概要

□タイトル：機密情報に応じたデータ抹消×自治体DX
　～データ抹消機器活用の実演とガイドラインの解説～
□実施日：2022年9月15日（木）
□参加対象：自治体職員
□開催形式：オンライン(Zoom)
□申込数：59人
□プログラム：
　第１部：ADECと官公庁ガイドラインのデータ抹消トリセツ
　第２部：新ガイドラインに準じたデータ抹消機器の実演と導入事例のご紹介
　第３部：情報漏洩対策への伊勢崎市の取組

ADECと官公庁ガイドラインのデータ抹消トリセツ

データ消去において、気になる点の一つが外部への委託時におけるセキュリティの担保だ。第１部では、そうしたシーンで自治体がどのように考え、どう対策すればいいのかという点について、業界団体の担当者が知見を共有した。

＜講師＞

鈴木 啓紹氏
データ適正消去実行証明協議会（ADEC） 事務局担当

世界標準にもとづいたデータ消去の“3つのレベル”について。

ADECは、第三者によるデータ消去において“適正な消去”とは何かという点を定義し、それにもとづいた消去証明書の発行を行うことで、この分野において社会貢献をしていくために設立された団体です。この“適正な消去”の内容は、世界標準にもとづいたガイドラインがあります。中でも重要なのは、「クリア」、「パージ」、「デストロイ」と言われるデータ抹消の在り方に関する定義です。

「Clear（クリア）」…データ復旧ソフトなどでは復元できないレベル。日本の大多数の民間データ復旧事業者でも復元できない。
「Purge（パージ）」…専門の研究機関による復旧も不可能なレベル。日本であれば警察庁や検察庁、自衛隊などでも復元ができない。
「Destroy（デストロイ）」…国家機密の情報処理レベル。軍事用の機密データを扱うような高度な消去方法で、復元は完全に不可能。

この定義をもとに、話を進めます。

令和元年12月に、神奈川県でハードディスクドライブ（HDD）の転売・情報流出事件が起きました。そもそも事件前から総務省ではセキュリティガイドラインを改定する予定だったのですが、事件を受けて専門家を集めたワーキンググループをつくり、対処を考えました。その後、令和２年５月の「情報システム機器の廃棄等時におけるセキュリティの確保について」などの通知を経て、同年12月に公開されたガイドラインに至ったというのが経緯です。

このガイドラインは令和４年の３月に改定が行われましたが、基本的な部分に変更はありません。ただ、「廃棄」という単語について取扱いが慎重になっており、リサイクル・リユースなどのSDGsも意識した改定となっています。この改定内容を踏まえた上で、実際の機器の廃棄や処理をどう行うべきか、ということについて説明します。

三層分離ネットワークにおいて求められる消去レベルとは？

まず、総務省の通知では、「記憶媒体を初期化しただけではデータは消えない」という点が記されています。従って、最低限でも一般的なデータ復旧ツールでは復元できない消去、つまりクリアレベルで消す必要がある、というのが基本です。その上で抹消レベルが３段階に分けられています。

最も機密性の高いマイナンバー系の領域で、かつ住民情報を保存する記憶媒体については、最後は破壊処理することとなっています。これはデストロイのレベルですが、実際には対象は少ないというのが総務省の見方です。

庁内および管理下で職員または契約事業者によってクリアレベルを担保して消去履歴を残し、外部委託業者に渡して物理破壊をして、産廃処理してその作業確認履歴を残す。その際には立ち会いが求められていますが、作業完了証明と証拠写真を付ければ立ち会わなくてもいいという解釈もあります。いずれにせよ、クリアレベルを庁内で担保し、履歴を残すことは必須であるということです。

この点について自治体の対応状況を確認したところ、穿孔器で物理破壊するケースはあったのですが、その前処理（クリア）をやっているところは見られませんでした。実は、物理破壊の中でも穿孔と呼ばれている方法では、HDDの穴の開いている所以外に情報がまだ記憶されていて、磁気力顕微鏡で読み取ることが可能なのです。従って、ソフト消去や磁気消去を併用した方が望ましいとADECでは伝えています。

また、デストロイの対象は「住民情報を保存する媒体限定」だという理解も広まっておらず、全部壊しているというところも多い状況です。

機密性2、つまりLGWAN接続系に該当する部分は、パージが最終処理レベルとして定義されています。庁内ではクリアのレベルで消去処理し、消去証明履歴を残す。その上で契約事業者に渡し、パージレベルの処理をしてデータ消去証明書をとる、ということです。

機密性1のインターネット接続系に位置する記憶媒体は、庁内管理下のアプローチについては変更がありません。ただし、契約事業者に引き渡す際には、何らかの処理をして消去証明書をとった方がいいとされています。

ちなみに、庁内管轄でソフト消去できないケースについては下図の通りです。HDDの場合は磁気消去または磁気消去＋物理処理、SSDの場合はインターフェース部をつぶすような処理をして電源接続できない状態で外に出します。これでクリアレベルが担保できるとADECでは伝えています。

この総務省ガイドラインは現在改定されている途中で、令和4年度内には公開される予定なので、ご注目ください。改定のポイントは、クラウド上での暗号化消去に関する部分となっています。

ADECでは現在、官公庁や独立行政法人などと一緒に、クラウド環境下の暗号化消去について標準化するための活動をしています。また、行政職員の皆さまを対象に、行政会員の会員ステータスをつくり、Webサイト上で様々な情報を登録会員限定で公開するといった活動も進める予定です。

ほかにも、データ消去に関する調達仕様書の事例や、オンサイト消去時のセキュリティをどう担保するべきかというチェックリストも作成し、会員にお渡ししています。ぜひご活用ください。

新ガイドラインに準じたデータ抹消機器の実演と導入事例のご紹介

第2部では、データ抹消機器の製造・販売を行う「アドバンスデザイン」の担当者が登壇。処理の実演をまじえ、ソフトや機械を適材適所で使うためのポイントと、自治体での導入事例を紹介してくれた。

＜講師＞

長谷川 慧氏
アドバンスデザイン株式会社

自治体の状況に合わせた消去ツール選びのポイント。

アドバンスデザインは1995年設立。データ復旧サービスとデータ消去製品の製造・販売を主な事業内容としています。このデータ消去について、自治体の現場ではどういう方法をとればいいのかということを、当社の製品に当てはめて説明します。

データ消去を行う製品は、「上書き消去ソフト」、「磁気データ消去」、「物理破壊」の3つに大きく分けられます。当社はこの全カテゴリーで自社製品を出しており、これが大きな強みです。上書き消去ソフトは「DataSweeper」（データスイーパー）、磁気データ消去は「MagWiper」（マグワイパー）、物理破壊は「StorageCrusher」（ストレージクラッシャー）というシリーズで、以下がそれぞれの比較表です。

表を簡単に説明すると、まず目的によって大きく2つに分かれます。再利用が可能な状態でデータ消去をするか、もしくは廃棄するかです。つまりリース会社などに返す必要がある場合は上書き消去で、自治体の所有物なのであとは捨てるだけというものであれば磁気データ消去や物理破壊が可能になります。

表内の「対応消去レベル」は、先ほどのクリア・パージ・デストロイの3レベルで、製品がどのレベルに対応できるかを示しています。では、データの完全消去ができるのはどれかというと、上書き消去と磁気データ消去です。物理破壊に関しては、HDDについては4点穿孔方式なので、プラッター上にデータが残っています。

処理時間については、上書き消去は全領域にデータを書き込むので時間がかかります。500GBだと約120分。1TBになると約240分です。これに対し、磁気データ消去の場合はボタンを押せば0.1秒でデータが消えますし、物理破壊機も電動式であればボタンを押して20～30秒で壊せるので、時間に関しては磁気データ消去と物理破壊が早いということです。

また、壊れているメディアの場合、上書き消去は対応できませんが、磁気データ消去と物理破壊に関しては外側から強い力を与えるため、メディアが壊れているかどうかに関わらず処理できます。ただ、SSDは電気的にデータを書き込むので、磁気データ消去は対応できません。逆にフロッピーや磁気テープであれば磁気データ消去は可能です。

最後に各証明書の発行です。物理破壊のストレージクラッシャーに関しては証明書の発行ができません。ただし、物理破壊処理は目で見て分かるので、写真を撮っておくことである程度は証跡になるという認識のもと、当社ではソフトとしては提供していません。このように、目的や機密性、消去レベルによって適切なツールの使い分けが必要になってきます。

ここで、簡単に各カテゴリーの製品の説明をします。

まずデータ消去ソフトのデータスイーパーです。これにはUSB、ライセンスフリー、ハンディ、ネットワークという4つの製品があります。ライセンスフリー以外はライセンス販売になっているので、１台のHDDを消すたびに１ライセンスを消費するかたちになります。

次に磁気データ消去機のマグワイパー。一度にどれだけ消せるかという性能別に３タイプあり、加えてMW-1Bという機種はNSAの認証を受けた世界基準モデルです。そして物理破壊機のストレージクラッシャーですが、こちらは電動式と手動式があります。

これら当社製品の導入事例について紹介します。まず神奈川県庁です。

ADECの話でもあった通り、令和元年に同庁は情報漏えい事故に巻きこまれ、再発防止の仕組み作りが急務でした。そこで総務省のガイドライン以上の厳しい独自ルールを定めています。当社も製品について相談を受け、MW-1Bが採用されました。NSA認証の信頼性と、アジアでこの認証を受けた機械が当社製品しかないという点が評価されています。

ほか、物理破壊装置やデータ消去ソフトも導入いただきました。現在は全ての方法を用いて、データ消去を完全に行っているということです。

次に大津市役所です。大津市は磁気消去装置をすでにもっていたのですが、小型だったため処理できる台数に限りがあり、証跡管理システムもなく手書き対応でした。そこで磁気データ消去機のMW-30000Xと、ログ管理システムを導入。

今では10台以上のHDDも同時に破壊でき、ノートPCもそのまま処理できるので業務効率化が進んだと聞いています。

以上、事例の一部を紹介しました。ほかにも北海道から沖縄まで60以上の自治体が当社製品を導入済みです。

各製品は購入だけでなく、リースやレンタルもあり、作業の代行から消去証明書の発行までを含めたオンサイト消去サービスもご用意しているので、お気軽にご相談ください。

情報漏洩対策への伊勢崎市の取組

プログラムの最後は、群馬県伊勢崎市の情シス担当者による講演。世の中の流れや国の指針に合わせつつ、同市がどのようにデータ消去を行い、セキュリティ対策をどうとらえているのかなど、現場の“リアル”を発信してもらった。

＜講師＞

福田 澄丘氏
伊勢崎市 情報政策課 主査

データ消去を取り巻く状況の変遷と伊勢崎市の対応。

伊勢崎市の取り組みについて、情シス部門の福田からお伝えします。まず、データ消去の歴史と変遷について振り返ってみました。３期に分けて考えたのですが、以下のような流れです。

上記に沿って、当市ではどのようなデータ消去を行ってきたのかお話しします。

黎明期の伊勢崎市では、当時のしかるべき方法でデータ消去をしており、消去証明書も委託先に提出させていました。この消去証明書には、処理を行ったPCの型式、消去方法、写真などが入っていました。こうした手順を続けていたところ、令和元年に神奈川県のデータ流出事件が発生。

当市では同じ年度にPCのリプレイスをしていたので大量廃棄が予定されていたのですが、総務省の通知では、住民情報などの重要情報が保存された記憶媒体は、物理破壊か磁気破壊で行うこと、そして立ち会いをしてください、とありました。

当市でも対応を検討しましたが、まず保管する場所はありません。処理スキームや処理時期の見直しもできない。それでも情報流出は防がなくてはならないということで、取り合えず立ち会いを行うことにしました。これが当時の資料写真です。

上記資料の通り、PCのデータ消去をしたり、４点穿孔の物理破壊をしたりして、それを全てナンバリングして写真に残すといった対応をしてもらい、それに立ち会うという流れで、問題なく完了しました。

ただし、立ち会いは非常に大変で、せいぜい100台規模が限界かと感じました。リプレイス自体は無事に終わったのですが、今後のために何か手を打たなければということで、物理破壊機の調達を検討し、手動式の穿孔機を調達しました。私も操作してみて、そんなに力は必要ないという印象でした。ただし、大量処理になると厳しいというのが率直な感想です。

また、庁内向けの端末廃棄手順書も見直しました。端末廃棄の手順について当時は不明瞭な部分があると感じていたため、セキュリティポリシー改定前の端末も含め、廃棄手順を全庁で統一して、全体のボトムアップを図りました。

セキュリティ対策を総合的に捉え優先順位をつけて対応する！

その後、令和２年にセキュリティポリシーのガイドラインの改定が行われました。これを受けて、当市の掲げたキーワードは以下の二つです。

「もれなく全体の底上げをする」
「市民・県民の情報を守る」

現在、セキュリティ対策はモグラたたき状態になっていて、このセミナーのテーマである「データ消去」以外にも、様々なテーマがあります。

例えばUSBの取扱いとか、Emotet対策とか、職員リテラシー、ゼロデイ脆弱性などきりがありませんし、三層分離がβモデルやβ´モデルになっていくとセキュリティもさらに強化する必要があります。

それらを踏まえ、まんべんなくセキュリティを高めるのが理想ですが、私は少しずつ着実に実施すべきだと考えています。データ消去以外でおろそかになっている部分もあるかもしれないので、もれなく全体の底上げを考えなくてはならないし、誤解を恐れずに言うなら、セキュリティポリシーのガイドラインを守ることが目的になってはいけない。

ガイドラインに不足があれば各自治体で補足すべきだと思いますし、当市も含め、決められた予算内で、どのような順序・計画で実施していくかということを検討する必要があると思います。

セキュリティポリシーのガイドラインを単年度で完全に遵守するのは、正直言って予算の中では難しい。そこで、例えばセキュリティレベルの低い順とか、リスクが高い順といったことを考え、何よりも市民・県民の情報を守ることを目的として取り組まなくてはいけないと思っています。

当市でも「ここはまずい」という部分もありつつ、予算やリソースの問題で全部変えるのは難しい状況です。

まずは課題を認識して計画を立て、着実に潰していくことが大切ですし、セキュリティの分野に関しては、自治体が協力してやっていくべきでしょう。各自治体の皆さんで意見交換などしていただける方がいればぜひ相互協力をしていきたいと思いますので、どうぞ宜しくお願いします。

1. TOP
2. 【セミナーレポート】情報流出をなくす！三層分離に準じたデータ消去の考え方と、自治体にマッチしたデータ抹消機器について。