昨今、さまざまなセキュリティ事件が絶えない。そんな中で見過ごされがちなのが、「データ消去」。ごみ箱に入れただけではもちろん、HDDのフォーマットや出荷時状態へ戻しただけで十分だと考えていたら、大間違い。本記事では、“ばか正直”を自称するデータ消去のプロに、正しい消去法を聞いた。
企業がPCやサーバ、記憶媒体などを廃棄、譲渡する際、その中にあるデータは消去しなければならない。第三者の目に触れる情報漏えいにつながり、大きなセキュリティインシデントを招く可能性があるからだ。しかし、一口にデータの消去といっても、ファイルをごみ箱に入れるとか、PCを初期化するとか、あるいはストレージをフォーマットとする、という作業では不十分で、データが消去されずに残ってしまう可能性がある。
昔から、PCパーツショップで販売されているHDDやSSDの中古品から企業の業務データが漏えいしたという話は枚挙に暇がない。例えば、2019年には神奈川県庁が使っていたHDDがネットオークションで販売され、個人情報を含む行政文書が漏えいする事件が発生した。大きく報道されたので、記憶に残っている人もいるだろう。同様のインシデントは今でも1年に数回程度発生しているという。
企業がデータを消去する際、参考にしたいのが米国国立標準技術研究所(NIST)が発行する「NIST SP 800-88 Rev.1」(媒体のデータ抹消処理(サニタイズ)に関するガイドライン)だ。21年11月に、IPA(情報処理推進機構)が日本語訳を公開した。
今回は、企業のデータ消去における失敗例や誤解と正しい対処法、そして「NIST SP 800-88 Rev.1」について、古くからデータ消去事業を手掛けるデジタルリユースの常務取締役で、一般社団法人日本ITAD協会の副代表理事も務める舘良文氏にお話を伺った。
デジタルリユースは2001年に設立され、再資源化を目的にリユース品の売買事業を手掛けている。筆頭株主のJECCは主に官公庁向けにIT機器のリース事業を行っており、その関係から、デジタルリユースは古くからデータ消去事業もメインの事業となっていた。
データ消去は単なるファイルの削除とは異なる。データ復元ソフトを使っても復元できないように、完全にデータの痕跡まで消し去らなければならない。
デスクトップ上のごみ箱にファイルを入れただけでは簡単に元に戻せるし、たとえごみ箱を空にしたとしても専用ソフトを使えば復元できる。ストレージをフォーマットすると、OS上は空っぽのようにも見えるが、あくまでインデックスを消しているだけで実際のデータは残っていることが多いという。PCを工場出荷時の状態に戻す場合も、OSが上書きされた部分のデータは不可能だが、その他の空き領域に関してはデータを復元できる可能性があるのだとか。
そもそもストレージのデータは消せたが、PCにCD-RやDVD-R、SDカードなどが入ったままで、そこにデータが残っている、というケースもある。情報漏えい防止にデータ消去をするとしても、ここまで述べたようなよくある作業だけだとリスクが残ってしまう。では、データ消去のプロフェッショナルはどのように消去しているのだろうか。
デジタルリユースでは、ソフト消去、磁気消去、物理的破壊の3方式でデータを消去している。この3方式にデータ消去レベルの違いはなく、どれもきちんと作業できれば、確実にデータを消去できるという。
「ソフト消去では、USBメモリからPCを起動し、Blancco社製の消去ソフトを実行しています。進捗(しんちょく)を画面で確認でき、HDDやSSDのデータを消去します。作業完了後にはレポートが出て、ログも記録できるので、誰がどの方法でどの機材を消去したのかを管理できます」(舘氏)
HDDにはセットアップ用途などで用意されている隠し領域など、一般的な方法でアクセスできない領域がいくつかある。例えば、HDDにはHPA(Host Protected Area)やDCO(Device Configuration Overlay)と呼ばれる領域が作成されている場合があり、これらの領域には通常の方法ではアクセスできない。また、HDDは読み書きエラーが起きると、リマップセクタとして他の領域を利用するが、このリマップセクタにデータが残っていることもある。これらの領域もBlancco社製の消去ソフトであればきちんと消去できるという。
また、デジタルリユースではサーバのストレージを消去する専用デバイスも用意しており、ファイバーチャネル経由で見えるHDDを全て同時に消去できる。自社センターにも200V電源を備え、サーバであってもきちんと電源を入れてソフト消去できるのが強みとなっている。
一方、SSDはHDDと異なる点が多い。単に「0」データで上書きする方法ではデータを消去しきれないのだ。SSDにはウェアレベリングという機能があり、データを全て上書きするように命令しても、実際には書き込まないことがあるそう。そこで、その機能を無効にして、全領域に「0」データを書き込む必要がある。もしくは、SSDが備えているSecure Erase機能を利用してもいい。
こうしたソフト消去は、磁気消去や物理的破壊と違って再利用できるのがメリット。例えば、営業マンが使っていたノートPCなど、重要機密データが入っているわけではないPCならSDGsの観点からリユースのためにソフト消去がおすすめだという。
データ消去でよくあるのが、「3回書き込み」の要望だという。
かつてHDDはデータの集積度が低く、データの読み書きを行うヘッドがずれることがあった。そのため、複数回同じ箇所に書き込むことで、ずれた部分を消去する手法が採用され、「3回書き込み」はHDDのデータ消去として古典的な手法とされる。しかし、これは今や誤った常識のようだ。
「近年のHDDは集積度が上がり、ヘッドがずれなくなったため、わざわざ3回も書き込む必要がなくなり、1回の上書きでよくなっています。また、SSDに対しても3回書き込みをオーダーされることがあります。媒体が進化しても知識をアップデートできていない方は、意外と多いのです」(舘氏)
実際、HDDへの3回書き込みによるデータ消去は、データ消去の米国国防総省方式「DoD 5220.22-M」に記載されているが、同ガイドラインの最終更新年は06年。また、SSDの消去定義もされていない。現在は、冒頭で紹介した「NIST SP 800-88 Rev.1」ガイドラインが標準となっている。こちらは上書き消去回数は1回で、SSDの消去定義もなされている。
デジタルリユースでは、こうした背景がありながらも、企業の運用ポリシーや入札案件で仕様書に3回上書きと決められている場合は、顧客の要望に応えて対応しているという。
消去法の2つ目、磁気消去は磁気で記録されているHDDのデータ消去に利用される。HDDを取り出して専用の磁気消去装置にセットし、強力な磁気を照射する。データが消去されるだけでなく、HDDは再利用できなくなるのがソフト消去との違いだ。また磁気で記録されているわけではないSSDなどのフラッシュメモリには利用できない。データ消去の前後で見た目が変わらないこともあり、最近はあまり選ばれなくなってきているそう。
最後の物理的破壊によるデータ消去は分かりやすい。HDDなら4点穿孔を行い、プラッター(円盤部)の部分に穴を開ける。当然使えなくなるのでデータは失われる。見た目も穴が開くのでデータごと破壊されていることが一目瞭然だ。
SSDを物理的破壊する際は20ピンで2回、合計40個の穴を開ける。HDDのように4点穿孔だと、残っているチップからデータにアクセスできる可能性が残ってしまうためだ。
「それならHDDもSSD用の機材で破壊すればいいのに」とも思えるが、HDDの中央にはとても固い回転軸があるため、ピンが折れてしまうことから別の機材を用意しているという。
同社では穿孔による物理的破壊だけではなく、今後は細断の依頼が増加すると予測。新たに細断機を導入するなど、トレンドに合わせた対応を用意している。
物理的破壊をする際は、専用ボックスで作業前後の写真を撮影。そして、デバイスの型番とシリアルナンバーをバーコードで読み込み、社員番号や日時とともに写真に埋め込み、作業が完了したらデータ消去の証明書を発行している。きちんとデータを消去したというエビデンスを残し、トレーサビリティーを確保しているので安心できるのも同社サービスの強みだ。
ここまで紹介したデータ消去は全て自社センターで処理できるが、顧客の運用ポリシーにより、データを持ち出せないケースもある。その場合は、顧客のところまで足を運び、オンサイトでの作業にも対応している。ソフト消去だけでなく、物理的破壊も可能だが、物理的破壊による金属ごみが出て欲しくない場合は、磁気消去を行うこともある。
もちろん自社センターで行う場合も、輸送経路を含めてセキュリティを担保している。オンライン立ち会いサービスも提供しており、クラウド監視カメラを利用し、作業風景を見られる。時流に合ったサービスだといえる。
ソフト消去を行う際、PCが故障していると消去ソフトが起動しないこともある。一般的に、そうした場合は物理的破壊をするのだが、顧客が順守したい仕様書の要件から外れてしまう。そんなとき、デジタルリユースではHDDを取り出し、専用の消去マシンにつないでソフト消去を行える。顧客が3回上書きしたいと言えば、抜き取り消去マシンでも3回消去を行う。
「われわれは一種“ばか正直”なので、依頼されている内容とデバイスの数が異なったり、PCにSDカードなどが入っていたりしたら、いったん作業の手を止めてお客さまに必ず確認をします。ただ、そういう面倒なやりとりをせず、作業を丸投げしたいお客さまもいらっしゃるので、疎まれることもあるくらいです(笑)」(舘氏)
HDDを物理的破壊する依頼が来たときにも、怪しいと思えばリース物でないかどうか確認する。リース物は所有者が異なるので、利用者が勝手に破壊してしまうとトラブルになってしまう。実際に、リース物のトラブルを回避できたケースもあるという。
舘氏が自称するような“ばか正直”さの裏には、品質マネジメントシステムの「ISO 9001」や情報セキュリティマネジメントシステム「ISO 27001」の取得で裏付けられた同社の高い専門性がある。ITセキュリティの重要性が高まる今、システムの構築・運用までは手が回っても、意外と最後の部分であるデータ消去が手薄という企業は少なくない。そんなとき、デジタルリユースに相談すれば、過去の知識と経験から有用なアドバイスを得られるはずだ。
最後に、今後の展望について伺った。
「現時点では、消去方法をきっちり指定した依頼が多いのですが、今後は『データを消去したいんだけど、よく分からないから話を聞きたい』というケースにも広く対応していきたいと考えています。
また、データ消去というITの“下流”の部分を主に手掛けていますが、今後はキッティングといった上流部分でもサービスを展開していく予定です。長年データ消去を行っているので、その技術をオンサイトでセキュリティに配慮しながら、設置・設定を行うというケースにも応用できると思っています」と舘氏は締めた。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:デジタルリユース株式会社
アイティメディア営業企画/制作:ITmedia ビジネスオンライン編集部/掲載内容有効期限:2022年3月21日