ニュース
» 2009年05月12日 16時35分 UPDATE

データ漏えい防止策:用済みPCを安全に処分するには

米国の機密情報が入ったPCがeBayに出品されていたことが最近明らかになった。こうした情報流出を防ぐには、適切なプランと管理が必要だ。

[Brian Prince,eWEEK]
eWEEK

 米国のミサイルシステムに関するデータが、eBayのオークションに出品されていたコンピュータ上で見つかったというニュースは、企業が古いPCを処分する際のデータ管理がずさんであると何が起きるかをあらためて示すものである。

 今回の場合、問題のコンピュータは調査プロジェクトの一環として購入され、FBIに引き渡されたために大事には至らなかった。しかしこの出来事は、企業のPCの“死”に至るまでデータを保護するためのポリシーを用意することの重要性を浮き彫りにする形になった。

 米調査会社Forrester Researchのアナリスト、ジョン・キンダーバーグ氏は「ほとんどの企業はデータ消去をきちんとやっていない。ハードウェアのプロビジョニングと在庫管理の仕事が、経験の浅いITスタッフに任されているからだ。彼らは十分なトレーニングを受けておらず、処分対象のマシンに保存されている古いデータを破壊することの重要性を理解していない」と指摘する。

 「また、消磁装置などのハードウェアやデータ消去ソフトウェアなどが必要になることが多いが、これらは高価であったり、消去作業に時間がかかったりする。この作業に必要な時間を割り当てていない企業もある」と同氏は語る。

 今回問題になったミサイルデータは、米Lockheed Martinが米陸軍向けに開発した「THAAD(戦域高高度防衛ミサイル)」プロジェクトに関する情報だった。この情報が入っていたコンピュータは、英国のグラモーガン大学、オーストラリアのイーデスコーワン大学、米国のロングウッド大学による調査の一環として購入された。英BTの委託を受けて実施されたこの調査の結果、検査した300台余りのHDDの3分の1以上で、個人あるいは企業につながるデータが含まれていることが分かった。

 こういった問題を解決するには、予算の計上から実際のデータ消去に至る手順を示したPC処分プロセスを作成する必要がある。米調査会社Gartnerのアナリスト、フランシス・オブライエン氏は、この問題に関するリポートの中で「マシンの運用を終了した時点から実際に処分されるまでの管理の流れを示したポリシーが必要だ」と述べている。

 オブライエン氏によると、企業はPCを処分する前に、そのマシンをスキャンしてデータが残っていないかチェックしなければならないという。「マシンをサニタイズする前に、そのマシンが社内で再利用したり売却することが可能か、あるいはマシン上のソフトウェアを再配備することができるか(ライセンスで許可されている場合)といったことを検討する必要もある」と同リポートは指摘する。

 また、単にデータを消去するのではなく、マシンをサニタイズする必要があるという。

 「データを消去すればHDDから情報が削除され、特殊なユーティリティソフトやテクニックを用いないかぎり、その情報を読み出すことはできない。しかしこれは、データを永遠に削除するものではなく、コンピュータにそのデータのことを“忘れさせる”だけなのだ。サニタイズというのは、通常のリカバリ方法では絶対に復元できず、研究所レベルのリカバリ手法でも復元がほとんど不可能な程度にまで、メディアから機密データを削除するプロセスだ」とオブライエン氏は記している。

 Forresterのアナリスト、アンドリュー・ジェイキス氏によると、機密データの削除には、ディスク消磁装置や7回ランダム書き込みアルゴリズムを使用するのがベストだという。ツールやコマンドラインを通じてこのアルゴリズムをサポートするOSもある。こういった機能を提供するサードパーティーツールも出回っている。

 「物理的な選択肢もある」と同氏は付け加える。「メモリカードやHDDをハンマーで破壊するという手段も非常に有効だ。短時間で済み、満足感も大きい」

 データ保護をさらに強化する手段が暗号化である。Seagateでエンタープライズセキュリティ担当シニアマネジャーを務めるジャンナ・ダジョー氏によると、HDDの消磁や物理的破砕にはコストが掛かる可能性があるという。ドライブにデータを上書きする方法も、リアロケートされたセクタをカバーしていなかったり、ドライブエラーのせいで書き込みがうまくいかなかったりすると、完全なものにならない可能性がある。

 「HDDを安全に退役させる唯一の手段は、それらをずっと保管して自社の管理下に置いておくことだと考えている企業もある」とダジョー氏は話す。「だがこれは十分に安全だとはいえない。多数のHDDをまとめて保管しておくと、従業員が誘惑に駆られ、一部のHDDの紛失や盗難につながる恐れがあるからだ」

 結局、ポリシーとワークフローが肝心だというのが、Forresterのキンダーバーグ氏の考えだ。すなわち、退役したマシンがIT部門に戻されてきたときに実行すべき手順を確立するということである。

 「企業が適切なワークフローを作成し、これらの比較的簡単な作業を実行するのに必要なトレーニングとツールを提供すれば、今回のeBayのケースのような厄介な状況が起きるリスクは極めて小さくなる」(同氏)

過去のセキュリティニュース一覧はこちら

原文へのリンク

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -