RITEA、データ消去に関するセミナーレポート「ゼロトラストの概念」

検索

RITEA、データ消去に関するセミナーレポート「ゼロトラストの概念」

2020年04月07日

  • このエントリーをはてなブックマークに追加

ATTENTION

『情報機器リユース・リサイクル協会(RITEA・東京都中央区)』によるデータ消去に関するセミナーのレポートを紹介する。昨年起きた神奈川県庁の使用済みハードディスク(HDD)の不正転売事件を発端に、世のデータ消去への関心は高まっており、RITEAは、機器の排出側とリユースやデータ消去に携わる業者との間で交わす作業完了の相互確認の重要性を唱えている。

デジタルデータは消えない

昨年12月、ブロードリンク元社員により、神奈川県庁で使用されていたHDDが不正にネット転売されていたことが発覚。これを偶然に購入した人がデータ復元を試み、機密のデータを発見したのだ。

業界内では「デジタルデータは消えない」ことは常識とされており、パソコン上での「ゴミ箱を空にする」や「フォーマットを実行する」といった処理は、データ"抹消"にあたらず、専用ソフトを使用すればデータ復元が可能となる。一見PC上で消えたとされるファイルは、ディスク上の管理領域が削除されたにすぎず、データ領域には残っている。

HDDの適切なデータ抹消方法は、①専用ソフトからHDD全体を1回以上上書きして塗りつぶす②専用装置で磁気的に塗りつぶす③HDDを物理的に破壊するの3つ。RITEAが推奨する専用ソフトについては下の〈一覧〉を参考としてほしい。

RITEA認定PC内蔵HDD消去ソフトウェア

データ作成者の管理責任は重い

データ消去のセキュリティにおける考え方は日本よりも海外が先進的で、「ゼロトラスト」の概念が一般的。文字通り、「信頼できない」ことを前提にセキュリティ対策を講じるという考えで、データ作成者・管理者自らがデータ抹消措置を管理するというものだ。

アメリカの米国国立標準技術研究所では「NIST SP800―88」の名前で、データ抹消の研究に基づく基準が文書化されている。そこでは、データ作成者・管理者がデータのセキュリティレベルを「Clear」「Purge」「Destroy」の3段階から状況を自ら指し示し、それに合わせて抹消方法の選択・実行や、委託業者の選定をするものとしている。加えて、データ抹消がきちんとなされたかを確認するまでの管理責任も負うものとしている。

新設のガイドブック年内に発刊

日本での抹消完了報告の風習は、抹消作業を請け負った業者が排出側へ一方的に行うものだが、報告書の類を発行して示すまでの実態は企業により異なる。業者側の作業負担の観点から、排出側の要望があった場合にのみ有償で対応しているケースが多いとされる。

RITEAが推奨する抹消フローには、同協会が認定するソフトを用い、レポートを生成したのち、報告書を発行することを盛り込んでいる。データ消去における公的基準が国内に存在しない中、RITEAが策定するガイドラインは数少ない基準の1つだ。年内には、新設の「情報機器3R&データ消去ガイドブック」を発刊する予定だ。

RITEAが推奨する抹消措置フロー


RITEAとは
2006年設立。情報機器のリユース・リサイクル、データ消去の関連事業者を中心に会員数40社で構成。会員企業からの提供データに基づくと、推計情報機器リユース・リサイクル取扱い規模は年間500万台。

第484号(2020/3/25発行)17面

Page top
閉じる