はじめに
みなさん覚えていらっしゃいますでしょうか? 今から4年ほど前の2019年12月に「個人情報が保存された自治体のHDDが、廃棄処理委託先業者の従業員により、データ復元可能な状態のまま転売された」という事件が発覚しました。
これを受けて、SSDを破棄する際に使用すべき機能や、政府機関および自治体などがストレージの運用特に廃棄にあたり守るべき基準やガイドラインを調べて記事にまとめました(こちらとこちら)。
前記2つの記事では、日本政府が策定したガイドラインが最新技術を取り込めていないことを示し、また1年後の2020年末でも変化がないことを紹介しました(記事はこちら)……が、それから半年後の2021年7月にガイドラインが改定されていました。2年も前の話です。すみません。
その令和3年度版のガイドラインでは、一部疑問点は残るものの、上記前バージョン(平成30年度版、つまり2018年度版)では足りないと考えていた部分がだいぶ追加されました。
さらについ先日(2023年7月4日)、最新の統一基準とガイドライン(令和5年度版)が公開されました。
そこでこの記事では、その「令和3年度版」の内容について特に「平成30年度版」からの差分を中心に説明し、かつ最新資料の内容とその差分についても触れたいと思います。
参照資料
この記事で参照する資料を以下に示します。全て日本政府のサーバーセキュリティ戦略本部が策定したもので、「政府機関等のサイバーセキュリティ対策のための統一基準群」という専用Webページで公開されています。
- 「政府機関等の情報セキュリティ対策のための統一基準」の平成30年度版、および「政府機関等のサイバーセキュリティ対策のための統一基準」の令和3年度版と令和5年度版(本文中では「統一基準」と記載)
- 令和3年版から「情報セキュリティ」が「サイバーセキュリティ」に改称されました
- 「政府機関等の対策基準策定のためのガイドライン」の平成30年度版、令和3年度版、および令和5年度版(本文中では「ガイドライン」と記載)
- 「統一基準群改定のポイント(令和3年度版)」(令和3年度版での改定のポイント)と、「統一基準群改定のポイント(令和5年度版)」(令和5年度版での改定のポイント)(本文中では「改定のポイント」と記載)
「改定のポイント」は改定内容が新旧比較の形で見やすくまとめられており、改定内容のポイントを把握するには最適な資料です。
まとめ
- 統一基準は、最新の令和5年度版でも平成30年度版から改定なし
- ガイドラインには以下の改定が行われた
- 基本的な対策として、リース契約時は返却時の情報抹消方法やその履行確認手段まで考慮することを明記
- SSDを意識した難読化方法の記述が追加され、また具体的な例として暗号化消去(Cryptographic Erase)が追加
- 難読化を行う具体例なコマンドとして、令和3年度版でATAコマンドが追加され、令和5年度版ではNVMeコマンドが追加
- 令和5年度版では記載内容が5ページに増量され媒体に応じた具体的な情報の抹消方法例を明示(平成30年度版は2ページ、令和3年度版は3ページ)
統一基準の改定内容
ストレージ破棄時の措置について、統一基準の記述は、令和3年度版も令和5年度版も平成30年度版から改定されていません。統一基準は各項目に対して順守すべき原則を示すものですので、改定されていなくても不思議はありません。
具体的な記載内容は以下の通りです。
(7) 情報の消去
(a) 職員等 は、電磁的記録媒体に保存された情報が職務上不要となった場合は、速やかに情報を消去すること。
(b) 職員等 は、電磁的記録媒体を廃棄する場合には、当該記録媒体内に情報が残留した状態とならないよう、全ての情報を復元できないように抹消すること。
(c) 職員等 は、要機密情報である書面を廃棄する場合には、復元が困難な状態にすること。「統一基準(令和5年度版)」25ページ「3.1.1 情報の取扱い」より抜粋
(a)はデータを消すタイミングの規定、(b)がSSDやHDDなどのストレージに記録されたデータの難読化に関する規定、そして(c)は非電子化データの廃棄に関する規定です。
ガイドラインの改定内容(令和3年度版)
情報の消去に対する基本的な対策
平成30年度版では、情報の消去に対して「基本的な対策」は記載されていませんでした。
