時刻は夕方の17:40を回ったところだ。

キャプテンと青海は今回の顧客(以降、顧客Fと呼称)に依頼されていた、ハードディスクの解析結果の中間報告のために虎ノ門付近まで来ていた。17:00を回ればすでに薄暗くなる季節の中、ビル風ですらすでに体温を奪う温度になってきている。都会には人工的に植えられている木々は多く有るが、多くが紅葉というよりは枯れ始めている風貌だ。
石畳に散らばり始めている枯葉がカサカサと音を立てる中、青海はどうにも前途洋々といった気分にはなることが出来なかった。自らが解析の結果見つけ出した Winny の痕跡だが、このハードディスクの利用者については何も教えられていないためだ。解析の目的も不明瞭なまま、情報流出の可能性がちらつきはじめるや否や「別途ご相談です」とはあまり納得がいかない。最初から明確に目的を教えてもらえなければ、相手組織の内部で解析の結果をどのように使われるのかもわからない。

「あまり深く考えるな」

キャプテンは青海のほうに視線は振らず、眉間にシワを寄せている青海を現実に引き戻すようなトーンで話しかけた。相手の状況がわからないが、これから教えてくれるというのだから少しずつ聞き出していけばいいのだ。青海は、キャプテンの言葉から少し楽観的とも諦めともつかない意識へ切り替える必要性があるのだと感じた。
顧客Fのビルに到着するや否や、挨拶も無しに広い応接室へ通された。応接室までの廊下の照明は、節電対策だろうか、やけに薄暗く通される先に希望があるとは到底思えない気分にさせられる。相手は解析を依頼してきたシステム担当者一人、こちらはキャプテンと青海の二人だ。キャプテンは空気を読んでか、前置きもなく解析の中間報告を始めた。

「 最終報告がどのような形になっていれば良いのかもわからないのに、中間報告も何もないわ」

青海はキャプテンが粛々と報告をするのを傍らに聞きながら、皮肉めいた思惑を巡らせていた。 キャプテンと青海が報告している解析結果は、大きくわけて４つである。

• １つ目は、外部記憶媒体(恐らくUSBメモリ)の接続痕跡。従来、PCに外部記憶媒体を接続すると、PCのOSが外部記憶媒体にあるパーティションを、接続したPCのハードディスクにマウントする動作を行う。マウントされた場合、外部記憶媒体の製造会社名や製品名、シリアルナンバー等がPCのレジストリに残留することが多々有る。今回はその全てを解析の結果発見した。
• ２つ目に、Web経由でのデータアップロードとダウンロード。これは非常に簡潔で、ブラウザの履歴からあるWebストレージへのアクセス履歴から判明したものだ。やりとりの数から、日常的に使用していたものと推測される。
• ３つ目が Winny の使用痕跡。解析では Winny の実行ファイルであるwinny.exeを検索し、発見している。Winnyを使って共有されるデータに特徴的なファイル名も確認しているので、Winnyの使用確率は高いだろう。しかし幸いにして、Winny 利用者の多くが感染している「Antinny」の感染事実はアンチウイルスのログにもなく、感染の際に改ざんされることの多い設定ファイルなどに変化も無かった。
• そして最後が、一時点での唐突なハードディスク内容全削除。ある一点の時間においてデータが全部削除され、以降解析にまわるまで一切の使用痕跡が無いことが解っている。もちろん削除時間を示すタイムスタンプが改ざんされていなければの話ではある。

キャプテンの報告が終わると、顧客Fの担当者からいくつか意図のよくわかりにくい質問を数回受けた。もはや目的不明だろうがなんだろうがかまわない、という気持ちになっていた青海は解析から判明していることを事務的に答えていた。一通りの質問が終わり、しばらく無意味に思える沈黙が広い会議室を支配する。空調設備の稼働する低い音だけが聞こえ、時折会議室前を足早に歩いていく足音が聞こえる。青海は椅子に座っている自分の体が重苦しく感じ、足を閉じて女性らしく座っていることが息苦しく感じ始めた。息苦しいのはこれ以上「事務的にまじめ」を取り繕うのが面倒だったからだろう。思わずため息を吐こうとしたその時、キャプテンが間隙を縫うように口を開く。青海が代弁して欲しかった言葉だ。

