第21章 承認者のいない承認
- 山崎行政書士事務所
- 5月7日
- 読了時間: 19分
午前八時四十分。
三枝涼真は、ComplyVaultのエクスポート履歴画面をもう一度開いた。
ops_notify_archive_export_0414.zip
エクスポート時刻。三週間前、午前二時二十二分。
実行アカウント。external-audit-temp
対象。ops-notify-archive 過去九十日分
状態。Export completed
昨日までは、その一行を見て「アーカイブが盗まれた可能性がある」と理解していた。
だが、今朝になって、別の違和感が残っていた。
なぜ、外部監査用の一時アカウントでエクスポートできたのか。
ComplyVaultは、監査アーカイブを扱うサービスだ。契約関連の証跡、社内チャット、外部通知、法務確認、監査対応資料を長期保管する。当然、エクスポートには制限がある。
少なくとも、三枝はそう聞いていた。
秋山法務総務部長も、導入時にそう説明されていたはずだ。
監査アーカイブのエクスポートには、管理者承認が必要です。
では、誰が承認したのか。
三枝は、エクスポート詳細を開いた。
画面には、いくつかの項目が並んでいる。
Export requested by: external-audit-tempExport approved: trueApproval mode: Delegated Compliance ApprovalApproved by: compliance-reviewer-02Approval time: 2028-04-14 02:19:04
三枝は、指を止めた。
compliance-reviewer-02
見覚えのない名前だった。
「課長」
三枝の声に、黒崎が顔を上げた。
「何だ」
「エクスポートに承認者がいます。compliance-reviewer-02」
黒崎は席を立ち、三枝の画面を覗き込んだ。
「そんなアカウント、今使ってるか?」
「少なくとも、僕は知りません」
秋山も近づいた。
「法務総務でも、その名前は使っていません」
山崎行政書士事務所の山崎が、静かに言った。
「では、まず承認者を確認しましょう。誰が、どの権限で、何を承認したのか」
三枝は、ComplyVaultのユーザー管理を開いた。
compliance-reviewer-02
種別。
Delegated reviewer
作成日。
二年前。
説明欄。
外部IT統制レビュー支援用。東海ITガバナンス。
最終ログイン。
三週間前。
状態。
Active
三枝は、深く息を吸った。
また、東海ITガバナンス。
また、二年前。
また、三週間前。
「承認者も、契約終了済みの外部支援アカウントです」
会議室の空気が重くなった。
山崎は、ホワイトボードに書いた。
承認者のいない承認
そして言った。
「正確には、承認者は存在します。しかし、その承認者が会社として有効な承認者だったのかが問題です」
久我真琴がオンラインで言った。
「外部監査用一時アカウントがエクスポートを要求し、別の外部レビュー用アカウントが承認した。攻撃者が両方の資格情報を持っていた可能性があります」
秋山が青ざめた顔で言った。
「二名承認があったのに、意味がなかった」
山崎は頷いた。
「二名承認は、二人が現在も正当な承認者であることを前提にしています。退職者、契約終了済み外部者、共有アカウント、旧メール通知先が残っていると、形だけの承認になります」
三枝は、時系列表に入力した。
08:44 ComplyVaultエクスポートops_notify_archive_export_0414.zipの承認者としてcompliance-reviewer-02を確認。二年前作成、東海ITガバナンス外部IT統制レビュー支援用、契約終了済み、現在有効、最終ログイン三週間前。外部一時アカウント同士によるエクスポート要求・承認の可能性。
保存。
承認はあった。
だが、会社の承認ではなかったかもしれない。
午前九時五分。
東海ITガバナンスとの緊急確認が再開された。
画面には、宮坂と若林が映っている。
二人とも、昨日より顔色が悪かった。
山崎が質問した。
「compliance-reviewer-02は、御社のアカウントですか」
宮坂は、資料を見ながら答えた。
「はい。弊社がComplyVault導入支援時に、レビュー作業用として利用したアカウントです」
「契約終了後、削除されるべきものでしたか」
「はい」
「三週間前にログインし、external-audit-tempによるエクスポートを承認した記録があります。御社による作業ですか」
宮坂は、すぐに首を横に振った。
「違います。弊社ではそのような作業をしていません」
久我が聞いた。
「資格情報の保管場所は」
若林が、苦しそうに答えた。
「導入当時の手順書と、パスワード管理ツールに登録していました。ただし、契約終了後に削除予定でした」
