外部の箱 — 省庁の五月(長編フィクション)
- 山崎行政書士事務所
- 9月21日
- 読了時間: 7分
— 2021年「富士通 ProjectWEB への不正アクセス:供用SaaSからの情報窃取→政府・空港・自治体等の関係情報が流出→国の注意喚起→サービス停止→のちに“認証の弱さ/早期検知の不足/盗用資格情報の悪用”等が公表」を骨格にした創作。人物・会話はフィクションです。
00|月曜 05:42 「出していないのに、出ている」
霞が関。青蘭(せいらん)省の基幹棟で、夏芽は夜勤の終わりを待ちながら越境通信の折れ線を眺めていた。WAFは緑、SIEMは眠そうだ。だが**“外部の箱(ベンダの情報共有SaaS)”へ向かう薄い帯だけが、毎分同じ拍で呼吸を繰り返す。出庫の申請もタスクもない。なのに、同じ長さの吐息が夜明け前**だけ続く。
「出していないのに、出ている。」
プロキシの宛先は見覚えがある。プロジェクト情報共有ツール——社外と図面や台帳をやりとりする“外部の箱”だ。夏芽はログの底に糸を垂らす。省のIDではないSaaS側のアカウントが、当省案件の箱に一定間隔で手を入れている。
袖の端で携帯が震えた。出勤前の**律斗(りつと)**からだ。
「見てる。山崎行政書士事務所の回線、開ける。」
01|06:03 “止める/伝える/回す”
静岡・山崎行政書士事務所。白板の前に律斗が立ち、太いペンで三行を書く。
止める/伝える/回す
止める:“外部の箱”向けの発信を電源を落とさず白化(許可先のみ)。当該プロジェクト枠から一括で強制ログアウト、SaaS側のパスワードリセットを優先依頼。省内の特権はゼロにしてJIT(必要時だけ短期貸与)へ。RAMダンプ/プロキシのフルログ/ID発行ログを一方向に吸い上げる。
伝える:三文の一次報を大臣官房/所管庁/連携先に同報。“事実”(外部の箱への規則的なアクセス/送信停止と白化/強制ログアウト実施)と**“可能性(仮説)”(資格情報の盗用→SaaS経由の持ち出し)を段落で分け**、正午/17時に時刻更新する約束を置く。文頭に**「支払い先・送付先変更メールは無効」**。
回す:当面の図面・仕様伝達は省内SFTP+紙台帳に迂回。招集会議は音声のみ、画面共有は省内限定。遅いけど確実に回す。
りなが頷く。「72時間の所管報告も回します。“声は鍵”(折り返し+二名承認)を全窓口に。」奏汰(そうた)が配線図に赤を走らせる。「SaaSは相手の森。こちらの門は固くても、森の枝に鈴が無ければ早く気づけない。」
悠真(ゆうま)は短く言う。「電源は落とさない。証跡が戻る道。」
受付でやまにゃん(白い猫のマスコット)のしっぽ(Type‑C)が小さく光り、札が揺れる。
「遅いけど確実。」
02|06:41 春の置き手紙
監査ログの底に、初夏の薄い呼吸が見つかった。“外部の箱”のある枠に、見慣れない名義で短い手が入る。閲覧、取得、また閲覧。夜明け前にだけ現れて、昼は眠る。夏芽は喉の奥が冷えた。
「扉は、春に開いて、閉まっていない。」
03|07:25 四つの数字(第一次)
蓮斗(れんと)が白板に数字を書く。
MTTD(検知):43分(越境の規則呼吸→SaaS側操作の相関)
一次封じ込め:68分(白化/強制ログアウト/証跡保全/JIT化)
初期影響:案件箱に格納の“メールアドレス群”と構成資料の一部
省内影響:直結する基幹には到達せず(現時点)
律斗は短く言う。「勝ってはいない。でも**“間に合っている”**。」
04|正午 一文目に「主語」
りなは一次報を読み上げ、主語を太く置く。
事実:当省が委託先の情報共有SaaS(外部の箱)に保存した一部データが不正アクセスにより窃取された可能性を確認。発信白化/強制ログアウト/証跡保全/JIT化を実施。影響(現時点):業務用メールアドレス等の名簿、機器構成情報の外部流出の可能性。基幹システムへの不正到達は確認なし(継続精査)。対応:連携先と通知準備を開始。17時に更新。
怒号はない。時刻が不安の終わりをつくる。
05|午後 「空港からの呼び鈴」
連携先のひとつ、空港会社から鈴が鳴る。運航情報管理に関わる資料の一部に外部流出の可能性。運航そのものの安全に直結するものではないと先方は言う。だが、名簿と構成は刃になり得る。奏汰は図を黒で縁取り、共有の森の小道を閉じる。
“見る鍵/運ぶ鍵/署名する鍵”を分離
常時特権ゼロ、JITの短貸与
Outboundは白だけ、DNSは未知を即死
