#007と#008では、クラウドの暗号化消去について、NISCの「政府機関等のサイバーセキュリティ対策のための統一基準群(令和3年度版)」を起点に説明をしてきました。
7月4日には、この基準を大幅に改定した令和5年度版が発表されました。この中で「暗号化消去」は、クラウドのみを対象とするのではなく、どの様な場合においても積極的に利用する事が推奨されています。
本来、官公庁の情報セキュリティ対策の基準は、「政府機関等のサイバーセキュリティ対策のための統一基準群(以下、統一基準)」に従い、それぞれの官公庁個別の事情に合わせて策定する様に定められています。しかし、2019 年末に発生した神奈川県の HDD 流出事故の対策として、神奈川県庁や直接管轄する総務省が民間の有識者と共に NIST SP800-88Rev.1に従ったガイドラインを、「統一基準」の改定を待たずに先行して作り上げた、という背景がありました。今回の改訂によって正規の状態を取り戻す事が出来たというわけです。
今回の改訂では、統一基準の解説ともいえる「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」の第3部 情報の取扱い、3.1 情報の取扱い、(7)情報の消去において、下に示すように「表 3.1.1-1 情報の抹消方法の例」、「表 3.1.1-2 機密性の高い情報の抹消方法の例」として、詳細なデータの抹消方法が記載されると共に、情報の機密性の高さにかかわらず暗号化消去の積極的な採用が推奨されています。
▼ 参考資料
※「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」p.123-126 より引用
遵守事項3.1.1(7)(b)「抹消する」について
「ファイル削除」の操作ではファイル管理のリンクが切断されるだけであり、ファイルの情報自体は抹消されずに電磁的記録媒体に残留した状態となっているおそれがある。電磁的記録媒体に記録されている情報を抹消するための方法を、機密性の高さに応じて分けた以下二つの表において例示する。
磁気媒体及びフラッシュメモリ媒体に対して、「表3.1.1-1 情報の抹消方法の例」に記載の方法を用いた場合、特殊な手段を用いることによって情報(断片を含む)が読み出されるリスクが存在する。当該リスクを許容できないような機密性の高い情報を抹消する場合は、「表3.1.1-2 機密性の高い情報の抹消方法の例」に記載の方法を用いるとよい。ただし、暗号化消去は、「表 3.1.1-2 機密性の高い情報の抹消方法の例」に記載の方法ではあるが、情報の抹消が高速に行えることや部分的な抹消が行えること等のメリットがあるため、機密性の高さによらず、抹消するための方法として優先的に検討するとよい。
※「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」p.122 より引用
検討すべき具体的な例と解説
HSMの採用
「TPM モジュール」や「Apple T2 セキュリティチップ」、「Apple シリコン」等のような暗号化/鍵管理を行うための機能を持ち、物理的に保護されたモジュールをHSM(Hardware Security Module)と呼びます。ISMAPの管理規定(項番号 10.2.1.4)でも、「鍵の生成、保管及び保存のために用いられる装置は、物理的に保護する」と記載し、HSMの使用を求めています。
1)NIST SP800-88Rev.1では、Apple社のiPhoneやiPadを工場出荷状態にリセットすることで Purge レベルのデータ抹消が成立するとしています。その理由は「SecureEnclave」と呼ぶ暗号化/鍵管理を含むセキュリティ機能を、「Apple シリコン」と呼ぶ ICチップ等に組み込みデータの暗号化を行うと共に、ユーザによる暗号化の解除を禁じ、リセット時には暗号鍵の更新を行うためです。
MacBook Pro等に使用されている「Apple T2 セキュリティチップ」も同様の機能を持っているため、Macの暗号化機能であるFileVaultを使用開始時から有効にすることにより暗号化消去が有効になります。
