当日パネリストを務めたADEC(データ適正消去実行証明協議会)の鈴木啓紹氏より、各質問へ回答をさせていただきました。寄せられた質問の全てを取り上げることはできませんでしたが、皆さまのお役に立てましたら幸いです。
緊急事態宣言下のため、今回もパネリスト・司会者ともにリモート接続にてウェビナーを行いました。応急処置的な配信方法ではありますが、今後は、このような形がより普及していくのだと思います。
さて、弊社のウェビナーでは、原則として、登録時にいただいた事前質問や、ウェビナー中の質問、事後アンケートで寄せられた質問など、全て回答を差し上げるようにしております。(ウェビナー内で扱えなかったものは後日回答しております)
「データ消去」をテーマとしたウェビナーは、今回で4回目となりましたが、特殊なテーマにも関わらず、これまで様々な質問をいただきました。いずれ、データ消去Q&Aとしてまとめたいと考えております。
ご視聴いただきました皆さま、誠にありがとうございました。
次回のセミナーは、幕張メッセにて開催の展示会「自治体・公共Week」の初日、2月24日(水)の14:30~15:30に、5~6ホール特設PRセミナー会場①にて実施予定です。
文責:川澄
質問内容および回答
Q1.機械メーカーさま
PCの廃棄を外部の業者にお願いするうえで、どのレベルまでデータを消去する必要があるのか、またそのエビデンスの残し方について教えてください。
地方公共団体向けガイドラインによる、庁舎内で一度データ消去処理を行い、その後の破棄を行なう場合に相当するものとしてお答えしますと、クリアレベルとなります。その理由は、その後に委託業者によって再度「本来必要とされるレベルの処置(廃棄・物理破壊等)」が実行されることを前提としているためで、仮に委託先での処置漏れ等が発生した場合に於いても「最低レベル」のデータ抹消が既に行われているので、最悪の状況を回避することが可能になるためです。また、クリアレベルであっても従来行われていたDoD(米国国防総省方式による3回上書き)レベルの消去は完了しているので、データが漏洩した場合でも断片レベルに限定されると考えられることも理由として挙げることができます。
但し、ご説明させていただいた様に、クリアレベルの消去では、完全にデータが全て抹消されている訳ではなく、技術レベルの高いデータ復旧業者等の手に掛かれば、HDDが自動的に障害を検出し、振替(バックアップ)を行ったプラッタ(磁気円盤)上のセクタに書き込まれている情報(断片)を読み出すことは可能ですので、機密レベルの高い情報を保存した履歴のある媒体であれば、NIST SP800-88で示しているように、外部に出す(管理外となる)時点でパージレベルの消去を完了させることが必要です。
エビデンスは、何を、いつ、誰が、何を使って、どうしたのかを第三者に証明することが目的ですから、それを改竄不能な情報として取得しておくことが必要です。ADECのデータ消去証明書は、消去動作が正しいことを認証されたソフトウェアを用いて、消去プロセス認証を受けた業者によって、ソフトウェアがエラーなく消去動作を終了したことを、人の手を介する事無く、改竄不能な電子証明書として発行していますので、これらの条件を全て満たしているものとなっています。
但し、ご説明させていただいた様に、クリアレベルの消去では、完全にデータが全て抹消されている訳ではなく、技術レベルの高いデータ復旧業者等の手に掛かれば、HDDが自動的に障害を検出し、振替(バックアップ)を行ったプラッタ(磁気円盤)上のセクタに書き込まれている情報(断片)を読み出すことは可能ですので、機密レベルの高い情報を保存した履歴のある媒体であれば、NIST SP800-88で示しているように、外部に出す(管理外となる)時点でパージレベルの消去を完了させることが必要です。
エビデンスは、何を、いつ、誰が、何を使って、どうしたのかを第三者に証明することが目的ですから、それを改竄不能な情報として取得しておくことが必要です。ADECのデータ消去証明書は、消去動作が正しいことを認証されたソフトウェアを用いて、消去プロセス認証を受けた業者によって、ソフトウェアがエラーなく消去動作を終了したことを、人の手を介する事無く、改竄不能な電子証明書として発行していますので、これらの条件を全て満たしているものとなっています。
Q2.市立病院さま
データ消去と物理的破壊で情報の抜き取られにくさにどれほどの差があるのか、教えてください。今後記憶媒体の処分は、物理的破壊しか選択肢がないのでしょうか。
データ消去でもクリア(Clear)とパージ(Purge)では消去レベルに差が有りますが、パージと物理破壊の差については、ご紹介したように、「物理破壊(Destroy)は、どんなにコストをかけてもデータを取り出したいような相手いる状況での基準であり、パージでも、特殊な設備と特殊な技能があってようやくデータのカケラが見つかるかみつからないかの程度であり、狙ったデータの搾取につながることはない」と説明することができるレベルになります。地方公共団体向けガイドラインに於いても、物理破壊の対象を「マイナンバー利用事務系に該当するもの」に限定しているのもこの理由によります。そして、総務省の担当者からも、該当するものは、非常に少ないことを広く知らせて欲しいとの依頼が有ったことを付け加えておきます。
Q3.自治体さま
消去用ソフトウェアの認定について、 ADEC認証の強みなどを教えてください。現在はUSB式のもので一次消去を行っています。NISTなどの世界基準対応・認定も受けたソフトという認識ですが、ADEC認証はどのような違いがありますか?