SaaSのログはこちらの倉にも収集・保全(相手任せにしない)
悠真は既知良品だけ載せた一時箱(SFTP+WORM台帳)を立ち上げ、**暫定の“渡し舟”**を作る。
06|翌朝 止まる大きな倉
外部の箱は運用停止になった。富士通からの公表。原因調査中、全プロジェクト停止。夏芽は肩の力を抜く。遅い。だが、戻れる速さはここから始まる。NISCが注意喚起を流す。同種ツールの実装状況、委託先の監督、情報漏えいを前提とした備え——各省庁と重要インフラに先手を打つよう促す。
蓮斗の数字が更新される。
関係通知:政府/空港/自治体に段階連絡
名簿規模(初期):約7.6万件のメールアドレス(省内+省外)
“外部の箱”:全面停止
07|数日後 会見の台本
りなは会見台本を二段落の型で固定する。
確認された事実:外部の箱に保存された当省関係情報の外部流出。基幹への不正到達なし(現時点)。
未確定(継続調査):外部流出の範囲/相手先SaaSの認証・監視の弱点/資格情報の窃取経路。
誰がやったかは私たちが言わない。公的発表に歩調を合わせる。私たちは**“何が起き、何を止め、どう戻すか”を時刻**で言い切る。
08|六月 自治体の窓
全国の自治体にも波が届く。総務省が照会を回し、各局が**“外部の箱”の利用状況を洗い直す。青蘭省の夏芽は、自治体の情報政策担当からの電話に同じ説明を繰り返した。「外の箱は便利だ。だが、監査の鈴がこちらにも要る。」**
09|盛夏 “検知の遅さ”という刃
富士通の続報が出る。“外部の箱”には多要素認証が採用されておらず、不正アクセスの早期検知も十分ではなかった。調査は**“盗用された正規アカウント”の悪用を示す。奏汰は省内の地図**を塗り替えた。
省→SaaSのSSOは二段階+端末証明を必須に
SaaSログの省内集約、相関、保存年限を規程化
招待/共有は**“誰が・何を・いつまで”を押印付き**で台帳に
“便利の近道”(とりあえずの共有)は自動失効(48時間)に
やまにゃんの札が光る。
「速さは、戻れるときだけ味方。」
10|秋 “白い封筒”の重さ
封書が全国へ飛ぶ。名簿に載っていた省外の方々へ、事実と可能性を混ぜずに書いた紙。サポート回線は折り返し前提、台本の一行目は**「当省からATM操作や送金依頼はしない」。夏芽は印章の角を確かめながら、外の箱に寄りかかることの重さ**を噛みしめた。
11|冬 “別の箱で歌い直す”
外部の箱は廃止され、新しい仕組みが発表される。多要素、統合ログ、異常検知の常設。搬送は箱に任せても、監視は人の段落で持つ。夏芽は省内SFTPの白い地図を壁に貼り、渡し舟の手順を短文で刻む。
「署名だけは通さない。署名+再現。」「常時特権はゼロ。JITに押印。」
12|講堂 “三つの時計”と三行
現場の時間(調達・運用・連携)
規制の時間(72時間と継続報告)
経営の時間(信頼・費用・再発防止)
りなは三行で締める。
言い切る(事実と可能性を同じ文に置かない)期限を付ける(例外は48時間で自動失効)二重に確かめる(自動の前後に**“人の10分”**)
蓮斗は数字を静かに並べる。
MTTD:43分 → 8分(SaaS相関と異常認証の常設)
一次封じ込め:68分 → 27分
外部の箱:多要素+監査の鈴(省側にも)
例外期限遵守率:98%
やまにゃんが札を揺らす。
「遅いけど確実。」
13|エピローグ 外の箱の向こう
霞のかかる朝、夏芽は窓を拭く。外に置いた箱は便利だ。便利は刃にもなる。戻れる速さは、紙と時刻と**“二重の鍵”の中に宿る。次に歌い直す箱は、短くて太い鍵で閉めよう。森の小道には、こちらの鈴もつけておく**。
—— 完
参考リンク(URLべた張り/事実ベース・一次情報/主要報道・技術整理)
※物語はフィクションですが、骨格(2021年の富士通「ProjectWEB」不正アクセス、省庁・空港等での関係情報の流出、NISCの注意喚起、サービス停止、のちの“多要素認証未採用/早期検知不足/盗用資格情報の悪用”などの公表)は以下に基づいています。
主な点:5/25 富士通の公表と運用停止、5/26 国交省の約7.6万件メールアドレス等の流出公表、成田国際空港の関連情報流出公表、NISCの注意喚起(5/24)、以降の続報(8/11・12/9)で示された多要素未採用/検知の不足/盗用アカウント悪用の線、およびまとめ系・海外報道の時系列整理を反映しています。
コメント