山崎行政書士事務所物語（コメディ小説）シーズン2 第9話（通算第21話）「インシデント演習：本番より怖い（第2弾）」

※本作はフィクションです。登場人物・出来事は創作です。

※インシデント対応・監査・委託管理に関する描写は一般的な範囲の表現であり、特定案件の法的結論や対応の可否を断定するものではありません。必要に応じて弁護士等の専門家と連携してください。

ホワイトボードの右上は、もはや“貼り物”ではなく世界の運用ログだった。

シーズン1の駅名に、シーズン2の概念とリージョンが増え、壁が「広いのに狭い」という矛盾を抱えている。

Tokyo / Singapore / UTC / Zulu / Unicode / NFC（タッチしない方） / SDS / GHS / DPA / SLA / Subprocessor / RACI / Residency / Routing / Japan East / Japan West / West Europe / East US / Australia East / Access Control / Identity Proofing

その隣に、みおの赤字が三段積み。

14:15

14:15

14:15Z

壁の半分には、プリンターの“勝手に監査メッセージ”。

『A brochure is not evidence.』

『Looks professional is not a control.』

『Data residency ≠ data routing.（所在≠経路）』

『写真はマーケじゃない。入構は運用だ。』

ゆいが壁を見上げて、遠い目で言った。

「先生……ここ、もう“事務所”というより“机上演習会場”ですよね」

山崎先生がため息混じりに笑う。

「今日は、まさに机上演習だよ」

さくらが机の上に、真っ黒なファイルを置いた。

表紙に太字で書いてある。

「IR（Incident Response）演習 台本」

りながが目を輝かせる。

「IR！来た！ログ！封じ込め！根絶！復旧！」

みおが儀式のように付箋を貼る。

（① インシデント演習）

（② 連絡網）

（③ タイムゾーン）

（④ RACI）

（⑤ “誰が決める”）

あやのが、にこやかに頷いた。

「今日、燃えるのはシステムじゃなくて、人間関係ですね」

「予告で心を折るな」

相談者は“本番”より先に“恐怖”を持ってくる

10時。

○○化学の△△さんが入ってきた。

今日はバインダーではない。代わりに、顔色が灰色。

「先生……取引先から来ました。追加要請です」

山崎先生が身構える。

「追加要請って、嫌な響きだね」

△△さんはスマホを見せた。英文が短い。短いのに刺さる。

Please provide a summary of your Incident Response Tabletop Exercise results.

Include timelines in UTC.

