金融機関が認めるデータライブの「IT機器の適正処理サービス」は、なぜ厳しいセキュリティ基準をクリアできたのか

データライブが第三者保守用の部品調達を目的にサービスを開始した「IT機器の適正処理サービス」。厳しいセキュリティ基準で知られる金融機関に認められ、サービスを請け負うようになった背景には、データ消去技術の最新動向を踏まえた処理体制があった。

[PR／ITmedia]

PR

　メーカーの保守サポートが終了したIT機器、私たちが安く安全に処理します――。昨今、そんな提案で耳目を集めているのが、第三者保守サービスを提供するデータライブだ。

　第三者保守サービスとは、保守サポートが終了したIT機器をメーカーに代わってサポートするもの。企業はこれまで使っていたシステムを延伸稼働させ、保守にかかるコストを軽減できることから、そこで生まれた原資を企業の競争力強化につなげることが可能になる。こうした背景から、さらなるコスト削減を迫られている企業が、導入を検討するケースが増えているという。

　そんな第三者保守サービスを提供するデータライブが今、注力しているのが「ITAD（アイタッド：IT Asset Disposition）」の取り組みだ。ITADとは、企業がサポート期限切れなどで不要になったIT機器を処理する際、環境保全やセキュリティなどに配慮した上で適正な処理を行うことを指す。

　IT機器を処理する際にコストがかさむ理由はここにあるわけだが、データライブが処理を肩代わりすることで、企業とデータライブの両者がメリットを享受できるようになる。企業は安価に、場合によっては買い取り料を受け取って機器を処分でき、データライブは第三者保守を行うための部材を調達できるからだ。

第三者保守サービスに必要なパーツを調達するためにIT機器の適正処理サービスを開始した

　ただ、IT機器の処理請負にあたっては課題もある。それは、「廃棄するIT機器に搭載されたHDDからのデータ漏えい」に対する企業の懸念だ。

　企業からIT機器を引き取る際、適切なデータ消去プロセスを踏まないと、廃棄される前に誰かの手によってコピーされたり、再販された先でデータが読み取られて、流出につながる恐れがある。データライブは、こうした正しい処理が行われているかどうかを証明する必要があるわけだ。

　今や、大手金融機関からも廃棄処分を請け負うようになったデータライブはどのような体制で安心、安全なデータ消去処理を行っているのか。データライブの執行役員で営業本部の本部長を務める手島直樹氏と、同社のロジスティックサービス本部で本部長を務める齋藤学氏に聞いた。

データライブの執行役員で営業本部の本部長を務める手島直樹氏（画面＝左）と、同社のロジスティックサービス本部で本部長を務める齋藤学氏（画面＝右）

IT機器廃棄前のデータ消去を巡る「誤解」とは

　齋藤氏によれば、そもそも日本では、「まだ、HDDを通じた情報漏えいに対する危機意識は低い。作業管理も含め、しっかりデータを消すプロセスを踏まないことが漏えいにつながっている」と指摘する。

　海外に目を向けると、製造から活用、廃棄までを含んだITライフサイクルの中でデータをどのように取り扱うべきかという観点から、米NISTをはじめいくつかのガイドラインが定められている。そこでは全てのデータを一律に扱うのではなく、機密度・重要度に応じ、「決して漏えいしてはならない重要なデータを扱ったHDDは、穴を空けるだけで済ませず、シュレッダーで破砕する」「一般情報に属するものを扱う場合は、専用データ消去ソフトウェアで上書きすればよい」といった具合に適切な選択肢を用い、コストや手間とのバランスを取りながらデータを消去するのが一般的だ。

　だが、国内では、こうしたガイドラインに沿ったデータ消去に対する意識全般が低いだけでなく、10年以上前の情報に基づいた「誤解」が残っている状況だと齋藤氏は説明する。

　そんな誤解の中でも代表的なのが、「HDDに物理的に穴をあければ大丈夫」というものだ。「実は、穴をあけた部分は読み取りができなくても、残された部分からデータを読み取れることもあり、必ずしも全てのデータが安全に破棄されるわけではない」（齋藤氏）という。

データライブ ロジスティックサービス本部の本部長を務める齋藤学氏

　逆に、「ソフトウェアで上書き処理を行うだけではデータが復元できるため、安全ではない」という思い込みも根強い。しかし、「一度上書きするだけでもデータの復元は難しくなるし、回数を重ねればいいというものでもない。中には48回も上書きを重ねるやり方もあるが、いたずらにHDDの寿命を短くするだけで実質的な効果は薄いことが、いくつかの調査によって明らかになってきた」（齋藤氏）

　また「たとえデータを消しても残留磁気を読み取れば情報が漏えいしてしまう」といった指摘は刺激的で、メディアでも取り上げられやすい。しかしこの「伝説」も、今やHDDの規格自体が進化したことによって現実的には難しくなりつつある。

　IT機器の廃棄時にはデータの消去処理が不可欠だが、一方で古い知識に基づいた誤解を抱いたままでは、廃棄に当たって必要以上のコストを投じたり、消去したつもりで肝心のデータが残るリスクを抱えることになりかねない。データライブではHDDに特化した専門家が、学術文献などを元にHDDのデータ消去に関する最新動向を検証し、分かりやすくまとめた資料を用意している。

適切なツールと厳密なプロセスで預かったIT機器のデータを消去

　メーカーの保守期限後も独自のサポートを提供し、決して安くはないIT機器を使い続けられるよう支援する第三者保守を展開してきたデータライブでは、IT資産の廃棄処分についても、企業が安心して任せられる廃棄プロセスを構築している。