「Fさんの依頼のゴールはどこでしょう？我々も意図不明のまま解析を続けるわけにはいかない。何を探せばいいのかわからないのでは、双方に取って不幸だし、正直なところ我々はこれ以上解析を続けたくはないんですよ。」

青海は最初、顧客Fの担当者が裏で何か意図を隠しているものだと思っていた。しかし、キャプテンの声のトーンからは隠匿への拒否ではなく、むしろ交渉で用いるブラフのように聞こえた。青海はキャプテンが情報を引き出そうとしているのに気がついた。

「・・・・・・」

よく考えれば、隠そうとしているのであれば、徹底的に隠匿するための拒否反応が出てもいいはずである。しかし担当者の表情や今までの対応を振り変えると、どうやら「言えない」のではなくひょっとしたら「相手も解析の先が読めていない」のではないかと青海は推測し始めた。解析結果がどうであれ、その後どうやって対応すべきか選択肢を想定していないのではないだろうか。だからゴールを示せない。
青海はこの現場が初めてだが、キャプテンはすでにこの二年だけでも250件以上の緊急対応を行っている。情報流出の危機に瀕した組織がどのような対応をするのか、そしてその担当者はどのような心情で、何を上層部から指示されているのか、恐らくキャプテンはあたりを付けていたのだ。この担当者は顧客Fの組織において発生した、情報流出の疑いを白黒はっきりさせるよう言われている。だが同時に恐らく「よけいなことは言うな」とも指示されているのだろう。しかし恐らく、担当者にとって事態解決のために「よけいなこと」が何なのかは曖昧になってしまっている。それに、事態解決にむけた解析の糸口を示したラックのサイバー救急センターをお役御免にするわけにもいかない。キャプテンはこのポイントを読んだのだ。

その時である。ようやく担当者が経緯に関して口を開いた。

「実は・・・ラック様に解析を依頼した経緯は、当社のある社員が業務データを外部に持ち出している可能性があったからなのです」

ーやはり

青海は意識を覚醒させた。同時に初めて「内部犯行の疑い」をもつケースに、自分自身が当事者として関わり始めていることを実感し始める。

「業務情報の持ち出しを疑ったのは、ある日、一部の業務情報が削除されていたことが発端です。これに気づいたのは、持ち出しを疑っている社員ではなく、その同僚からの報告でした。業務遂行に必要なデータが削除されているが、何か理由があるのか？との連絡でした」

内情の経緯を語り始めた担当者の話が続く。

「私はその業務情報を頻繁に利用するその社員、仮にTと呼びますが、そのTにヒアリングしたのです。このデータが消えているが、何かしらないか、と。Tは知らないといいますが、最後にアクセスして操作を行っているのはログからもTだと判明しています。さらに整合性がとれない部分として、Tは消失したはずのデータを用いて自分の業務は完了させていました。そこで私は初めて、Tの業務情報持ち出しを疑い、機器のリプレースを名目にしてTの所属する部署の社員のPCを回収しました。解析を依頼したのはそのTのPCに入っていたハードディスクなのです。」

キャプテンが答える。

「そうでしたか。では可能であれば、持ち出しが疑われている社員の方にヒアリングさせてもらえませんか？何もいたずらにプレッシャーをかけるようなことはしません。調査の整合性をとるためです。お願いできませんか？」

「・・・・」

担当者がまたもや沈黙を始めた。青海は、この期に及んでまた迷うのかと思い、ついに我慢が出来ず意見しようとしたその時である。

「実は、そのTですが・・・二日前から失踪しています。」

青海が声高に述べようとした言葉は、その瞬間意味をなさなくなった。