りながが固まる。

「UTC指定……」

ゆいが反射で言いかけて止まる。

「ズ…（ズじゃない）……」

さくらが淡々と追撃する。

「“UTCでタイムライン”は、逃げられません」

みおが即答する。

「やります。演習して、残します」

△△さんが、肩を落とした。

「先生……演習って、やったことないんです。

“本番が来たらやります”って言ってました」

さくらが一言。

「本番が来たら、終わります」

「言い方が怖い」

あやのが優しく言う。

「でも大丈夫です。

本番より前に“怖さ”を見せるのが演習なので」

机上演習、開幕。まず役割を決める（RACIは便利だが痛い）

山崎先生は、ホワイトボードに大きく書いた。

Tabletop Exercise（机上演習）

目的：本番で詰まらない運用を残す

みおが、黒ファイルを開いて言う。

「本日は演習です。実際の攻撃はしません。

やるのは“判断”と“連絡”と“証跡の残し方”です」

りながが頷く。

「やった！攻撃しない！安心！」

「その安心、危険。油断するから」

さくらが、淡々と参加者を指名する。

インシデント指揮（IC）：みお

技術担当（検知・封じ込め）：りな

記録係（タイムライン・証跡）：さくら

対外コミュニケーション案（社内周知含む）：ゆい（※口数制限）

メンタル＆段取り（人が倒れない運用）：あやの

事業側意思決定（止める/止めない）：△△さん

ファシリテーター（進行）：山崎先生

ゆいが手を挙げる。

「先生、口数制限って何ですか？」

さくらが目線だけで止める。

「広報は、余計な一言で世界を燃やします」

「燃やすの！？」

あやのが柔らかく言う。

「燃やす前に、台本にしましょうね」

演習シナリオ：14:15Zに“通知”が来る（地獄の時間指定）

みおが台本の1ページ目を読み上げた。

「シナリオ開始。

時刻：14:15Z。

Microsoft 365環境で、管理者権限アカウントに対する“異常サインイン”が検知されました」

りながが反射で言う。

「Impossible travel…！？」

みおが淡々と続ける。

「アラートの内容：

管理者アカウントで海外IPからサインイン試行

MFAが通ったようにも見える

直後にSharePointから大量ダウンロードの痕跡（可能性）」

△△さんが顔を青くする。

「MFA通った“ようにも見える”って何ですか！？」

さくらが即答する。

「ログの見方が統一されていない時に起きます」

「怖い！」

山崎先生が落ち着いて言った。

「ここが机上演習の良いところ。

“ようにも見える”を潰していこう。まず最初の問いは？」

みおが即答する。

「これはインシデントか。誰が判断するか」

りながが勢いよく言う。

「インシデントです！止めます！アカウントブロック！」

△△さんが反射で叫ぶ。

「止めたら工場の夜間シフトが止まります！！」

空気が燃えた。

ゆいが小声で言う。

「出た、事業継続 vs セキュリティ……」

さくらが即答する。

「広報、黙ってください」

「はい……」

“止める/止めない”より先に「誰が決めるか」が無いと詰む

みおが△△さんに静かに聞く。

「止める判断、誰がしますか」

△△さんが詰まる。

「えっと……情シス……？」

りながが勢いよく頷く。

「私です！」

みおが首を横に振る。

「りなさん、あなたは実行担当です。意思決定ではありません」

りながが固まる。

「えっ……」

さくらが淡々と言う。

「ここで“やる気”が暴走すると事故になります」

「やる気を止めるのも運用か…」

山崎先生がホワイトボードに書く。

意思決定：事業責任者（△△）

実行：情シス（りな）

指揮：IC（みお）

記録：さくら

みおが言う。

「では演習上、こうします。

“暫定封じ込め”は技術担当が即実施できる範囲を定義。

“業務影響が大きい遮断”は事業責任者が判断。

この線引きを、証跡として残します」

△△さんが、少しだけ息を吐く。

「線引き…助かります…」

あやのが小声で言う。

「線引きって、人を救いますよね」

次の地獄：連絡網が“個人のスマホ”にしかない

みおが台本の次ページをめくる。

「シナリオ続き。

インシデント指揮官は、委託先（運用ベンダー）へ連絡し、ログ提供と初動支援を依頼します」

△△さんが頷く。

「はい、鈴木さんに連絡します！」

すぐスマホを取り出す。

…が、手が止まる。

「……鈴木さんの連絡先、僕の個人LINEにしかない」

全員が同時に言った。

「終わった！！」

さくらが、冷たい声で言う。

「個人LINEは証跡ではありません」

みおが付箋を貼る。

（⑥ 連絡先＝個人依存）

りながが震える声で言う。

「先生、ここが一番詰みポイント…」

山崎先生が頷く。

「机上演習で一番怖いのは、こういう“当たり前にやってたこと”が、運用として残ってない瞬間だね」

ゆいが、うっかり言う。

「LINEって便利なのに……」

さくらが目線で止める。

「広報、黙ってください」

さらに燃える：通知のSLAが“24 hours”だった（起算点どれ）

みおが淡々と読み上げる。

「委託先契約（SLA）には、

“notify within 24 hours”とあります」

△△さんが必死に言う。

「じゃあ24時間以内に連絡が来るんですよね！？」

さくらが、静かに言う。

「いつから24時間ですか」

△△さんが固まる。

「えっ…発生から…？」

みおが追撃する。

「検知から？確認から？報告書完成から？

そして、その“24時間”はUTCで数えますか」

りながが小声で言った。

「…Zが混ざると死ぬ…」

「死ぬ言うな」

あやのがやさしく言う。

「でも、“言葉が同じでも意味が違う”って怖いですよね」

山崎先生がホワイトボードに書く。

起算点（Trigger）

タイムゾーン（UTC/JST）

通知の方法（メール/ポータル/電話）

証跡（誰が見たか）

「演習の結論として、ここを“質問事項”じゃなく“運用に落とす宿題”にしよう」

みおが頷く。

