2023年3月に改訂された、総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」では、「第4編 地方公共団体におけるクラウド利用等に関する特則」が新たに追加されました。これは、デジタル庁等が中心となって進めている「クラウド・バイ・デフォルト原則」や「ガバメント・クラウド」等に従い、日本の地方公共団体がクラウドサービスを利用する際に準拠するセキュリティ評価制度として定められたものです。特則の策定にあたっては、米国のFedRAMP(※1)を基盤にIPA(※2)が中心となってまとめた評価制度であるISMAP(※3)と、NISC(※4)が国の行政機関等における基準として定めた「政府機関等のサイバーセキュリティ対策のための統一基準群(令和3年度版)」を参考にしています。
この特則の内容をISMAPやNISCの定める文書と比較すると、特に「暗号化消去(CE: Cryptographic Erase)」についての説明が詳細に行われています。これは、2019年の神奈川県のHDD流出事故の対策として2021年の改定時に採用された、NIST(※5)SP800-88Rev.1におけるPurge(除去)に相当するデータの抹消手段を、クラウド上に存在する情報に対しても適用することを想定したものと言えます。
●暗号化消去とは
一般的なデータ抹消の方法では「書き込まれているデータそのものを消す」のに対し、暗号化消去は暗号化されたデータを「復号する(平文に戻す)ための鍵を消す」ことで「データの抹消(無効化)」を達成します。一般的なデータ復旧ソフトで用いられている「上書き消去」方式では数時間を要するような容量のデータであっても、暗号化消去の場合は数秒程度の短時間で処理が終了し、データ抹消のレベルでは、上書き消去の「Clear(消去)」より上位の「Purge(除去)」(「研究所でも復元が難しい消去方式Purge(パージ消去)に迫る)」参照)となります。
続いて、主たるガイドラインが暗号化消去をどのように説明しているかを確認してみましょう。
①NIST SP800-88Rev.1
- 暗号化消去(CE)は、データがメディアに書き込まれるときに、最初の書き込みから暗号化が実行される場合に使うことができる抹消手法であり、データの抹消は、書き込まれたデータの上書き又は物理的な抹消ではなく、データの暗号化に使用される「暗号鍵」を抹消することによって行われます。
- 暗号化消去(CE)は非常に高速にデータの抹消を実現することができ、部分的な抹消、例えば記録メディアの限定された一部の領域に対するデータの抹消にも利用することができます。部分的な抹消は、選択的抹消とも呼ばれ、クラウド等に用いられる大型サーバーシステム、スマートフォンやタブレット型端末などのモバイルデバイスに対しても有効なデータ抹消の方法です。
※ADEC「別冊 データ消去技術ガイドブック暗号化消去技術 編」 P6より引用
②政府統一基準
- 用語定義「暗号化消去」
「暗号化消去」とは、情報を電磁的記録媒体に暗号化して記録しておき、情報の抹消が必要になった際に情報の復号に用いる鍵を抹消することで情報の復号を不可能にし、情報を利用不能にする論理的削除方法をいう。暗号化消去に用いられる暗号化機能の例としては、ソフトウェアによる暗号化(WindowsのBitLocker等)、ハードウェアによる暗号化(自己暗号化ドライブ(Self-Encrypting Drive)等)などがある。
※「政府機関等のサイバーセキュリティ対策のための統一基準(令和3年度版)」 P8より引用
③総務省
地方公共団体における情報セキュリティポリシーに関するガイドライン(令和4年3月発表)
- 用語の定義
上記「②政府統一基準」の文言を引用 -
8.2. 外部サービスの利用(機密性2以上の情報を取り扱う場合)(7)外部サービスを利用した情報システムの更改・廃棄時の対策における解説
クラウドサービス環境においては、データが記録されたハードウェアは、クラウドサービス事業者の所有物であること及びデータが記録されたハードウェアは、別のクラウドサービス利用者に再利用される可能性があることを踏まえ、機微なデータは、能動的に消去することが推奨される。データ消去のガイドラインとして「媒体のデータ抹消処理(サニタイズ)に関するガイドライン」(2014年12月17日(NIST(アメリカ国立標準技術研究所)))が存在する。同ガイドラインは、データ消去方法として「消去」、「除去」、「破壊」の3つを定義している。機微なデータの消去には「除去」もしくは「破壊」を採用することが望ましいが、クラウドサービス利用者の立場では「除去」のみが実施可能である。「除去」は、例文中の「暗号化消去」という方法で実現可能である。暗号化消去を行う際は、暗号化消去に用いた暗号鍵の削除記録を証跡として残すことが求められるが、暗号化されたデータ自体は、消去されず残り続けることに留意する必要がある。また、暗号鍵の適切な管理が重要であり、データの利用中に誤って鍵を消去した場合は、データが復元できなくなることや、消去時に鍵が確実に消去されなかった場合やコピーの鍵が第三者に渡った場合は、第三者がデータを復元できることに注意する必要がある。なお、クラウドサービス事業者にて実施しているデータ消去方法は、当該事業者の公開情報や当該事業者への問合せで事前に確認する必要がある。
以上が、暗号化消去についての解説です。しかし、これまでに紹介した説明では、なぜ暗号化消去がPurgeレベルに相当するのか、なぜクラウドでは暗号化消去を使用しなければならないのかを理解することは難しいと思いますので、次回その理由と注意点について解説します。
※2: Information-technology Promotion Agency, Japan:独立行政法人情報処理推進機構
※3: Information system Security Management and Assessment Program:政府情報システムのためのセキュリティ評価制度
※4: National center of Incident readiness and Strategy for Cybersecurity:内閣サイバーセキュリティセンター
※5: National Institute of Standards and Technology:米国国立標準技術研究所。データ抹消に関する国際基準に相当する。
【著作権は、沼田理氏に帰属します】
沼田 理(ぬまた まこと)
データ復旧・データ消去のスペシャリスト。データ適正消去実行証明協議会(ADEC)技術顧問。技術情報、web原稿の提供、IDF(デジタル・フォレンジック研究会)講師などを務める。神奈川県情報流出事件以降は、新ガイドライン作成へ向けた行政からの技術諮問に応じるなど活動中。2020年2月より、株式会社ゲットイットの技術顧問に就任。
執筆文献:「データ抹消に関する米国文書(規格)及びHDD、SSD の技術解説」「ADEC データ消去技術ガイドブック 第2版」他。