政府機関及び地方自治体に要求される総務省のガイドラインに準拠したデータ消去運用管理

政府機関及び地方自治体における安全かつ効率的なデータ消去

政府機関および地方自治体に要求される総務省の情報セキュリティポリシーに関するガイドラインに準拠した情報システム機器廃棄時におけるデータ消去の運用管理

令和元年12月6日 総務省自治行政局地域情報政策室発行の情報システム機器の廃棄等時におけるセキュリティの確保について 重要情報が大量に保存された機器内部の記憶装置に係る抹消措置の要求事項が言及されています。

データ消去の確実な方法として、一般的なデータ復旧ツールによっても復元が困難な状態まで自組織内で確実にデータ消去を実施することが必要です。

また、機密性に応じた機器の廃棄 、SSD(ソリッドステートディスク)に対してのデータ消去の留意また、クラウドサービス利用終了後のデータの消去についても確実な実行とその確証性の確保が必要とされています。

総行情第77号 令和2年5月22日 情報システム機器の廃棄等時におけるセキュリティの確保の要約

マイナンバーを含む機密情報のレベルに関わらず、専用データ消去ソフトウェアによる庁舎内でのデータ消去作業の実施と結果の管理が必要とされています。

分類機器の廃棄等の方法確実な履行を担保する方法
(1)マイナンバー利用事務系の領域において住民情報を保存する記憶媒体※ マイナンバー利用事務系:社会保障、地方税、防災、戸籍事務等に関する情報システム及びデータ当該媒体を分解・粉砕・溶解・焼却・細断などによって物理的に破壊し、確実に復元を不可能とすることが適当である。なお、対象となる機器について、リース契約により調達する場合においても、リース契約終了後、当該機器の記憶媒体については、物理的に破壊を行う。この場合、予め仕様に明記のうえ、機器の廃棄方法を契約において明記することが望ましい。職員が左記措置の完了まで立ち会いによる確認を行うほか、庁舎内において後述(3)で記述する情報の復元が困難な状態までデータの消去を行った上で、委託事業者等に引き渡しを行い、委託事業者等が物理的な破壊を実施し、当該破壊の完了証明書により確認する。当該完了証明書については、破壊の証拠写真が添付されるとともに、その提出期限が定められていることが望ましい。
(2)機密性2以上に該当する情報を保存する記憶媒体(上記(1)に該当するものを除く。)一般的に入手可能な復元ツールの利用を超えた、いわゆる研究所レベルの攻撃からも耐えられるレベルで抹消を行うことが適当である。具体的には、①物理的な方法による破壊、②磁気的な方法による破壊、③OS等からのアクセスが不可能な領域も含めた領域のデータ消去装置又はデータ消去ソフトウェアによる上書き消去、④ブロック消去、⑤暗号化消去のうちいずれかの方法を選択することが適当である。庁舎内において後述(3)で記述する情報の復元が困難な状態までデータの消去を行った上で、委託事業者等に引き渡しを行い、抹消措置の完了証明書により確認する方法など適切な方法により確認を行う。
(3)機密性1に該当する情報を保存する記憶媒体一般的に入手可能な復元ツールの利用によっても復元が困難な状態に消去することが適当である。具体的には、(2)に記述した方法①~⑤のほか、OS等からアクセス可能な全てのストレージ領域をデータ消去装置又はデータ消去ソフトウェアにより上書き消去する方法がある。OSの初期化、および記憶装置の初期化(フォーマット等)による方法は、HDDの記憶演算子にはデータの記憶が残った状態となるため、適当ではない。庁舎内において消去を実施し、職員が作業完了を確認する方法など適切な方法により確認を行う。

総務省の情報セキュリティポリシーに関するガイドラインに準拠したデータ消去の運用管理を実現するための、ベストプラクティス

Blanccoのデータ消去ソリューションは、政府機関及び地方自治体で扱う機密情報が保存された記憶装置から、安全かつ効率的にデータを完全消去することができます。また、専用データ消去ソフトウェアで消去完了後、その消去が適切に実行されたかの確証として、改ざん防止が施された消去レポートを出力。「消去日時」「消去方式」「消去結果」だけではなく、対象機器のインベントリ情報も紐づけとして消去レポートへ記録し、完全性を確保することができます。

また、Blanccoのレポート管理用クラウドサービス(Blancco Management Console:ブランコマネジメントコンソール)を活用することにより改ざん防止が施された消去レポートをクラウド上で一元管理することが可能で、ITセキュリティ監査などに必要な際に閲覧することで可用性を実現しています。

IT 資産ポートフォリオ全体の消去レポートを集中管理

Blancco Management Console は、オンプレミスとクラウドの2つのバージョンで提供されています。この2つの違いを学び、組織に最適なバージョンを選択してください。

