公共機関におけるIT資産廃棄時のデータ消去手順刷新とデータセキュリティの強化

3月 12, 2020 ブログ

神奈川県では、廃棄を予定していた18台のハードディスクが紛失された事件を受け、IT資産の廃棄及びデータ消去の手順を刷新し、今後のデータ漏えい防止に備えています。この刷新により、データ消去の手段を物理破壊にのみ依存していたことに起因する問題を克服しています。

「ソフトウェアによるデータ消去」を義務化することで、データ保護における最先端の対策を導入

ストレージ機器の使用期間が終了した際に発生するデータ漏洩リスクなども含め、公共機関は常にデータ漏えいの標的となっています。実際に、データ漏洩事件の発生により、公共機関ではさらに強力なデータ保護ポリシーを定める必要性が生じています。

神奈川県では、不要になったストレージ機器のデータ保護の強化を推進しています。この強化により、IT機器のリース返却時、組織内外での再利用時、破壊時のいずれにおいても、まず第一に専用ソフトウェアによるデータ消去が必須となっています。

IT 資産の物理破壊が公共機関のデータ保護対策を脆弱にする3つの原因

ほとんどの公共機関は、利用が終了したデータストレージデバイス(PCやノートパソコンを含む)を物理的に破壊することで、権限のないユーザーがデータにアクセスできないようにしています。デバイスの種類と物理破壊のレベルによっては、この方法が有効なこともあります。しかし、実際には、物理破壊を実施する工程においてデータ漏洩が発生しうる潜在的なリスクがあり、それらが見知らぬ第三者によるデータ漏えい事件発生の原因になり得ます。

誤った安心感をもたらしてしまう効果のないデータ削除の方法

通常、組織は物理破壊のためにリユース・リサイクル事業者(ITAD)にIT資産を引き渡す前に、利用が終了したハードウェアからデータを削除しようとします。残念なことに、当社の調査によると、 全体の3割以上の組織が、初期化、無料ツールによる上書き、その他効果のないデータ削除方法など、不適切な手法を用いていることがわかっています。

このような不適切な削除が実行された場合、公共機関が気づかないうちに、データがデバイスに残存することがあります。また、これらのデータは、公共機関の安全な施設から一旦外部に持ち出されてしまうと、フォレンジックツールにより容易にデータが復元される可能性があります。

物理破壊の手作業工程による作業履歴の改ざんリスク

物理破壊サービスを提供する信頼のおける事業者が存在する一方で、その工程には脆弱性が存在することは確かです。物理破壊対象のユニットの正確なインベントリ情報の把握にはじまり、最終的には履歴を照合するまでのすべての工程を把握するための専用設備が必要となります。また、物理破壊サービス事業者は、ディスクやデバイスの輸送中の厳重な監視、24時間365日の安全な保管、すべてのストレージ機器の廃棄についての破壊証明を提供しなければなりません。

物理破壊の作業工程における課題

不完全な物理破壊によるデータ漏洩のリスク

ディスクを物理破壊する際、データが復元できないことを確認するために、適切な物理破壊の手法を ディスク種別ごとに採用 する必要があります。プラッターを備えたハードディスク向けの手法は、フラッシュベースのSSD(ソリッドステートドライブ)では、適切ではないことがあります。

この問題を解決するためには、組織はすべてのIT資産を正しく分類し、デバイスの種類ごとに適切な物理破壊手法を適用するか、より強固な手法(すべてのデバイスを2mm以下に細断するなど)に特化した装置を使用しなければなりません。細断サイズが2mmより大きい場合、SSD チップがそのまま残ってしまうためデータ漏洩リスクにつながり、SSDに対して磁気破壊を適用した場合にはSSDのディスク上のデータは全く影響を受けずデータが残存してしまいます。

公共機関におけるデータ保護の強化策: 施設内にてソフトウェアによるデータ消去を義務化

物理破壊を目的としていた18台のハードディスクの紛失に対して、断固として対応を実施した神奈川県の事例では、IT資産の廃棄手順を刷新することにより、この問題を解決しています。神奈川県は、「県情報を保存するために使用した 情報機器からの情報流出防止策(日本語、PDF)」において、使用済みのストレージ機器を保護するための重要な対策を定めています。

