2社の事例から学ぶ、組織の情報を守るためのIT機器処分の最善策とは?
ちょっとした手間をかけることでIT機器の処分フェーズにおける情報漏えいリスクは抑えられる。具体的にはどういった対応をとれば良いのだろうか。2社の事例を交えて説明する。
当連載第1回、第2回では、神奈川県庁でのHDD不正転売による情報漏えい事件を振り返りながらIT機器処分の課題点や対応ポイントを解説しました。IT機器処分にまつわる事故は過去も現在も発生していますが、一方で、IT機器処分時において適切な対応を行っている企業や自治体もあります。
第3回となる本稿では、パシフィックネットの顧客のベストプラクティスや成功事例を紹介しながら、IT機器の適正処分を考えていきたいと思います。
(1)金融機関におけるベストプラクティス
パシフィックネットでは、オンサイト(現地)でのデータ消去作業の依頼を受けることもあります。その際は、データ消去の形式(上書き消去、磁気消去、物理破壊)については顧客に指定いただいていますが、作業手順やプロセスに関しては当社に任せていただくことがほとんどです。
しかし、ある金融機関からはデータ消去の作業手順について細かく指示があり、50にも上る項目をチェックシート形式で提示されました。「資産管理表と機器本体のシリアルナンバーとの突合」や「内蔵されているHDDの本数確認」「破壊の手順」といったデータ消去に必要な作業内容だけでなく、「機器の電源を入れる」「データ作業の完了後に掃除をする」といった作業まで細かく指定されていました。
また「作業は必ず2人体制で行うこと」「1人は消去作業を、もう1人はチェック係を担当すること」といったように、漏れやミスが起きないような体制を組むよう指示がありました。作業完了後には、監督者である顧客にチェックリストを提出し、その場で作業が完了したことを確認する念の入れようです。
もちろん委託先である当社でも、こうした手順書の作成やチェック体制は構築していますが、業者任せにせず顧客自身でデータの漏えい防止を行っている良い取り組みだと感じました。またIT機器の導入時には細やかな要件定義書を作成すると思いますが、処分時も同様に要件定義をしっかり行っていることも高く評価できます。
処分のポイント
1.処分の作業手順を明確にするなど要件定義を行い、作業ミスと作業漏れを防止する
2.作業はダブルチェックを行い、委託元がその内容を確認する。
(2)メーカーのベストプラクティス
次は、運送時におけるIT機器の紛失の抑制と委託先の業務執行状況の確認を効率的に行っている、ある自動車メーカーの事例を紹介します。
このメーカーからの依頼では、処分するIT機器の運送時に通常の運搬カーゴではなくIT機器を容易に取り出せないよう鍵付きのセキュリティカーゴ(網状の運搬カーゴ)での回収を指定されました(図1)。回収先で鍵を掛けシール(封印)することで、万が一の運搬時の紛失や盗難リスクを軽減できるため、そうした指示がありました。
IT機器の処分フェーズにおいて、運送時の紛失リスクはリスクアセスメントから抜け落ちがちです。データが消去されていない機器を宅配便などで処分の委託先に送付する企業もありますが、運送時の盗難や集荷センターでの荷物の積み替時の紛失リスクを考えると、運送時のIT機器の保全処置にもう少し配慮すべきだと感じます。
またこのメーカー場合は、データ消去の作業内容の提出だけでなく、委託先業者である当社の作業において抜き取り検査を実施し、作業現場で監査を行いました。監査の前には当社と協議して、作業期間を定めてラインを設定し、作業に遅延が起こらないようにスケジュール管理も徹底していました。
抜き取り検査による監査は、内部統制監査のサンプルと同様ランダムで25件の作業を対象に実施しました。PCであれば通電してデータが消去されたことを確認し、機器から抜き取った後のHDDについては別の機器に接続して消去の確認をメーカー側で実施しました。
神奈川県の事件を受け、機器の処分について、総務省が自治体に破壊処分や立ち合いを求める通達を出したと報道されましたが、機器の物量によっては立ち合いの時間も膨大になる可能性もあり、それだけコストもかかります。
このメーカーの場合は最小限のコストで合理的に監査を実施し、情報漏えいリスクも低減できた良い事例だと思い紹介した次第です。
処分のポイント
1.運送時の盗難や紛失のリスクを考え、運送を委託先業者に依頼
2.合理的な監査により、コストの抑制と作業の完全性を確保
適切なデータ抹消とは?