山崎が静かに言った。
「削除予定」
若林は、目を伏せた。
「はい。削除確認の証跡は、まだ見つかっていません」
秋山が低い声で言った。
「compliance-reviewer-02は、どの範囲を承認できましたか」
三枝が画面を見て答えた。
「監査アーカイブのエクスポート承認。対象範囲は、本来は外部統制レビュー対象のチャンネルのみ。ただし、ops-notify-archiveも承認対象に含まれていました」
黒崎が言った。
「なぜ、通知チャンネルまで承認対象に入っている」
秋山が契約資料を確認した。
「導入時、通知チャンネルも内部統制レビュー対象に入れたのだと思います。外部SaaS通知の証跡保全として……」
山崎が言った。
「当時の目的は正当です。しかし、契約終了後に権限が閉じられていなかった」
三枝は、また同じ構造を見た。
正当な目的。一時的な外部権限。契約終了。削除予定。証跡なし。三週間前の利用。
Blue Heronは、会社の悪意を突いたのではない。
正当だったものの閉じ忘れを突いている。
宮坂が、画面越しに頭を下げた。
「弊社側の手順書、パスワード管理ツール、担当者端末、メール、チケットを保全します。再委託先はありませんが、当時の外部協力者が一名いましたので、その権限も確認します」
山崎が言った。
「一次回答は二時間以内にお願いします。外部協力者の有無、資格情報保管状態、三週間前のアクセスに御社関係者が関与していないことの根拠、削除確認未了の理由。これらを分けてください」
宮坂は頷いた。
「対応します」
三枝は入力した。
09:11 東海ITガバナンス一次確認。compliance-reviewer-02は同社ComplyVault導入支援時レビュー用アカウント。契約終了後削除予定だが削除確認証跡未確認。三週間前の承認操作は同社作業ではない旨一次回答。資格情報保管場所、手順書、パスワード管理、担当者端末、外部協力者有無を保全・確認依頼。
保存。
午前九時四十二分。
久我は、ComplyVaultの承認ログをさらに深く見ていた。
「承認が速すぎます」
三枝が聞いた。
「速すぎる?」
「エクスポート要求が午前二時十八分五十二秒。承認が二時十九分四秒。十二秒です」
黒崎が顔をしかめた。
「人間が中身を確認して承認したとは思えないな」
久我は頷いた。
「自動承認か、事前に通知を見ていて即クリックしたか、あるいはAPI経由です」
三枝は、承認詳細を開いた。
Approval source: APIClient: compliance-reviewer-02-tokenMFA: not required for delegated approval APIPolicy: legacy_review_workflow
三枝は、画面を見たまま声を失った。
「MFAなしです」
黒崎が鋭く言った。
「何?」
「delegated approval APIでは、MFA不要になっています。legacy_review_workflowという旧ポリシーです」
秋山が、息を呑んだ。
「監査承認APIに、旧ポリシーが残っていた……」
山崎が、ホワイトボードに書いた。
二名承認 ≠ 二名の人間確認
その下に続ける。
承認APIにも、MFA・期限・承認範囲が必要
久我が言った。
「攻撃者は、外部監査用アカウントでエクスポート要求を出し、外部レビュー用アカウントのAPIトークンで承認した可能性があります。人間が画面で承認していないかもしれません」
山崎が確認した。
「記録は、“API経由の承認であり、MFA不要の旧承認ワークフローが適用されていたことを確認。人間による内容確認の有無は未確認”です」
三枝は入力した。
09:47 ComplyVault承認ログ詳細確認。エクスポート要求から12秒後にcompliance-reviewer-02-tokenによるAPI承認。Approval source: API。MFA not required for delegated approval API。legacy_review_workflow適用。人間による内容確認の有無は未確認。
望月が静かに言った。
「承認の形だけが残っていた」
山崎は頷いた。
「はい。承認という言葉も、分解が必要です。誰が、何を見て、どの権限で、どの範囲を、どの手段で承認したのか」
三枝は、ノートに書いた。
承認もログで証明しなければならない。
午前十時二十分。
Blue Heronからメールが届いた。
件名は、Approved。
本文は、短かった。
You approved us.Twice.
あなたたちは我々を承認した。二度も。
その下には、ComplyVaultのエクスポート要求とAPI承認の画面が貼られていた。
三枝は、保全しながら、心の中で反論した。
承認したのは、会社ではない。古い外部アカウントと、古いAPIトークンだ。
だが、攻撃者の言い方は巧妙だった。
You approved us.
