第24話　SOCから来た無口なメール

静岡市葵区、青葉通りから少し入った山崎行政書士事務所では、その朝、陽翔が一通のメールを見つめて固まっていた。

「陽翔くん、どうしたの？」

　所長の山崎香澄が、湯呑みを片手に尋ねる。

「無口なメールです」

「無口？」

「本文が二行しかありません」

　陽翔は画面を読み上げた。

「Please find attached monthly SOC report. Regards, SOC Team.」

　事務所が静かになった。

　悠真が書類をそろえながら言った。

「簡潔ですね」

「簡潔すぎます。しかも添付ファイルが四十八ページあります」

　さくらが画面をのぞき込む。

「四十八ページ……」

「本文二行、添付四十八ページ。これはもう、無口な人が巨大な段ボールを無言で置いていったようなものです」

　奏汰がヘッドホンを少しずらした。

「SOCレポートでは、よくあります」

「よくあるんですか？」

「あります。無口だけど情報量は多い」

　蓮斗は、すでにノートパソコンを開いていた。　その表情はいつも通り無口だったが、SOCから来た無口なメールとは違って、こちらには確かな意志があった。

　かなえは契約書ファイルを取り出し、ちぎりは休憩スペースでコーヒーを淹れ始めていた。

「今日のお客様は、静岡倉庫ロジテックさんですね」

　香澄が相談票を確認する。

「はい」

　さくらが読み上げる。

「SOC委託先から届く月次レポートが専門用語だらけで、社内説明ができない。委託契約上、報告義務や再委託、証跡提出の範囲も見直したい、とのことです」

　陽翔は真剣な顔で言った。

「つまり、無口なメールを、しゃべれるメールにする仕事ですね」

　悠真が少しだけ考えてから言った。

「比喩としては、悪くありません」

「朝から合格判定！」

　陽翔が胸を張った。

　午前十時、入口の鈴が、からん、と鳴った。

「お世話になります……静岡倉庫ロジテックの神谷です……」

　入ってきた神谷は、三十代後半の情報システム担当者だった。グレーのジャケットに、少しくたびれたトートバッグ。手には印刷された分厚い資料を抱えている。

　資料の角には、付箋がびっしり貼られていた。

　ただし、その付箋の多くには「？」と書かれていた。

「どうぞ、おかけください」

　香澄が案内すると、神谷は椅子に座るなり、資料をテーブルに置いた。

　どさり。

「山崎先生、これは人類への挑戦状ですか」

　応接室が一瞬、しんとなった。

　陽翔が小声で言う。

「名言、来ました」

　神谷は真剣だった。

「SOC委託先から毎月レポートが来るんです。最初は、セキュリティを見守ってくれるありがたい報告だと思っていました。でも、開いてみたら、SIEM、EDR、IOC、TTP、MITRE、MTTD、MTTR、false positive、lateral movement、privilege escalation、containment、triage……」

　神谷はそこで息を吸った。

「倉庫管理システムより、私の心が先に停止しそうです」

　ちぎりが、そっとコーヒーを置いた。

「まず、温かいものをどうぞ」

「ありがとうございます……」

　神谷はコーヒーを一口飲み、少しだけ人間に戻った顔になった。

　ちぎりはにこっと笑った。

「難しい報告書は、いきなり読もうとすると濃すぎるコーヒーみたいになります。少し薄めて、飲める形にしましょう」

　陽翔がすかさずメモを取る。

「ちぎりさん、本日の喫茶系名言です」

「喫茶系？」

「山崎事務所の新ジャンルです」

　悠真が言った。

「分類しなくていい」

　蓮斗はSOCレポートを開いた。

　表紙には、英語と日本語が混ざったタイトルがあった。

　Monthly Security Operations Report　対象期間：2026年4月　Detection Summary / Alert Statistics / Incident Review / Recommendations

　その下には、小さな文字で細かい表が並んでいた。

　検知件数。　重大度。　対応状況。　チケット番号。　送信元IP。　不審ログイン。　マルウェア疑い。　EDRアラート。　ブロック済み通信。　確認済み誤検知。

　神谷は、げんなりした顔で言った。

「社内会議で説明しようとしたんですが、部長から“結局、危ないのか安全なのか”と聞かれました。私は“たぶん大丈夫です”と言いました」

　応接室の空気が止まった。

　悠真が静かに言う。

「“たぶん大丈夫”は、報告として危険です」

「はい……自分でも言った瞬間に危ないと思いました」

　蓮斗はレポートを数ページめくった。

「まず、技術面を翻訳します」

「翻訳？」

　神谷が顔を上げる。

「英語を日本語にするだけではありません。専門用語を、社内で判断できる言葉にします」

　蓮斗はホワイトボードに書いた。

　SOCレポートの読み方　一、何を見張ったか。　二、何を検知したか。　三、本当に危険だったか。　四、誰が対応したか。　五、次に何をするか。

　神谷は、ホワイトボードを見て目を丸くした。

「五つになるんですか」

「なります」

　蓮斗はうなずいた。

「たとえば、この“EDR High Severity Alert”は、端末側で危険度の高い挙動が検知されたという意味です。ただ、詳細を見ると、業務用ツールのアップデート処理が原因で、SOC側で誤検知と判断されています」

「つまり？」

「危険な事件ではありません。ただし、同じような検知が繰り返されるなら、許可リストや運用ルールを調整する余地があります」

　陽翔が言った。

「“狼が来た”ではなく、“犬が大きめに吠えた”くらいですか？」

　蓮斗は少し考えた。

「かなり雑ですが、今回は近いです」

「近い判定！」

　神谷は笑った。

「分かります。犬が吠えたけど、泥棒ではなかった。ただ、毎日吠えるなら理由を見よう、ということですね」

「そうです」

　次に、蓮斗は別のページを開いた。

「こちらは、不審なサインイン試行です。海外IPから複数回のログイン失敗がありました。ただ、多要素認証でブロックされ、成功したログインはありません」

　神谷がメモを取る。

「社内向けには、どう言えばいいですか？」

　ちぎりが、すでに説明資料の下書きを作っていた。

「こうでしょうか」

　彼女は画面を見せた。

　今月の確認結果　外部から不審なログイン試行がありましたが、認証の仕組みにより防止されました。　現在、情報が持ち出された事実は確認されていません。　今後も多要素認証を継続し、退職者アカウントや不要アカウントの棚卸しを行います。

　神谷は、画面を見て目を輝かせた。

「これです！　これなら部長に説明できます！」

　陽翔が小声で言う。

「無口なメールが、ついに人間の言葉に」

　香澄は微笑んだ。

「報告は、届いたことがゴールではありません。届いた人が次に動ける言葉になることが大切ですね」

　その言葉に、ちぎりが資料の端に小さく書き込んだ。

　伝わる言葉にする。

　かなえは、ここで契約書を開いた。

「技術面と並行して、委託契約も確認しましょう。SOC委託先が何を見張り、何を報告し、どこまで対応する義務があるのか。ここが曖昧だと、レポートが来ても社内で使いにくくなります」

　神谷はうなずいた。

「契約書、あります。ただ、最初に導入したときは“セキュリティ監視一式”でお願いしていて……」

　かなえの眼鏡が、一ミリ下がった。

「“一式”ですね」

　陽翔が小さくつぶやく。

「出ました。便利すぎる弁当箱」

　かなえは契約書を確認した。

「ここに、“SOCサービスは、対象システムに関するセキュリティ監視、アラート分析、月次レポート提出を行う”とあります。ただ、対象システムの範囲、重大インシデント時の即時連絡、レポートの粒度、証跡提出、再委託の扱いが十分に具体化されていません」

　神谷は頭を抱えた。

「やっぱり……」

「責める話ではありません」

　香澄が言った。

「導入時には、まず監視を始めることが優先だったのだと思います。これから、運用に合わせて契約と報告を整えましょう」

　かなえはホワイトボードに書いた。

　SOC委託契約の確認事項　・監視対象　・検知対象　・重大度の定義　・一次対応の範囲　・即時連絡の条件　・月次報告の内容　・証跡提出の範囲　・再委託の有無　・秘密保持　・ログ保管期間