2014年に米国国立標準技術研究所(NIST)が発行したガイドライン「SP800-88Rev.1」では、HDDだけでなくSSDやメディアなど記憶媒体ごとのサニタイズ(データ抹消)の方法や記憶情報の重要度に応じた消去レベルが記載されているので、そちらの一部を紹介します(図2)。
NISTでは、以下の3つのポイントを勘案して媒体のサニタイズ(データ抹消)の方法を決定することを推奨しています。また、それぞれの作業に証跡が必要で、作業を実施したことを証明するドキュメントが求められます。
1.データの格付け
- 低度:情報漏えいの影響が限定的なレベル
- 中度:情報漏えいの影響が重大な悪影響を及ぼすレベル
- 高度:情報が漏えいした場合、危機的、致命的な悪影響を及ぼすレベル
2.抹消のカテゴリー
- Clearレベル:一般的に入手できる復元ツールを使用しても復元不能なレベル
- Purgeレベル:研究所レベルの復元ツールを使用しても復元不能なレベル
- Destroy:物理的な再組み立て(物理破壊)などにも耐えられること
3.機器の今後の利用状況
- 記憶媒体や機器の再利用を行うか否か
- 記憶媒体や機器が管理下に置かれるかどうか
抹消カテゴリーとは
「Clearレベル」とは、一般的な上書き消去を指します。3回上書きなど複数回の上書きもありますが、最近の研究では1回の上書きでも一般的な復元ツールでは復元できないとされています。データの漏えいを確実に防止するためには、フォーマットや初期化だけではなく、最低限上書き消去は必要だといえます。
「Purgeレベル」とは、ディスクの不良セクタの代替処理による再割り当て済みセクタや、HPA(Host Protected Area:秘密領域、保護領域)など、OSが認識できない領域も含めて消去する「Secure Erase」と暗号化の消去法である「Cryptographic Erase」を行い、研究所レベルの復元にも耐え得る上書き消去を指すことが多いです。HDDやFDDなどの磁気メディアに対しては、磁気破壊(強力な磁気エネルギーをHDDに照射することにより磁気データを抹消)もPurgeレベルとして扱われますが、磁気メディア以外の媒体に関しては意味を成しません。
Destroyは、物理的な破壊を指します。HDDに対しては、数か所の穴を空ける穿孔(せんこう)破壊が一般的ですが、記憶領域のプラッターに貫通しないような硬いディスクもあり得るので、穿孔とベント(折り曲げ)の組み合わせがトレンドになりつつあります(図3)。
またSSDに対しては、チップに記憶領域があるので、穿孔破壊だとチップ部分が破壊できない可能性があります。破砕や細かな粒度にシュレッダーをかけるなどの対策が必要です。
物理破壊をすると多くの機器は再利用不可能な状態になりますが、断片に情報が残存する可能性も考えられるため、上書き消去や磁気消去と組み合わせて、物理破壊を行う企業もあります。しかしそこまでの作業を依頼する顧客は、金融機関などを除いてごくわずかです。
コストとセキュリティはトレードオフ
このように上書き消去を実施した上で破壊するのが、よりセキュアな処理だといえます。しかし、なぜ企業や官公庁の多くはそこまでの処理をしないのかというと、そこにコストの問題があるからです。作業自体にかかるコストや工数、時間の問題と、記憶媒体を再利用可能な状態にした方が売却益が得られるという収益の問題の2点があります。
また、IT機器の処分にはできるだけにコストをかけたくないという企業側のジレンマもあるのだと思います。セキュリティとコストの絶妙なバランスを見つけ出して処分しなければならないところに情シス担当者が感じる難しさがあると思います。
セキュリティとコストとのトレードオフの関係は、ユーザー企業だけでなくわれわれのような委託業者も直面している問題であり、神奈川県庁の事件の真の原因はそこにあるのだと感じています。最終回となる次回は、その点を解説するとともに今後のIT機器の処分方法の在り方をまとめたいと思います。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
HDDを破壊せよ、データ消去のためのテクニカルセンター訪問ルポ
情報漏えい防止のためとはいえ、自社で記録媒体のデータ消去は正直大変だ。データ消去を行うセンターに潜入し、HDD破壊の現場を徹底レポート。
実際にやってみた、ソフトウェアによる「上書きデータ消去」実証レポート
データ消去の中でも、ソフトウェアによる上書きデータ消去が一般的だ。具体的には何をするのか。女性編集部員の個人所有PCのデータを消去してみた。
データ消去を徹底比較、SSDのデータ消去には要注意
「HDDとSSDってデータ消去の違いがあるの?」や「リモートワイプって安全?」など、具体的な疑問に答える。データ消去の基本を徹底解説する。