株式会社ゲットイット
NEWS RELEASE
2021年02月02日
1月19日開催「【再開催】『データ消去』新・自治体ガイドライン」ウェビナー 質問への回答
2021年1月19日(火)に実施いたしましたウェビナー、【再開催】『データ消去』新・自治体ガイドライン:求められるPurge(パージ消去)&一元管理システムとは?にて、視聴者の皆さまより多くのご質問をいただきました。
当日パネリストを務めたADEC(データ適正消去実行証明協議会)の鈴木啓紹氏・沼田理氏の両氏、および弊社ITADマネジャーの中村より、各質問へ回答をさせていただきました。寄せられた質問の全てを取り上げることはできませんでしたが、皆さまのお役に立てましたら幸いです。
【再開催】『データ消去』新・自治体ガイドライン:求められるPurge(パージ消去)&一元管理システムとは?

今回、緊急事態宣言下ということで、パネリストの沼田様にはリモート接続にて在宅よりご登壇いただきました。特に不都合なく配信を行うこともでき、便利な世の中になったと感じています。
今回は視聴者の殆どの方(約9割)が自治体関係者の方々となりました(前回は6割程度)。昨年末の12月28日に、「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和2年12月版)」が発表されたことが、大きく影響しているものと思われます。
ご視聴いただきました皆さま、誠にありがとうございました。次回のウェビナーは、2月4日(木)を予定しています。
文責:川澄

 

質問内容および回答

Q1.自治体さま
Purgeレベルの消去を行った媒体は、一般的には、再利用は可能なのでしょうか。

Purgeレベルの消去であっても、基本的には再利用可能です。但し、使用するソフトウェアによっては、データ消去と同時に隠し領域を解放してしまう物も存在し、消去処理後に媒体をBIOSが認識しない場合も有ります。その原因の大部分は、消去後の媒体そのものが障害を持つのではなく、媒体上の、そのパソコン専用とするための設定が解除されてしまい、製造工場出荷直後に近い状態(使用中に障害の検出されたセクタを除く)に戻ってしまうことによります。

Q2.自治体さま
パソコンをリース契約にて使用しています。リース契約を締結する際、パソコン返却時についてどのような取り交わしをするのが良いのか、アドバイスいただけますでしょうか。
Q3.(類似質問)自治体さま
賃貸借契約を締結する際の、パソコン返却時の取り交わし文記載例など、データ消去/情報セキュリティの観点からアドバイスがあればお願いいたします。

神奈川県の「リース契約満了により返却したハードディスクの盗難に係る再発防止策検討会(第4回)」において、リース契約の見直し/契約不履行への対策等の方針が公開されています。契約書に盛り込むべき内容など、ご参考にされることを推奨いたします。
(参考:https://www.pref.kanagawa.jp/docs/fz7/cnt/kentokai04.html)

Q4.自治体さま
BYODの対策、導入事例など、もしご存じでしたら教えていただけますか。

スマホ、タブレットを対象としたBYODを行う際のデータ抹消を想定して回答します。iOS、MacOSは暗号化消去を実装しているのでPurge相当の消去が初期化のみで対応可能です。Androidの場合、Ver5.0以降は暗号化消去を実装していますが、製造メーカにより実装状況が異なるので注意が必要です。現実的な運用を考えるのであれば、iOS、MacOSに限定するケースが多いようです。

Q5.自治体さま
SSDに関しては磁気消去ができないと認識しています。OSが起動しない状態のSSDがある場合、ソフトウェア消去もできないと思いますが、その場合に物理破壊の前のデータ抹消についてはどのように行えばよいでしょうか?
Q6.(類似質問)自治体さま
破損して読み書きが正常に行えないHDDについて、庁内管轄でのクリアが一般的な抹消ソフトで行えないケースで、デストロイまでの必要がない情報を管理していた媒体でもデストロイが必要なものでしょうか?それとも、庁内管轄で磁気破壊等のソフトを使用しない方法を行うべきなのでしょうか?

