ITmedia NEWS >

シュレッダーはセキュアな書類破棄方法か?

» 2005年06月22日 21時45分 公開
[Ben Rothke,eWEEK]
eWEEK

 企業は長年、社外秘の機密情報がライバルの手に渡るのを防ぐために、書類をシュレッダーにかけるという習慣を続けてきた。ごみ箱をあされば書類を簡単に盗めてしまうことなどから、この手法が選ばれている。

 企業は実際、例えば次のような社内規定を作った当時、企業としての当然の義務を果たすためだと信じて疑わなかった。「個人情報(氏名、社会保障番号、住所、電話番号、医療記録、資産情報などが相当するが、この限りではない)が含まれる書類はすべて、個人情報保護のために、ごみとして処分する前にシュレッダーにかけなければならない」

 社内規定を設け、シュレッダーも用意したから、これで問題解決だ――そう思えた時代は、ところがそう長くは続かなかった。新たな技術によって、事実上どんな文書でも、簡単に復元できるようになってきたからだ。機密資料の安全性が心配なら、書類の細断と復元について少々知っておく必要がある。

 シュレッダーは、大きく2つの細断方式に分類できる。ストレートカットとクロスカットだ。ストレートカット式のシュレッダーは、書類を6ミリや12ミリといった幅の帯状に細断する。ストレートカット式の方がクロスカット式より、通常は安価で、耐久性もかなり高く、おおむね高速な細断が可能であるため、人気がある。

 一方、クロスカット式のシュレッダーは紙を帯状に細断するのではなく、より小さな紙片――およそ6ミリ×38ミリの長方形の紙吹雪状――にするので、ストレートカット式より機密性はかなり高い。細断後の紙片から元の文書を復元するのは、基本的に、巨大なジグソーパズルを埋めていくようなものだ。ジグソーパズルのピースのようにカラフルではないが。

 また、紙片がより細かいので、同量の細断くずを入れた袋の占有スペースは、クロスカット式の方がストレートカット式のそれより小さく収まる。クロスカット式では縦横両方向で細断するため、くずが非常に小さくなり、自己圧縮効果が出て全体のかさが減るのだ。

 軍関係者や情報機関は別として、大半の人は、細断した書類が何らかの方法で復元できると考えたことなどほとんどないだろう。だが現実には、十分な時間と人手をかければ、しっかり細断されていない書類はほとんどどんなものでも復元できる。

 米ChurchStreet Technologyのコディ・フォード社長兼CEOは、ITコンサルタントとしてEnronに勤めていた時代に、同社の会計不祥事をはたから見守ることとなった。同社が調査を受けているときに、フォード氏は、細断した書類を復元することの重要性に気付き、2002年初頭、ChurchStreetを創業する。

 独自の技術を採用したChurchStreetの「Strip-Shred Reconstruction Suite」と「Cross-Shred Reconstruction Suite」は、シュレッダーにかけた書類を復元することができる。依頼主が政府の情報機関の場合を除いて、依頼された書類の復元作業は、すべてChurchStreetの施設内でChurchStreetの機器を使って行われている。

 「企業が書類復元を依頼してくる理由として最も多いのは、訴訟の過程で発見された情報を提示するためだ。細断された関連書類があると分かると、訴訟の相手がたいてい、何かを隠ぺいしたのではないかと疑って復元を求めてくるからだ」(フォード氏)

 復元は、基本的に次のような流れで行われる。まず、依頼主から細断くずを受け取ったChurchStreetの技術者が、復元可能かどうかを判断する。次に、技術者は細断くずをスキャナにかける。スキャナが紙片の1つ1つを読み取り、一意のID番号を振って、ページと照合できるようにする。そこからChurchStreetのソフトが作業を引き継ぎ、復元作業を実行する。

 ChurchStreet独自のこのソフトは、復元作業のほとんどをこなす。照合という観点で見ると、多くの文書にはそれぞれに特有のヘッダとフッタがあり、これがソフトによるピース照合の助けとなる。電子メール、ファクスの送り状、メモ書きなどの文書にも、同様の「型」が存在する。さらに、一般には、細断くずの約30%は空白部分のため、処理も照合も必要ない。

 フォード氏は、復元の成否を決める主要因は、最終的には次の3つだとしている。細断した書類の種類(帳票、スプレッドシート、画像、基本文書など)。細断くずの状態。そして、同じ書類の紙片がまとまって入っているごみ袋が、手付かずの状態に保たれていたかどうか。クロスカット式の場合、細断されたデータの量を考えると、ごみ袋が手付かずの状態で保たれていることが特に重要となる。

 かつて無害だったシュレッダー作業が、もはや許されないものとなっている。ChurchStreet開発の技術は、シュレッダー作業に関して、企業が情報保持のための社内規定を書き換えて新手の脅威に対応しなければならないことを示している。これまでやみくもに書類を細断してきた企業は今、もっとフォーマル、かつ思慮深いアプローチで、何を、どんな方法で細断したいのかを考え直すよう迫られている。2005年のセキュリティに――とりわけ紙をシュレッダーにかけるという行為に――お手軽な手段は存在しない。

※本稿筆者ベン・ローケは、ThruPointのセキュリティコンサルタント、CISSP。著書に"Computer Security: 20 Things Every Employee Should Know"がある。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.