公的データ流出事案で、一般の組織・個人で可能なデータ抹消法を考える

先日からニュースになっているとおり、公的なデータが、下請けの処分業者の社員により、オークションで転売される事案がありました。(当初から報道ステーション、2019年12月10日には、あさチャン!や「あの燃え広がりやすい」バイキングで紹介されたので、より多くの人に知れ渡っていると思われます)

 

まさか、高度なセキュリティを誇るはずの処分業者に依頼したはずなのに、その社員の中に問題のある人物がおり、それがデータの完全な消去もせず、一般のハードディスクフォーマットだけでオークションに出されているというのは、あまりにも予想外です。

 

また、リース会社が下請業者に廃棄業務を委託したことを、神奈川県庁に伝えていなかったことも、2019年12月10日のバイキングで報道されていました。

 

廃棄企業の有名なところでもこういう内部管理体制か・・・となってしまうと、真面目にやっている事業者の方が気の毒と思うとともに、経営者・事業責任者・個人として、データを自分のところでできるだけ抹消し、その後処分業者に渡すなどの方法を考えるほかありません。

 

業務データ、個人情報、特に業務でマイナンバーを保有している場合は、特に最大限の注意を払い、現在できうる限り、極力確実な消去法で消去することが望ましいと思われます。(データを大量に上書きするので、HDD・SSDなどのデータ量によって数時間~数日かかりますが・・・)

 

スポンサーリンク

データを守るには、256ビットAESハードウェア暗号化機能を搭載した外付けHDDやWindows10 ProのBitlockerを使うのも手

一部HDDでは、256ビットAESハードウェア暗号化機能といい、パソコンではなくHDDの機械の中で暗号化の計算をさせることにより、データの読み書きが遅くなったり、PCに暗号化計算の負担をかけることを最小限に抑える製品があります。(WD My Passportなど)

 

ハードウェア暗号化機能を備えたHDDの注意点としては、

  • HDDが破損した場合、暗号化がされているため復元できる可能性が極めて低くなる(完全にセキュリティとのトレードオフです)
  • HDDのパスワードを忘れるとデータが復元できなくなる。販売店・メーカーでもどうしようもない。
  • HDDのソフトウェアで、一度暗号化を解除すると、自動的に解除してくれるケースもあるが、ときおり解除を自動でしないケースがあり、そのたびに解除のパスワードが必要になる
  • ディスクにもよるが、ケンジントンロックに対応していないHDDもあり(上記のWDも)、物理的盗難に対しては他の対策を考える必要がある

 

また、Windows10 Pro(Homeでは搭載されていません)であれば、BitLockerというソフトウェア暗号化機能で、データドライブや一部データ・フォルダを暗号化することができます。(ソフトウェアのため、速度が遅くなる可能性あり。また、ドライブ全体を暗号化している場合、一部が損傷すると、全体のデータが復元できなくなる可能性も想定し得ます)

 

また、フリーソフトやパッケージソフトで暗号化機能を持ったソフトもありますので、そのようなものを検討してみるのもいいでしょう。

 

特に、重要情報・マイナンバー・その他個人情報を扱うPCやハードディスクでは、暗号化が必須と言えます。

 

スポンサーリンク

HDD・SSDなどの記憶媒体は、データ抹消専用ソフトの、NIST 800-88 Advanced消去方式や米国国防総省準拠方式消去方式などで消去する

本当は、データの物理破壊(ドリル破壊など)が一番確実ではあります。また、価格が数十万単位となりますが、磁気データ消去装置により磁気で確実に抹消することもできます。

 

上記2つが、確実性を考えると一番でしょう。

 

ただ、普通の企業や個人では当然ハードルが高いです。

ドリル破壊は記憶媒体を固定したり、相当安全に配慮して行わないと、破片の飛び散りなどのおそれがあり危険ですし、磁気データ消去装置は、単純に値段が高く、よほど大量の情報媒体を処分する会社でないと、導入のハードルが高いでしょう。

 

そのため、物理的破壊の代わりに極めて復元しにくい方法で消去(あくまで完全、ではなく極めて復元しにくい、です)するソフトウェアやハードウェアを用いた消去で、一般組織・個人でなしうる最大限の配慮をするほかありません。

 

システムを事業者に委託している場合は、改めて事業者と処分体制について確認するほかありません。(神奈川県のように、今後はドリル破壊など物理破壊、もしくは磁気破壊などがひろがっていくのかもしれません)

 

自前でシステムを用意している小規模な組織・個人でなし得ることは、(ほぼ)確実にデータを抹消できるといわれる、NIST 800-88 Advanced消去方式や米国国防総省準拠方式消去方式など、「上書きに上書きを徹底的に重ねる」方法で消去することが、今のところ取りうる最善策なのかな、と感じます。

 

NIST 800-88 Advanced消去方式や米国国防総省準拠方式消去方式ってなに?

NIST 800-88 Advanced消去方式・米国国防総省準拠方式消去方式という、非常にややこしそうな名前が出てきましたが、端的に書くと、こうです。(Jungle様のHPを参考にしました。)

 

・NIST 800-88 Advanced消去方式

SSDなどフラッシュメディアを消去する方式。ディスク全体の領域を乱数で上書きした後、ゼロ(0x00)で上書きし、書込検証を行う。

 

・米国国防総省準拠方式 DoD5200.28-M消去方式

ディスク全体の領域を固定値(0xff)、ゼロ(0x00)、乱数で上書き。米国国防総省にて導入されている抹消方式。ソフトウェアでの復元および残留磁気を読み取る装置での復元は不可能になるといわれている。

 

SSD、フラッシュメモリ、その他SDカード系の記憶媒体の場合はNIST 800-88 Advanced消去方式、ハードディスクの場合は、米国国防総省準拠方式 DoD5200.28-M消去方式で行うのが、データを極力抹消するという観点では大切かと思います。

 

ソフトウェアを使った消去方法には、どのようなソフトウェアがある?

個人使用であれば、フリーソフトで米国国防総省準拠方式 DoD5200.28-M消去方式に対応したソフトウェアが多くあります。

 

フリーソフトや製品などが掲載されているサイトなどから、自分が使うのに適したソフトを選んでみてもいいでしょう。

 

あとは、市販の有料ソフトとしては、個人なら4,5千円で購入できるターミネーターシリーズ、業務用途であれば先ほど参考にさせていただいたjungleのDiskDeleter(価格は38,000円~138,000円と高価ではあるが、Windows運用のHDD、SSDだけでなくSurfaceやMac、Windowsタブレットの消去にも対応、暗号化とハッシュで原本性を証明する改ざん防止の消去証明書出力などにも対応)など、複数種類はあるので、上記の商品をためしてみるのもいいでしょう。

 

また、ゼロデータ消去、ランダム消去、SMART消去など、消去法は限られますが、KURO-DACHI/CLONE+ERASE/ESKPという、内蔵HDDを入れるだけで、データを消去してくれるハードウェアもあります。

 

法人ならばDiskDeleterTX、、DiskDeleterUXなど、監査対応の資料も含めて出力してくれるものの方がより望ましいかと思います。

 

なお、家電量販店で1,000円程度でHDDを物理破壊してくれるサービスもあるそうです。(2019年12月10日のバイキングより)

いずれにせよ、データに関しては、磁気破壊、物理破壊などなどの方法で確実に壊すのが一番安全であるといえましょう。

 

 

タイトルとURLをコピーしました