「まず、監視対象です」

　かなえは続けた。

「倉庫管理システム、社内ネットワーク、メール、クラウドストレージ、認証基盤。どこまでSOCが見ているのかを契約上も運用上も一致させる必要があります」

　神谷は資料をめくった。

「実は、クラウドストレージは後から追加したので、SOCの監視に入っているか自信がありません」

　蓮斗が言った。

「そこは重要です。対象外なら、レポートに出ないのは当然です。見張っていない場所で何か起きても、SOCは気づけません」

　陽翔が真顔で言う。

「警備員さんに、倉庫Aだけお願いしていたのに、倉庫Bも見てくれていると思い込んでいた状態ですね」

「はい」

　蓮斗がうなずいた。

「今回はかなり正確です」

　陽翔は椅子に座り直した。

「今日、調子いいです」

　かなえは次に、再委託の条項を指した。

「SOCサービスでは、分析基盤や監視ツール、海外のセキュリティベンダーを利用している場合があります。契約上、再委託があるのか、ある場合は誰にどこまで情報が渡るのか、秘密保持や安全管理の義務がどうつながっているのかを確認しましょう」

　神谷が眉を寄せた。

「再委託って、SOC委託先がさらに別の会社に一部を任せることですよね」

「はい」

　かなえが言った。

「それ自体が悪いわけではありません。ただ、セキュリティログやアラート情報は機密性が高い場合があります。誰が扱うのかを把握しておくことが大切です」

　ちぎりが社内向け説明資料に、分かりやすい図を作った。

　自社　↓　SOC委託先　↓　分析ツール提供会社・外部専門会社

　その横に、こう書いた。

　外部に任せる場合も、情報の扱いと責任の流れを確認します。

　神谷は感心したように言った。

「ちぎりさん、図がやさしいです」

「コーヒーと同じで、濃い話は少しずつ淹れます」

　陽翔がまたメモを取った。

「喫茶系名言、二杯目」

「杯で数えるんですか？」

　神谷が笑った。

　次に、証跡提出の話になった。

　神谷はレポートの後ろのページを開いた。

「取引先から、“SOCによる監視の証跡を提出できますか”と聞かれたんです。でも、何を出せばいいのか分からなくて。レポート全部を出していいのか、ログまで出すべきなのか、逆に出してはいけない情報があるのか」

　悠真が静かに言った。

「証跡提出は、慎重に扱うべきです」

　蓮斗もうなずいた。

「ログの中には、IPアドレス、アカウント名、システム構成、検知ルール、脆弱な箇所のヒントが含まれることがあります。全部をそのまま出すと、かえってリスクになります」

　かなえが契約書を見ながら言った。

「取引先への提出範囲、秘密情報の扱い、マスキング、提出先、再利用禁止、保管期間を決めましょう。SOC委託先のレポートにも、第三者提供を制限する条項があるか確認が必要です」

　神谷は、深くうなずいた。

「証跡って、出せばいいというものではないんですね」

　ちぎりが資料に新しいスライドを作った。

　証跡提出の考え方　出す目的：取引先に管理状況を説明するため。　出す内容：必要最小限の概要、監視対象、対応状況、改善予定。　出さない内容：詳細な検知ルール、機密ログ、個人情報、攻撃者に有利な情報。　出す前に：マスキング、契約確認、承認。

　陽翔が感心した。

「ちぎりさんの資料、部長が読んでも怒らなさそうです」

「怒られない資料を目指しています」

「素晴らしい目標です」

　ふみかが言った。

「証跡提出にも、個人情報や機密情報の観点がありますね。アカウント名や端末名が個人に結びつくこともありますし」

　香澄がうなずいた。

「“伝える”ことと“さらけ出す”ことは違います。必要な相手に、必要な範囲を、相手が判断できる形で伝える。それが大切です」

　午後になると、会議室にはSOC用語の翻訳表ができあがっていた。

　SIEM：ログを集めて異常を見つける仕組み。　EDR：端末の動きを見張る仕組み。　IOC：不審な通信先やファイルなど、攻撃の手がかり。　TTP：攻撃者の手口や行動パターン。　MTTD：異常に気づくまでの時間。　MTTR：復旧や対応にかかった時間。　False Positive：誤検知。　Triage：優先度を判断する初期確認。　Containment：被害が広がらないよう封じ込めること。　Escalation：より高い対応担当へ引き上げること。

