概要

□タイトル：R４年度版「総務省新ガイドライン」の正しい理解が情報資産を守る！ ～機密情報に応じたデータ抹消方法と藤沢市による実例解説～
□実施日：2022年6月3日（金）
□参加対象：自治体職員
□開催形式：オンライン(Zoom)
□申込者数：67人
□プログラム：
　第1部：ADECと新ガイドラインのデータ抹消トリセツ
　第2部：新ガイドラインに準じたデータ抹消機器のご案内
　第3部：確実なデータ抹消実現に向けた取組み　機器の導入と運用

ADECと新ガイドラインのデータ抹消トリセツ

全国の自治体では、改定版のガイドラインを読み誤っているところも散見されるようだ。第１部では、事情に詳しい業界団体の担当者が、ガイドラインの正しい解釈や、注意すべき点などを詳しく伝えてくれた。

＜講師＞

鈴木 啓紹 氏
データ適正消去実行証明協議会（ADEC）事務局担当

業界標準と言われる規格に記された“３段階”。

私からはADECの説明と、総務省の新ガイドラインの「データ抹消、情報資産廃棄」のあたりについて説明します。

記憶に残っていると思いますが、2019年に神奈川県庁からのインターネットオークションへのハードディスクドライブ（以下、HDD）転売事件がありました。あの事件をきっかけに、情報セキュリティの課題が注目されています。しかしこの事件以前にも、悪徳業者による転売事案は水面下にありました。その辺りを自浄し、業界を良くしていくために立ち上げたのがADECです。下図にある通り、機密データの消去・廃棄について、第三者による証明・認証を通し信頼を与えていくことを目的に活動しています。

ちなみに、我々が総務省のガイドラインについて説明する機会がなぜあるのかというと、「データ消去技術ガイドブック」に端を発しています。これは、データ消去の業界で“業界標準”と呼ばれる米国標準技術「NIST」の規格を我々が日本語化して分かりやすく説明したもので、官公庁にも技術参照資料として使っていただいている、という経緯です。この資料で学ぶべきことは、データ消去の標準的な考え方が「クリア」「パージ」「デストロイ」という３段階の考え方に移行するという点です。

クリアというのは、データ復旧ソフトでは復旧できない状態まで消去するというレベル。その上のパージは、研究所レベルの高い技術でも復旧できない消去方法で、基本ソフト(OS)が認識するレベルを超えて全部消す、と理解すればいいでしょう。警察の犯罪捜査レベルでも復旧は不可能です。そして、その上にデストロイがあります。物理的な破壊という意味を超え、「再生できないレベルまで壊す」という意味です。例えば粉砕とか裁断とか溶解といった、軍事機密のレベルで求められるものです。

こうした考え方に対し、ADECでは大きく2つの制度を設けています。

消去ソフトが、どのくらいの能力を持っているのかといった消去技術検証と、消去事業者が消去に特化した業務プロセスをきちんと整えているかどうかを確認する消去プロセス認証です。この2つの認証を組み合わせた上で、消去証明書が発行されます。これはかなりハードルの高い認証で、かつ原則として１年に１回チェックするという仕組みで信頼性を保っています。

ここからは、「地方公共団体における情報セキュリティポリシーに関するガイドライン」（以下、ガイドライン）について説明します。

ガイドライン改定の流れと、付随する通知の内容とは？

総務省では、前述のHDD転売事件の直前に、ガイドラインの改定を始めようとしていました。しかし事件が起きたためこれを重く見て、専門ワーキンググループを設置。ここで話を進め、2020年５月に自治体へ向けた通知を出しています。これらを踏まえた検討がその後も続き、同年12月に前回の改定版が出たという流れです。そして、令和４年３月に再改定が行われました。この再改定では、廃棄といわれる部分についての取扱いが慎重になっています。

上記にある通り、「廃棄やリース返却等を」と書かれるようになりました。従来の廃棄だけという点に懸念があり、リサイクル・リユースへまわすことも考えてほしいという思いがあります。

