

二行目。

02:21　同アカウントによる管理者ロール有効化を確認。

三行目。

02:29　黒崎課長へ電話連絡。応答あり。

四行目。

02:37　黒崎課長承認のもと、委託先保守用アカウントを停止。

五行目を書こうとした時、画面右下にまた通知が出た。

Storage access anomaly detected

ストレージアクセス異常。

三枝は、キーボードの上で指を止めた。

通知の詳細を開く。

対象ストレージは、顧客別の配送履歴と、医療機関向け納品データを保管している領域だった。

アクセス元は、さきほど停止したはずの委託先保守用アカウントではなかった。

別のアカウントだった。

社員アカウント。総務部。退職済みのはずの名前。

三枝の喉が鳴った。

退職者アカウントは、無効化したはずだった。

なぜ生きている。

なぜ、今、ストレージにアクセスしている。

午前三時二十七分。

三枝は、時系列表の五行目に入力した。

03:27　退職者と思われる社員アカウントによるストレージアクセス異常を確認。詳細調査中。

そして六行目に、初めて「未確認」と書いた。

未確認事項：当該アカウントが現在も有効である理由。

その一行を見た時、三枝は奇妙な感覚に襲われた。

会社は、攻撃者に侵入されている。倉庫端末は止まり始めている。バックアップにも影響が出ているかもしれない。個人情報の漏えいも否定できない。

だが、本当に怖いのはそこではなかった。

会社は、自分たちのシステムを説明できなくなっていた。

誰が権限を持っているのか。どのアカウントが生きているのか。どのログが残っているのか。どの契約で委託先に何を求められるのか。誰が止める権限を持っているのか。誰が社外に説明するのか。

攻撃者は、その空白を歩いていた。

午前三時三十四分。

望月社長からメッセージが届いた。

三枝は返信した。

その直後、黒崎から電話が来た。

「三枝、MSPの担当者とつながった」

「何と言っていますか」

「保守作業は予定通り開始したが、二時十七分以降の操作は自分たちではないと言っている」

三枝は目を閉じた。

「では、保守用アカウントが奪われた可能性が高いですね」

「いや、向こうはまだ認めていない。『調査中』だ」

「ログ提出は」

「契約上、即時提出義務はないと言っている」

三枝は、リビングの暗闇で笑いそうになった。

笑う場面ではなかった。だが、あまりにも予想通りだった。

ログはあるのか。誰が持っているのか。いつ出せるのか。契約上、出させることができるのか。

攻撃の夜に、その問いが始まる。

黒崎が低い声で言った。

「社長が、山崎行政書士事務所に連絡したらしい」

「はい。僕が提案しました」

「行政書士で大丈夫なのか」

「少なくとも、今の僕たちには必要です」

「何が」

三枝は画面を見た。

ログはある。だが、散らばっている。契約書はある。だが、現場から見えない。規程はある。だが、夜中に誰が何を決めるかは曖昧だ。バックアップはある。だが、戻せるかは分からない。

「説明できる形にすることです」

黒崎は黙った。

三枝は続けた。

「僕たちは今、攻撃を受けているかもしれません。でも、それ以上に、自分たちの状態を説明できません。山崎行政書士事務所は、そこを整理できると思います」

黒崎は短く息を吐いた。

「分かった。俺は社長と合流する。三枝、お前はログを追え。ただし、無理に全部一人で判断するな。判断したことは全部残せ」

「はい」

「それと」

「はい」

「昨日、お前が言っていた委託先アカウントの棚卸し」

黒崎は少し間を置いた。

「後回しにしたのは、俺の判断だ。それも記録しておけ」

三枝は何も言えなかった。

黒崎は悪い上司ではなかった。そのことが、かえって重かった。

午前四時十二分。

空がわずかに白み始めていた。

三枝の時系列表は、三十行を超えていた。未確認事項の欄は、それ以上に増えていた。

退職者アカウントがなぜ有効だったのか。委託先保守用アカウントのMFA端末は誰が管理していたのか。条件付きアクセスの変更はどの範囲に影響したのか。倉庫端末に送られた管理命令の内容は何か。バックアップポリシー変更により、どの復元ポイントが影響を受けたのか。ストレージから外部送信があったのか。個人情報に該当するデータが含まれていたのか。委託先契約でログ提出を求められるのか。再委託先が関与しているのか。警察、行政機関、取引先への連絡が必要か。

三枝は、時系列表の隣にもう一つのシートを作った。

シート名は、こうした。

説明不能リスト

一行目。

委託先保守用アカウントの管理責任者が不明。

二行目。

退職者アカウントの無効化確認記録が不明。

三行目。

緊急時の契約番号・委託先連絡手順が現場から参照不可。

四行目。

ログ保存期間と事故調査に必要な期間の整合が未確認。

五行目。

バックアップの復元テスト実施記録が不明。

書けば書くほど、胸が重くなった。

これは攻撃の記録であると同時に、会社の弱さの記録だった。

午前四時二十八分。

Teamsに、新しい参加者が現れた。

表示名は、こうだった。

山崎行政書士事務所　山崎

三枝は画面を見つめた。

深夜から続いていた孤独なログの海に、初めて別の種類の光が差し込んだ気がした。

すぐにメッセージが届いた。

三枝は、その文面を読み返した。

攻撃者の特定より先に。会社として説明できる状態を作る。

それは、今の混乱に対する、初めての順序だった。

三枝は時系列表を添付し、送信した。

その瞬間、倉庫の夜勤責任者から電話が入った。

「三枝さん、東側の端末が全部立ち上がらない。ラベルプリンタも死んでる。朝一の病院便、どうするんですか」

三枝は、窓の外を見た。

東の空が、薄く明るくなっていた。

会社の一日は、もうすぐ始まる。

そして、説明できない夜は、まだ終わっていなかった。

第2章

正規ログイン

冒頭案

午前五時三分、駿河メディカルロジスティクス本社の第一会議室に、四人が集まった。

社長の望月玲子。情報システム課長の黒崎。法務総務部の秋山。そして、寝癖を直す暇もなかった三枝涼真。

大型モニターには、三枝が作った時系列表が映し出されていた。白いセルに並んだ時刻と事実は、誰かの感情を慰めるためのものではなかった。むしろ、会社がいかに何も知らなかったかを、無慈悲に示していた。

