11月5日(木)に行われたウェビナー『データ消去』新・自治体ガイドライン:求められるPurge(パージ消去)&一元管理システムとは?にて、視聴者の皆さまより多くのご質問をいただきました。
当日パネリストを務めたADEC(データ適正消去実行証明協議会)の鈴木啓紹氏・沼田理氏の両氏、および弊社ITADマネジャーの中村より、各質問へ回答をさせていただきました。寄せられた質問の全てを取り上げることはできませんでしたが、皆さまのお役に立てましたら幸いです。
データ消去に関する質問および回答
Q1.自治体さま
物理的破壊、消磁消去、ソフトウェアによる上書き処理など、様々なデータ消去方法があるが、どのような使い分けが望ましいか?
セキュリティ対策において「絶対」という保証はないと思うが、その上でどこまでを対策すれが良いのか?
今回改訂される総務省のガイドラインが参照しているNIST SP800-88の様に、情報の機密性とデータ抹消のレベルの組み合わせ(マトリックス)を作成して判断することが良いと考えます。これまで中心的に扱われてきた米国国防総省(DoD)の規定による3回上書きが、NISTでは最低のレベル(Clear)とされていますが、このレベルの処置をした記憶媒体からの情報漏洩事件は報道されていません。(報道されていないという事は、皆無であるという事ではなく、それ以上の手段を用いて情報を読み出す行為は「故意」である可能性が高いために公にならないと考えることも必要です)ですから、新ガイドラインで規定されるように、まずは庁内の管理されている環境下でClearレベルの処置を行い、外部委託先で最終的な処置を行い信頼できるエビデンスを残すことが必要です。機密性の高い情報を対象とする場合は、外部委託先での処置を「研究所レベルの攻撃に耐える」レベルの抹消処置「Purge(除去)」や、完全な抹消手段である「Destroy(破壊)」レベルである物理破壊を選択することが必要だと考えます。
Q2.SIer(システムインテグレーター)事業者さま
総務省で予定している新ガイドラインについて、本年夏には更新されると聞いていましたが、コロナなどで遅れているとも伺っています。新ガイドラインの公開のタイミングについて、お話しできる範囲で、お伺いできればと思います。
新ガイドラインの策定にあたり、本年10月5日に開催された総務省様の検討会において最終案が確定されたと伺っています。この後は地方自治体様への意見照会を行い、パブリックコメントを実施する予定になってます。明確な公開タイミングは不明ですが2020年内には公開されると思われます。
Q3.自治体さま
総務省通知などで「情報を復元困難な状態にする措置」という言葉が使われていますが、復元困難、という言葉に違和感があります。この表現の背景などについて教えていただけませんでしょうか。
HDDやSSDの情報の抹消処置では、「完全」と断定する事の出来る処置方法を取ることは非常に困難です。どのレベルの復元方法を対象に、どうする事が必要かを一言で表現することが難しいために現行のガイドラインではこのように表記したものと推定します。しかし、その結果として神奈川県のHDD流出事件の様な事例が発生してしまったため、今回の改訂では、具体的な処置のレベル(方法)まで記載することになったものと考えます。
Q4.自治体さま
SSDの物理的破壊を行う場合、HDDに対応した製品をそのまま利用しても問題はないでしょうか?
SSDに使用されているフラッシュメモリは、製造しているICメーカなどではICの半導体チップを覆っている樹脂を取り除き、内部のIC素子上の、個別のメモリーセルに蓄えられている電荷を読み出すことにより、ビットレベルでデータを復元することが出来ると言われています。ですから、少なくともメモリーICに対して損傷を与えるレベルまで粉砕することが必要だと言えます。この理由によって、現在HDDに対して一般的に使用されているレベルの物理破壊(穿孔やV字型に折り曲げる)レベルの破壊では全く不十分であるという事になります。
Q5.SIer(システムインテグレーター)事業者さま
SIベンダーですが、自治体様へ提案するにあたり消去証明に関し貴社直でないと対応できないとの認識を受けました。 間販は、可能ですか?