これに対し、冒頭で説明したインシデントの発生を受けて、令和3年度版では「リース契約時は返却時の情報抹消方法やその履行確認手段まで考慮すること」という内容が「基本的な対策」として明記されました。
この記述は最新の令和5年度版にも存在します。
難読化の方法
データ難読化の具体的方法に関する記述のうち、令和3年度版の記述は以下の通りです。わかりやすくするために平成30年度版からの改定部分を太字にしました。原文では太字ではありませんのでご注意ください。
遵守事項3.1.1(7)(b)「抹消する」について
「ファイル削除」の操作ではファイル管理のリンクが切断されるだけであり、ファイルの情報自体は抹消されずに電磁的記録媒体に残留した状態となっているおそれがある。電磁的記録媒体に記録されている情報を抹消するための方法としては、例えば、次の方法が挙げられる。
- データ抹消ソフトウェア(もとのデータに異なるランダムなデータを1回以上上書きすることでデータを抹消するソフトウェア)によりファイルを抹消する方法
この方法を用いる場合、ソリッドステートドライブ(以下「SSD」という。)等のフラッシュメモリタイプの電磁的記録媒体は、データ書き込み回数に制限(寿命)があることからウェアレベリングと呼ばれるディスク領域全体を均一に使用する機能を持っており、データ抹消ソフトウェアによる上書きを実施しても実際にはデータの書き込みが行われず、消去すべき情報がそのまま残ってしまう領域が発生する可能性があることに注意が必要である。同様に、データ抹消ソフトウェアがハードディスクの不良セクタ用の退避領域にアクセスすることができない場合、そこに存在する情報が残る可能性があることにも注意が必要である。- 暗号化消去を行う方法
- ATA コマンドの「Enhanced SECURITY ERASE UNIT」コマンドを使用する方法
- ハードディスクを消磁装置に入れてディスク内の全てのデータを抹消する方法
この方法を用いる場合、ハードディスクの磁気記録方式(水平磁気記録方式又は垂直磁気記録方式)に対応した消磁装置を用いる必要があることに注意が必要である。- 媒体を物理的に破壊する方法
「ガイドライン(令和3年度版)」100~101ページから抜粋
このように、データ抹消ソフトウェア使用時のSSDに関する注意喚起記述、暗号化消去の記述、具体的なATAコマンドの記述、の3つが追加されました。
この改定により、「物理破壊」、「データ上書き」、「暗号化消去」、そして「(媒体依存の)データ消去」という、現時点で考えられる全ての難読化方法が盛り込まれたと考えられます。
以下「データ上書き」と「暗号化消去」について改定内容を見ていきます。
データ上書き
ガイドラインでは、上書き消去の方法として専用ソフトウェアを使う方法が記載されています。
また、「ATAコマンドの『Enhanced SECURITY ERASE UNIT』コマンドを使用する方法」も上書き消去方法のひとつです。ただ実際には「SECURITY ERASE UNITコマンドのEnhanced Eraseモード」という表現が正確です。SATA SSDがSECURITY ERASE UNITコマンドに対応していてもEnhanced Eraseモードには非対応ということもあり得ますので注意が必要です。
NVMe仕様において上記ATAのSECURITY ERASE UNITコマンドのEnhanced Eraseモードに近い処理を行う機能は、SanitizeコマンドのOverwrite処理です。Sanitizeコマンドはオプション機能ですので、使用中もしくは検討中のNVMe SSDがSanitizeコマンドとOverwrite処理に対応しているかどうかの確認が必要です。
暗号化消去
暗号化消去は、統一基準にて以下のように定義されています。
「暗号化消去」とは、情報を電磁的記録媒体に暗号化して記録しておき、情報の抹消が必要になった際に 情報の復号に用いる鍵を抹消することで情報の復号を不可能にし、情報を利用不能にする論理的削除方法をいう。暗号化消去に用いられる暗号化機能の例としては、ソフトウェアによる暗号化(WindowsのBitLocker等)、ハードウェアによる暗号化(自己暗号化ドライブ(Self Encrypting Drive)等)などがある。
「統一基準(令和3年度版)」6ページ「1.3 用語定義」より抜粋
つまり、常時暗号化を有効にした状態で運用し、廃棄時にその暗号化されたデータの復号に必要な情報(暗号鍵だけとは限らない)を全て破棄する、という方法です。
上書き消去は実際にデータを書き込むため、SSDの容量や性能により処理時間が長くなります。これに対して、暗号化消去は限られた情報の消去だけで済むため処理時間がとても短いことが特徴です。ただし、ソフトウェア暗号化とハードウェア暗号化いずれの実現方法でも、暗号化消去の難読化効果を担保するには使用する暗号アルゴリズムなどに条件があります。詳細は以前の記事をご覧ください。
ハードウェア(SSD)による暗号化を適用した場合、この暗号化消去は、ATAではCRYPTO SCRAMBLE EXTコマンド、NVMeではFormatNVMコマンドのCryptographic EraseやSanitizeコマンドのCrypto Eraseで実行可能です。これらのコマンドと処理はオプション機能ですので、使用中もしくは検討中のSSDの対応状況を確認してください。
なお「暗号化機能」自体の要否については、平成30年度版から変わらず「必要性の有無を検討し、必要があると認めたときは、当該機能を設けること」という記述に留まります(「統一基準(令和3年度版)」45ページ「6.1.5 暗号・電子署名」節より抜粋)。つまり、暗号化機能は必須ではない、となります。これは令和5年度版でも改定されていません。
ガイドラインの改定内容(令和5年度版)
最新の令和5年度版では、当該項目の記述が以下のように改定されています。こちらもわかりやすくするために、令和3年度版からの改定部分を太字にしました。原文では太字ではありませんのでご注意ください。
遵守事項3.1.1(7)(b)「抹消する」について
「ファイル削除」の操作ではファイル管理のリンクが切断されるだけであり、ファイルの情報自体は抹消されずに電磁的記録媒体に残留した状態となっているおそれがある。電磁的記録媒体に記録されている情報を抹消するための方法を、機密性の高さに応じて分けた以下二つの表において例示する。
(中略)
ただし、暗号化消去は、「表3.1.1-2 機密性の高い情報の抹消方法の例」に記載の方法ではあるが、情報の抹消が高速に行えることや部分的な抹消が行えること等のメリットがあるため、機密性の高さによらず、抹消するための方法として優先的に検討するとよい。
(以下略)「ガイドライン(令和5年度版)」122ページから抜粋
まず、難読化の具体的な方法の記述を箇条書きから4ページに渡る2つの表を用いた記述に変更したことが大きな改定ポイントです。箇条書きで記述されていた内容は、その表に記載される形に改定されました。
この表は媒体毎(HDDのような磁気媒体、SSDのようなフラッシュメモリ媒体など)に具体的な方法が記載されており、箇条書きと比べて必要な記述が見つけやすいです。また、上記「2つの表」のうちのひとつである表3.1.1-2「機密性の高い情報の抹消方法の例」には、ATAコマンドだけでなく、SCSIコマンドとNVMeコマンドが追加されました。
そして、暗号化消去についてそのメリットを複数記載したうえで「優先的な検討に値する方法」としていることも画期的だと考えられます。
さいごに
この記事では、SSDの廃棄時に実施すべき措置について、日本政府のサーバーセキュリティ戦略本部が策定する政府機関等向けガイドラインの最新版での記述内容を紹介しました。
令和3年度(2021年度)版の改定では、SSDに関する記述が増え、また暗号化消去についての記載が追加されるなど、技術のキャッチアップが行われました。難読化方法の具体例としてATAコマンドが記述されました。
さらに最新の令和5年度(2023年度)版での改定では、難読化方法の具体例としてNVMeコマンドの記述が追加されたことに加え、暗号化消去が「優先的に検討する」情報抹消方法として記載されました。
ストレージ廃棄時の措置に関する令和3年度および令和5年度の改定は、冒頭で触れたインシデントを契機に技術動向をキャッチアップしながら行われたものと考えられます。廃棄時に関わらずストレージにまつわるインシデントは発生し続けていることから、次回の改定ではそれらのインシデントの分析を踏まえた記述が追加されるものと考えられます。
ライセンス表記
この記事はクリエイティブ・コモンズ 表示 - 継承 4.0 国際 ライセンスの下に提供されています。