AI、データ分析を活用したDXの取り組みが広がる一方で、企業が保有する「データの量」は爆発的に増加しています。これに伴い、情報漏洩リスクやCAPEX肥大化といった経営課題もより深刻になってきています。その一方、成長と脱炭素を両輪で進めていくグリーントランスフォーメーション(GX)への取り組みは、投資家が企業価値を測るうえで重要な指標となり始めています。
こうした背景のもと、セキュアに、エコフレンドリーに、そしてOPEXシフトができる形で、増え続けるデータをマネージメントしていくことが、最近のICTインフラに求められているビジネス要件になってきている、と感じています。今回は、これらの経営課題をテーマにブログを書いていこうと思います。
- ライター:根本 幸訓
- イノベーション推進部で新しい技術領域のビジネス開発(GX、ロボティクス)を担当。
2011年、ネットワン新卒入社。事業部SE(文教市場、自治体)、応用技術部(サービス開発)を経て、現在に至る。
ネットワーク、セキュリティ、サーバ、ストレージ、仮想デスクトップなどの幅広い技術知識と、提案、設計、構築、サービス開発、ビジネス開発などの幅広い業務経験。この2つの幅広さを生かして記事をお届けします。
目次
【初版公開日】2022/9/7
2021年の個人情報の漏洩件数が過去最多を記録、という統計があります。
そのうちの大半がウイルス感染・不正アクセスによるもので、各社対策を強化しているかと思います。しかしながら、情報漏洩の要因はこの限りではなく、あまり目立ちませんが、紛失・誤廃棄を原因とするものも1割ほどの割合を占めています。
たかが1割、されど1割。
今回はあまり目立たない情報漏洩の原因に着目し、「ディスク廃棄に潜む重大リスク」をテーマにネットワンの取り組みを紹介していきたいと思います。
ディスク廃棄におけるセキュリティ事故
2019年、とある自治体において、情報機器のリース満了に伴う機器廃棄処分の過程で、廃棄業者がHDDをオークションサイトで転売する、という情報漏洩のインシデントが発生しました。
この事件を契機に、本当にデータが抹消できたのかどうか、信頼できる第三者が証明しない限り、誰も証明することができない、という物理破壊の課題が浮き彫りになりました。
HDD/SSDの廃棄方法
パソコンをはじめ、サーバ、ストレージ、そして一部のネットワーク機器にもHDDやSSDが搭載されています。これらの機器を廃棄する際には、情報の機密レベルに応じて、適切な廃棄方法を選択する必要があります。
遵守事項 3.1.1(7)(b)「抹消する」について
「ファイル削除」の操作ではファイル管理のリンクが切断されるだけであり、ファイルの情報自体は抹消されずに電磁的記録媒体に残留した状態となっているおそれがある。電磁的記録媒体に記録されている情報を抹消するための方法としては、例えば、次の方法が挙げられる。
- データ抹消ソフトウェア(もとのデータに異なるランダムなデータを 1 回以上 上書きすることでデータを抹消するソフトウェア)によりファイルを抹消する方法
- 暗号化消去を行う方法
- ATA コマンドの「Enhanced SECURITY ERASE UNIT」コマンドを使用する方法
- ハードディスクを消磁装置に入れてディスク内の全てのデータを抹消する方法
- 媒体を物理的に破壊する方法
引用:内閣サイバーセキュリティセンター(NISC)「政府機関等の対策基準策定のためのガイドライン(令和3年度版)」
物理破壊の課題
機密レベルが高いデータを保存したディスクは、最終的に「物理破壊」することが求められています。さらに、データ抹消・物理破壊の完了証明書を取得して確認を行うことで、履行の確実性を担保することを推奨しています。
ところが物理破壊においては、この「完了証明書」がウィークポイントになってしまいます。
通常、完了証明書はデータ消去を実行した事業者自らが発行しています。この仕組みでは、あくまで可能性の話ですが、「悪意による不正行為を予防することが困難である」と考えられています。
先に記載した自治体での事故の例がまさにそうです。本当にデータが抹消できたのかどうか、「データの読み取りが不可能なレベル」にまで破砕されているかどうか、信頼できる第三者が証明しない限り、誰も証明することができない、というのが物理破壊の課題なのです。
注目を集める「ソフトウェアデータ消去」と「第三者証明」
これまでご紹介してきたセキュリティ面での課題を解決しつつ、脱炭素社会の実現を目指すため近年「ソフトウェアデータ消去」と「第三者証明」が注目されています。この活動を推進している団体の一つに「データ適正消去実行証明協議会(ADEC)」という組織があります。ADECは行政機関向けのガイドライン作成支援も行なっており、適正にデータが消去されていることを第三者の立場で認証する団体として2018年に発足しました。
ADECはデータ消去の国際規格でもある米国立標準技術研究所(NIST)の「SP800-88 Rev.1」を元にして、データ消去の技術とプロセスが適正な場合「データ適正消去実行証明書」を第三者の立場から発行しています。
ネットワンの取り組みの紹介
ネットワンの特長として「ワンストップソリューション」が挙げられますが、システムライフサイクルの最期のフェーズにおいても責任をもって「セキュアかつエコフレンドリーなサービス」をお届けしたい、と考えております。
その取り組みの一例が、「データ消去証明サービス」となります。
これまで見てきた物理破壊の課題を踏まえ、ADECをはじめとする多くの関係者のご協力のもとで実証実験を通して効果を念入りに実証して、このサービスをリリースしています。このサービスの導入効果は多方面に及びますが、「個人情報をはじめとする機密情報の抹消を第三者機関に証明してもらう。そのうえで機器を破壊せずに再利用する」という取り組みは、コンプライアンスおよびサステナビリティに関連する取り組みとして投資家や消費者にアピールすることで、企業価値の向上につながる効果がある、と考えております。
- 参考:ネットワンシステムズ「全国初、長野県塩尻市における総務省セキュリティポリシーに準じたストレージのソフトウェアデータ消去実証実験で、正常な運用を確認」
- 参考:ネットワンシステムズ「全国初、長野県塩尻市における総務省セキュリティポリシーに準じたクラウドストレージの暗号化鍵消去実証実験で、正常な運用を確認」
また今現場が直面しているリアルな課題や先行事例などについて、下記動画内にて詳細をお伝えしております。
今後のご参考までに是非ご覧下さい。
NetOne、NetApp、OneBe(ADEC_データ適正消去実行証明協議会 発起人)の3社合同セミナーセッションの模様を限定公開!
このほか、CAPEXからOPEXへの移行を推進する NetOne "all in" Platformサービスや、ネットワンネクストによるサーキュラーエコノミーを推進するサービスなどがあります。これらのサービスを組み合わせることで、ITファイナンス・脱炭素・機密情報保護など様々な観点から経営課題・社会課題の解決に取り組んでいます。
- 参考:ネットワンシステムズ「NetOne “all in” Platformについて」
- 参考:ネットワンネクスト「企業が取り組むべきサーキュラーエコノミーとは?ネットワンネクストの目指すビジネスモデルをご紹介!」
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