SIer様を通してのサービス提供も考えております。具体的な話がございましたら是非お問い合わせくださいませ。
Q6.総合電機メーカーさま
クラウド利用時のデータ消去証明については、新ガイドラインは具体的にどのように対応すべきなのでしょうか。
クラウドに対するデータ抹消手段自体が現時点に於いては定められている状態ではないと認識しています。個別のHDDやSSDと同列の機密度を要求するのであれば、クラウドの契約単位(論理ボリューム)毎に個別の暗号化キーを定めた暗号化記録を行い、契約終了時に「暗号化キー」の抹消を実行したことを証明するような「暗号化消去」と呼ばれる手段を採用することが良いと考えています。この方法を用いることにより、契約終了後もHDDの不良セクタとしてデータの抹消が行われずに残存してしまったような情報も暗号化されているので、元の情報を読み出す(復号する)ことは出来ず、NISTのPurge(除去)レベルのセキュリティを保つことが可能になります。その後、対象の記憶媒体がシステムから取り外された時点においては、最もレベルの高いDestroy(破壊)処置を行なうことが、クラウドサービス提供業者の責務であると考えます。
Q7.自治体さま
SDカード、USBメモリー等の外部記録媒体の効果的なデータ削除方法について知りたいです。
SDカード、USBメモリーに限定してお答えしますと、これらはSSDと異なりシステムが独自に使用する、オーバプロビジョニングやスプール領域と呼ばれる記憶領域を持っていません。ですから、今までHDDに対して行われてきた「上書き消去」を用いることでデータの抹消を行なうことが出来ます。しかし、フラッシュメモリを使用している以上、アドレスの書き換えによる高速化技術などが採用されていないという保証はありませんので、複数回の上書き処置を行なうことをお勧めいたします。
Q8.クラウド事業者さま
ホスティングサービスを提供している事業者の者ですが、今回の総務省からの通達はあくまで自治体に対して求められているものという認識でよろしいでしょうか。
ただ、ホスティングサービスを自治体からご利用頂いているケースもあるため、ADEC認証の様式でデータ消去証明書発行のご依頼を頂いた場合は、ゲットイット様へご依頼することで、ショットの手数料でご対応頂くことは可能でしょうか。
セミナーにありましたADEC会員登録して入会費・年会手数料をお支払いし、専用のルームなどの環境整備したうえ、毎年監査を受けるという内容は一部署の担当レベルで決められる内容ではないので、国からの通達等で会社単位で取り組まないと厳しい内容かなと考えています。
今回の通達は、あくまで自治体に対する要求であることはその通りです。データセンターとして自治体に対する提供を行っていて、使用されている記憶媒体が明らかに物理的に他の契約先と分離されているのであれば、その個別の媒体に対する消去作業と消去証明書の発行をご依頼いただければ対応可能です。
但し、個別の記憶媒体が他の契約先と重複して使用されている(ボリュームによって分離されている)場合は、別のご質問に対してお答えしているクラウドのデータ消去(暗号化消去)などの手法によりセキュリティを確保するような手段を取っておくことが必要です。
なお、サービスご提供価格は現在策定中ではございますが、一般企業様へのご提供も可能でございます。具体的な話がございましたら是非お問い合わせくださいませ。
Q9.リース事業者さま
神奈川県のガイドラインにもある通り、サーバ内のデータは機密情報が保存されている可能性が高いと思いますが、サーバのバックアップ先であるLTOテープには同様のデータが存在するかと思いますがどのような処理がデータ消去として有効でしょうか。またNW機器に含まれる情報についても有効なデータ消去をご教示頂ければと思います。
LTO等の磁気テープに用いられている磁性体は、HDDに用いられている磁性体よりも保持力が弱いので、HDD用の「外部磁気によるデータ消去装置」を用いることでデータ消去が可能です。
NAS以外のNW機器につきましては、記憶媒体としてフラッシュメモリが主に使われていると認識しておりますが、統一された規格は存在せず、製造元、機種等によって外部からのアクセス手段・範囲も異なっていると思われますので、ここでお答えすることは困難です。NISTでは、「機器を工場出荷状態に戻す(リセット)によってClearレベルを得ることが出来る」としていますが、それ以上のPurgeレベルを得るためには、物理的破壊を要求しています。
Q10.リース事業者さま
自治体向けにADECのシステムを導入する予定はありますか?データの抹消責任は作成者にあるわけで自己解決できる仕組みを導入すべきと考えますがいかがでしょうか。
ADECの一元管理システムは、契約先が自治体であっても、データ消去事業者であっても同じように管理することが可能なシステムとして設計されていますので、ご依頼をいただければ自治体と契約することが出来ます。データの抹消責任はデータの作成者に有ることは事実ですが、データの抹消方法につきましては、今回ご説明申し上げたように、適切な抹消手段を選択するためには広い技術的な知識が必要であり、全ての事象に対して常に正しい自己解決を得ることは簡単ではありませんので、信用できる業者に委託・サポートを受ける等により解決することも選択肢とすることが合理的で有ると考えます。
Q11.インターネットサービス事業者さま
SSDのデータ削除についてOS機能では無意味だという旨でしたがデータ削除後にTRIMコマンドが実施された場合は完全に削除されたという認識ですが誤りないでしょうか。
TRIMコマンドは、あくまでも対象となるアドレスが消去対象になったことをSSDに通知するコマンドであって、直接的な消去の実行を指令している訳ではありません。この件につきましては色々な論文が発表存在し、15分~1時間程度のアイドリング時間でデータの復元が困難になったと発表されています。しかし、これらの論文ではシステムだけが使用する、オーバプロビジョニング、やスプール領域と呼ばれる、外部からアクセスできない(アドレスを持たない)領域まで調査したものではなく、対象となるデータが完全に抹消された(Purge(除去)レベル)と判定する事はできません。TRIMコマンドが有効な場合、過去に削除を行った情報が長期間そのまま存在することは無いと判断することは可能ですが、TRIMコマンドが発行されたからデータは抹消されたと断定する事には危険が伴います。
Q12.リース関連事業者さま
個体管理シールを個別の物件に貼付する場合に、その作業(例えばサーバー内にある複数のHD)は、実際には誰がどのように行うのか興味がある。
記憶媒体ごとにシールを貼付することを基本と考えておりますが、サーバーにシールを貼付してHDDはそのサーバーに紐づけた形で追跡することも可能です。ご相談に応じて対応させていただきます。
ご質問いただきました皆さま、誠にありがとうございました。
なお、本ウェビナー『データ消去』新・自治体ガイドライン:求められるPurge(パージ消去)&一元管理システムとは?は、再開催が決定しております。
日程など、詳細が決まり次第、弊社ホームページの「NEWS(お知らせ)」にてご案内いたします。
ぜひ、同僚の方やお知り合いの方にご紹介いただければと存じます。
今後のウェビナー予定
◆2021年2月4日 14:00~15:30
【ご好評につき再開催!】
3回上書きは過去のもの 『データ消去』の正しい知識
詳細はこちら
◆日程未定(調整中)
【ご好評につき再開催!】
『データ消去』新・自治体ガイドライン:求められるPurge(パージ消去)&一元管理システムとは?
詳細はこちら
本件に関するお問い合わせ
担当者 :川澄
メール :
電話番号:03-5166-0900