あなたたちは承認した。
これを取引先が見れば、駿河MLが自らエクスポートを許可したように見えるかもしれない。社員が見れば、誰かが裏切ったように感じるかもしれない。委託先が見れば、自社の責任ではないと言うかもしれない。
山崎が言った。
「攻撃者は、承認ログを心理攻撃に使っています」
久我が頷いた。
「技術的には、正規の承認経路が悪用された可能性です。承認という文字だけで、会社の意思決定と同一視してはいけない」
秋山が言った。
「対外説明では、どう表現しますか」
山崎は、少し考えた。
「“監査アーカイブのエクスポートにおいて、契約終了済み外部支援アカウントおよび旧承認APIが利用された可能性があり、当社として承認したものではないと認識しています。ただし、当社環境に当該権限が残存していたことは重大な管理課題として受け止めています”」
望月は頷いた。
「それでいきましょう。責任逃れにはしません」
山崎は言った。
「はい。会社として承認したわけではない。しかし、会社の管理下に残っていた承認経路です。この二つを両方言う必要があります」
三枝は入力した。
10:21 不明差出人より件名“Approved”のメール受信。ComplyVaultエクスポート要求およびAPI承認画面を提示し、“You approved us. Twice.”と記載。攻撃者が承認ログを会社意思決定と混同させる心理的揺さぶりの可能性。対応方針:契約終了済み外部支援アカウントおよび旧承認API悪用可能性として整理。
保存。
午前十一時五分。
山崎は、承認経路に関する整理表を作成した。
承認経路整理表
承認対象ComplyVaultアーカイブエクスポート。
要求者external-audit-temp。
承認者表示compliance-reviewer-02。
承認手段APIトークン。
MFA不要。
適用ポリシーlegacy_review_workflow。
契約状態東海ITガバナンス契約終了済み。
会社意思決定との関係駿河MLによる現行承認記録なし。
管理課題外部一時アカウント削除未了、API承認トークン失効未了、旧承認ワークフロー廃止未了、承認範囲見直し未了。
山崎は言った。
「この表を見れば、“承認”という文字の中身が分かります」
秋山が頷いた。
「取締役会にも出します」
黒崎が言った。
「承認経路も棚卸し対象ですね」
「はい」
山崎は答えた。
「外部共有、業務地図、通知、アーカイブ。そこまで来ました。次は承認です。承認は、会社の意思決定を表す重要な経路です。攻撃者が承認を偽装または悪用すると、会社が自分で許可したように見えます」
三枝は、未了事項台帳に追加した。
U-147 旧承認ワークフロー・APIトークン棚卸し未了
責任者。
秋山・黒崎・三枝
期限。
七日以内に重要システム初版棚卸し
状態。
開始
さらにもう一つ。
U-148 承認ログの会社意思決定との紐づけ未整備
責任者。
秋山・山崎行政書士事務所
期限。
三十日以内に承認記録標準案
状態。
開始
保存。
承認も、管理対象になった。
午後零時十分。
昼の会議で、黒崎が言った。
「旧承認ワークフローがあるのは、ComplyVaultだけではないかもしれません」
三枝は頷いた。
「電子契約、外部共有、BI、品質管理クラウド、地図サービス、AI評価基盤。承認APIや自動承認ルールが残っている可能性があります」
秋山が顔をしかめた。
「電子契約の代理承認設定も確認します。以前、役員不在時に承認を代理する設定があったはずです」
望月が聞いた。
「代理承認は、今も使っていますか」
秋山は少し黙った。
「一部、使っています。ただ、期限付きか確認します」
山崎が言った。
「代理承認も悪ではありません。問題は、期限、範囲、ログ、再確認です」
大石が言った。
「現場にもあります。緊急出荷時、現場責任者が代理承認できるルール」
山崎は頷いた。
「それも対象です。承認は、技術システムだけではありません。業務上の承認も含みます」
三枝は、また新しい棚卸し表を作った。
承認経路棚卸し表
列は、次のようになった。
承認ID承認対象承認者代理承認者外部承認者有無API承認有無MFA要否期限承認範囲ログ保存契約根拠現行利用有無未了事項
山崎が見て、頷いた。
「良いです。承認も台帳化します」
三枝は、少しだけ苦笑した。
「台帳が増え続けますね」
山崎は言った。
「増やすことが目的ではありません。見えない経路を見えるようにするためです」
望月が補足した。
「必要な台帳は統合しましょう。全体像が見えなくなると、また未了になります」
