ニュース・トピックス

ニュース・トピックス 詳細

 

オークネット総研ニュースレター配信
~中古デジタル機器流通市場の動向を探る~
第3回:情報システム機器廃棄・再流通時に求められるセキュリティ(2)
〜NISTの考えるサニタイズとは、そのデータ消去の実際は〜

2021年4月16日

 オークネット総合研究所(所在地:東京都港区/理事長:佐藤俊司/URL:https://www.aucnet.co.jp /aucnet-reseach/)は、BtoBネットオークションを主軸とした情報流通サービスを提供するオークネットグループが運営し、独自の調査レポートなどを発表しています。当レポートは昨今注目される中古市場に関し、情報通信研究家・木暮祐一氏に取材・調査を依頼し、ニュースレターとして不定期で配信しているものです。
 デジタル機器の中古流通、とくにPCやスマートフォンなど記憶媒体を持つ機器の廃棄や再流通時には、記憶媒体のデータを完全抹消する必要があります。前回のレポートで解説した地方公共団体向けのガイドラインは米国国立標準技術研究所(NIST)のSP800-88というガイドラインを参考に策定したとされていますが、このSP800-88にはどのようなことが記述されているのか見ていきます。



1. NISTとSP800-88とは

 中古デジタル機器流通に携わる関係者にとって、商材のデータ消去をはじめとする情報セキュリティ対策には細心の注意を払う必要がある。前回のレポートでは、神奈川県ハードディスク転売・情報流出事件をきっかけに、地方公共団体における記憶媒体を備える情報通信機器の廃棄時のガイドラインが見直されたことについて解説した。この総務省が示した「取り扱う情報の機密性に応じた機器の廃棄等の方法」は、地方公共団体に限らず、民間における情報通信機器等の廃棄時にも当然適用していくべきものといえる。

 この総務省の情報セキュリティに関連するガイドラインは米国国立標準技術研究所(National Institute of Standards and Technology:NIST)のセキュリティ基準を参考にしているが、今回のレポートではNISTの考える情報セキュリティマネジメントについてもう少し理解を深めていきたい。

 NISTは、1901年に設立された最古の物理科学研究所であり、また1901年から1988年までは国立標準局 (National Bureau of Standards:NBS) と称していた。現在は、米国商務省(United States Department of Commerce:DoC)の傘下の研究機関となっており、5つの研究所と2つのユーザー用施設で構成されている。このうち情報セキュリティに関しては情報技術研究所(Information Technology Laboratory:ITL)が担当し、研究、開発を行っている。このITLの中でコンピュータセキュリティに関して研究を行い、各種文書を発行している部門がCSD(Computer Security Division)で、CSDはその研究、開発成果として情報および情報システムのセキュリティとプライバシーに関するガイドラインをSP(Special Publications)として公刊している。

 SPシリーズ出版物には、情報技術に関連する文書を発行するNIST SP500シリーズ、サイバーセキュリティコミュニティで実用的に使用可能なサイバーセキュリティソリューションを提供するNIST SP1800シリーズ、米国連邦政府の情報および情報システムのセキュリティおよびプライバシーのニーズに対処しサポートするために開発されているNIST SP800シリーズがある。SP800シリーズの文書は、セキュリティマネジメント、リスクマネジメント、セキュリティ技術、セキュリティの対策状況を評価する指標、セキュリティ教育、インシデント対応など、セキュリティに関し幅広く網羅しており、公開されている文書数は180を超える。米国の連邦政府機関のニーズに応えるために設計されたものだが、さまざまな業界においてリファレンスとして活用されており、セキュリティ担当者にとって有益な文書といえる。このNISTの公文書はオンラインで公開1)されており、誰もが参照、ダウンロードが可能となっている。

 前回のレポートでも触れた「NIST SP800-88」はこのSP800シリーズの文書の一部で、2002年の連邦情報セキュリティマネジメント法(FISMA)による法定責任に従い、記憶媒体のデータ抹消(サニタイズ)に関する情報セキュリティの基準とガイドラインの概要を示すために、2006年9月に作成されたものである。この文書の遵守は、米国連邦政府によって義務付けられているが、非政府系組織でも自主的に採用されている。日本ではこれを独立行政法人情報処理推進機構(IPA)が日本語に訳し2009年9月に公開2)している。

 NIST SP800-88は、保持している機密データを復元できないようにする際に、媒体の適切な処理手法について記述されている。この 「媒体」には、紙媒体のハードコピー、コピー機やFAX、プリンターといった事務機器、ルータなどのネットワーク機器など多岐に渡っているが、この中でとくに電子機器の取扱いについて重点的に見ていきたい。

 NIST SP800-88ではタイトルのほか文書内で「サニタイズ」という用語が使われているが、NISTでは、「サニタイズ」とは「媒体から情報を削除し、指定された手段によるデータの復元を不可能にする処理」と定義している。データ抹消という意味だけでなく、暗号化等でデータの内容を判別・復旧することを不可能にする行為全般を指している。また、世界ではデータセキュリティの基本として、データを取扱う側の機関(データ作成者、管理者)がサニタイズまで管理責任を負うという考え方に変わってきている。NIST SP800-88の冒頭でも「各組織が適切な情報の分類、機密性の影響レベル、および情報の場所を正しく識別できることを前提としている。システムライフサイクルの最も早い段階でこれが行われるのが理想である。このような識別を行わない組織は、機密情報を含む媒体を(ほぼ確実に)管理できなくなる」とサニタイズの前提条件を示している。

 このNIST SP800-88は2014年12月に改訂版Rev.1 3)が公表され、SSDやeMMC、タブレットPC、携帯電話、スマートフォンについても新たに記憶媒体として具体的な対処方法が追加記載されている。ただし改訂版Rev.1はまだ日本語化されていない。

 NIST SP800-88で示されるサニタイズの具体的なプロセスについて見ていきたい。まず情報を取扱う組織では記憶媒体に含まれる情報の機密性に応じたセキュリティ分類を求めている。セキュリティ分類で情報の機密性に応じて「低位」「中位」「高位」の3段階に分類し、この段階ごとに処分の際の意思決定のフローを具体的に示している(図1)。米国政府では情報の機密性の3段階を、低位は「限定的悪影響」、中位は「重大な悪影響」、そして高位は「致命的または壊滅的な悪影響」と表現している(図2)。


<図1>サニタイズと処分に関する意思決定の流れ(NIST800-88)



<図2>米国政府が定める情報の機密性3分類(44 U.S.C. 3542)


 前回のレポートで解説した総務省が2020年5月に地方公共団体向けに発出した事務連絡「情報システム機器の廃棄等時におけるセキュリティの確保について」では、NIST SP800-88のプロセスに準じ、情報の機密性を次のように定義している。まず、低位は「公表済みの情報、公表しても差し支えない情報等(機密性1)」、そして中位は「行政事務で取り扱う情報のうち、秘密文書に相当する機密性は要しないが、漏えいにより、国民の権利が侵害され又は行政事務の遂行に支障を及ぼすおそれがある情報(機密性2)、以上の情報」とし、高位は「マイナンバー利用事務系の領域において住民情報を保存する記憶媒体」と明確化している。

2. NIST SP800-88に準拠したサニタイズの方法

 NIST SP800-88の意思決定のフローの中で、サニタイズの方法として「Clear(消去)」「Purge(除去)「Destroy(破壊)」の3つのカテゴリを示している。各カテゴリの説明を要約すると、「Clear(消去)」は、単純かつ非侵襲的なデータ復元技術から保護するために、ユーザーが指定技術を適用すること。通常、新しい値による書き換えや、工場出荷状態へのリセット(書き換えがサポートされていない場合)を選ぶなど、ストレージデバイスに対する標準的な読み取り/書込みコマンドにより適用される。「Purge(除去)」は、最先端の研究所レベルの技術を使っても対象となるデータ復元を不可能にする物理的もしくは論理的な技術を適用すること。そして「Destroy(破壊)」では、最先端の研究所レベルの技術により対象となるデータ復元を不可能にし、媒体をデータ保存に利用できないようにすることとしている。

 NIST SP800-88初版のサニタイズの3カテゴリについてはIPAに翻訳版が公開されているが、2014年に改訂されたRev.1版では、サニタイズの各カテゴリついてさらに詳細な説明が追加されている。独自の翻訳を以下<表1>に掲載する。




<表1>サニタイズの種類(NIST SP800-88 Rev.1)

 HDDのデータ消去に関する基準をさかのぼると、1995年に公開された「米国国家産業保全プログラム運用マニュアル(National Industrial Security Program Operating Manual:NISPOM)」に行きつくとされる。このNISPOMではデータ消去に関して「全てのマッピング可能なセクタに何らかの文字で上書きを行った後、その補数の文字で上書きを行い、さらにランダムな文字コードで上書き処理を行う」という手順が規定されており、さらに3回のセキュアな上書きパスと最終パスの終わりに実施される検証が求められていた。この方法がその後、米国国防総省(United States Department of Defense:DoD)規格の完全消去方法として一般に広まっていった。

 一方でHDDは大容量化が進んでおり10TBを超える機器もすでに一般に市販されている。従来の推奨方式である3回以上の上書き処理を実行するには膨大な作業時間がかかることになり効率的とはいえない。NIST SP800-88初版では「2001年以降に生産された、15GB以上のATAハードディスクにおいては、データの完全消去は、ATAコマンドとして実装されたSecure Eraseの実行により、ディスク全域に1回のみの上書きを行うことで十分である」(ATAコマンドの実行では、DCOやHPAなどの隠し領域や、不良セクタとして代替セクタ処理を受けた部分も含めて、論理アドレスが付与された領域全てに上書きが実行される)ことが明記され、3回以上の上書き処理までは必要ないとしていた。さらに2014年に改訂されたNIST SP800-88 Rev.1でも「1回の上書き」を行うことで「研究所レベルの高度な読み出し方法を試行しても、データの読み出しは不可能である」としている。

 一方でSSDなどのフラッシュメモリを使用した記憶媒体については、ウェアレベリングやオーバープロビジョニングを目的とした領域や、製造上存在する余剰な領域などのような、製造者のみが管理する領域の存在を危惧し、「上書き」を媒体の完全な消去のための手段から除外し、「外部磁界による減磁」と「物理的な破壊」のみに限定している。

3. 主要なデバイスごとの推奨サニタイズ方法

 NIST SP800-88 Rev.1では記憶媒体を持つ様々な機器について、「サニタイズにおける推奨事項」という補足を設け、具体的なサニタイズ方法を示している。その補足事項は、CD/DVD/BD媒体から、HDD、スマートフォン、SSD、USBメモリなど、多岐にわたっている。以下、HDDとスマートフォンに関する補足事項を引用し解説したい。

1)ATA HDD
 HDDにつては、Clearレベルの場合、「1回書込み+書込み検証(NIST800-88)」を推奨している。しかし大容量ストレージの消去に対する所要時間の長さと保存データの重要度によっては「1回上書き(ゼロライトかランダムライト)」後、Hex表示で書込み確認作業を推奨している。Purgeレベルの場合は、HPA、DCO、代替処理済み領域などアクセスできない領域の消去も行う必要があり、デバイスがサポートしている場合はATAコマンドの「拡張Secure Erase」方式による消去を推奨、デバイスが同方式をサポートしていない場合は物理破壊を推奨としている。NIST SP800-88 Rev.1の補足にあるサニタイズ方法は以下<表2>のとおりである。




<表2>ATA HDDのサニタイズ推奨事項


2)SSD
 SSDは磁気ディスクを採用するHDDとは異なり、データを電気的に備蓄する、いわばフラッシュメモリである。フラッシュメモリは書込み回数に上限があるため、その寿命を延ばすためにウェアレベリングという書込制御技術が導入されている。ウェアレベリングによって意図せずデータが残存する場合があるほか、OSやユーザーからアクセスすることができず、全領域を消去することが難しいとされてきた。NIST SP800-88 Rev.1の補足にあるサニタイズ方法は以下<表3>のとおりである。




<表3>SSDのサニタイズ推奨事項


 SSDの場合、Clearレベルでは、ディスク全体の領域を乱数で上書きした後、ゼロで上書きし書込み検証を行う、または、ディスク全体の領域をゼロで上書きした後、書込み検証を行う方法が推奨される。Purgeレベルの場合、SSD内のHPA、DCO、代替処理済み領域などアクセスできない領域の消去も行う必要があり、ATAコマンドの「拡張Secure Erase」方式(デバイスがサポートしている場合)で消去を行った後、ディスク全体の領域を乱数で上書きした後、ゼロで上書きし書込み検証を行う、または、ディスク全体の領域をゼロで上書きした後、書込み検証を行う方法が推奨される。デバイスが「拡張Secure Erase」方式をサポートしていない場合は、物理破壊が推奨される。

3)iPhoneおよびiPad
 NIST SP800-88 Rev.1では主要なスマートフォンについても推奨サニタイズ方法を示している。iPhoneおよびiPadの推奨事項は以下<表4>のとおりである。




<表4>iPhoneおよびiPadのサニタイズ推奨事項


 iPhone、iPadなどのiOS端末はデフォルトで記憶領域の暗号化処理が実装されており、NIST SP800-88 Rev.1でも端末メニューにある端末リセット(「すべてのコンテンツと設定を消去」)を行うだけでPurgeレベルでも可となっている。

4)Android端末
 Android端末の場合、Clearレベルであるならば端末の出荷時設定へのリセット操作を実行すればよいとされている。ただしリモートワイプを介して実行されたデータ消去操作では、サニタイズの結果を確認することができないため除外となっている。Purgeレベルでは、端末の製造元とサービスプロバイダー(キャリア)によって異なるとし、これらの事業者に確認が必要となっている。Android端末のサニタイズ推奨事項は以下<表5>のとおりである。




<表5>Android端末のサニタイズ推奨事項


 このほか、NIST SP800-88 Rev.1ではBlackBerryやWindows Phoneについてもサニタイズ推奨事項を記載しているが、わが国ではほとんど流通がないので本稿では割愛する。

 以上のように、地方公共団体における記憶媒体を備える情報通信機器の廃棄時のガイドラインが見直され、セキュリティレベルに応じた具体的な処理方法が定められた。今後はこの基準が民間事業者にも浸透していくと考えられ、中古端末流通市場に関わる事業者においても必要な知見となる。自治体で取り扱われる情報機器の廃棄時に、業務の中でマイナンバーの取扱いを行なった機器でなければ「OS等からのアクセスが不可能な領域も含めた領域のデータ消去装置又はデータ消去ソフトウェアによる上書き消去」を行うことで市場に再流通させることは可能であろう。また記憶媒体を備える情報通信機器は、PCだけでなくスマートフォンにも適用されるはずである。中古PC、中古スマートフォンを取扱う事業者もこうした情報セキュリティをめぐるガイドライン改訂には目を向けていく必要がある。



4. セキュリティ対策もグローバル化が求められる

 わが国においても、セキュリティ対策という観点からのデータ抹消に関するガイドラインは多数存在していたが、技術的な裏付けに基づいた具体的な抹消法に踏み込んだガイドラインは存在しなかった。一方で、NIST SP800シリーズはハードウエアの構成やシステムの運用方法、インシデント発生時の対応など具体的な対処まで踏み込んだ技術的なフレームワーク、実践的なレギュレーションといえる。前回のレポートで触れた2019年の神奈川県ハードディスク転売・情報流出事件をきっかけに自治体情報セキュリティ対策の見直しが行われ、NIST SP800-88を参考にしてガイドラインの改定も行われた。わが国における情報セキュリティ対策への考え方が大きく変わるきっかけになったといえよう。

 社会では、1社や1企業グループだけでビジネスが完結することはない。メーカーが出荷した生産品の多くは、複数の企業の手を経て最終的な製品・サービスに組み込まれ、流通網を介して消費者の元に届く。情報通信技術に関わるプロダクトは国境を超えること、国境を超えてきた生産物がないと成り立たない事業も少なくない。このようなビジネス環境では、一つの地域や特定の分野・業種が制定したルールであっても、その効力は広範囲に及ぶ。記憶に新しいところでは、2018年5月にEU(欧州連合)が発効した個人情報保護に関する規約「GDPR(一般データ保護規則)」が挙げられる。GDPRはヨーロッパでの話であるが、日本企業も無縁ではない。対象となる事業者の範囲とペナルティの厳しさに対する認識が浸透するに伴い、わが国でも多くの企業が対応を急ぐことになった。こうした情報セキュリティ対策がグローバル化していく中で、新しいルールとして日本企業の視界に入ってきたのが、NISTが定めるセキュリティ基準といえそうだ。


<参考>
1)Information Technology Laboratory:COMPUTER SECURITY RESOURCE CENTER
https://csrc.nist.gov/publications/

2)SP800-88 媒体のサニタイズに関するガイドライン
https://www.ipa.go.jp/files/000025355.pdf

3)NIST: Guidelines for Media Sanitization (NIST SP800-88 Rev.1)
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf

本リリースのPDFはこちら


——————————————–

 

写真9

 黎明期からの携帯電話業界動向をウォッチし、2000年に(株)アスキーにて携帯電話情報サイト『携帯24』を立ち上げ同Web編集長。コンテンツ業界を経て2004年にコンサルタントとして独立。2007年には「携帯電話の遠隔医療応用に関する研究」に携わり徳島大学大学院工学研究科を修了、博士(工学)。スマートフォンの医療・ヘルスケア分野への応用をはじめ、ICT の地域社会での活用に関わる研究に従事、各地の主要大学でモバイルやICTに関する講義を行ってきた。 現在、総務省 地域情報化アドバイザーとして地方のDX支援に携わる一方で、一般財団法人情報法制研究所 上席研究員としてデジタル機器の情報セキュリティに関する動向をウォッチする。

<オークネット総合研究所 概要>
 当総合研究所は、1985年に世界初の中古車TVオークション事業をスタートし、以来30年にわたりオークションを主軸とした情報流通サービスを提供するオークネットグループが運営。これまで培った実績とネットワークを活用し、専門性、信頼性の高い情報を発信することで、更なる業界発展に寄与することを目指しています。

所在地:〒107‐8349東京都港区北青山二丁目58号 青山OMスクエア
理事長:佐藤 俊司
U R L:http://www.aucnet.co.jp/aucnet-reseach/

——————————————–

<本件に関するお問合せ>
株式会社オークネット 広報担当:高野、横田、廣中
TEL:03-6440-2530  E-MAIL:request@ns.aucnet.co.jp

※本資料を利用される際は、オークネットにご一報の上、提供元を「オークネット総合研究所」と明記して、ご利用ください。



ニュース一覧へ