「宿題にします。期限も決めます」

△△さんが小声で言う。

「期限…また…」

「期限は人を救う。先延ばしは人を殺す」

「言い方！」

最恐イベント：広報ゆい、声明文を作り始める

ここで台本が“炎上”パートに突入する。

みおが淡々と言った。

「シナリオ続き。

SNSで『○○化学で情報漏えいらしい』という投稿が出回りました。

社内チャットもざわついています」

ゆいの目が光る。

「先生！ここ私の出番！声明文作ります！」

さくらが即止める。

「作りません。演習です」

「でも演習でも作れた方が強くないですか！？」

みおが冷静に言う。

「作るのは良い。

ただし“出さない”。そして“誰が承認するか”を決める」

ゆいが震える声で言う。

「承認…社長…？」

△△さんが青ざめる。

「社長、今海外出張で…時差で…」

全員が同時に言った。

「時差！！」

山崎先生が穏やかに言う。

「ほら、燃えるのはシステムじゃなくて、人間関係だろ？」

あやのが頷く。

「燃えてますね、静かに」

机上演習で見える「本番で死ぬポイント」ランキング

みおが、冷静に整理を始める。

この人は火事の中で落ち着くタイプだ。怖い。

「ここまでの“詰まりポイント”を列挙します」

さくらが記録しながら言う。

「タイムラインはUTCで残します。JSTは補助です」

りながが小声で言う。

「正しい……」

みおが読み上げる。

“誰が宣言するか”が曖昧（インシデント宣言・遮断判断）

連絡先が個人依存（委託先・サブ委託・社内意思決定者）

SLAの起算点とタイムゾーンが曖昧

対外文の承認経路がない（時差で詰む）

ログの“見せ方”はあるが、“見た証跡”がない

△△さんが、顔を覆った。

「全部…うち…」

山崎先生が優しく言う。

「全部あるから、伸びしろがある」

さくらが淡々と追撃する。

「伸びしろは、残さないと伸びません」

「残す宗教やめて」

そして来る。14:15（ローカル）—草薙が“火事場”に水じゃなく紙を置く

演習が佳境に入った頃、インターホンが鳴った。

ピンポーン。

全員が時計を見る。

14:15（ローカル）

「……来る」

りながが、もう観測装置みたいに言った。慣れるな。

ドアが開く。

草薙（監査官）が、当然の顔で入ってくる。

「失礼します。少しだけ」

△△さんが半泣きで言う。

「今日も来るんですね…」

草薙は机上演習の付箋群を見て、一言。

「良い炎上です」

「良い炎上って何！？」

草薙は淡々と続ける。

「本番で炎上するより、演習で燃えた方が安い」

みおが真顔で頷く。

「コストの話、好きです」

「そこ意気投合するな」

草薙は机にステッカーを二枚置いた。

Tabletop

Comms

ゆいが反射で言った。

「Comms…！広報の響き…！」

さくらが目線で止める。

「広報、黙ってください」

草薙はホワイトボードの“連絡網がLINE”付箋を見て、淡々と聞いた。

「それ……連絡網、残る？」

みおが即答する。

「残します。

連絡先の台帳、社内共有、更新責任者、更新頻度まで含めて残します」

さくらも即答する。

「残します。個人依存を排除します」

りながが乗る。

「残します！オンコール表も作ります！」

草薙が小さく頷いた。

「合格です。

そして“タイムラインはUTC”も良い。

ただし——」

草薙は机上演習の台本を指でトントン叩いて言った。

「誰が“終息宣言”するかも、残してください」

空気が一段、冷えた。

△△さんが弱々しく言う。

「終息…宣言…」

あやのが優しく言う。

「終わり方って、決めてないと終われないですよね」

草薙は去り際に、いつもの言葉。

「インシデントは“止める”より“終わらせる”方が難しい。

——証跡、大事なんで」

ドアが閉まった。

オチ：プリンターが“人間関係が燃える”を一行でまとめる

演習の締め。

山崎先生が△△さんに言った。

「今日の成果は“うまくやれた”じゃない。

“詰まる場所が見えた”こと。詰まりは改善できる」

△△さんが、力なく笑った。

「本番より怖かったです…」

みおが真顔で言った。

「本番はもっと怖いので、今日で正解です」

「正解だけど言い方」

その瞬間、プリンターが「ピッ」と鳴った。

やめろ。今日は静かに終わりたい。

ウィーン。

吐き出された紙には、一行だけ。

『インシデントで一番遅いのはネットじゃない。承認だ。』

りながが震える声で言った。

「先生……プリンター、人間関係に刺してきました……」

ゆいが、しょんぼり言う。

「承認…私の天敵…」

さくらが淡々と締める。

「承認は敵ではありません。仕様です」

「仕様で全部片付けるな」

あやのがにこやかに言った。

「でも、承認フローを“先に決めておく”と、人が倒れにくいですよね」

みおが付箋を貼る。

（⑦ 終息宣言＝残す）

（⑧ 承認＝ボトルネック）

「付箋でボトルネックを残すなぁ！」

今週のチェックリスト（一般論）

机上演習（Tabletop）は「本番で詰まる場所」を可視化するためにやる（成功より“詰まりの発見”が成果）

連絡網・オンコール・委託先連絡先が個人依存だと本番で止まる（台帳化・更新責任・更新頻度まで含めて残す）

タイムラインはUTCで残すと越境案件で説明しやすい（JSTは補助として併記）

“24 hours”などのSLAは、起算点（発生/検知/確認）とタイムゾーン、通知方法まで揃えると事故が減る

対外コミュニケーション（Comms）は“作れる”より“承認できる”が重要。終息宣言の責任者も決めて残す

ステッカー（シーズン2・概念編：演習と広報が追加）

Tabletop（NEW）

Comms（NEW）

プリンター被害状況

「承認が一番遅い」を勝手に印刷（刺さりすぎる正論）

ただし信用はしない（前科が多い／今日も正しいのが腹立つ）

次回予告

「データの旅路」と「責任の旅路」は別。

どこに置くかより、誰が守るか。

そして、責任は“境界”で割れる。

次回、シーズン2第10話 「“データの旅路”と“責任の旅路”は別」。