ただし、運用で重要な点については通知を参照してください、とも書かれています。通知に何が書かれているかというと、“初期化しただけだとデータは消えない。本の目次を消したようなもので中にはデータが残っている。一般的なデータ復元ツールでも復元可能なので、これを復元不可能なレベルで消去してください”ということです。これは前述の「クリア」にあたります。

また、通知内の図表では、機密度に応じた対応方法が記されています。例えば、マイナンバー系において住民情報を保存する記憶媒体はどうするか、という内容を図にしたのが下記です。

住民情報を保存する記憶媒体は、庁内でクリアに相当する消去を行った後に、デストロイに相当する破壊を行い、履歴を残しましょうということです。ここで我々が言いたいのは、マイナンバー系の中で、さらに住民情報を保存する媒体は限定されているという点。マイナンバー系は全てという意味ではありません。また、「機密２」のカテゴリーに属する記憶媒体はパージのレベルで消す、と定義されています。「機密１」は、庁内でクリアのレベルで対応、という内容です。

ちなみに、パージやクリアは、デストロイに比べて低いレベルに設定されていますが、消去の質自体は高レベルです。例えばクリアでも、日本の業者の９割程度は復旧できません。残りの１割も、犯罪捜査や裁判などで行うフォレンジックというものをやっている人たちが、もしかすると可能かもしれないというレベルです。

そして、最後に重要な点。前述の通り、「消去の履歴を残しましょう」、そして「最終抹消廃棄のための消去証明書をとりましょう」ということを我々は伝えています。今後も、セキュリティのレベルは高くなっていきます。自分たちで勉強することも重要ですが、それだけでは限界があるので、自治体はセキュリティポリシーを決めた上で消去の専門家に委託していくことがおすすめです。

ほか、ADECでは皆さんに様々な情報をお届けできるようなサイトを構築中です。完成した際にはぜひご利用ください。

新ガイドラインに準じたデータ抹消機器のご案内

ガイドラインに準拠するためには、十分な性能を持ったデータ抹消機器が必要だ。規定されたそれぞれの場面で、どのような機器を使えばいいのか。データ消去サービスで官民問わず支持されている「アドバンスデザイン」の担当者が実例をまじえて語る。

＜講師＞

長谷川 慧 氏
アドバンスデザイン株式会社

データ消去機器は“適材適所”。まずは製品の理解を！

アドバンスデザインは、1995年に設立した会社で、事業内容はデータプロテクション、データ復旧サービスやデータ消去製品の販売、などです。復旧と消去という２本柱が主な事業となっています。当社では、ジチタイワークスの協力のもと、自治体にデータ消去の現状を聞きました。ガイドライン改定の後に、対応に変化があったかどうかの調査です。回答は図の通りでした。

対応の変化は「なし」が80％。もともとガイドライン準拠の対応をしているという回答が65％と、非常に良好な数字だと言えます。この調査に加え、当社が独自に93の自治体に向けて、実際にどんな方法で消去しているかを聞きました。結果は下記です。

グラフの赤枠の部分、つまり複数の消去方法を導入されている自治体は全体の19％にとどまりました。これは自治体に問題があるのではなく、ガイドラインの解釈が様々だということを意味しています。その結果、消去方法も自治体によってバラバラだということが判明しました。ここからの話で、少しでも理解を深めていただければ幸いです。

ADEC鈴木様の話と少し重複しますが、総務省の改定ガイドラインでは、データの機密性によって処理方法を3つに分けることが書かれています。簡単にまとめると、下記の通りです。

ここで重要なのは、機密性に応じて適切な方法が変わるということです。では実際にどんな製品を使えばいいのかということを、当社製品を例にして説明します。当社には大きなカテゴリーに分けて、以下3の製品があります。

１：上書き消去ソフト「DataSweeper3」（以下、データスイーパー）
２：磁気データ消去「MagWiper」（以下、マグワイパー）
３：物理破壊「StrageCrusher」（以下、ストレージクラッシャー）

これらの製品には、それぞれ一長一短があります。簡単にカテゴリーで分けると、再利用できるものは上書き消去のみです。磁気データ消去と物理破壊は、処理後のメディアが使用できなくなるので、リサイクル・資源化のカテゴリーになります。

これらの中で、データ完全消去を担保できるのは上書き消去と磁気データ消去です。物理破壊に関しては読み出し不能とするのみで、特にHDDの場合はデータが残っており、高度な技術があれば読み出しが可能です。処理時間は、上書き消去のデータスイーパーの場合、全領域にデータを書き込むので１分あたり４ギガ程度。500ギガのメディアであれば２時間ほどかかります。これに対し、磁気データ消去のマグワイパーであれば、データ消去は一瞬。ボタンを押した瞬間にデータが消えます。

ただし、チャージ時間が十数秒あるので、それを含めておよそ１サイクル20秒で消去作業が進められます。物理破壊に関しては、機械が動くので１台あたり30秒程度。つまり、処理時間のみを考えると磁気データ消去が一番だということです。

レベルに合わせた“使い分け”と“組み合わせ”が情報資源を守る。

次に、メディアが故障している場合について。データスイーパーの場合、対象メディアが完全に動くことが条件となっています。故障して書き込めないメディアは処理が行えません。これに対し、磁気データ消去と物理破壊は、メディアのかたちがあればデータを消したり壊したりすることが可能です。

SSDに関しては、上書き消去と物理破壊はSSDに対応していますが、磁気データ消去は全く効果がありません。SSDは磁気ではなく電子的に記録されているためです。対応消去レベルについては、データスイーパーがクリアとパージに対応しており、マグワイパーはHDDのみパージ、ストレージクラッシャーはSSDでパージ、事前のデータ消去ができていればデストロイに相当する処理が可能です。

このように、各消去ツールには得手・不得手があるので、目的に応じた適切な使い分けが重要です。

例えば、住民情報を保存している媒体は廃棄が必要なので、時間がかかるデータスイーパーよりもマグワイパーでの消去をおすすめしています。その後にストレージクラッシャーでデストロイ相当に処理するといいでしょう。SSDの場合はデータスイーパーでデータを消してからストレージクラッシャーで破壊するという流れが望ましいです。

機密性２の場合は、HDDもSSDもデータスイーパーで対応できますが、メディアが壊れているケースを想定し、マグワイパーやストレージクラッシャーの用意をおすすめしています。機密性１の場合も同様です。このように、機密性にも応じた適切なデータ消去ツールの組み合わせが重要となります。

以上、駆け足で説明しましたが、データ消去は少々難しいものです。いろいろ悩みはあると思いますが、我々にご相談いただければ、あらゆる選択肢を踏まえガイドラインに即した提案をします。まずはご相談ください。

確実なデータ抹消実現に向けた取組み　機器の導入と運用

ここからは自治体の事例紹介。早期からコンピューターを業務に導入し、データの消去・廃棄における管理にも力をいれていた藤沢市の取り組みを、情シスの担当者がこれまでの流れを振り返りつつセミナー参加者に共有した。

＜講師＞

大高 利夫 氏
藤沢市 総務部 情報システム課

徹底対策のポイントは、ポリシーと監査、認証取得。

藤沢市は長くセキュリティに力を入れています。その経過を振り返って紹介します。

2002年の５月、セキュリティポリシーを策定しました。それに合わせ、組織体制の整備を目指し情報セキュリティ委員会を組織。翌年には全課を対象に内部監査を実施しています。さらに2004年には外部監査も始め、同時にセキュリティ研修は全職員が100％受講するということを前提にe-ラーニングを導入しました。職員は情報セキュリティ研修を受講しなければPCを触ってはいけない、という観点です。