2)Windows10で使用しているPCをWindows11にグレードアップするために「PC 正常性チェック」で診断すると、「このPCは現在、Windows11を実行するための最小システム要件を満たしていません」と表示されることが有ります。これは、暗号化を管理するTPM(Trusted Platform Module)モジュールが搭載されていないことを示しています。Windowsに採用されている暗号化機能BitLockerでは、TPM モジュールが存在しない場合でもデータを暗号化することが可能です。その場合に暗号鍵は HDD 等の媒体上のシステム領域等に書き込まれます。また、外部(マイクロソフトアカウント等)にバックアップや、プリントアウトすることも出来るので、鍵の紛失時の対策を目的として、それらの手段を用いることも可能です。しかし、暗号鍵が漏洩するリスクが増加するので、Windows11では暗号鍵の生成や管理を行うTPMモジュールの搭載をインストールの条件とすることでセキュリティの向上を図っていますので、PCの使用開始時からBitLockerを有効にすることで暗号化消去が有効になります。
3)文科省のGIGAスクール構想によって採用される例が多いChromebookでは、Googleの開発したセキュリティチップであるTitan Cが搭載されていると共に、デフォルトで暗号化が有効になっているので(解除することも可能なので、使用開始時の再確認が必要)工場出荷時に戻す機能である“PowerWash”を使用することでリース期間終了時等による返却時のデータ抹消処理として暗号化消去が有効となります。
4)Android搭載のスマートフォンにおいても、セキュリティチップが標準搭載されています。また、暗号化がデフォルトで有効になっているので、Cromebookと同様に使用開始時点で確認しておくことで、工場出荷時の状態へのリセット操作で暗号化消去が有効となります。
PCの使用中に暗号化を有効にする場合の注意点としては、以下の2点があります(BitLockerの例)。
- ①「使用済み領域」に対する暗号化を行った場合
暗号化の対象が、現存する「ファイル」であるため、過去に削除され再使用されていないセクタに残るファイルの残骸や、ファイル・スラック領域に残るファイルの断片、「再割り当て済みセクタ」等のOSが認識しない領域は、暗号化の対象外となる。市販のデータ復旧ソフトの使用ではデータの断片などが読み出し可能な状態で残存するため、データ消去(Clear)と呼べるレベルを満たすことはできない。 - ②「メディア全体」に対する暗号化を行った場合
バッドセクタ処理やペンディング処理により発生する「再割り当て済みセクタ」等のOSが認識しない領域は暗号化の対象外となる。研究所レベルの特殊な手法を用いるとデータの断片などが読み出し可能な状態で残存するため、本来の「暗号化消去」の、機密性の高い情報に対するデータ抹消である「Purge」レベルではなく、通常の「Clear」レベルに留まる。
5)使用中のストレージでもメイン(マザー)ボード上にTPMモジュールが追加可能な場合もあります。適合するモジュールが追加できれば、暗号化システムが構築可能です。最近の20TBを超える大容量HDDでは上書き消去に数日を要しますが、暗号化消去は数秒でPurgeレベルのデータ抹消が完了します。
TPMモジュールが追加できない場合でも、SED(Self Encrypting Drive:自己暗号化ドライブ)機能を持つHDD/SSDでは、内部にTCG Opal等のセキュリティーチップ(HSM)を搭載しているので、システムメンテナンス時に1台ずつ交換することが可能な場合もあり、専用のコマンドを利用することで暗号化消去を行うことができます。
【著作権は、沼田理氏に帰属します】
沼田 理(ぬまた まこと)
データ復旧・データ消去のスペシャリスト。データ適正消去実行証明協議会(ADEC)技術顧問。技術情報、web原稿の提供、IDF(デジタル・フォレンジック研究会)講師などを務める。神奈川県情報流出事件以降は、新ガイドライン作成へ向けた行政からの技術諮問に応じるなど活動中。2020年2月より、株式会社ゲットイットの技術顧問に就任。
執筆文献:「データ抹消に関する米国文書(規格)及びHDD、SSD の技術解説」「ADEC データ消去技術ガイドブック 第2版」他。