はじめに
2019年12月に、「個人情報が保存された自治体のHDDが、廃棄処理委託先業者の従業員により、データ復元可能な状態のまま転売された」という事件が発覚、報道されました[1]。
この事件については、以前の記事(こちらとこちら)で、日本の政府系機関を対象とした情報記憶装置(ストレージ)の運用ライフサイクル(特に廃棄)に関する基準やガイドラインが最新技術に追随していないことを指摘し、ストレージを安全に廃棄するため利用すべき技術を説明しました。
事件発覚からこれまで1年ほどの期間に発行された日本政府系機関の白書や情報セキュリティ関連の報告書そして基準などには、この事件を教訓とし、かつ最新の技術や環境に追随しようとした記述が見受けられます。
今回の記事では、事件後に発行された政府関連機関の文書におけるストレージの廃棄に関する新たな記述をピックアップするとともに、改めてSSDのデータ消去・再利用・廃棄方法についてまとめます。
サマリ
- 2019年12月の事件発覚以降、政府関連機関発行の白書などに、この事件を教訓とし、かつ最新の技術や環境に追随することを意識した記述が存在する
- 記録されたデータの消去に利用可能なSSDの機能は1年前(事件発覚時)と同じ
- ストレージ選定や運用では引き続きセキュリティの重視も必要
白書・報告書系での事件への言及
この事件に関する記述を確認した現状分析や事後報告を中心とした「白書」系資料として2つ挙げます。
ひとつは、「サイバーセキュリティ2020(2019年度年次報告・2020年度年次計画)[2]」です。
(3) 内部不正による情報漏えい
2019 年12 月、国内の情報機器の処分や再生事業を営む企業において、行政文書が蓄積されたハードディスクドライブ(HDD)について、従業員がデータ消去作業前に盗み出し、ネットオークションを通じて転売していたことが明らかになった。「サイバーセキュリティ2020(2019年度年次報告・2020年度年次計画)」
本編第1部「サイバーセキュリティを巡る動向」第2章「2019年度のサイバーセキュリティに関する情勢」1.2「情報の毀損及び漏えい」より抜粋
もうひとつは「情報セキュリティ白書2020[3]」です。
(3)内部者の不正による情報漏えい
株式会社ブロードリンクの事例では、リース会社よりリース契約満了後に回収したハードディスクの破壊処分を受託していたにも関わらず、元従業員が破壊処分される予定のハードディスクを盗み出し、オークション等で売却していた。売却した機器は7,844 台に及び、このうち3,904 台についてはデータの記憶領域がある機器だった。オークションでのハードディスク購入者が、復元したデータの中に神奈川県の情報らしきデータを発見し、県に確認を依頼したことから発覚した。「情報セキュリティ白書2020」
第1章「情報セキュリティインシデント・脆弱性の現状と対策」1.2「情報セキュリティインシデント別の手口と対策」1.2.7「情報漏えいによる被害」より抜粋
白書・報告書なので出来事の事実や調査結果などが記載されていますが、どちらの報告書でもこの事件を「内部不正」として記述しており、ストレージ(今回はHDD)の運用中の設定に関する課題よりも破棄前のストレージが盗まれた(持ち出された)ことに焦点をあてています。
地方公共団体向け情報セキュリティガイドライン等の対応
今回の事件の舞台である地方自治体を含む地方公共団体を対象とした情報セキュリティガイドラインについては、事件の発覚を受けて2019年(令和元年)12月に「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」が設置され、翌2020年(令和2年)5月に同検討会から「自治体情報セキュリティ対策の見直しに係るとりまとめ」として「自治体情報セキュリティ対策の見直しについて[4]」が公表されました。
そのとりまとめ資料では、この事件を受けての対策強化について以下のように提言しています。
4 昨今の重大インシデントを踏まえた対策の強化
(1) 神奈川県における情報流出事案を踏まえた対策強化
(中略)
検討会及びその下に設置した「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会ワーキンググループ」(以下「ワーキンググループ」という。)において、情報資産や機器の廃棄等について、情報の機密性に応じた適切な手法等を整理した。
今後、当該検討結果を踏まえ、ガイドラインの改定を行うべきである。「自治体情報セキュリティ対策の見直しについて」6ページより抜粋
このワーキンググループでの検討結果を確認しようとしましたが、公開されているのは議事概要のみでしたので、同じく2020年5月に公表された「自治体情報セキュリティ対策の見直しのポイント[5]」内の該当箇所を引用します。
図1:神奈川県で発生した事件に対応した自治体情報セキュリティ対策の見直しのポイント([5]より抜粋)
この図1の資料中のポイントは以下の2点です。
1. 廃棄確認の方法を、データの機密度を基準とした「分類」を用いてより明確にした
2. 「機器の廃棄の方法」に「ブロック消去」と「暗号化消去」が追加された
**1について:**以前の記事でも引用した「政府機関等の情報セキュリティ対策のための統一基準(平成30年度版)[6]」(以降「統一基準」と記載します)と「政府機関等の対策基準策定のためのガイドライン(平成30年度版)[7]」(以降「ガイドライン」と記載します)には、ストレージの破棄にあたり「データの機密度を勘案すべき」と読み取れる記述はあるものの「機密度」を基準にした明確な分類は存在しません。このため今回明確な分類を示したものと考えられます。
**2について:**ガイドラインでは、具体的な方法として、データ抹消ソフトウェア(データ上書き)を使う方法、消磁装置を使う方法、そして物理的に破壊する方法(切断、情報記録層の破壊、専用機器を用いた破壊)、を挙げています。今回これらに加えて、SSDの利用拡大やセキュリティの最新技術を取り込む形で「ブロック消去」や「暗号化消去」が加えられたと考えられます。「OS等からのアクセスが不可能な領域も含めた」という表現は象徴的です。
セキュリティ評価制度の対応
政府での議論において政府情報システムでクラウドサービスを利用するにあたりその安全性評価が必要とされたことから、検討会が設置され、「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: ISMAP)」が制定されました。その運営委員会が決定した「ISMAP管理基準[8]」というものがあります。発行日は2020年(令和2年)12月25日です。ちなみに、"ISMAP"は「イスマップ」と読むようです。
この管理基準では、ISMAPにおける「データの消去」という言葉を下記の通り定義しています。
1.3.14 消去(もしくは抹消)
消去には、媒体を物理的に破壊する物理的消去、媒体を消磁装置による抹消する電磁的消去に加え、論理的消去も含む。論理的消去とは、元のデータを暗号化した後、暗号鍵を消去し、元のデータの復号を不可能にする方法を指す。1.3.15 暗号
暗号技術検討会及び関連委員会(CRYPTREC)により安全性及び実装性能が確認された電子政府推奨暗号、又はそれと同等以上の安全性を有する暗号を指す。同等以上の安全性とは、例えば、電子政府推奨暗号のアルゴリズムであり、電子政府推奨暗号以上の鍵長を有している暗号を指す。「ISMAP管理基準」第1章 1.3用語及び定義より抜粋
この基準のポイントは、暗号技術を使用した難読化方法を「消去」方法のひとつとして明確に定義していること(認めていること)です。
「ISMAP管理基準」は、あくまでクラウドサービスがISMAPの基準を満たすかどうか監査するためのものです。ですが、クラウドサービスを使わずに稼働するシステムでの基準とISMAP管理基準との間で、少なくとも用語の定義は一致している(させる)べきです。同じ単語で複数の定義が存在することは混乱のもとです。
そう考えると、より具体的でかつ最新技術に追随しているISMAP管理基準における定義も含めたものが広く適用されるべきです。
データ消去に利用できるSSDの機能
一方、記録されたデータの消去に利用可能なSSDの機能は、1年前と変わりありません。
図2は、以前の記事でも触れた、米国国立標準技術研究所(NIST)が米国連邦政府向けに発行した「媒体のサニタイズに関するガイドライン(Guidelines for Media Sanitization)[9]」という文書をベースに作成した、SSDのデータ難読化方法のまとめです。
図2:米国NIST SP800-88[9]をベースにしたSSDのデータ難読化方法まとめ
「ISMAP管理基準」が定義している「消去」は、図2の「手段」のうち「除去」と「破壊」が最も近いとみられます。
ただ「ISMAP管理基準」の「消去」には図2のBLOCK ERASE EXTコマンドのような、NANDフラッシュメモリに特有の「消去(ERASE)」処理を用いた方法が陽には記載されていないことが気になります。
暗号的消去(Cryptographic Erase)が媒体に依存せず時間もかからない効率の良い手段であることは以前の記事で説明した通りですが、記憶媒体がNANDフラッシュメモリの場合、消去(ERASE)処理も十分な効果を持ちかつ効率の良い手段です。
NANDフラッシュメモリのメモリセル(のほとんど)が「消去状態」であることは、「有効なデータが記録されていない」ことを示します。なぜなら、たとえホストからSSDにオール1のデータを書き込んだ場合であっても、NANDフラッシュメモリのメモリセルに記憶される値はオール1ではないからです。
詳しい説明は省略しますが、SSDコントローラは一般的に、データ記憶特性を高めるために、どのようなデータ列(2進数の0と1の列)がホストから書き込まれてもNANDフラッシュメモリのメモリセルに書き込まれるデータ列は0と1の出現頻度などがランダムになるように制御します。このため、いわゆる「消去状態」(オール1など)は「有効なデータが記録されていない」ことを示すのです。
加えて、NANDフラッシュメモリの「消去(ERASE)」処理は、データの上書きと比較すると、同じサイズであれば数十分の一程度の時間で完了します。復号に必要な鍵を消去するだけの暗号的消去と比べると長いですが、それでもランダムデータの(複数回の)上書きに比べればはるかに短い時間で完了します。
図3:4 TBドライブの消去にかかる概算時間比較
図3は、データ上書き処理、NANDフラッシュメモリのERASE処理、暗号的消去処理、それぞれを使用した場合の、4 TBドライブ1台の消去処理にかかる概算時間を比較したグラフです。データ上書きによる消去と比較して、NANDフラッシュメモリのERASE処理を使用する方法がはるかに短時間で完了することがわかります。
このNANDフラッシュメモリの「消去(ERASE)」処理を利用した方法は、暗号機能をサポートしていないSSDでも利用できる可能性があります。
暗号的消去が可能な暗号化機能を備えたSSDは、価格だけでなく運用にあたり十分な知識が必要であることなどにより普及しているとは言い難い状況です。もしSSDがこの機能をサポートしているのであれば、廃棄方法を決めるにあたり是非検討すべき方法です。
まとめ
2019年12月に自治体で利用され個人情報が保存されたストレージの廃棄にかかわる事件が発覚してからこれまで、政府および政府関連機関が発行した白書や情報セキュリティ関連の報告書や基準などには、この事件を教訓とし、かつ最新の技術や環境に追随することを意識した記述が存在することがわかりました。
SSDを含めたストレージは、使用(運用)中はもちろん廃棄時の計画も立てたうえで選定する必要があります。特に、今後もセキュリティが重視されストレージ選定や運用における大きな要素であり続けることは間違いないと考えます。
参考文献
[1] ITmedia NEWS、「個人情報が保存された神奈川県庁のHDD計54TB、転売される 処理会社の従業員が横領」、2019年12月06日(2021年2月16日閲覧)
[2] サイバーセキュリティ戦略本部、「サイバーセキュリティ2020(2019年度年次報告・2020年度年次計画)」[PDF]、2020年(令和2年)7月21日
[3] 独立行政法人情報処理推進機構(IPA)、「情報セキュリティ白書2020」、2020年(令和2年)8月31日(2021年3月2日閲覧)
[4] 総務省、「自治体情報セキュリティ対策の見直しについて」[PDF]、2020年(令和2年)5月22日(2021年3月1日閲覧)
[5] 総務省、「自治体情報セキュリティ対策の見直しのポイント」[PDF]、2020年(令和2年)5月22日(2021年3月1日閲覧)
[6] サイバーセキュリティ対策本部、「政府機関等の情報セキュリティ対策のための統一基準(平成30年度版)」[PDF]、2018年7月25日(2021年3月2日閲覧)
[7] サイバーセキュリティ対策本部、「政府機関等の対策基準策定のためのガイドライン(平成30年度版)」[PDF]、2018年7月25日(2021年3月2日閲覧)
[8] 政府情報システムのためのセキュリティ評価制度(ISMAP)運営委員会、「ISMAP管理基準」、2020年(令和2年)12月25日最終改定(2021年3月2日閲覧)
[9] National Institute of Standards and Technology著、独立行政法人情報処理推進機構、NRIセキュアテクノロジーズ(株)訳、「媒体のサニタイズに関するガイドライン(Guidelines for Media Sanitization)」 [PDF]、SP800-88, September, 2006
ライセンス表記
この記事は クリエイティブ・コモンズ 表示 - 継承 4.0 国際 ライセンスの下に提供されています。