　ITADサービスのベースとなる「東京テクノセンター」（TTC）では、機器の種類や重要度に応じて、国家機関でも採用されている専用機器や上書き専用ソフトウェアを用いて確実にデータを消去。作業プロセスは全てログを取り、預かったHDDと照らし合わせてトレーサビリティーを確保している。また、機器をある工程から別の工程に移動する際は専用のセキュリティボックスに収納しているため、合間に誰かがデータを盗み取ることも不可能だ。

ITADサービスの拠点、東京テクノセンター（画面＝左）。パーツの保守部品化や検品（画面＝右）などの作業もここで行う

　こうした厳密なプロセスを採っているのは、法規制対応という理由もあるが、前述の通り、同社が提供する第三者保守サービスで活用する機器やパーツを確保するという側面もあるためだ。この先、活用する可能性がある部品だからこそ丁寧に扱い、「機器を倉庫に収めたり出して使ったりするときには必ず動作確認を行うが、それとセットでデータ消去を行っている」と齋藤氏は説明する。

　データライブはISO 27001の認証に加え古物商免許も取得しているが、データ適正消去実行証明協議会（略称ADEC）をはじめ、機器廃棄プロセスの国際標準化に取り組んでいる団体とも協調に向けた動きも進めており、引き続き最新動向を収集し、適切なデータ消去プロセスに磨きをかけていくという。「今後はISOやプライバシーマークだけでなく、廃棄に関わる専門的な認証も取得し、さらに安心して利用いただけるサービスにしていく」（齋藤氏）

保守部品として使えない記憶媒体は破砕する

コンプライアンスを満たしつつコストメリットも　金融業界が認めた理由

　このようにコンプライアンス確保とコスト削減の両面から、ITADサービスへの注目は高まりつつある。それは、最も厳しい法規制の下にあり、セキュリティ強化が求められる金融業界で顕著だ。

　金融機関向けのシステム構築を担うあるシステムインテグレーターでは、あるサービスの終了に合わせてデータライブのITADサービスを採用した。この企業では、過去に機器の入れ替えが発生した際は、全てまとめて破壊した上で廃棄していたが、データライブでは、アセスメントに基づいて対象を「廃棄」「移転」「買い取り」の3つに分類して処理を進め、コンプライアンスを満たしつつ、コスト面で大きな効果を得たという。

　当初、この顧客はコンプライアンスの観点から、ソフトウェア消去による買い取りのプロセスに不安を抱いていたそうだ。これまでの「常識」に従えば、それも無理はない。そこでデータライブでは、データ消去技術の最新動向をまとめた資料に加え、データ消去に用いるソフトウェアの詳細、情報漏えい事故が「0件」であるというデータライブの過去の実績を示し、顧客の理解を得ていった。「最終的にはTTCでの処理プロセスを自らの目で確かめてもらい、納得した上でITADサービスを採用していただいた」（同社執行役員 営業本部 本部長 手島直樹氏）

データライブ執行役員で営業本部の本部長を務める手島直樹氏

　またデータセンターとの契約の関係で作業期間が1カ月程度と短かったにもかかわらず、多数のIT機器が収納されたラックをそれぞれ調査し、分類に応じてシールを貼り、工程表に沿って丁寧に作業を行ったことも評価のポイントになったという。

　これまで“わざわざお金をかけて廃棄していたもの”を引き取りにきてくれる上、買い取り分で収支がプラスになる。しかも、業界が定めるデータ消去のガイドラインを守った形で適正処理が進められる――。こうしたITADサービスのメリットが評価され、追加で100台規模の機材撤去と買い取りの話をもらっているという。

　別の金融機関では、日本全国で運用していたネットワーク機器、約600台にITADサービスを活用した。もし、そのまま全ての機器を廃棄することになれば数千万円規模の費用がかかる見通しだったが、第三者保守サービスで活用可能な保守部品を含む機器については、所定の処理を経てデータライブが買い取ることで、むしろ数十万円の「利益」が生まれることになった。大きなコスト削減効果が社内での評価にもつながり、グループ内でのITADサービスの横展開につながっているという。

　東京や大阪など複数の拠点にまたがって、機器の取り外しから分類、輸送に至るまでデータライブが一括して作業を行い、別の業者が関与することもなかったため、作業費の面でも節約できた。「稼働中のシステムも含まれているラックから当該の機器のみを取り外す作業を、専門のエンジニアが丁寧に行った上、清掃までして引き上げていったことも評価された」と手島氏は述べている。

現場の丁寧な作業が高く評価されたという

変わりつつある「IT機器廃棄の常識」

　企業にとって数百万、数千万という金額は大きい。それを、ただIT機器を廃棄するために使うのか、それともセキュリティやコンプライアンスを確保しつつ、次の「攻めのIT投資」に使うべきだろうか。

　データライブの執行役員で経営企画室の室長を務める阿部英明氏は、「金融業界も競争が厳しさを増しており、キャッシュレスをはじめとする新たな付加価値に向けた取り組みが始まっている。だが、そのための費用や予算をどこから捻出するのか。IT予算の構造を根本的に見直し、ITADや第三者保守を活用して削減した分を、そうした投資に活用できるのではないか」と述べている。

　これまでの常識が常識でなくなる時代に、“IT機器の廃棄”というプロセスを見直してみてはいかがだろうか。

ITADサービス契約までの流れ