サイト内の現在位置

媒体のデータ抹消処理に関するガイドラインNIST SP800-88 rev.1のご紹介、およびクラウドサービスにおけるデータ抹消処理について

NECセキュリティブログ

2021年12月24日

皆さんこんにちは。NEC サイバーセキュリティ戦略本部のU松(ハンドルネーム)です。今回はNIST SP800-88 rev.1new window[1]を参考に媒体のデータ抹消処理、廃棄について解説していきます。NIST SP800-88は2006年に米国国立標準技術研究所(NIST)が発行した媒体のデータ抹消処理、廃棄に関するガイドラインで、2014年に現行のバージョン(rev.1)に改訂されました(2021年11月24日にIPAからrev.1の翻訳版 PDF[2]が公開されました)。
私たちは情報を紙や電子媒体といった何らかの媒体に保存しています。そしてそれらの媒体は不要になったり、製品寿命がきたり、リース品であれば返却期限がきたりといった理由でいずれは廃棄、返却されます。こうした廃棄、返却される媒体に適切なデータ抹消処理を実施していない場合、そこから機微情報が漏えいする可能性があります。実際、不適切な廃棄処理によってHDDから個人情報が流出した事件new window[3]が起こっています。こうした情報漏えいを防止するためには、媒体に保存されたデータの機密性のレベルや媒体の種類などに合わせた適切なデータ抹消処理が欠かせません。今回はNIST SP800-88 rev.1を参考に媒体のデータ抹消処理、廃棄について、処理方法やその決定方法、検証や確認の必要性、クラウドサービスにおける対応方法などをご紹介したいと思います。
なお本記事ではデータ抹消処理を媒体上の対象データ(データ抹消処理技術の対象となるデータ)へのアクセスを、所定レベルの回復労力では不可能にするためのプロセスと定義しています(NIST SP-800-88 rev.1 IPA翻訳版より引用)。

媒体のデータ抹消処理の必要性

既に述べた通り、適切な処理が行われていない媒体には個人情報や営業秘密など機微情報が漏えいするリスクがあります。媒体のデータ抹消処理はこうしたリスクを抑え、機密性を保証するために必要な対策となります。特に個人情報が格納された媒体は注意しなければなりません。個人情報保護委員会が発行している「個人情報の保護に関する法律についてのガイドライン(通則編)」new window[4]には、「個人データを削除し又は個人データが記録された機器、電子媒体等を廃棄する場合は、復元不可能な手段で行わなければならない」とあり、適切な処理を行わなかった場合、法令違反と判断される可能性もあります。

データ抹消処理の種類

はじめにデータ抹消処理方法の種類について見ていきます。NIST SP800-88 rev.1ではデータ抹消処理方法の分類を以下のように定義しています(NIST SP-800-88 rev.1 IPA翻訳版より引用)。

名称 説明
消去 すべてのユーザアドレス指定可能なストレージ領域のデータに対してデータ抹消処理を行うための論理的な技術を適用し、単純な非侵襲のデータ回復技術から保護する。通常は、新しい値で書き換えたり、メニューオプションを使用してデバイスを工場出荷時の状態にリセットしたりする(書き換えがサポートされていない場合)など、ストレージデバイスへの標準的な読み書きコマンドを介して実行される。
除去 物理的又は論理的な技術を適用して、最先端の研究室レベルの技術を使用しても対象データの回復を不可能にする。例えば、後述する暗号化消去や磁気デバイスに対する適切な強度での消磁など。
破壊 最新の研究室レベルの技術を使用しても対象データの回復を不可能にし、且つその後のデータの保存に当該媒体が使用できないようにする。

具体的な方法は媒体の種類などにより様々ですが、例えば非機微データ(すべて0の列など)で上書きする、消磁、デバイスの機能を使用し工場出荷時の状態にリセットする、細断、分解、粉砕、焼却といった方法が挙げられます(同じ方法であっても適用される媒体の種類などにより消去、除去、破壊、あるいはそもそもデータ抹消処理として不適切か変わります)。また近年は暗号化消去という手法が注目されています。詳細は後述しますが、その名の通り暗号化を用いてデータ抹消処理を実現する方法で、クラウドサービスやモバイルデバイスへの応用が期待されています。
NIST SP800-88 rev.1には特定の媒体ごと(接続規格ごとのHDDやSSD、CD、DVD、BD、USBメモリ、ネットワークデバイス、iOSやAndroid OSを実行しているデバイス など)に推奨される消去、除去、破壊の具体的な方法や注意を記載した付録もあり(付録A)、データ抹消処理方法を決定する際の参考になります。

暗号化消去

暗号化消去とは、一言でいえばデータを暗号化し、その暗号鍵に対してデータ抹消処理を実施する方法です。暗号鍵はデータ抹消処理されるので、暗号化されたデータの回復は不可能に(非常に難しく)なりデータの機密性が維持されます。暗号化消去はデータ抹消処理の対象がデータではなくそれを暗号化した暗号鍵となるため、他のデータ抹消処理方法に比べ高速という特徴があります。ただし、対象となるすべてのデータが確実に暗号化されている必要があります。また、暗号化に使用した鍵が適切に保護されていることやコピーを含むすべての鍵に対して確実にデータ抹消処理が行える必要もあります。暗号化消去によりデータ抹消処理された情報を(暗号鍵なしで)回復するためにかかる労力は、暗号アルゴリズム(および暗号利用モード)、または暗号鍵の強度に左右されます(NIST SP800-88 rev.1ではFIPS 140認証暗号モジュールを使用することを求めています)。

データ抹消処理の決定

次はデータ抹消処理方法の決定の仕方についてです。前述の通り様々なデータ抹消処理方法がある中、どのように方法を決定すべきでしょうか。NIST SP800-88 rev.1ではデータの機密性レベル、将来の計画、媒体の管理・種類等を考慮し、情報漏えいのリスクを最小にする方法を選択することを推奨しています。

  • 機密性レベル
    システムやデータの機密性レベルおよび機密性へのリスク評価は、効率的で効果的なデータ抹消処理方法を選択するために必要不可欠です。例えば機密性が高いデータであれば、情報漏えい時の影響も大きいのでより確実なデータ抹消処理方法が必要になります。逆に機密性が低いデータであれば(機微情報が含まれていない媒体など)、データ抹消処理を行わずに廃棄といった選択肢をとることもできるでしょう。
  • 将来の計画
    媒体の再利用など将来的な計画も影響します。単純な例ですが、破壊を選択した場合、その媒体の再利用はできなくなります。
  • 媒体の管理
    媒体の管理(媒体を管理するのは誰で、誰がアクセスできるのか)も影響を与えます。媒体が組織の管理下から離れる場合、そうでない場合と比べ強力なデータ抹消処理が必要になるかもしれません。
  • 媒体の種類
    システムで使用する媒体の種類、特性も当然影響を与えます。例えば破壊以外に効果的なデータ抹消処理が存在しない媒体であれば、破壊以外の選択肢がない(難しい)などです。
  • その他
    上記以外にもデータ抹消処理コスト(ツールや人員の訓練、媒体の再利用を考慮した場合のコストなど)、データ抹消処理にかかる時間、委託するか自組織で行うかなど、媒体やデータ抹消処理に関連する様々な要因を考慮する必要があります。

こうした点を考慮し、情報漏えいのリスクを最も抑えることができる方法を選択します。NIST SP800-88 rev.1ではデータの機密性のセキュリティ分類に見合った決定を行う際の参考になるフローを紹介しています(図1)。また前述の通り、付録Aを参考に特定の媒体のデータ抹消処理方法を決定することができます。

図1 セキュリティ分類ごとのデータ抹消処理及び廃棄の決定フロー
(NIST SP800-88 rev.1 IPA翻訳版 図 4-1:データ抹消処理及び廃棄の決定フロー)

検証

データの機密性を維持するためにはデータ抹消処理、廃棄の検証が不可欠です。これには、人材や設備の検証、データ抹消処理結果の検証が含まれます。人材や設備の検証とは、データ抹消処理を行う人員がそれを実行するための十分な能力を有しているかの確認や、(機器やツールを用いてデータ抹消処理を行う場合は)機器やツールのテスト、メンテナンスなどを指します。データ抹消処理結果の検証は、データ抹消処理が効果的に行われたことを確認する目的で実施します。対象のすべての領域に対して検証を行う方法やサンプリングした一部の領域に対して検証を行う方法があります(NIST SP800-88 rev.1にはサンプリングサイズの推奨値なども記載されています)。可能であれば完全な検証を行うべきでしょう。ただし、どのような検証方法を採用するかは、データ抹消処理方法などに左右されます。例えば、アクセス可能なすべての領域を読み取り、期待される値になっているか確認する方法の場合、データ抹消処理後に媒体が読み書き可能な状態でなければなりません。破壊を選択した場合、この検証方法を採用することは基本的にできません。

文書化

データ抹消処理が完了した後は、媒体の「媒体廃棄証明書」を作成します。証明書には媒体のシリアル番号や種類、データ抹消処理方法、検証方法等を記載します(NIST SP800-88 rev.1には証明書に含めるべき項目が記載されています。また証明書のひな形を付録Gで提供しています)。媒体廃棄証明書は、媒体のデータ抹消処理が適切に行われたかを確認する際に利用できます。媒体に格納されたデータの機密性レベルが低い場合は証明書を作成しない選択肢もありますが、それ以外の場合は原則作成すべきです。例えば個人情報を格納する媒体の場合、前述の「個人情報の保護に関する法律についてのガイドライン(通則編)」new window[4]において、個人データが記録された機器、電子媒体等を廃棄した際は、削除または廃棄した記録を保存することが重要とされており、媒体廃棄証明書はこの記録や証明になります。また同ガイドラインに併せて記載がある通り、データ抹消処理を委託した場合は、委託先が確実に処理を行ったことを証明書などで確認することが重要です。前述の情報漏えい事件では、委託業者への確認が不十分であったことが原因の一つとみられています。確実に処理が行われたことを確認するようにしましょう。

クラウドサービスにおけるデータ抹消処理

最後にクラウドサービスにおけるデータ抹消処理について考えます。クラウドサービスでは、ストレージを含むインフラはクラウドサービス側の責任範囲です。そのため、オンプレミスの場合と比べて利用者側で行える対策は限られます。
利用者側で行える対策の一つが、クラウドサービス側が媒体のデータ抹消処理、廃棄についてどのような対策を行っているか調査することです。例えばAWSの場合、ユーザデータが格納された媒体はライフサイクルを通じて非常に重要な要素として適切に取り扱うとしていますnew window[5]。また、ストレージデバイスがその製品寿命に達した際はNIST SP800-88で説明されている方法を使用して廃棄するとしています new window[5]。またMicrosoft Azureもデータ関連デバイスについて、NIST 800-88の手順とワイプソリューションを採用とありますnew window[6]。また廃棄の際はハードウェアが信頼できない第三者の手に渡らないよう、厳格なデータ処理およびハードウェア廃棄の手続きを実行するとしていますnew window[6]。利用を検討しているクラウドサービスの媒体管理や廃棄、データ抹消処理に関する情報を収集し、組織やシステムが求める基準をクリアしているか確認することが重要です。
上記以外に、利用者側が統制可能な対策として前述の暗号化消去があります。利用者側が直接媒体に対してデータ抹消処理を行うことができない(難しい)クラウドサービスにおいても、暗号化消去であれば暗号化による機密性保護を実現できます。実際、AWSでは暗号化を利用したデータ保護を推奨していますnew window[7]。AWSではAmazon EBSやAmazon S3といった標準で暗号化を行う機能を提供するサービスがある他、AWS KMSといったサービスで利用者側の鍵で暗号化を行うこともできます。こうしたサービスを利用してデータを暗号化し、それらを削除する際(EBSやS3 バケットなどを削除する際)はその鍵も削除する方法が紹介されていますnew window[7]。ただし、クラウドサービス側が提供する暗号化サービスや鍵管理サービスを利用する場合、使用する暗号アルゴリズムや鍵長は十分に強力なものか、鍵が確実に保護され、また削除する際は確実に削除されるのか十分に検討、確認する必要があります(暗号化消去の項で述べた通り)。クラウドサービスが提供するこうした暗号化関連サービスをデータ抹消処理の観点から考えることも重要でしょう。

まとめ

今回はNIST SP800-88 rev.1を参考に媒体のデータ抹消処理や廃棄について解説いたしました。NIST SP800-88 rev.1はすべての種類の媒体を扱っているわけでもなく、また将来開発され得る全く新しい種類の媒体を予想しているわけでもありませんが、そのデータ抹消処理の決定プロセスや考え方はNIST SP800-88 rev.1で扱われていない媒体や未来の媒体に対しても適用することができます。こうした点に加えて、AWSやMicrosoft Azureといったクラウドサービスがどのような媒体廃棄方法を採用しているか理解する上でも役に立つでしょう。本記事がその一助となれば幸いです。

参考資料

執筆者プロフィール

U松(ユーマツ)※ハンドルネーム
セキュリティ技術センター セキュリティ実装技術チーム

NECグループのセキュア開発・運用を推進。主にOS・ミドルウェアの要塞化ツールの開発、セキュリティ関連ドキュメントの作成を担当。
情報処理安全確保支援士(RISS) 保持。

執筆者の他の記事を読む

アクセスランキング