　陽翔はホワイトボードを見て言った。

「専門用語の動物園ですね」

「動物園ではありません」

　蓮斗が言った。

「でも、名前が分かると怖さが減ります」

　みおが資料を見ながら言った。

「知らない鳴き声が聞こえると怖いけど、犬なのか鳥なのか分かると少し安心する、みたいな」

　神谷は笑った。

「本当にそうです。SOCレポートの中で、全部が謎の鳴き声でした」

　しょうこが三行にまとめた。

「一、SOCレポートは、専門用語を社内の判断に使える言葉へ翻訳する。　二、委託契約では、監視対象、報告範囲、再委託、証跡提出を明確にする。　三、報告は、伝わって初めて統制になる。」

　神谷は、その三行を見て、しばらく黙っていた。

「これ、今日一番欲しかった言葉です」

　香澄は微笑んだ。

「SOC統制という言葉は堅いですが、結局は、見張る、知らせる、動く、記録する、説明する、という流れです」

　蓮斗が続けた。

「監視しているだけでは足りません。アラートが出たとき、誰が見るか。誰が判断するか。誰に連絡するか。どこまで証跡を残すか。そこまでが統制です」

　かなえが言った。

「契約も同じです。“月次レポートを提出する”だけでは足りません。どのような内容を、どの粒度で、誰に、いつ、どの形式で報告するか。重大な場合は月次を待たずに連絡するか。こうした実務に落とし込みましょう」

　神谷は深く息を吐いた。

「SOC委託先に、何をお願いすればいいのか見えてきました。今までは、レポートを受け取って、分からなくて、閉じていました」

　陽翔が言った。

「無口なメールを、そっと未読の墓場へ」

「まさに」

　神谷は苦笑した。

「でも、これからは社内に伝えます。分かる言葉にして」

　ちぎりは、社内向け説明資料の表紙を見せた。

　今月のSOCレポート概要　専門用語を、社内で動ける言葉へ

　その下には、小さくこう書かれていた。

　異常を見つけるため。　慌てず対応するため。　取引先へ説明するため。　社員を守るため。

　神谷は、その表紙を見て目を細めた。

「社員を守るため……」

「はい」

　ちぎりは言った。

「SOCの報告は、誰かを責めるためではなく、会社が落ち着いて動けるようにするための材料です」

　応接室が少し静かになった。

　青葉通りの外では、午後の光が木々を揺らしていた。

　神谷は小さくうなずいた。

「私、SOCレポートを見るたびに、自分が分からないことを責められているような気がしていました。でも、本当は、会社を守るために来ていたんですね。ただ、無口すぎただけで」

　香澄がやさしく笑った。

「無口な報告も、少し手伝えば話せるようになります」

　夕方近く、今後の対応がまとまった。

　SOC委託先に、監視対象の一覧を確認する。　クラウドストレージや認証基盤が監視範囲に含まれるか確認する。　重大インシデント時の即時連絡条件を契約または運用書に明記する。　月次レポートには、専門用語の説明、重要アラートの要約、社内対応事項、改善提案を含めてもらう。　再委託の有無と、再委託先が扱う情報を確認する。　証跡提出時のマスキング、承認、提出範囲をルール化する。　社内向けには、月次の要約資料を作成し、経営層、情シス、現場向けに分けて説明する。　SOCレポートを受け取った後の確認会議を定例化する。

　かなえは契約修正メモをまとめ、蓮斗は技術翻訳表を整え、ちぎりは社内説明資料を仕上げた。

　神谷は、来たときとは違う顔をしていた。

　疲れてはいる。　だが、目の下の影の中に少し光が戻っていた。

「今日来てよかったです。SOCレポートが、挑戦状から報告書に戻りました」

　陽翔が言った。

「人類との和解ですね」

　悠真が静かに言う。

「正確には、社内説明可能な状態への改善です」

「悠真さんの表現は、いつも契約書向きですね」

「それが仕事です」

　神谷は笑った。

「でも、私にはどちらも必要です。陽翔さんの言葉で社内の空気をやわらげて、悠真さんの言葉で稟議に書きます」

　香澄はうなずいた。

「それが山崎事務所の役割かもしれませんね」

　神谷が帰ったあと、事務所にはコーヒーの香りと、少しだけ専門用語の余韻が残った。

　ちぎりはカップを片づけながら言った。

「SOCレポートって、コーヒー豆みたいですね」

「どういう意味ですか？」

　さくらが聞く。

「そのままだと固くて飲めません。でも、挽いて、淹れて、ちょうどいい濃さにすれば、ちゃんと役に立つ」

　陽翔が立ち上がった。

「本日の最終名言です！」

　奏汰がヘッドホン越しに言った。

「専門用語も、挽く必要があります」

　蓮斗がうなずいた。

「ただし、意味を削りすぎてはいけません」

　かなえも言った。

「契約条項も同じです。分かりやすくすることと、曖昧にすることは違います」

　みおが静かに言った。

「伝わる言葉って、薄めることじゃなくて、相手が飲める温度にすることなんですね」

　応接室が、ふっと温かくなった。

　陽翔はメモを取りながら言った。

「今日は喫茶系名言が豊作です」

　悠真が言った。

「湯呑みには印字しません」

「今日はコーヒーカップに」

「しません」

　その日の終業前、悠真は正式なファイルを保存した。

「SOC委託契約_報告義務整理_初版.docx」

　蓮斗は別ファイルを保存した。

「SOCレポート用語整理_初版.xlsx」

　ちぎりは社内向け説明資料を保存した。

「SOC月次報告_社内説明資料_初版.pptx」

　陽翔が横からのぞいた。

「正式ですね。無口なメール感がありません」

「必要ありません」

　悠真が言った。

「では、思い出フォルダ用に」

「作る前から止めます」

　しかし、三分後。

　共有フォルダに新しいファイルができていた。

「SOCから来た無口なメール_人類への挑戦状を伝わる言葉に版.xlsx」

　悠真は画面を見た。

　削除キーに指を置いた。

　その瞬間、ちぎりが言った。

「今日の空気は、少し伝わりますね」

　蓮斗も静かに言った。

「技術用語を翻訳する教訓としては、残してもよいかもしれません」

　かなえがうなずいた。

「契約と報告の両方が入っていますし」

　香澄は笑った。

「思い出フォルダなら、残しましょう」

　悠真は静かにため息をついた。

「思い出フォルダなら」

　翌朝、神谷からメールが届いた。

「昨日はありがとうございました。社内会議で、SOCレポートを“専門用語の挑戦状”ではなく“会社を守る見回り報告”として説明しました。部長から初めて“分かった”と言われました。次回からSOC委託先にも、要約と証跡提出範囲を確認します」

　陽翔が読み上げると、事務所に明るい笑いが広がった。

　蓮斗は静かに言った。

「良い進捗です」

　ちぎりはコーヒーを淹れながら微笑んだ。

「無口なメールも、少し話せるようになりましたね」

　香澄は青葉通りの朝を見た。

　セキュリティの言葉は、ときどき固い。　SOC。　SIEM。　EDR。　IOC。　TTP。　証跡。　再委託。　統制。

　けれど、その向こうには、人がいる。

　レポートを受け取って困る担当者。　判断を求められる部長。　現場で働く社員。　説明を待つ取引先。　見えない攻撃から会社を守ろうとする人たち。

　だから、言葉は届かなければならない。

　難しいものを雑にするのではなく、意味を保ったまま、相手が動ける形にする。　それが、伝わる言葉に変えるということなのだ。

　青葉通りの契約書は、今日も笑う。　SOCから来た無口なメールが、社内を守る小さな会話に変わっていくのを見守りながら。