山崎は頷いた。
「はい。最終的には、接続・地図・通知・アーカイブ・承認を一つの統制台帳にまとめます」
三枝は、その言葉に少し圧倒された。
接続。地図。通知。アーカイブ。承認。
会社の外皮、血流、神経、記憶、意思決定。
攻撃者は、それらを順にたどっている。
こちらも、たどり返さなければならない。
午後一時二十二分。
東海ITガバナンスから、追加回答が届いた。
compliance-reviewer-02のAPIトークンは、導入時の自動レビュー検証用に作成された。契約終了後に失効予定だったが、失効作業のチケットは未完了。トークンは、同社のパスワード管理ツールではなく、作業手順書の添付ファイルに暗号化ZIPとして保存されていた。暗号化ZIPのパスワードは、別メールで共有されていた。
久我が、低く言った。
「古い手順としては、最悪ではないですが、今見るとかなり危険ですね」
山崎が確認した。
「その手順書へのアクセスログは」
宮坂は答えた。
「三週間前に、旧担当者のアカウントでアクセスがあります。ただし、本人によるものではないと考えています。本人はすでに退職しています」
秋山が、目を閉じた。
「退職者アカウント……」
宮坂は、深く頭を下げた。
「弊社内の退職者アカウント管理にも不備がありました」
山崎は、静かに言った。
「事実として記録します。東海ITガバナンス側でも、退職者アカウントが当該手順書にアクセスした可能性がある。駿河ML環境だけでなく、外部支援会社側の退職者アカウント管理も関係します」
三枝は入力した。
13:27 東海ITガバナンス追加回答。compliance-reviewer-02 APIトークンは自動レビュー検証用。契約終了後失効予定だが失効チケット未完了。手順書添付の暗号化ZIPに保存、パスワードは別メール共有。三週間前、同社退職者アカウントによる手順書アクセスあり。本人操作ではない旨一次回答。
保存。
退職者アカウントは、自社だけの問題ではなかった。
委託先にも、再委託先にも、外部支援会社にもある。
そして、それらは会社同士の接続を通じて、自社に戻ってくる。
山崎が言った。
「委託先セキュリティ確認項目に、退職者アカウント管理とAPIトークン失効を追加します」
秋山が頷いた。
「契約更新時の確認だけでなく、契約終了時にも確認します」
望月が言った。
「契約終了は、セキュリティイベントですね」
山崎は頷いた。
「はい。契約終了時こそ、接続、通知、アーカイブ、承認、データを閉じる重要なイベントです」
三枝は、ノートに書いた。
契約終了は、セキュリティイベント。
午後二時四十分。
Blue Heronからメールが届いた。
件名は、Goodbye is a door。
別れは扉だ。
本文は、短い。
You say goodbye.The door stays open.
あなたたちは別れを告げる。扉は開いたまま。
三枝は、保全した。
もう、この言葉に驚きはなかった。
契約終了。削除予定。退職。移行済み。検収後。廃止予定。
Blue Heronは、その「さよなら」の後に残った扉を歩いてきた。
山崎は、ホワイトボードに書いた。
終了管理
そして言った。
「ここまでの事件を、一つの言葉でまとめるなら、終了管理の失敗です」
会議室が静かになった。
山崎は続けた。
「退職者アカウント。契約終了済み委託先。実証終了後のAI環境。訓練終了後の地図アカウント。導入支援終了後の監査アカウント。旧通知チャンネル。旧承認ワークフロー。すべて、終わったはずのものです」
三枝は、背筋が伸びるのを感じた。
終わったはず。
この言葉は、何度も出てきた。
山崎は言った。
「終わることを、誰も設計していなかった」
望月が、静かに答えた。
「始める時は、稟議も契約も設計もした。でも、終える時の設計がなかった」
「はい」
山崎は頷いた。
「攻撃者は、始まりではなく終わりを狙っています」
三枝は、時系列表に入力した。
14:40 不明差出人より件名“Goodbye is a door”のメール受信。契約終了・退職・実証終了・訓練終了・導入支援終了後に残る接続を示唆。対応方針:終了管理をサイバーセキュリティ統制の主要テーマとして整理。
保存。
午後三時二十分。
山崎は、終了管理の方針案を作成した。
終了管理セキュリティ方針案
一 退職終了人事退職手続きとアカウント停止、連携影響、共有メール、旧資格情報の完了確認。
二 契約終了委託先・再委託先アカウント、API、通知、アーカイブ、承認、データ、派生物の削除確認。