一般市販されている消去用ソフトウェアで、NIST認定と称しているものも多く存在しますが、NISTでは認定作業を行っていないことを宣言しており、性能評価についてはカリフォルニア大サンディエゴ校のCMRR研究室を利用する事を推奨しており、NISTが認定したソフトウェアというものは世の中に存在しません。ADECのソフトウェアの認証は、NISTの要求項目を全て忠実に守った検証用の媒体を作成し、第三者立会いの下で消去作業を実施、更に第三者に消去検証を委託し、得られた結果を外部の専門家の出席する会議を開催し判定を行っています。ヨーロッパにADISAという第三者検証を行っている機関が存在しますが、ADISAの検証レベル及び検証方法の詳細を確認すると、NISTのPurgeレベルについては必要条件を満たしているという事はできませんので、ADECがNISTの要求条件に忠実に検証を行っている唯一の団体であると言っても過言ではないと考えます。
Q4.総合素材メーカーさま
クリアやパージの結果を事業者側の受け入れで確認するためのツールがあればご教示下さい。エビデンスは改竄も可能なため、エビデンス以外の方法でディスクの中身を確認する方法を模索しています。
消去終了後の媒体がクリアレベルであるかパージレベルであるかを受入検査で確認することの出来るツールがあれば、ADECとしても判定用としてそれを活用したいと思いますが、現実的にそのような物は存在いたしません。ADECの行っているソフトウェアの消去検証に必要な費用は、HDD1台でも数十万円の費用が必要です。ですから、正しい動作検証を行い、その結果によって正しい認証を受けたソフトウェアを使用し、人の手を介することなく、改竄不能な消去証明書を発行することの出来るADECの認証を受けたソフトウェアと消去証明書を活用していただくことをお勧めします。
Q5.クラウド事業者さま
現実的なレベルとして、廃棄処分前にHDD破壊(穿孔処理)だけでは不十分でしょうか。HDD消去(クリアorパージ)には非常に時間を要するため、現実的レベルで穿孔処理で妥協しておりました。
最終的な判断は、情報の所有者(管理者)が残留するリスクを元に行う(ISMSの基本)ことが求められるのですが、ご説明いたしましたように、現在物理破壊として一般的に行われているHDDの穿孔であっても、正しく処理された物であれば商業レベルでデータの読み出しを行っているデータ復旧、デジタル・フォレンジック事業者は世界中を見渡しても存在せず、技術論として可能性が有ることを理由に「完全ではない」としていますので、この事実を所有者(管理者)に提供し、判断を求めてください。正しく処理されていれば、NISTの規定するPurge(パージ)レベルは満足していると判断することは出来ますので、ご紹介した「パージでも、特殊な設備と特殊な技能があってようやくデータのカケラが見つかるかみつからないかの程度であり、狙ったデータの搾取につながることはない」が、現実的な判断の基準になるのではないでしょうか。
ラスタ内のファイルの末尾(EOF:End Of File)の後ろに上書きされずに残っていた、以前のファイルのデータの断片)から検出された情報であることが知られています。
ラスタ内のファイルの末尾(EOF:End Of File)の後ろに上書きされずに残っていた、以前のファイルのデータの断片)から検出された情報であることが知られています。
Q6.ITサービス事業者さま
最近のメーカー製PCにはデータ消去ツールが内蔵されております。SSDに対応したデータ消去が実行できるようなのですが、その消去を実行するとClearレベルを満たしていると考えてよいものでしょうか?
メーカー製PCに内蔵されているデータ消去ツールは、HDDに対する上書き消去を行うものが一般的であると認識しています。ADECで検証を行ったSSDに対応しているとしているデータ消去ソフトに於いてもClearレベルで「不合格」判定となり、改善を求めたものが存在します。ですから、「メーカー製PCに内蔵」を条件に「Clearレベルを満たしている」と判定する事に賛成することは出来ません。
Q7.自治体さま
自治体でもPurgeレベルの消去を実施できるソフトウェアと使い方の紹介をしてほしい。
Purgeレベルの消去をおこなうことの出来る、(ATA等の)媒体特有のコマンドを使用したソフトウェアは、誤使用した場合にPCがその媒体を認識できなくなる様な事例が発生する可能性を持つため、PCメーカーがBIOSレベルで動作を止めてしまうような設定(フリーズロックなどと呼びます)を行っている事例が多く存在します。ですから、ご使用になるソフトウェアの製造・販売元にそれらの事例に対する対応・操作の詳細などを事前にご相談になることをお勧め致します。
多くのご質問いただき、誠にありがとうございました。
今後のウェビナー予定
◆2021年2月24日(水) 14:00~15:30
幕張メッセ 5~6ホール 特設PRセミナー会場①
『データ消去』新・自治体ガイドライン:求められるパージ消去&一元管理システムとは?
https://www.get-it.ne.jp/index.php/archives/16617
本件に関するお問い合わせ
担当者 :川澄
電話番号:03-5166-0900