SOCレポートに隠れた小さな嘘
- 山崎行政書士事務所
- 5月13日
- 読了時間: 12分
――山崎行政書士事務所事件簿
山崎行政書士事務所では、専門用語が多すぎる相談が来ると、所長の山崎が必ずこう言う。
「まず、人間の言葉に直そう」
その日、事務所の机に置かれていたのは、厚さ二センチの月次SOCレポートだった。
表紙には、こう書かれている。
Aoi通販株式会社SOC Monthly Security Report対象期間:4月1日〜4月30日
依頼人は、静岡市内で食品ギフト通販を営む葵通販の情報システム担当、藤枝真琴だった。
「読んでも、わからないんです」
藤枝は、疲れきった顔で言った。
「アラート、トリアージ、KQL、インシデント、Ack、SLA、MTTA、MTTR……。でも、どこか変なんです。レポートは“問題なし”なのに、胸騒ぎがする」
山崎はレポートを開き、三秒で閉じた。
「奏汰くん」
「はい」
「これは、日本語ですか」
奏汰は表紙を見た。
「半分は英語で、残り半分はセキュリティ方言です」
隣で、契約担当のかなえが淡々と言った。
「では翻訳しましょう。SOCは“夜番”。アラートは“玄関のチャイム”。インシデントは“チャイムが本当に事件かを調べた事件簿”。SLAは“約束時計”です」
山崎は感心した。
「かなえくん、すばらしい」
奏汰が付け加えた。
「KQLは、防犯カメラの映像を時刻順に並べるための言葉です」
「それならわかる」
「本当はもう少し複雑です」
「今日は、そのくらいで頼む」
藤枝は苦笑したが、すぐに表情を戻した。
「問題のページは、ここです」
レポートの三十四ページ。インシデント一覧。
Severity | Alert | Detected | Notified | Client ACK | Status |
High | Suspicious Inbox Rule | 01:48 | 02:18 | 02:09 | Closed |
山崎は表を見て、眉を寄せた。
「顧客が確認したのが、通知より前?」
かなえが言った。
「人間の世界では、返事は呼びかけの後に来ます」
奏汰は画面を覗き込んだ。
「Client ACKが02:09。Notifiedが02:18。時刻が九分、逆に流れています」
山崎は真顔で言った。
「このレポート、少しタイムトラベルしているね」
その瞬間、事務所の複合機が突然うなった。
全員が振り向く。
排紙トレイから、一枚の紙が吐き出された。
そこには、なぜか大きな文字で印刷されていた。
ACKとは、誰が何を確認した時刻ですか?
藤枝が青ざめた。
「いまの、誰が印刷したんですか」
奏汰は複合機の画面を見た。
「先生、昨日のテスト印刷が残っています」
山崎は目をそらした。
「複合機も翻訳に参加したかったんだね」
かなえは紙を拾い、静かに言った。
「でも、良い質問です」
1 時刻が笑った
葵通販は、SOC監視を外部の星灯セキュリティ株式会社へ委託していた。
対象は、メール、クラウドストレージ、認証ログ、EC管理画面、業務端末の一部。
月次レポートでは、四月十九日深夜に「Suspicious Inbox Rule」、つまり不審なメールボックスルール作成のアラートが出ていた。
顧客問い合わせ用の共有メールボックスに、特定件名のメールを別フォルダへ移すルールが作られたという。
もし攻撃者が作ったルールなら、問い合わせメールを隠したり、外部転送の前段階に使ったりする可能性がある。
藤枝は言った。
「SOCからは“誤検知としてクローズ”とだけ聞きました。でも、通知を受けた記憶がないんです」
奏汰はノートPCを開いた。
「まず、月次レポートを信用しすぎないで、元ログを見ます。ログは、事件現場の足跡です」
山崎がうなずいた。
「足跡にモップをかけない」
「そうです。なので、先に保全します」
奏汰は、取得範囲、取得者、取得時刻、保存先を記録し、対象ログをエクスポートした。ハッシュ値も残す。
藤枝が尋ねた。
「そこまで必要ですか?」
奏汰は答えた。
「今回、漏えいは確認できません。でも、確認できないことを確認できないままにしないためです。後で“いつのログを、誰が見たか”がわからなくなると、説明が崩れます」
そして、KQLで時系列を並べた。
