こんにちは、病院情シスのKと申します。
先日、無事に最終出社日を超えることがありました。
最終日までしっかり香ばしい案件発生で、大幅に時間オーバーしても挨拶しきれませんでした…。
きっといつか忘れてしまう前に、備忘録的に文字起こししておきます。

1. 消えた管理者投稿

Teams上の管理者投稿が何者かに削除される事案が発生。
管理者（院長とか副院長とか病院の偉い人）から連絡入り、昨日投稿したはずの投稿が消失しており、誰が削除したのか調査せよとの指示が入ります。
確かに昨晩、自宅でも確認できたものがTeams内投稿から消えています。

消された内容は、情シス課長職の求人票を病院HPの載せる依頼でした。

そんな話ある！？と思いながら、間髪入れずに本部、サービスベンダーに確認したところ以下の仕様が判明。

・Teams上の投稿/ファイル削除のログサーバーは公開されておらず、そもそもE3/E5等のサービスバージョンの問題ではなく、どのアカウントがいつ特定のファイル・投稿を削除したのかは追跡できない状況とのこと。

・削除が行われたチャネルの所有者であれば、メンバー権限の投稿の削除が可能。（実際過去投稿を試して確認できました。）

・拠点管理者はチャネルに限らず削除権限あり。

上記2点から、調査を進めます。

2.実行方法/経路考察

削除方法は至ってシンプルで、消したい投稿の･･･印から削除できます。

チャンネル設定オプションで色々いじれるんですが、所有者権限があると簡単に解除されるので、”所有者がメンバーの投稿を削除できないようにしたい”場合は、Teamsの大元Admin（拠点管理者の自分では無理）で設定変更してもらわないとダメで、この操作は本部判断になるので今できる選択肢から落とします。

削除する為には上記の手順を踏む必要があり、「誤操作」によるものである可能性はかなり低いと考えます。明らかに意図がなければ行えないもので、それ以外の理由で消えているとするとバグを疑いますが、そういった報告もなく、ログも追えないので一旦保留にします。

とすると次に考えられるのは、所有者アカウント本人または所有者アカウントの入った端末を誰がか操作した可能性を疑いました。SKYSEAの管理者権限所有者は私と依頼管理者本人なので、SKYの遠隔操作を介した操作の線も薄そうです。

一旦要点を整理します。

・誤操作ではなく意図的な操作によるもの
・チャンネル所有者アカウント保持者本人の可能性
・所有者アカウントの入った端末を第3者が開けて実行
・拠点管理者（残留情シス2名）の可能性

3.最終報告と失われた挨拶タイム

色々と情報収集・状況整理をした結果、犯人逮捕に至りませんでした…。
残留情シスの2名が怪しい、までが限界で、情シスの試験にあった証跡の重要性を強く感じた事案でした。
もう本当に不毛な時間以外の何物でもない。。

そして無常にも定時を回るチャイムが鳴り、仲の良かった病院職員への挨拶周りが殆どできずに終わってしまいました…トホホ。

企業経営者の皆様に強く言いたいのは、顧客情報を管理する人はちゃんとまともな人置いてほしいです。間接部門は営業で結果をうまくだせなかった社員や、採用部門から捨てられた社員の巣窟になりがちですが、本当にリスク管理をちゃんとやってほしいです。

情報を守る立場としては金庫の鍵を盗人に渡してることに等しいので、自分を守るためにも報告のエビデンスを残しつつ、有事の際にはしっかり経営責任に回るように、準備を進めます。（そこに私はもう居ませんが…）

最終日までしっかり学びを提供する病院情シスな1日になりました。
来月から新天地（情シスです）での実況レポートを掲載予定です。
最後までお読み頂き、ありがとうございました。