三 実証終了AIモデル、特徴量、説明トレース、評価ログ、検証環境、接続情報、サブプロセッサの削除・保全方針。
四 訓練終了災害地図、訓練資料、外部支援アカウント、リンク共有、連絡網の閉鎖。
五 導入支援終了監査アカウント、レビューAPI、承認トークン、手順書、作業チャンネル、アーカイブ権限の失効。
六 システム移行終了旧システム連携、旧サービスアカウント、旧通知、旧ワークフロー、旧バックアップの整理。
七 例外終了一時権限、緊急保守、バイパスグループ、MFA除外、ログ保持短縮の期限到来時閉鎖。
山崎は言った。
「この七つを、会社の終了管理チェックリストにします」
秋山が頷いた。
「契約終了時の標準手順に入れます」
黒崎が言った。
「情シスにも、システム終了チェックリストを作ります」
大石が言った。
「現場の訓練終了後も、地図や連絡網を閉じる手順を入れます」
望月は言った。
「取締役会にも出します。終了管理は経営課題です」
三枝は、その言葉を聞いて思った。
終わりを設計する。
それは、サイバーセキュリティの新しい柱だった。
始める時だけでなく、終える時にも、責任者、期限、証跡が必要だ。
午後四時四十五分。
承認経路棚卸しの初回確認で、複数の旧承認が見つかった。
電子契約サービスの代理承認者。BIダッシュボード公開承認の旧部長アカウント。品質クラウドの緊急回収承認テンプレート。営業資料公開の外部デザイン会社レビュー承認。災害時地図更新の外部支援承認。Asterモデル評価シナリオ変更の研究チーム承認。
すべてが危険というわけではない。
だが、すべて確認が必要だった。
三枝は、承認経路棚卸し表に入力しながら言った。
「承認が、こんなに散らばっているとは思いませんでした」
山崎は答えた。
「会社は、承認で動いています。承認は、目に見えないハンコです」
秋山が言った。
「電子化されて、ハンコが見えなくなった」
「はい」
山崎は続けた。
「見えないハンコほど、誰が持っているかを管理する必要があります」
望月が頷いた。
「承認権限も、特権権限ですね」
黒崎が言った。
「技術権限だけではない」
三枝は、表に新しい分類を追加した。
業務特権
承認。公開。削除。エクスポート。共有。通知。代理。例外。
これらも、特権だった。
サーバ管理者だけが特権者ではない。会社を動かす承認者も、特権者だ。
三枝は、そのことを強く理解した。
午後六時。
東海ITガバナンス、ComplyVault、日向、ネストリンクとの合同確認会議が行われた。
山崎は、冒頭で言った。
「今日の会議では、責任認定ではなく、終了管理と承認経路の事実確認を行います」
宮坂が頷いた。高瀬も頷いた。佐伯も頷いた。ComplyVault Japanの担当者も、緊張した顔で頷いた。
山崎は、表を共有した。
終了管理・承認経路確認表
各社に、同じ質問が並ぶ。
契約終了時に残存するアカウントはないか通知先は閉じられているかMFA通知先は有効な担当者かAPIトークンは失効しているか承認ワークフローは現行か外部一時アカウントは自動失効するかアーカイブ閲覧・エクスポート権限は残っていないか削除・失効を証明する記録はあるか
三枝は、その表を見ていた。
質問は厳しい。だが、全社に同じ形式で聞いている。
特定の会社を責めるのではなく、同じ型の未了を探している。
それにより、相手も答えやすくなる。
山崎は言った。
「今回の攻撃では、複数の会社にまたがる終了管理の未了が利用された可能性があります。各社が自社の未了を隠すと、同じ経路が残ります。まず、閉じることを優先しましょう」
宮坂が言った。
「弊社も、退職者アカウントと手順書の管理を見直します」
高瀬が言った。
「日向側では、旧メールボックスとMFA通知先の棚卸しを開始しています」
佐伯が言った。
「ネストリンクも、旧監視連携メールと読み取りアカウントを停止しました。証跡を提出します」
ComplyVault担当者が言った。
「旧承認APIの利用停止と、エクスポート二名承認のMFA必須化を支援します」
望月は、全員を見た。
「ありがとうございます。責任整理は続きます。しかし、同じ扉を開けたままにしないことが最優先です」
三枝は、その言葉を記録した。
午後七時三十分。
Blue Heronからメールが届いた。
件名は、Too many goodbyes。
本文は、少し長かった。
Employees leave.Vendors leave.Projects end.Trials end.Audits end.But you never close the doors.
社員は去る。委託先は去る。プロジェクトは終わる。実証は終わる。監査は終わる。だが、あなたたちは扉を閉じない。
その下には、何もなかった。
三枝は、保全した。
山崎が言った。
「今回は、攻撃者の指摘を否定するより、対策で返すべきですね」
望月が頷いた。
「終了管理を始めました。扉を閉じていきます」
久我が言った。
「相手も、こちらが構造に気づいたことを分かっているはずです」
黒崎が答えた。
「なら、急ぎます」
三枝は、時系列表に入力した。
19:30 不明差出人より件名“Too many goodbyes”のメール受信。退職、委託先離脱、プロジェクト終了、実証終了、監査終了後の扉閉鎖未了を指摘。対応方針:終了管理セキュリティ方針に基づき、退職・契約終了・実証終了・訓練終了・導入支援終了・移行終了・例外終了を統制対象化。
保存。
午後八時四十五分。
三枝は、一人で承認経路棚卸し表を見ていた。
承認者。代理承認者。API承認。MFA要否。期限。ログ保存。契約根拠。
承認は、会社の意思決定を表す。
だが、古い承認者が残っていれば、会社が決めていないことを会社が決めたように見せられる。
それは怖い。
三枝は、自分のノートに書いた。
承認は、会社の声である。古い承認者は、会社の声色を真似る亡霊である。
保存。
山崎が、背後から声をかけた。
「良い表現ですね」
三枝は、少し恥ずかしくなった。
「見ましたか」
「はい」
「正式資料には向かないですね」
「内部研修には使えるかもしれません」
三枝は笑った。
山崎は続けた。
「承認者の棚卸しは、技術的にも法務的にも重要です。承認ログがあっても、それが現在有効な権限者によるものかを説明できなければ、証跡として弱くなります」
三枝は頷いた。
「承認ログも、ただ残っているだけでは足りない」
「はい」
「ログ、通知、アーカイブ、承認。全部同じですね」
山崎は静かに言った。
「使える証跡として設計する必要があります」
三枝は、深く頷いた。
午後十時。
望月が、対策本部に短いメッセージを送った。
本日から、終了管理を全社統制として開始します。始めたものを終える。渡した権限を戻す。作った接続を閉じる。残す記録を守る。承認者を現在の責任者に戻す。これは、攻撃を受けたから行う一時対応ではなく、今後の会社運営そのものです。
三枝は、そのメッセージを読んだ。
会社運営そのもの。
サイバーセキュリティは、会社運営そのものになりつつある。
それは大げさではなかった。
人が入る。人が辞める。契約する。契約が終わる。システムを入れる。システムを捨てる。AIを試す。実証を終える。地図を作る。地図を更新する。通知を集める。アーカイブする。承認する。
その一つ一つが、セキュリティイベントだった。
三枝は、未了事項台帳に新しい大分類を作った。
終了管理
その下に、これまでの項目を移動した。
退職者アカウント。契約終了済み外部アカウント。AI実証終了。災害地図支援終了。導入支援終了。旧通知チャンネル。旧承認ワークフロー。旧MFA通知先。旧メールボックス。旧APIトークン。
一覧にすると、圧倒された。
だが、見えている。
見えているものは、閉じられる。
午前零時。
三枝は、時系列表の最後に入力した。
00:00 ComplyVaultエクスポートにおけるexternal-audit-temp要求、compliance-reviewer-02 API承認、legacy_review_workflow、MFA不要設定を確認。契約終了済み外部アカウントと旧承認APIにより、会社意思決定を伴わない承認が成立した可能性を整理。終了管理および承認経路棚卸しを全社統制として開始。
保存。
画面右下。
保存しました。
第三会議室は、静かだった。
だが、その静けさは、もう無防備ではなかった。
通知の巣は保全された。アーカイブの鏡は内側を向いた。承認者のいない承認は、名前を得た。終了管理は、会社の新しい柱になった。
三枝は、ノートPCを閉じる前に、自分のメモへ一行を追加した。
終わったものほど、確認する。
保存。
窓の外では、夜勤のトラックが一台、静かに出ていった。
荷物にはラベルが貼られている。ラベルには、配送先と時刻と確認者がある。
そして、その確認者は、今も会社にいる人間だった。
コメント