SSDに於いては、ご承知のように外部から磁界を印加するような手段でデータ消去を行なうことは不可能です。OSが起動しない原因がSSDの故障ではなく、OSのシステムファイル等の論理的な障害で有る場合は、自己起動型のOSを搭載したソフトウェアの使用や別のPCに接続することによってデータ消去を行なうことが可能です。SSDそのものが故障してしまい全く動作しないような場合には、物理的破壊以外の選択肢は存在しません。データ復旧事業者や、デジタル・フォレンジック事業者の中には、メモリICをSSDの基板から取り外して直接データを読み出すような高度な技術を所有している事業者も存在しますので、少なくともICチップが動作しなくなるようなレベルの破壊を行なうことが要求されます。
故障して動作しないHDDで、保存されている情報の機密レベルによってデストロイまでは必要のない場合の処置ですが、そのような場合においても、プラッタ(磁気円盤)、ヘッド、回路基板の3点さえ動作可能な状態で入手出来れば、データ復旧事業者は情報を読み出すことが出来ます。ですからどのような場合に於いても、プラッタからデータを読み出すことを防止する事が必要となります。この様な場合、物理破壊(デストロイ)までを必要とはされていないのであれば、パージ(Purge)レベルの外部磁界によるデータ抹消を用いることが可能ですが、外部磁界による処置は、その処置が正しく行われたか否かの判定が難しく、また使用した設備・装置の信頼性の担保が難しく、更に信頼のおける設備・装置が稀である(米国のNSAにおいて承認されている日本製の製品は、1社の1機種に限定されている)いといった問題も存在することにご留意ください。

Q7.自治体さま
前提として、機密性2であっても、データ消去のレベルとしてはPurgeまでいかずともClearレベルでも十分ではないかと疑問を持っています。PurgeでないとHPA等一部のセクタ(ブロック?)は消去しきれないことはわかりましたが、Purgeであっても製造時欠陥セクタは残るのであればPurgeとClearの差はHPA等の一部のセクタの消去の差であり、Clearレベルでも事実上問題ないのではないのでしょうか。HPA、DCO等、Purgeでは消去できるがClearでは消去できないセクタにフォレンジックできるほどのデータ量が入り込む余地が現実的にあるのでしょうか。答えにくい質問かもしれませんが、お答えできる範囲で回答いただければと思います。

Purgeレベルを要求する理由は、機器の使用中に発生した障害等によって、Clearレベルの抹消処置では残存してしまう情報が有ることはご承知の通りです。この情報量がどの程度存在するかがポイントであることは事実ですが、最近のHDDを例に挙げると、1セクタのデータ量は512バイトとされていますが、媒体の大容量化によって、OSの管理する最小データ容量(クラスタ)が4KBとなっていることもあり、HDDもアドバンスドフォーマットと呼ばれる仕様が多くなり、4KBのセクタを512Bにエミュレートして使用する方向になっています。Clearで消去されない、使用中の障害により、データを抹消される事無く、他の場所にバックアップ(振り替え)されたセクタのデータ容量は512Bではなく4KBとなります。この様なセクタであってもデータ復旧事業者によると約60%は読み出しが可能であり、4KB(1セクタ)のデータ量は日本語のTEXT(UTF-8)として換算しても1,333文字となります。また、このような障害を持つセクタは連続して発生する例が多く、データベースのファイル構造を例に挙げると、表の構成、クエリ等の論理構成、セル内のデータ等がそれぞれの領域として存在する例が多く、例え1セクタであっても無視できるほど小さいとは言えないと考えます。
参考:実際に2012年に発生した「パソコン遠隔操作事件」(詳細はhttps://ja.wikipedia.org/wiki/パソコン遠隔操作事件#犯行の手口 参照)の犯人逮捕の決め手は、容疑者の使用していたPCに搭載されていたHDDのファイルスラック領域(クラスタ内のファイルの末尾(EOF:End Of File)の後ろに上書きされずに残っていた、以前のファイルのデータの断片)から検出された情報であることが知られています。

Q8.自治体さま
パブリッククラウドやデータセンター利用時のデータ消去について、どのような契約、対応を行えばよいでしょうか。
Q9.(類似質問)自治体さま
自治体クラウドなどのクラウドの情報資産の廃棄について現状分かっていることを教えていただきたい。

今回のガイドライン上では、「今後の検討」であると記載されていますが、ガイドラインに対するパブリックコメントでも同様の質問があり、暗号化技術の採用・推進が示されています。NISTの基準による暗号化消去を有効なものとして担保するための条件は、①使用開始時からの暗号化、②同一サーバ上に存在する他のボリューム(論理領域や物理領域等)との隔離・独立性(ボリューム毎に異なる暗号化鍵を使用する等)、②暗号化鍵の管理方法(契約終了時にバックアップや手書きのメモ等も含め全て抹消することが要件)によってPurgeレベルが実現可能となり、契約終了後も含めて、使用されていた記憶媒体の保守管理(媒体の交換・廃棄等の処分方法=デストロイ)を条件にすることを推奨しています。
また、政府情報システムのためのセキュリティ評価制度(ISMAP:https://www.ipa.go.jp/security/ismap/index.html)が昨年末に制定されており、今後の方向性を示すものとして非常に参考になると思いますのでご参照下さることをお勧め致します。

Q10.自治体さま
実際問題、SSDをパージ処理を行うには専門業者に任せるほかないのか?
各団体でパージ処理が行えるような、勧められるソフトウェア紹介等あるとうれしいです。

SSDのインターフェイスの種類によっては(SATA)ADECが検証を行ったソフトウェアが存在するので使用可能です(ADECで検証確認が取れている消去ソフトの紹介であればお問い合わせください)。但し、Purgeレベルを要求する場合、PCによってはHDD上の全てのデータが誤って抹消されてしまう事を防ぐ目的で、消去ソフトウェアの動作を止めてしまうようにBIOSで設定されている場合も有り、そのような場合の対策方法等の知識を持つことも要求されますので、Clearと同じ感覚で作業を行うことが出来るとは限らないことをご承知おきください。

Q11.自治体さま
当市ではほとんどの端末をリース調達しているため、データ消去をするにもすべてリース会社の許可がないとできず、リース会社としては磁気破壊や物理破壊をすると資産価値が下がるため応じてもらえていません。貴社の開発するシステム(※参照:ETTMS)について、リース会社やデータ消去会社にも売り込みをされるのかと思いますが、貴社としてどのような取り組みを検討されていらっしゃるのか、お知らせいただける内容がありましたらご教示ください。

現在、リース会社様からも問い合わせをいくつかいただいている状況ですが、今のところは自治体様や一般企業様への取り組みを優先しておりまして、リース会社様との取り組みはこれからの検討となります。方向性が定まりましたら改めてご連絡させていただきますが、貴所からリース会社さまとの取り組みにつきまして、ご要望などがございましたら是非お聞かせいただければと存じます。(回答:弊社 中村)

Q12.自治体さま
ストレージシステムのSSDなど、単独で消去ソフトの実行が難しいディスクドライブの場合にはどのような対応方法が考えられるでしょうか。ご教示いただけると幸いです。

ストレージシステム(RAID構成等)に対応して複数の媒体を同時に消去するような手段についてのご質問だと思いますが、ストレージシステムの場合、そのシステムの製造・販売元が動作を保障しているソフトウェア以外を使用した場合に正常な動作を保証することは困難です。現時点でADECが動作確認をしているSSDを対象としている、そのようなソフトウェアは存在いたしませんので、ご面倒でも1台ずつ取り外した上で、単独のドライブとして正しい、信頼のおけるツールをご使用ください。

Q13.自治体さま
庁内のクライアント端末としてSSD搭載のモデルを採用し、ドライブを暗号化して暗号化消去の仕組みを取り入れることを考えた場合、Windows10に標準で搭載されているBitLocker等の暗号化ソフトを利用しても、暗号強度や暗号消去の有効性には問題はないのか?

NISTでは、暗号化ソフトを正しく使用した場合は、暗号化鍵を正しく消去することにより、Purgeに相当する事を認めています。パソコン上での正しい使用の条件とは、①使用開始時点から暗号化が有効である事。②暗号化鍵の正しい管理の2点であり、暗号化鍵は不要となった時点で、「バックアップや手書きのメモ等を含めた完全な抹消」を実行することが求められます。この2点さえ確実に実行することが可能であれば、Windows10に搭載されているBitLockerであっても有効な暗号化消去として認めることが出来ます。

Q14.自治体さま
庁内で職員立会いのもと磁気消去及び物理破壊の作業を委託した場合、自前によるClear作業を行わなくても総務省ガイドラインに準じた対応として捉えることはできますでしょうか。

庁内での処置に加え、業者での処理を行なうことは、ダブルチェックによってミスをなくすことを目的にしていると解釈できます。ですから、ガイドラインに準じた対応として捉えることが可能か否かは、立ち合い作業の内容(チェック項目及び判定基準)によって決定されると考えます。
なお、別の観点からの回答として、Clear/Purgeレベルの消去が求められる媒体に対してその上位ランクであるDestroy相当のデータ抹消を行った場合は、ガイドラインに準じた対応と捉えられると考えます。しかし、Destroyを住民情報を記録する情報端末に限定した意図は物理破壊による産廃化を少なくし、リサイクル/リユースを推進することを目的としております。このことを踏まえて全てを磁気消去及び物理破壊にすることは推奨できないと考えます。

Q15.自治体さま
官公庁において、職員が日常業務で使用する複合機(コピー機)はどのようなデータ消去対応をすれば良いでしょうか?PCと違い、複合機のデータ消去はイメージしにくいための質問です。(なお、メーカーや機種によっても対応が異なってくるであろうということは承知しております)
Q16.(類似質問)自治体さま
コピーやスキャンのできる複合機については個人情報が機器の内部に残っていると判断するとどのレベルのデータ消去を行うべきでしょうか? ※例えばマイナンバーをコピーした複合機はマイナンバー利用事務に該当するものと判断しますか?

複合機も小型の物から大型の物まで存在し、使用されている記憶媒体もHDDやSSD、基板上のメモリIC等と多種多様ですので一概にデータ抹消の手段までを決める事は困難ですが、一般的に複合機に於いては画像データとして処理されている例が多いので、使用されている記憶媒体の種類におけるClearレベルに相当する処置を行なうことで良いと考えます。

Q17.自治体さま
USBメモリの適切な廃棄には、どのような手法が考えられるでしょうか?

USBメモリに使用されているNAND型フラッシュメモリは、HDDと異なり上書き動作が出来ず、セクタアドレスの変更等が実施されているので、HDD用の消去ソフトでは確実な消去は保証できず、またSSDと異なり複雑な動作をするコントローラ(ファームウェア)も存在しないので、SSD用のソフトでも確実な消去を保証することは不可能です。この理由によって、廃棄時に行う最も適切な処理としては、内部のICチップまで損傷を与えるレベルの物理的な破壊が必要となります。

Q18.SIer(システムインテグレーター)事業者さま
SSDの効率的な物理的な消去が出来ないでしょうか?軍事的な兵器では聞いたことがありますが、強力な電磁波でメモリチップ内を破壊する装置は作れないでしょうか?電子レンジに入れると壊れるのでは?

強力な電磁波によってSSD(フラッシュメモリ)を破壊することは、原理的には可能です。但し、当然ながらSSDによってケーシング(筐体)を持つものやNVMeの様に基板状のもの等種々な形態が存在します。また、ICの内部の配線の太さや基板上のパターン配置などによっても必要となる電磁波のレベルが変動してしまいます。更にそのような状態において全ての媒体に対する確実な破壊を担保するには別途の確認作業が必要となることは明らかですので、破壊作業の効率は上がったとしても、別途効率の悪い確認作業が発生してしまい、本来の目的を達成することは困難だと考えます。

Q19.SIer(システムインテグレーター)事業者さま
暗号化されている媒体は、今後の市場ニーズ的には消去サービスは不要になるのでしょうか?

暗号化消去の有効性は、暗号化鍵の管理に掛かっていると言っても過言ではありません。最終的な鍵管理に人の手が関わる限り、人の手を介さないデータの抹消は、減ることはあっても完全に不要になる事とはないと考えます。

Q20.自治体さま
リース契約において、期間終了後に自治体側へ所有権移転し、別途データ消去等について委託契約をし、結果リユースが可能との質疑がありましたが、所有権移転なしでリース業者が処理するよりもコスト的にメリットがあるのでしょうか。別途契約を行う事務の手間以上のメリットがあるならば検討できると思いました。

詳細はリース会社様へお問い合わせいただければと存じますが、実際弊社へ情報機器をご売却いただいた自治体様からは、ご自身でデータ消去を行いリースアップした機器を売却することにより処分費用の圧縮を行っているとのコメントをいただいております。弊社HPに事例を掲載しておりますので、よろしければご参照くださいませ。(回答:弊社 中村)
https://www.get-it.ne.jp/index.php/archives/15064

大変多くのご質問いただき、誠にありがとうございました。
 

今後のウェビナー予定

◆2021年2月4日 14:00~15:30
【ご好評につき再開催!】
3回上書きは過去のもの 『データ消去』の正しい知識 (好評につき再開催!)
詳細はこちら

 
本件に関するお問い合わせ
担当者 :川澄
メール :
電話番号:03-5166-0900