さらに物理的対策として監視カメラや入退室管理などを取り入れ、2006年には職員PCをシンクライアントにしました。

このように、人的・物理的・技術的対策を整備して、国際規格であるISO27001、いわゆるISMSの認証を取得しました。今も認証の継続をしています。さらに2008年５月、ICT-BCP地震編を策定しました。2010年にはICT-BCPの新型インフルエンザ編、パンデミック対策を導入。まさかこれをコロナ禍で使うことになるとは、このときには思ってもいませんでした。

そして2011年、BCPの認証取得、さらにそれが国際規格に変わったので、2012年にはISO27031、BCPの認証を取得。このように、ポリシーをつくるだけではなく監査を踏まえ、さらに認証の取得をして、セキュリティへの取り組みに力を入れてきました。

時代の流れに合わせて変遷を遂げたデータ消去の足跡

次に、当市におけるコンピューターと、消去装置の利用経過です。

当市では、磁気の消去装置を古くから導入しています。まずコンピューターを導入したのが昭和38年。昔のコンピューターでは漢字が使えなかったのですが、それが使えるようになって、昭和61年に住基のオンラインが本稼働しました。この頃のコンピューターで使う記憶媒体は、オープンリールの磁気テープでした。その後、進化とともにカセット形式のCGMTに変わりました。その際、磁気テープを大量に廃棄しなければならなくなり、磁気消去装置を導入したのが藤沢市のバルクイレーサー導入の始まりになります。

そして、昭和から平成に変わって、平成14年に１人１台PCが実現し、3.5インチのフロッピーディスク（以下、FD）が大量消費される時代になりました。当然、大量の廃棄が出ます。そこでFDの磁気消去をするための装置を導入。後にCGMTの廃棄も出てきましたが、FDのバルクイレーサーでCGMTの廃棄もできたという流れもあります。

そしてこれからは、2026年１月を目指して、ガバメントクラウドが稼動予定です。つまり、クラウド環境におけるデータ消去というのも目の前に迫っているので、そこに向けて今進んでいるという状況です。

このようにコンピューターとメディアは変遷をたどってきましたが、現在はSSDなどが中心になろうとしています。これらに対しても、物理破壊が有効、磁気消去が可能、といったことをきちんと見定めて、適切に運用していくことが必要だと思っています。

ガバメントクラウド時代を見据え、自治体も新たなステップへ！

現在は、データ消去用機材を充実させ、本日紹介があった大型消磁機器のマグワイパーや物理破壊装置を導入し、ソフトウェア消去のライセンスを購入。従来は返却前にソフトウェア消去を庁内で職員立ち会いのもとで実施していましたが、それだけではなく、漏れているもの、契約で謳えていないものもきちんとやろうということでライセンスを購入しています。

今は、情報機器の廃棄時におけるセキュリティの確保と、物理的なメディアに対してどのように対応するのかが求められています。さらに、今年の３月にはガイドラインが改定されています。その中で表現方法が変わっており、ガイドラインの改定に具体的には書かれていないのですが、これからの自治体DXに向けて様々な内容が矛盾しないよう、セキュリティの強化を図りながら柔軟な対応ができるようにというかたちで改正されています。

今後はガバメントクラウドの時代になるわけですが、ガイドラインにはクラウドの扱いについても記載されるだろうと思います。クラウドのストレージを利用できる間に、自分たちの責任で消去することが求められるわけです。

自治体DXを進めていく上で、インターネットでのセキュリティ対策も求められてきます。これらにもしっかり対応し、住民から信頼される自治体を目指していきたいと思っています。皆さんもともに、セキュリティに配慮した、「誰一人取り残さないデジタル社会の実現」を目指しましょう。

1. TOP
2. 【セミナーレポート】その解釈で大丈夫？ 情報セキュリティポリシーガイドライン改定版の正しい理解と対策で情報資産を守ろう！