Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

物理破壊への立ち合い?

安全ではあると思いますが、実務を考えると無駄な作業を増やすだけな気もします。

www.sankei.com

 

 事件を受けて総務省12月6日、個人情報が大量保存された記録装置の処分について、物理的に壊すなどして使えなくするよう全国の自治体に通知作業完了まで職員を立ち会わせることも求めた

 ただ、自治体などが使っているHDDは、リース(長期賃貸)であることも多い。その場合、所有権は業者にあり、埼玉県の担当者は「壊して返すことは所有権の問題から難しい」。別の自治体担当者も「1台なら専用ソフトで手間をかけずに消去できるが、何十台ともなると膨大な時間を要する」と打ち明ける。

 通常、請負業者はデータ消去が終了した際、発注元に対して作業報告書を提出する。だが今回の事件で神奈川県はHDDの廃棄がリース先企業から専門業者に委託されていたことを把握せず、流出したHDDに関する作業報告書も受領していないなど、対応のずさんさも問題となった。

産経新聞記事より引用)

 

◆キタきつねの所感

書類のシュレッダーではないのですから、、、物理破壊の立ち合いまで(全て)要求する必要があるのか?と思います。そもそも「リース」の返却物に関して物理破壊が出来ないから、今回のブロードリンク社の様な不正が発生した土壌が出来てしまったのではないのでしょうか?

リースで、物理破壊を要求する事は、リース機材を買い取るという意味でしかない(リースの意味があるのか?)のではないかと思います。自治体が購入した端末について、物理破壊を求めるのは分からなくもありません。しかし既にリース案件で問題が出た事が分かっていながら、総務省がこうした通達を出したのだとすれば、リースはNGのルールも併せて伝えるべきではないでしょうか? 

 

更に言えば、立ち合いも求めている事を考えると、産経の記事にもありましたが、

それでも、ある関東近郊の自治体担当者は「業者の廃棄に立ち会うのは時間も人手もかかる。総務省は現場の実情を正確に把握していないのではないか」と打ち明けた。

産経新聞記事より引用)

につきるのではないでしょうか。

 

リース端末等からのデータ消去に関して、例えば私も(会社として)利用した事があるオリックス・レンテックでは、消去ソフト(Blancco)を借りる事ができます。

www.orixrentec.jp

 

データを安全に消去する方法については、日本だけでなく世界中で同じ課題ですので、日本の自治体だけが独自ルールで、物理破壊、立ち合い!をすべきだとは思いません。

 

 

日本だと、例えば、一般社団法人 情報機器リユース・リサイクル協会(RITEA)がソフトウェア認定をしています。(下記はオリックス・レンテックで利用可能なBlanccoソフトの認定例)

f:id:foxcafelate:20191222092652p:plain

 

HDDのデータ消去に関するガイドラインも出ていますので、総務省「こうしたガイドラインに沿って、データ復旧が出来ない様に安全にデータを削除する事」と通達すれば良かったのではないでしょうか?

www.ritea.or.jp

 

 

 

尚、データ消去に対する各国の基準については、下記サイトでまとめられていたのが非常に参考になります。

データ消去方式 | 株式会社ウルトラエックス

f:id:foxcafelate:20191222093510p:plain

(ウルトラエックス社 説明ページより引用)

 

これを見ると、1回上書き(RITEAガイドラインはこちら)という考え方が最近の主流となりつつある様ですが、各国ガイドラインは(まだ)3回上書きを推奨している様です。

 

こうした1回、又は3回上書きが可能なソフトは多数ありますので、自治体のリース案件(HDDやSSDの物理破壊が困難なケース)では、リース機器返却前に、こうした基準を満たす(認定)ソフトで消去を実施し、その実施記録(ソフトウェア記録か画面キャプチャー)を残す事、、、といった通達で十分かと思います。

 

自分たちで作業をやりたくない!という自治体担当者の気持ちは分からなくもありませんが、端末返却をする部分をIT部門に任せずに、各担当課(担当)が個別にリース返却時にソフトウェアで消去作業をする事にすれば、(管理部門であるIT部門はその証跡をチェックする)物理破壊や立ち合いまで必要になる事は無いのではないでしょうか?

 

 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 SP・セキュリティポリスのイラスト

 

 

更新履歴

  • 2019年12月22日AM(予約投稿)