  1. すべての情報機器は、再利用もしくは破壊前に必ずソフトウェアでデータ消去する。IT資産を外部に搬出する前に、請負事業者ではなく、都道府県の県職員が、自らすべてのディスクとデバイスを施設内で専用ソフトウェアを用いてデータ消去しなければなりません。
    • 機密情報を含まないシステムの場合、ソフトウェアによるデータ消去の正常完了後にはディスクとIT機器を再利用することができます。リースされた資産については、県だけでなく、リース事業者側でも適切なデータ消去を実施します。
    • 機密情報を含む機器のディスクについては再利用することができません。専門の外部事業者が物理破壊する前に、まず承認されたソフトウェアで確実にデータ消去を実施する必要があります。
    • ソフトウェアによるデータ消去の唯一の例外は、サーバなどのストレージ機器で利用されるハードディスクで、機械的な障害、欠陥のあるディスク、またはその他の類似ケースにおいて、正常なソフトウェアによるデータ消去が実施できないディスクの場合、磁気破壊を実施する必要があります。しかし、磁気破壊では完全なデータ破壊が実施されたことを検証することが困難なため、これらのディスクについては磁気破壊後に確実に廃棄しなければなりません。
    • モバイルデバイスについては、米国国立標準研究所NIST SP 800-88 の暗号消去の要件に従ってソフトウェアによりデータ消去を実行する必要があります。
  2. データは、すべて施設内で完全消去。いずれの場合も、施設内においてソフトウェアによるデータ消去、磁気破壊、物理破壊を実施する必要があり、ソフトウェアによるデータ消去については、県職員が行う必要があります。
  3. 作業県職員の監視下で作業を実施。2人以上の県職員が、すべてのデータ消去および破壊手順を監督/検証しなければなりません。これには、デバイスの写真撮影、シリアル番号によるすべてのデバイスのデータ消去結果の検証と照合作業が含まれています。

いずれの場合においても、フリーソフトウェアや、第三者認定されていないデータ消去ソフトウェア製品は選択肢になり得ません。データ消去ソフトウェアは、専門のサードパーティ事業者もしくは第三者機関でテストされ、認定を取得している必要があります。

さらに、データ消去ソフトウェアについては、次の要件を満たす必要があります。

ソフトウェアによるデータ消去の義務化により公共機関のデータを確実に保護

神奈川県は、ソフトウェアによる高品質なデータ消去を廃棄ポリシーに組み込み、施設内での確実なデータ消去プロセスを維持することで、再利用もしくは廃棄予定のデバイスからのデータ漏洩を防いでいます。これは、県民のデータを保護するためのより安全な対策となっています。仮に、デバイスの紛失や盗難が発生しても、すべてのデータはすでに消去されているのです。

さらに、デバイス廃棄時のサプライチェーンにおいて、行政側の監視を事業者に対して要求することで、IT資産の紛失/盗難の可能性となりえる輸送間の問題を事実上解決することができます。また、神奈川県は、社内のIT資産管理システムと連携可能なデータ消去ソフトウェアを採用しています。これにより、すべてのデバイスの消去プロセスを容易に追跡可能になりました。また、データ消去ソフトウェアは自動的に監査対応可能なレポートを生成します。このレポートは電子署名によって保護されているため改ざんが不可能で、監査証跡として利用することができます。これは、物理破壊を採用した場合には、実現が困難なプロセスになります。

最後に、ソフトウェアによるデータ消去により、過去のデータにアクセスされてしまう可能性が排除されるため、機密情報が誤って共有されてしまうことがなく、デバイスの再利用を推進できるようになりました。

神奈川県は、県民データを保護するための高い基準を適用しているのです。

Blancco が提供する公共機関向けの安全なデータ消去方法

Blancco は、公共機関で利用するディスク、PC、サーバー、モバイルデバイスなどに対して、非常に安全で効率的なソフトウェアによるデータ消去製品を提供します。Blancco のソリューションは、25以上のグローバルなデータ消去基準に準拠しており、世界各国15以上の政府機関、法務機関、独立した研究機関によって検証され、認証/承認/推奨を受けています。データ消去プロセスの包括的な可視化を提供するために、API連携を通して既存の資産管理システムと連携することができ、改ざん防止機能を持つレポーティングとデータ消去実施済み機器の監査が可能になります。

これらのソリューションにより、公共機関向けの安全かつ確実なデータ保護を実現することができます。

You may be interested in: