1.仮想サーバ(仮想ボリューム)とは
一般的に、クラウドには仮想化技術(仮想サーバ)が使われています。仮想化とは、現実に存在する一台のコンピュータ(クラウドやデータセンターに代表される大規模なストレージ群を含む)を、専用のハイパーバイザOSを利用して、同時に動作する複数のサーバとして利用すること等を指します。
大規模なストレージ群の使用方法として、従来から一般的に用いられてきた代表的な方法としてはRAIDシステムを挙げることが出来ます。RAIDシステムの場合、具体的にはRAID5やRAID6と呼ばれる方法を採用し、複数台のHDDを集約された1台の論理的なドライブとして動作(※1)させます。
近年では、コンピュータに使用されているハードウェアの性能向上に伴い、1台の物理的なサーバ(RAID構成のストレージ装置)を、ソフトウェア(ハイパーバイザOS)により仮想的に複数のサーバに分割して利用することが一般的になりました。仮想サーバでは、個別の記録メディア(ドライブ)はハイパーバイザOS上に存在する「ファイル」となり、実際に存在する物理的なHDD上に分散して記録されています。
一般的に仮想サーバを構成しているのは、「仮想ディスクファイル」と「チェックポイント(スナップショット)ファイル」、「差分ファイル」と呼ばれる3種類のファイルとなっています。「仮想ディスクファイル」は、サーバ等の「バックアップファイル」や「ZIPファイル」、古くはWindows3.1や95等で用いられていた「ドライブスペース(DriveSpace:圧縮ドライブ)」の様な書庫状のもので、内部にはOSのシステムファイルを含む多数のファイルやフォルダが存在しています。例えば、マイクロソフトの提供する仮想化システムであるHyper-Vでは、サーバのバックアップファイルと同一の拡張子“.vhdx”が用いられていることから、圧縮された書庫ファイルであることが納得できると思います。
実際のサーバとしての動作は、ファイルに更新が必要な場合、「仮想ディスクファイル」を直接更新せずに読み取り専用とし、その差分を「差分ファイル」として作成します。後に適切なタイミングを見計らって、その内容を親ファイルである「仮想ディスクファイル」に吸収(マージ)することで更新を行います。つまり、「仮想ディスクファイル」の容量は増加し、「差分ファイル」は吸収によって消滅し、これらのファイルの占有している領域(セクタ範囲)は変動するので、フラグメントも当然発生します。また、「差分ファイル」の消滅は、OS上でのファイルの削除と同様に、未使用領域とされるだけなので、別途データの書き込み(上書き)が行われるまで読み出し可能なデータとして残存します。マルチテナントでは、これらの動作を1台の物理サーバ上で複数の仮想サーバが同時に実行しているのです。
2.仮想ボリュームの暗号化消去
このような媒体内部に於けるファイル操作は、SSDや最近の大容量HDDに於けるSMR(※2)においては、セクタ番号を持たない(※3)専用のデータキャッシュ(スプール)領域にも利用されています。その部分に残存するデータに対して、データ抹消を行うためには、マルチテナント方式で使用されている場合の単一のテナント(仮想ボリューム)だけが対象の場合でも、使用されている全ての記憶媒体(HDDやSSD)をRAID構成から1台ずつ順番に交換しリビルト(再構築)作業を繰り返すことによって別途データ抹消を行い再利用するか、物理的な破壊を行うことしか手段は存在しません。
しかし、この様な場合においても、ボリューム(テナント・管理)の使用開始時点から個別の暗号鍵を用いた暗号化を有効としていれば、「暗号鍵」の抹消により、そのボリュームに書き込まれたデータは、ファイル・スラック領域(※4)や再割り当て済みセクタに残存するものを含めて全てが復号不可能となります。また、システム上の動作が「暗号鍵」の抹消のみであるため、同一物理サーバ上に存在する他のファイル(隣接する仮想ボリューム:テナント)の内容や、システム全体の動作を妨げることなくPurge(除去)レベルの抹消結果が得られます。
3.暗号鍵の管理と消去
クラウド環境下のデータの抹消(暗号鍵の管理)については、ISMAPの管理基準においても以下の様に記載されています(※5)。
8.1.2.7 PBクラウドサービス事業者は、クラウドサービス利用者に対し、当該利用者の資産(バックアップを含む)を管理するため、次のいずれかを提供する。
- 当該利用者の管理する資産を、記録媒体に記録(バックアップを含む)する前に暗号化し、当該利用者が暗号鍵を管理し消去する機能
- 当該利用者が、当該利用者の管理する資産を記録媒体に記録(バックアップを含む)する前に暗号化し、暗号鍵を管理し消去する機能を実装するために必要となる情報
更に、デジタル庁がDXの本命として2025年から正規稼働させることを目標としているガバメントクラウドの要求仕様(ガバメントクラウド先行事業の調達仕様)の中ではより具体的に記載されています(※6)。
37.暗号鍵管理: サーバやDB、ストレージで使用される暗号鍵は、FIPS 140-2(※7)等で認証された厳格に管理された鍵管理サービスで管理されること
38.暗号鍵管理: 利用者が独自に生成した暗号鍵を利用者自らが当該サービスにインポートできること(BYOK)(※8)。
要するに、機密情報をクラウド上で取り扱う場合には、情報の管理をクラウドサービス事業者(CSP:Cloud Service Provider)に任せるのではなく、情報の主体(持ち主・管理者)である、クラウドサービス利用者(CSC:Cloud Service Customer)の責任において機密情報に対する暗号化消去が成立するように厳格に管理することが求められています。しかし、このガバメントクラウドの先行事業の要求仕様を満たし、先行事業に参加が認められたCSPは、データを格納するデータセンターの所在地を日本国内に限定するという制限の下でもAWS(Amazon Web Services)、GCP(Google Cloud Platform)、Microsoft Azure、Oracle Cloudとなっており、日本資本が含まれないという現実も認識しておく必要があります。
※2: Shingled Magnetic Recording:瓦記録
※3: SSDではオーバ・プロビジョニング等と呼ばれる
※4: ファイルを構成するクラスタ内に残存する、ファイルの末尾とクラスタ末尾の間に、上書きされずに残った領域
※5: 政府情報システムのためのセキュリティ評価制度(ISMAP)管理基準マニュアル(1章、2章)ISMAP管理策基準
※6: デジタル庁におけるガバメント・クラウド整備のためのクラウドサービスの提供-令和3年度地方公共団体による先行事業及びデジタル庁 WEB サイト構築業務調達仕様書 別紙1 基本事項及びマネージドサービスの技術要件詳細
※7: FIPS(Federal Information Processing Standard:米国連邦情報処理規格)140-2は、暗号化ハードウェアの有効性を検証するための規格。日本のCRYPTRECによる「電子政府推奨暗号リスト」もほぼ同等であるが、個別製品に対する認証は行っていない。
※8: Bring Your Own Key:CSCが独自に使用・管理している暗号鍵をCSPの提供しているクラウドサービスに持ち込み管理・使用する事。
【著作権は、沼田理氏に帰属します】
沼田 理(ぬまた まこと)
データ復旧・データ消去のスペシャリスト。データ適正消去実行証明協議会(ADEC)技術顧問。技術情報、web原稿の提供、IDF(デジタル・フォレンジック研究会)講師などを務める。神奈川県情報流出事件以降は、新ガイドライン作成へ向けた行政からの技術諮問に応じるなど活動中。2020年2月より、株式会社ゲットイットの技術顧問に就任。
執筆文献:「データ抹消に関する米国文書(規格)及びHDD、SSD の技術解説」「ADEC データ消去技術ガイドブック 第2版」他。