画面の右下には、オンライン参加者が一人。

山崎行政書士事務所の山崎だった。

山崎は、最初に謝罪も励ましも言わなかった。深夜対応への労いすら、最小限だった。

代わりに、こう言った。

「まず確認します。これは、現時点では“侵入された事件”と断定する前に、“正規の権限が正規の画面で使われた事件”として扱うべきです」

黒崎が険しい顔をした。

「それは、攻撃ではないという意味ですか」

「違います」

山崎は静かに答えた。

「より厄介だという意味です」

会議室が沈黙した。

山崎は続けた。

「マルウェアが暴れたなら、まだ分かりやすい。異常なファイル、異常なプロセス、異常な通信を探せばいい。しかし今回は、御社が信頼していたアカウントが、御社が許可していた権限で、御社のクラウド管理機能を操作しています」

三枝は、思わず画面のログに目を落とした。

正規ユーザー。正規認証。正規ポータル。正規権限。

その四つの言葉が、胃の底に沈んだ。

山崎は言った。

「つまり問われるのは、“なぜ入られたか”だけではありません。“なぜその権限がそこまでできたのか”、“なぜ例外が残っていたのか”、“なぜ退職者アカウントが使えたのか”、“なぜ委託先のログをすぐ確認できないのか”です」

望月社長が、ゆっくりと口を開いた。

「それは、会社の管理責任の問題ということですか」

「責任の結論を急ぐ必要はありません。ですが、説明責任の問題ではあります」

山崎の声は、責めるでもなく、庇うでもなかった。

「ここから必要なのは、犯人探しと同時に、会社が説明できる事実を積み上げることです。事実、推測、未確認事項を混ぜない。ログ、契約、構成、判断記録を同じ時系列に並べる。委託先に何を求めるかを、感情ではなく契約と必要性で整理する」

黒崎が腕を組んだ。

「山崎先生、こちらは倉庫が止まりかけています。正直、書類整理をしている余裕はありません」

山崎は、少しだけ表情を変えた。

「黒崎さん。これは書類整理ではありません」

その声は、初めてわずかに鋭かった。

「今から御社が行うアカウント停止、ネットワーク遮断、復旧、取引先連絡、本人通知、委託先へのログ提出要求。そのすべてが、後で説明を求められます。記録のない判断は、正しくても会社を守れません」

誰も反論しなかった。

山崎は、モニター越しに三枝を見た。

「三枝さん、時系列表はよくできています。ただ、次に必要なのは“ログの時刻”と“人間の判断時刻”を分けることです」

「ログの時刻と、判断時刻」

「はい。攻撃者が何をしたかと、御社がいつ気づき、誰が何を決めたかは別です。事故対応では、その差が重要になります」

三枝はノートを開いた。

山崎は続けた。

「それから、もう一つ。未確認事項のリストに、“分からない理由”を追加してください」

「分からない理由、ですか」

「そうです。ログがないのか。権限がなくて見られないのか。委託先回答待ちなのか。契約上求められるか未確認なのか。単に社内の誰も知らないのか。分からないにも種類があります」

三枝は、胸の奥で何かが整理されていくのを感じた。

分からないことは、恥ではない。分からないことを、分からないまま放置することが危険なのだ。

その時、会議室の扉が開いた。

倉庫部長の大石が、作業着姿のまま入ってきた。顔は赤く、目は血走っていた。

「社長、東側ラインは駄目です。手作業に切り替えていますが、病院便は間に合いません」

望月は立ち上がった。

「影響件数は」

「少なく見ても三十七件。検査試薬の定温便が含まれます。遅れれば、先方の検査スケジュールに影響します」

法務総務の秋山が、青ざめた顔で言った。

「取引先に連絡しますか」

大石が叫ぶように言った。

「連絡しなきゃ現場が持ちません。でも、何て言うんですか。サイバー攻撃ですか。システム障害ですか。委託先のミスですか。うちのミスですか」

会議室の全員が、山崎を見た。

山崎は即答しなかった。

数秒だけ、三枝の時系列表を見た。

そして言った。

「現時点で社外に言えるのは、“一部システム障害により出荷遅延の可能性がある。原因は調査中。影響範囲と代替手段を確認している”です」

「サイバー攻撃とは言わない？」

秋山が聞いた。

「断定できるまでは言いません。ただし、内部向けにはサイバーインシデントの可能性として扱います。外向けの表現と、内部の対応レベルを混同しないでください」

望月が頷いた。

「秋山さん、取引先向けの一次連絡文を作って。山崎先生に確認してもらってください。大石さん、影響件数を十五分単位で更新。黒崎さんと三枝さんは、止血とログ保全を優先」

そこで山崎が補足した。

「ログ保全は、復旧作業の前にできる範囲で行ってください。復旧のために上書きされる証跡があります。全部を守ろうとして業務を止めすぎてもいけませんが、何を残し、何を諦めたかは記録してください」

三枝は、その言葉を聞いてキーボードを叩いた。

05:11　山崎行政書士事務所より、事実・推測・未確認事項の分離、ログ時刻と判断時刻の区別、分からない理由の記録について助言。

それは、ただの会議メモではなかった。

会社が崩れないための、最初の杭だった。