用済みPCを安全に処分するには:データ漏えい防止策
米国の機密情報が入ったPCがeBayに出品されていたことが最近明らかになった。こうした情報流出を防ぐには、適切なプランと管理が必要だ。
米国のミサイルシステムに関するデータが、eBayのオークションに出品されていたコンピュータ上で見つかったというニュースは、企業が古いPCを処分する際のデータ管理がずさんであると何が起きるかをあらためて示すものである。
今回の場合、問題のコンピュータは調査プロジェクトの一環として購入され、FBIに引き渡されたために大事には至らなかった。しかしこの出来事は、企業のPCの“死”に至るまでデータを保護するためのポリシーを用意することの重要性を浮き彫りにする形になった。
米調査会社Forrester Researchのアナリスト、ジョン・キンダーバーグ氏は「ほとんどの企業はデータ消去をきちんとやっていない。ハードウェアのプロビジョニングと在庫管理の仕事が、経験の浅いITスタッフに任されているからだ。彼らは十分なトレーニングを受けておらず、処分対象のマシンに保存されている古いデータを破壊することの重要性を理解していない」と指摘する。
「また、消磁装置などのハードウェアやデータ消去ソフトウェアなどが必要になることが多いが、これらは高価であったり、消去作業に時間がかかったりする。この作業に必要な時間を割り当てていない企業もある」と同氏は語る。
今回問題になったミサイルデータは、米Lockheed Martinが米陸軍向けに開発した「THAAD(戦域高高度防衛ミサイル)」プロジェクトに関する情報だった。この情報が入っていたコンピュータは、英国のグラモーガン大学、オーストラリアのイーデスコーワン大学、米国のロングウッド大学による調査の一環として購入された。英BTの委託を受けて実施されたこの調査の結果、検査した300台余りのHDDの3分の1以上で、個人あるいは企業につながるデータが含まれていることが分かった。
こういった問題を解決するには、予算の計上から実際のデータ消去に至る手順を示したPC処分プロセスを作成する必要がある。米調査会社Gartnerのアナリスト、フランシス・オブライエン氏は、この問題に関するリポートの中で「マシンの運用を終了した時点から実際に処分されるまでの管理の流れを示したポリシーが必要だ」と述べている。
オブライエン氏によると、企業はPCを処分する前に、そのマシンをスキャンしてデータが残っていないかチェックしなければならないという。「マシンをサニタイズする前に、そのマシンが社内で再利用したり売却することが可能か、あるいはマシン上のソフトウェアを再配備することができるか(ライセンスで許可されている場合)といったことを検討する必要もある」と同リポートは指摘する。
また、単にデータを消去するのではなく、マシンをサニタイズする必要があるという。
「データを消去すればHDDから情報が削除され、特殊なユーティリティソフトやテクニックを用いないかぎり、その情報を読み出すことはできない。しかしこれは、データを永遠に削除するものではなく、コンピュータにそのデータのことを“忘れさせる”だけなのだ。サニタイズというのは、通常のリカバリ方法では絶対に復元できず、研究所レベルのリカバリ手法でも復元がほとんど不可能な程度にまで、メディアから機密データを削除するプロセスだ」とオブライエン氏は記している。
Forresterのアナリスト、アンドリュー・ジェイキス氏によると、機密データの削除には、ディスク消磁装置や7回ランダム書き込みアルゴリズムを使用するのがベストだという。ツールやコマンドラインを通じてこのアルゴリズムをサポートするOSもある。こういった機能を提供するサードパーティーツールも出回っている。
「物理的な選択肢もある」と同氏は付け加える。「メモリカードやHDDをハンマーで破壊するという手段も非常に有効だ。短時間で済み、満足感も大きい」
データ保護をさらに強化する手段が暗号化である。Seagateでエンタープライズセキュリティ担当シニアマネジャーを務めるジャンナ・ダジョー氏によると、HDDの消磁や物理的破砕にはコストが掛かる可能性があるという。ドライブにデータを上書きする方法も、リアロケートされたセクタをカバーしていなかったり、ドライブエラーのせいで書き込みがうまくいかなかったりすると、完全なものにならない可能性がある。
「HDDを安全に退役させる唯一の手段は、それらをずっと保管して自社の管理下に置いておくことだと考えている企業もある」とダジョー氏は話す。「だがこれは十分に安全だとはいえない。多数のHDDをまとめて保管しておくと、従業員が誘惑に駆られ、一部のHDDの紛失や盗難につながる恐れがあるからだ」
結局、ポリシーとワークフローが肝心だというのが、Forresterのキンダーバーグ氏の考えだ。すなわち、退役したマシンがIT部門に戻されてきたときに実行すべき手順を確立するということである。
「企業が適切なワークフローを作成し、これらの比較的簡単な作業を実行するのに必要なトレーニングとツールを提供すれば、今回のeBayのケースのような厄介な状況が起きるリスクは極めて小さくなる」(同氏)
関連記事
- 中古HDDの34%に機密情報が残る
eBayなどで売買されていた中古HDDの34%から、医療記録や社外秘の事業計画、金融機関のデータといった情報が見つかった。 - 情報漏えいの対応費用は1件200ドル超に
2008年に起きた情報流出に関して掛かったコストは1件当たり平均665万ドルで、年々上昇している。
関連リンク
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- CVSSは「10.0」 ReactとNext.jsにリモートコード実行の脆弱性
- AWS、UIを操作するAIエージェントを提供開始 安定動作や統合性をどう実現した?
- 企業の半数以上がインシデントを経験 年末年始に潜むサプライチェーン攻撃の脅威
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
- “AIエージェントの次”のトレンドは何か Gartnerが描く未来志向型インフラのハイプ・サイクル
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- 汎用LLMはもう終わり? Gartnerが「次の5年」を決める技術を発表
ITmediaはアイティメディア株式会社の登録商標です。