概要

■テーマ：情報資産(データ)廃棄に関する最新動向～効率的な消去運用とクラウドデータ消去～
■実施日：2023年8月22日（火）
■参加対象：自治体職員
■申込者数：60人
■プログラム
Program1
ガイドラインの令和5年3月版改訂を踏まえた自治体セキュリティのあり方
Program2
「物理破壊からの脱却」SSD時代のデータ消去ソリューションとは？

ガイドラインの令和5年3月版改訂を踏まえた自治体セキュリティのあり方

＜講師＞

立命館大学 情報理工学部 教授
上原 哲太郎 氏

令和7年度を期限とする情報システムの標準化・共通化に向け、地方公共団体情報システム標準化基本方針が決定された。これを受けて「地方公共団体における情報セキュリティポリシーに関するガイドライン」も改訂された。改訂の主眼はガバメントクラウドへの対応のあり方だが、同時に外部委託先管理の強化についても言及されている。

これらの改訂内容を解説しつつ、クラウドに対応した機密性確保とデータ消去のあり方について、上原氏が解説する。

「令和4年度セキュリティポリシーガイドライン」改訂について

令和4年度のセキュリティポリシーガイドラインの改訂ポイントは、下記の3つです。

（1）標準準拠システム等のクラウドサービス利用に対応したセキュリティ対策
（2）外部委託先管理の運用面に関するセキュリティ対策
（3）昨今のサイバー攻撃に対するセキュリティ対策

同ガイドライン第4編に、「地方公共団体におけるクラウド利用等に関する特則」としてクラウドに対する扱いが明記されています。その背景には「2025年問題」があり、2025年度までにガバメントクラウドを用いて、住基、戸籍など多くの基幹システムをメインの標準準拠システムに移行し、クラウド化することが目的に掲げられています。そのために現在、全国の自治体が一斉に移行支援期間に突入しています。

ただし、全システムがクラウドにうまく乗るわけではなく、中には業者自体が対応でない場合も出てきています。それに伴い、どの外部クラウドを使うかが問題になってきます。ほかにも下記のような問題や注意点があります。

特に重要なのは、「責任分界」について。特にIaaSでサーバーをクラウド上で借りる場合、借りた側で色々な設定ができる分、セキュリティの担保は自治体側で行う必要があります。クラウドの場合、必ずどこかに責任分界があり、責任分界よりも手前の部分は顧客側に責任があることを理解しておいてください。

また、契約時にはバックエンドも含めた契約関係を確認すること、自分たちで業者を選定できない場合には、政府情報システムのためのセキュリティ評価制度である「ISMAP」、「ISMAP-LIU」を参考にすることも重要です。

クラウドとオンプレの接続問題について

インターネットにつながっていないネットワークとクラウドサービスとを接続する場合、以下の図のような格好になるのではないかと思います。

ただし実際には、このガバメントクラウド、あるいはほかのクラウドに関しても、システムを完全に閉域で使い続けられるわけではありません。例えば、ウイルスのパターンファイルが欲しいとか、クラウドサービスのライセンスサーバーにアクセスする必要があるなどの際、どうしてもインターネットにアクセスしなくてはいけません。

ガイドラインには、「特定通信」の手法を使って安全にインターネットに接続すると書かれています。これも、よく考えて行う必要があり、ガバメントクラウドの標準システムからの接続は、安全な経路がつくられますが、さらにその先のインターネット接続問題で、ほかのクラウドを使ってつくったシステムのサービス上に穴が開くとき、そこを通じて侵入されることになりかねません。システムをよく把握することが、最も重要だと思います。

なお、ガイドラインには書かれていませんが、私が懸念しているのが「シャドーIT問題」です。職員が“クラウド慣れ”してくると、業者の売り込みに負け、原課で勝手にクラウドサービスを使う、あるいはクラウドサービスを使うためにちょっと穴を開ける職員が出てくるかもしれません。使用前にきちんとチェックする必要があります。

データの廃棄問題と「暗号化消去」がうまく働く条件

オンプレでも問題になっていたのが、リース契約終了時です。従来のガイドラインにも、リース契約終了時には破壊するよう書かれていますが、実際には破壊できていないケースもあるのではないかと思います。オンプレならまだしも、クラウドの場合は契約終了時、本当にデータが消えているか否かを確認できません。場合によっては、データ消去証明書を出してくれる事業者に頼むことが良いと思います。

データ消去に関して、自治体のガイドラインで参照されているのは、10年ほど前に決まった「NIST SP800-88」です。低位、中位、高位にセキュリティ分類されており、消去、除去、破壊の3段階でデータ廃棄が行われます。セキュリティが非常に高い高位のものに関しては、記憶媒体を破壊するしかありません。

クラウドの場合、マイナンバー利用事務系の消去は今後、「暗号化消去」を使うことになると思います。暗号化消去がうまく働くための条件は、きちんとした暗号が使われることです。実際には電子政府推奨暗号を使うことが必要です（CRYPTREC暗号）。重要なのは、暗号化鍵の管理ができているかということです。

暗号化消去を行うには、最初からデータを暗号化しておかねばなりません。途中から暗号化すると、その暗号化前のデータの“カケラ”がどこかに残っている場合があるため、最初から暗号化することが大事なのです。また、暗号化する際には鍵の複製をつくってしまいがちですが、今度は鍵の複製が残っていないか調べなければなりません。鍵の管理は、物理的な媒体に放り込んでおくことをオススメします。

最後に、クラウド時代は自治体の情報セキュリティも、クラウド対応に切り替えなければなりません。システムに関わる事業者も、どこか1社に全てお任せということがあり得なくなってきました。自治体職員は、これらを全部管理し、事故が起こる余地がないかどうかを確認することが大事になると思います。

[参加者とのQ&A] ※一部抜粋

Q：自治体の情報セキュリティについて、マイナンバー利用事務実施者として、「個人情報保護評価書PIA」に物理的・技術的安全管理措置を明記してリスクコントロールすることが求められていますが、PIAと情報セキュリティポリシーガイドラインに整合性がなかったり、粒度が異なっていたりするために困っています。PIAに合致した標準的な安全管理措置とする予定はないのでしょうか。

A：PIAの場合、自治体が評価書をつくる際、「私たちはこういうふうに評価した」、「こういうふうに安全管理措置を行う」と、宣言する性質のものです。一方のガイドラインは、総務省側からの参考書みたいなものです。したがって、ここで矛盾が生じるとすれば、実際にはそれぞれ向いている方向が違うということになります。最終的には、整合性をとっていく作業そのものも、自治体の仕事の中に入ると思っています。

PIAと自治体ガイドラインがズレているというご指摘ですが、個人情報保護委員会が求めているPIAの考え方の中に、具体的にこの方法でなければダメだということが決められているわけではありません。自治体ガイドラインに補足的に技術論が書いてありますが、こちらがPIAのどの部分と矛盾するかというのは、場合によると思います。

基本的には自治体側には実装手法に裁量があるはずなので、その中で矛盾点は吸収できるんじゃないかなと思っていますが、子細は私も研究してみます。

「物理破壊からの脱却」SSD時代のデータ消去ソリューションとは？

＜講師＞

株式会社ブランコ・ジャパン エンタープライズ営業部
部長 朝倉 孝介 氏

IT資産の処分等の際に必要となるデータ消去。地方公共団体における情報セキュリティガイドラインを満たし、国際標準となっている「NIST SP800-88 R1」への準拠が証明された唯一のデータ消去ツール「Blancco Drive Eraser」による、SSD時代の安心・安全なデータ消去運用について、朝倉氏が実際の事例を交えて紹介する。

適切な「データ消去」とは

Windows上でゴミ箱を空にすると、一見、データが完全に消えたように見えますが、市販のソフトで簡単にデータを復元することができます。適切な消去技術を使い、データ消去を実行することが大きなポイントです。

地方公共団体における情報セキュリティポリシーに関するガイドライン、特にデータ消去に関する部分がアップデートされ、これまで曖昧だったデータ消去に関する記述が、以下のように、かなり詳細に決められました。

庁舎内で、一般的なデータ復元ツールでは復元できない方法でデータ消去を行うこと、消去結果の証明書レポートを担保すること、物理破壊に必要な機器を所有することが難しい場合には、庁舎内でいったん復元できない形で消去を行ってから庁舎から持ち出すことなどが定められています。データ消去の運用には、技術とプロセスの2つの視点が必要です。適切な技術で自らコントロールができるうちに、データを消去・引き渡す、返却、廃棄することが重要です。

データ消去の課題について

近年、SSDの利用が増えています。SSDと従来のハードディスクは、構造の違いによりデータ消去の方法も異なります。SSDはフラッシュメモリの集合体のため、穴あけや折り曲げによる物理破壊では不十分で、磁気照射による破壊も無効です。そのため、ソフトウェアによる上書き消去が適切です。

ただし、ソフトウェアによる消去に関しても技術的なハードルが存在します。復元できない完全なデータ消去に関しては、SSD自体が持つ消去コマンドを実行する必要がありますが、ファームウェアコマンドにロックがかかっていることがあります。そのため、ロック解除ができるかどうかが、ソフトウェア選びの重要ポイントになります。

また、消去方式の古い規格であるDoDは、SSDの構造を踏まえた消去方法になっていません。さらに消去時間を見ると、DoDはNISTの規格に比べ非常に長い時間が必要です。このNIST規格では、ファームウェアベースの消去を行うことで、安全かつ短時間に消去が実行できます。

次に物理破壊についてですが、下記の写真をご覧ください。穴が4つ開けられている左の写真はSSDですが、穴を開けるのはハードディスクのやり方で、SSDは穴と穴の間にもチップがあるかもしれません。

日本では37％の企業が、物理破壊もしくは磁気による破壊を行っているというデータがあります。しかし、最近はPCのほかタブレットが増え、分解が非常に大変になっています。実際、取り出して破壊する物理破壊の場合は、人の手を使う作業が必要です。意図する・しないに関わらず、紛失や漏えいのリスクが高まることが想像できます。