オンプレミスのデータ消去ツールと管理

組織は、Webサービス インターフェース(REST API)により、データ消去プロセスと既存の資産管理やERPシステムをシームレスに連携し自動化することができます。オンプレミスに展開することで、組織は、リモートのデータ管理が可能になり、データ消去プロセスをリモートで制御できます。

Close up customer service specialists work in the office

クラウドベースのデータ消去サービスと管理

いつでも、どこからでもアクセスできるクラウドベースのポータルから、安全な消去の実行、すべてのデータ消去ライセンスの閲覧、ユーザーの作成や変更、アクティビティの管理、監査証跡として活用できる消去レポートの管理などを行います。どのようにしてデータを安全に消去するかについて、リアルタイムにあらゆる場所から簡単に答えることができます。

Blanccoがどのようにして政府機関および地方自治体の安全かつ効率的なデータ消去の運用管理をサポートできるか、また、最新のSSD、NVMe、サーバ、大規模スト―レジ、クラウド、モバイル端末など様々な情報システム機器のデータ消去をどのように実現できるかについては、ソリューション概要をご覧ください。

National Institute of Standards and Technology
米国国立標準技術研究所​

HDDから紙媒体、ネットワーク機器、モバイル機器、フロッピーディスク、SDカード、CD等も含む包括的なガイドライン。​

2014年12月に更新され、従来のHDDに加え、SSDやスマートフォンなどについても、新たに記憶媒体として追加。スマートフォン、SSD等の最新のストレージについてのデータ消去推奨方式も定められました。

NIST SP800-88 媒体のサニタイズに関するガイドラインRev1は、米国の国立標準技術研究所が発行している最新の情報システム機器のデータ消去に関するガイドラインです。 このガイドラインは、ISO/IEC 27040:2015 などの国際的なセキュリティに関する標準規格の要件などを踏まえて作成されており、グローバル市場において、様々な政府機関、地方自治体、州政府などに広く採用されています。

NIST800-88Rev1を採用することにより、情報システム機器の様々な機密性、媒体の種類に応じたデータ消去運用管理方法を網羅することができ、政府機関および地方自治体に要求される総務省の情報セキュリティポリシーに関するガイドラインに準拠することが可能です。

Blanccoが用意したグローバルのデータ消去標準規格 米国国立標準技術研究所が発行する媒体のサニタイズに関するガイドライン  NIST800-88r1 のクイックスタートガイドを是非ご覧ください。

米国国防総省のDoD 5220.22-M規格による3回上書きは本当に必要か?

NIST800-88r1とは対照的に、DoD5220.22-Mの規格は、2006年以降、更新がされておらず、今日の進化したテクノロジーを採用しているSSD(ソリッドステートディスク)、NVMeなどの適切なデータ消去方法については、網羅されていません。実際に、現在のDOD 5220.22-M文書では、データ消去の手法が指定されておらず、その他の政府機関である管轄保全局にその手法の決定を任せています。

政府機関および地方自治体に要求される総務省の情報セキュリティポリシーに関するガイドラインに準拠したデータ消去運用管理を実現するためには、DoD5220.22-MではなくNIST800-88r1を参考にすることが推奨されます。

ただし、Blanccoのデータ消去ソリューションでは、さまざまな政府機関、自治体のデータ消去の要望に対応するため、22種類以上のデータ消去方式をご用意しています。

DoD 5220.22-M
DoD 5220.22-M ECM
NIST 800-88
SSDへの対応×
上書き回数
(HDD)
3もしくは7
上書き回数
(SSD)
最終更新2006年2月2014年12月
対象政府機関全組織
消去の検証〇(HDDのみ)

Blanccoの認定オンサイトデータ消去サービスパートナー一覧

政府機関および地方自治体に要求される総務省の情報セキュリティポリシーに関するガイドラインに準拠したデータ消去運用管理を実現するため、Blanccoでは、庁舎内にデータ消去サービスエンジニアを派遣し、Blanccoのデータ消去ソフトを活用した確実なデータ消去の実行及びその作業の確証として改ざん防止が施されたデータ消去レポートを発行可能な専用のサービスパートナー企業様をご案内することができます。

世界各国の政府機関から認定を取得したBlanccoのソリューションを活用したデータ消去サービスが可能なパートナー企業の庁舎内でのオンサイトデータ消去サービスを是非ご活用ください。

(五十音順)

株式会社アンカーネットワークサービス
株式会社エスエーティ
株式会社 NTT フィールドテクノ
株式会社川上キカイ
株式会社環境技研
キヤノンシステムアンドサポート株式会社
株式会社 CDR エコムーブメント
株式会社ジェーオーエー
株式会社ソフマップ
デジタルリユース株式会社
日本デーコムサービス株式会社
株式会社パクス
株式会社パシフィックネット
株式会社ブロードリンク
リコージャパン株式会社
リングロー株式会社