SecurityAlert| where TimeGenerated between (datetime(2026-04-18T16:00:00Z) .. datetime(2026-04-18T19:00:00Z))| where AlertName contains "Inbox Rule"| project TimeGenerated, AlertName, Severity, SystemAlertId, CompromisedEntity| order by TimeGenerated asc山崎が画面を見た。
「これは呪文かね」
奏汰は即答した。
「いいえ。防犯カメラの巻き戻しです」
結果は、こうだった。
アラート発生:01:48:12インシデント起票:01:50:03SOC担当者確認:02:09:41推奨通知期限:02:18:12顧客通知メール送信:03:04:27
かなえが静かに言った。
「SLAは?」
藤枝が契約書を出した。
重大度High以上のインシデントについては、検知後30分以内に甲へ通知する。
奏汰は表を指した。
「検知を01:48とすると、通知期限は02:18。実際の通知は03:04。四十六分遅れています」
山崎はレポートを見た。
「でも月次レポートには、Notified 02:18」
かなえが目を細めた。
「02:18は、通知した時刻ではありません。通知すべき期限です」
会議室の空気が変わった。
レポートは嘘をついていた。
ただし、大声ではない。
小さく、表の一マスだけで。
2 ACKは誰の返事か
かなえは、SOC契約書を読み込んだ。
「契約では、High以上はメールと電話で通知。月次報告は、検知件数、対応結果、SLA遵守状況、未解決事項を記載。再委託は、甲の事前書面承諾が必要」
藤枝は言った。
「再委託? そんな説明は受けていません」
かなえは、月次レポートの巻末を開いた。
小さな灰色の文字で、こう書かれていた。
L1 monitoring support: LB-SOC
山崎が首をかしげた。
「えるびーそっく?」
奏汰が検索した社内資料を見た。
「海外の一次監視チームの略称ですね。星灯セキュリティの社外パートナーのようです」
藤枝の顔色が変わった。
「それ、再委託ですか」
かなえは即答しなかった。
「契約上の定義と実態を確認しないと断定できません。ただ、少なくとも、監視業務の一部を外部チームが担っているなら、事前承諾や体制開示の対象になる可能性があります」
山崎が言った。
「夜番を頼んだら、夜番がさらに夜番を雇っていたわけだ」
かなえはうなずいた。
「しかも、その夜番の言葉が、そのまま日本語レポートに化けています」
奏汰は原文レポートのテンプレートを見つけた。
英語版には、こうあった。
Analyst Ack: 02:09Notify-by: 02:18Customer Notification Sent: 03:04
日本語版では、なぜかこうなっていた。
顧客確認:02:09通知済み:02:18通知メール送信:記載なし
山崎は眉をひそめた。
「Ackが顧客確認?」
かなえは言った。
「いいえ。ここでは、おそらくSOC担当者がアラートを確認した時刻です。“顧客が確認した”ではありません」
奏汰が付け加えた。
「Notify-byは“通知期限”。Notifiedではありません」
山崎は湯飲みを置いた。
「つまり、専門用語の翻訳ミスに見える」
かなえは首を振った。
「ミスだけなら、まだ救いがあります。でも、SLA欄が“達成”になっています」
藤枝は小さく息を吸った。
「では、知っていて、そのまま出した?」
かなえは静かに言った。
「確認しましょう。犯人探しより先に、事実です」
3 人間の言葉に直す
星灯セキュリティとの緊急会議は、その日の夕方に開かれた。
画面の向こうには、SOCマネージャーの黒瀬と、営業担当の柏木がいた。
黒瀬は硬い顔で言った。
「当社としては、誤検知であり、重大な影響はなかったと認識しています」
奏汰はすぐに返した。
「影響の有無と、通知遅延は別です」
かなえが続けた。
「また、月次レポートの“通知済み02:18”は、実際の顧客通知時刻ではありません。これは何の時刻ですか」
黒瀬は沈黙した。
柏木が慌てて言った。
「テンプレートの変換ミスです。英語版のNotify-byが……」
かなえは遮らなかった。
ただ、次の資料を画面共有した。
SOCレポート用語翻訳表
用語 | 人間の言葉 |
Alert Time | センサーが鳴った時刻 |
Incident Created | 事件簿に番号を振った時刻 |
Analyst Ack | SOC担当者が見た時刻 |
Notify-by | 客に知らせる約束期限 |
Customer Notification Sent | 客へ実際に知らせた時刻 |
Customer ACK | 客が受け取ったと確認した時刻 |
山崎が満足げに言った。
「すばらしい。これなら私にも読める」
かなえは黒瀬を見た。
「御社レポートでは、“約束期限”が“通知済み”になっています。“SOC担当者確認”が“顧客確認”になっています。これは顧客に、SLAを守ったように見せる表示です」
黒瀬の顔が少し歪んだ。
柏木が小さく言った。
「……すみません」
画面の空気が止まった。
柏木は続けた。
「最初は、本当にテンプレートの誤訳でした。でも、四月の対応は遅れていました。一次監視チームからの連絡が、社内チャットで止まっていて。電話通知もしていません。月次報告を出す前に気づきました。でも、High一件だけで、しかも誤検知だったので……大きな問題にはならないと思って」
藤枝は、しばらく何も言わなかった。
やがて、静かな声で言った。
「大きな問題かどうかは、こちらが判断します」
柏木は頭を下げた。
「はい」
山崎が穏やかに言った。
「小さな嘘は、小さいうちに直した方がいい。契約書の隙間に入ると、あとで富士山より高くなる」
かなえが横目で見た。
「先生、その表現、別件から持ってきましたね」
「名言は再利用できる」
「再委託ではありませんか」
「……自分への再委託だね」
空気が少しだけ緩んだ。
しかし、かなえの声は柔らかくならなかった。
「再委託についても確認します。LB-SOCは、御社の社内組織ですか。外部事業者ですか」
黒瀬は答えた。
「外部の一次監視パートナーです」
「葵通販へ事前書面承諾を取っていますか」
「……取っていません」
藤枝は目を閉じた。
奏汰は言った。
「では、技術面では、まず修正版レポートを出してください。生ログに基づいて、アラート発生、インシデント起票、SOC確認、顧客通知、顧客受領、クローズ理由を分ける。ログ保全範囲も明記してください」
かなえが続けた。
「契約面では、再委託先の開示、承諾手続、報告義務、SLAの起算点、通知手段、通知失敗時の再通知、月次レポート項目、SLA未達時の是正報告を見直します」
黒瀬は、深く頭を下げた。
「対応します」
4 誤検知の中身
それでも、最後の疑問が残っていた。
不審なメールボックスルールは、本当に誤検知だったのか。
奏汰は、追加でログを追った。
ルール作成者は、顧客対応チームの共有アカウント。アクセス元は、葵通販の社内VPN。同時刻の外部転送設定はなし。該当メールの外部送信ログもなし。大量ダウンロードもなし。ログインは多要素認証済み。
藤枝が言った。
「では、漏えいは?」
奏汰は慎重に答えた。
「この時点で、個人情報の漏えいは確認できません。ただし、“確認できない”と“絶対にない”は違います。保存期間内のログで、追加調査範囲を明確にしておきましょう」
その後、顧客対応チームの新人、青井に確認したところ、真相は拍子抜けするものだった。
「すみません。問い合わせメールが多すぎて、“母の日ギフト”だけ別フォルダに分けようとして、夜にルールを作りました」
山崎は言った。
「母の日がSOCを鳴らしたのか」
青井は泣きそうになった。
「悪いことをしたつもりはなくて……」
藤枝は肩の力を抜いた。
「悪いことではないよ。ただ、共有メールボックスのルール作成は、事前申請にしよう」
奏汰は笑った。
「アラートは、悪人だけで鳴るわけではありません。善意でも、ルールでも、母の日でも鳴ります」
山崎がうなずいた。
「人間の善意も、ログには無表情に残るからね」
5 七つの修正
一週間後、山崎行政書士事務所の会議室で、葵通販と星灯セキュリティは、修正版の運用合意書を確認した。
かなえが読み上げた。
「修正項目は七つです」
一、重大度ごとの通知期限を明確にする。Highは検知時刻から三十分以内。二、検知時刻、担当者確認時刻、顧客通知時刻、顧客受領時刻を別項目にする。三、メールだけでなく、High以上は電話または指定チャットでも通知する。四、通知失敗時は、十五分以内に代替連絡先へ再通知する。五、再委託先は事前書面承諾制とし、業務範囲、所在地、アクセス範囲を明記する。六、月次レポートには、SLA未達、未通知、誤訳・訂正履歴を隠さず記載する。七、インシデント時のログ保全手順と証跡提出範囲を定める。
山崎が言った。
「人間の言葉版も付けよう」
かなえは、別紙を出した。
別紙:SOC報告の人間語訳
報告書の言葉 | 人間語 |
High Alert | かなり大きなチャイム |
Triage | 本当に事件か見に行くこと |
False Positive | 鳴ったが、泥棒ではなかったこと |
SLA Breach | 約束時計に遅れたこと |
Subcontractor | 夜番のさらに夜番 |
Log Preservation | 足跡にモップをかけないこと |
藤枝は笑った。
「これ、社内教育に使います」
黒瀬も、苦笑しながら言った。
「当社でも使わせてください」
かなえは即答した。
「別途協議です」
山崎が吹き出した。
「かなえくん、それは危険な言葉だ」
「では、利用範囲、期間、改変可否を定めます」
「完璧だ」
柏木は、会議の最後にもう一度頭を下げた。
「小さな嘘でした。でも、信頼には大きかったです」
藤枝は言った。
「はい。でも、直すために来てくれたことは評価します。次からは、遅れたら遅れたと書いてください」
柏木は、目を赤くしてうなずいた。
「はい」
6 レポートは嘘をつかない。人間が意味をすり替える
その日の夕方、山崎行政書士事務所では、複合機がまた勝手に紙を吐き出した。
山崎が身構えた。
「今度は何だ」
紙には、こう書かれていた。
ACK = ありがとう、確認しました。ただし、誰が確認したかを書きましょう。
奏汰が複合機を見た。
「先生、また昨日の印刷予約です」
かなえが紙を拾った。
「でも、正しいです」
山崎は湯飲みを持って、窓の外を見た。
「SOCレポートに隠れた小さな嘘、か」
奏汰は言った。
「ログは嘘をつきません。ただ、列名が嘘をつくことがあります」
かなえが続けた。
「契約書も同じです。言葉が曖昧だと、責任の時刻がずれます」
山崎は、修正版レポートの表紙を閉じた。
「専門用語は、悪者ではない。でも、人間の言葉に戻さないと、誰かが置いていかれる」
静かな事務所に、複合機の小さな駆動音が残った。
事件は、大規模な侵入ではなかった。個人情報の漏えいも確認できなかった。犯人も、怪盗も、幽霊もいなかった。
あったのは、四十六分の遅れ。一マスの誤訳。一社の未承諾再委託。そして、「このくらいなら」という小さな嘘。
けれど、その小さな嘘を見逃さなかったことで、葵通販は大きな事故を未然に遠ざけた。
山崎は、最後にこう言った。
「夜番を責めるだけではなく、夜番が何を見て、いつ誰に知らせるかを、一緒に決める。それが契約であり、運用なんだね」
かなえはうなずいた。
「はい。約束時計は、飾るためではなく、鳴らすためにあります」
奏汰はノートPCを閉じた。
「そして鳴ったら、ちゃんと人間の言葉で知らせる」
山崎行政書士事務所に、穏やかな笑いが広がった。
作中の実務背景
確認日:2026年5月13日。
KQLは、データの探索、異常や外れ値の発見、ログやテレメトリの分析に使われるクエリ言語としてMicrosoftが説明しており、Microsoft Sentinelでも利用されます。作中の奏汰がKQLでアラート時刻、インシデント起票、通知時刻を並べたのは、この「ログから重要情報を取り出す」実務を物語化したものです。
Microsoft Sentinelのインシデント調査では、インシデント内のアラートやブックマークのタイムラインを確認し、アラート詳細からログパネルを開いて、クエリやトリガーイベントを確認できます。作中の「月次レポートではなく元ログを見る」という流れは、この考え方に沿っています。
経済産業省の「中小企業のためのセキュリティインシデント対応の手引き」ページでは、検知時には責任者・経営者への連絡、初動対応、記録を消さないための注意、報告・公表、復旧・再発防止が示されています。作中の「ログ保全」「不用意に消さない」「漏えいは確認できませんと慎重に言う」場面の根拠にした実務背景です。
IPAの「サイバーセキュリティ経営ガイドラインVer.3.0 実践のためのプラクティス集 第4版」では、SOCが不正通信を検知してCSIRTへ報告し、封じ込め・復旧へ進むインシデント対応の流れが例示されています。また、取引先・委託先の対策状況を証跡依頼を含めて確認し、総合評価する例も示されています。
個人情報の漏えい等については、個人情報保護委員会が報告期限や報告が必要な場合を案内しています。作中では漏えいは確認できない設定ですが、個人データの漏えいまたはそのおそれがある場合には、別途、報告要否や期限の確認が必要になります。
コメント