一方、ソフトウェア消去はプログラムが走りだせば一気に動きますので、情報を漏洩させにくいです。また、最近はリユース業者とタッグを組み、自治体の使用済みPCをリユースし、町民に寄贈するという話題も耳にします。

実態調査(166自治体へのヒアリング）と「Blancco」運用・導入事例

データ消去に関する取り組み状況について、166の自治体にヒアリングを行ったところ、ソフトウェアによる上書き消去、物理破壊、両方併用など、自治体により様々でした。

下記は、2自治体の入札仕様書の一部を抜粋したものです。上段は、SSD内蔵PCを調達しているにも関わらず、ハードディスク向けの規格で消去することが書かれており、適切ではありません。

一方、下段はSSDの消去について、NISTリストの規格を守っているソフトを使うこと、SSDのフリーズロックを解除する機能があることなど、SSDに対する細かな仕様が盛り込まれています。これによって適切なソフトウェアが調達できるのではないかと思います。

当社が提供する「Blancco」は、様々なデバイスやデータ消去のツールを提供しています。全ての消去ソフトに電子署名が入っているので、もしも改ざんを受けても発見できて、改ざん防止の措置につながる消去レポートを必ず付帯しています。

弊社のPC向けデータ消去ツール「ドライブイレーサー」と、レポートを一元的に管理する「マネジメントコンソール」の運用例を紹介します。

●運用例／スタンドアロン環境でのデータ消去
こちらは、USBメモリ1本で消去とレポートの管理ができる手軽さが人気です。消去用USBの作成時にはインターネットにつながる端末が必要になりますが、USBを作成すれば、起動し消去が始まります。終わったらレポートがUSBに保存されるという手軽な運用です。
LGWANやほかのネットワークにつなげられない環境、スタンドアロンのサーバーでも、これによって消去を実行することができます。

●運用例／資産管理ツールとの連携
以下は、消去ツール「Blanccoドライブイレーサー」をMSIパッケージに加工し、一般的な資産管理ツールとして配布。エンドユーザー側で実行すれば、色々なロケーションのマシンの消去が実行できます。レポートを自動で送信する運用も可能です。

（三松社長コメント）
株式会社ブランコ・ジャパン
代表取締役社長 三松 基 氏

総務省によるデータ消去に関連するガイドラインが出されたことで、PCやサーバーのデータ消去について、何をしなければいけないのか悩んでおられる職員も多くいるのではないかなと思います。PC等の廃棄時以外にも、個人情報や機密情報を含むファイルの削除時も、ごみ箱に入れるだけではなくデータ消去をしっかり行わなければなりません。

ガバメントクラウドへの移行もそうですが、データを移行すると、要らないものも出てきます。物理サーバーやストレージのデータ消去もしっかり検討しなければいけません。クラウド環境の契約終了や使用終了時については、現在これから導入というタイミングのため、データ消去についてはまだまだ先ですが、使い始めるときに廃棄時や契約終了時のことをしっかり考え、導入することが重要と考えています。

当社が非常に多くの相談をいただいているのが、GIGAスクール端末のデータ消去です。先生や生徒が使う端末のデータ消去も、これから考えていかなければいけない事柄だと考えています。

本日の上原先生の講演に「責任共有モデル」という言葉がありましたが、それにもとづくデータの管理が非常に重要です。例えばAWSの例を挙げていますが、お客さまが使っていたデータ、保存・管理されていたデータは、お客さまご自身でしっかり廃棄のプロセスを構築する必要があります。

弊社は、25年以上にわたりデータ消去のグローバルリーダーです。データ消去の相談はもちろん、情報機器、ストレージ環境の廃棄時やリース返却時の相談は、ブランコ・ジャパンにお気軽にお問い合わせください。

[参加者とのQ&A] ※一部抜粋

Q：NIST SP 800や地方公共団体における情報セキュリティーポリシーに関するガイドラインを参考にしていますが、具体的にどのような方法がガイドラインに沿っているのかが分かりません。
A：現在は「NIST」という規格が世界的に普及しており、色々な政府の仕様要求事項にも入っています。NISTのPurgeに沿って消去すれば復元できなくなりますので、NIST-800-88Purgeを実行すれば、十分だと考えます。
 

Q：3回上書きに多くの時間を費やしてもなお、本当に消えているかが不安だったため、物理破壊に戻した場合について。本当にソフトで消えたかを、どう評価するのでしょうか。

A：ソフトウェアの品質という意味ではISOなどの国際認定を取得していますので、適切に動作すると思います。またNISTの規格の中には、消去のステップの中に検証のステップがあります。適切に消去が終わったかどうかソフトウェア上で検証する際は、消す前にデータを書き込んでおいて消した後にデータを照合するステップがあります。

確かに、物理的に壊れていると安心しそうですが、そういった技術の中で消去ができていることを検証していますので、安心して利用いただきたいと思います。また現在では、上書きの回数も長い時間をかける必要がなくなっていますので、ぜひ、全体のプロセスをこの機会に見直していただければと思います。

1. TOP
2. 【セミナーレポート】情報資産(データ)廃棄に関する最新動向～効率的な消去運用とクラウドデータ消去～