写真提供:マイナビニュース

写真拡大

ゴミ箱にあるファイルを消去すればデータは完全消去される--企業のIT管理者の過半数がそう思っているという。もちろん、正解ではない。だが企業のセキュリティ対策はウイルス対策が中心であり、データ漏洩リスクに対して適切な対策が後手に回っている状況が明らかになった格好だ。

冒頭の調査は、セキュリティ企業のBlancco Technology Groupが行ったデータの消去についての調査で明らかになったものだ。データ漏洩がセキュリティ対策で重要視される中、データ消去についての知識と対策の不十分さが露呈した格好だ。

調査は、日本、米国、カナダ、英、中国など9カ国で合計400人以上のIT管理者を対象に行った。それによると、会社のPCのファイル消去について、31%が「ゴミ箱に捨てる」、22%が「ドライブごとに再フォーマットする」と回答した。どちらもファイルを十分に消去したとは言えず、「企業の51%が効果のない方法でデータを消去している」としている。なお、51%の回答者が「PCでゴミ箱を空にするとファイルは確実に消去される」と回答している。Blanccoでは、「削除と消去が混同されている」とし、「実際にはこれらのファイルへのポインタのみが削除されるだけで、根本的なデータは残ったまま」と指摘、その後もデータ復元が可能であり、漏洩につながるリスクがあると警告している。また、ドライブの再フォーマットではデータは有効な状態のままで「無料の復元ツールで簡単に復元が可能」とする。

このようにIT管理者がファイル消去について知識と対策の面で十分ではないことから、不適切なデータ消去方法が盗難や漏洩につながる一因になっているとまとめている。ファイルの安全性で重要視することを聞いたところ、14%が「機密の製品開発資料」を挙げた。続いて「会社の損益計算書」(12%)、「顧客との契約情報」(11%)、「社内イントラネットへのユーザー名とパスワード情報」(10%)、顧客関係の「CRM記録」(9%)、などが続いた。

またデータ保持・消去ポリシーについては「ある」が66%、「ない」が30%となった。合わせて、26%がファイル削除に対するモニタリング機能がないなどの点を指摘し、データ管理ポリシーをきちんと管理している企業は少なく、実施メカニズムはほぼ存在しないとも報告している。「データ管理ポリシーを作成するだけでは不十分だ。機密データを漏洩から防ぐためには、企業はデータ管理ポリシーの実施にも責任を置く必要がある。定期的な管理や実施メカニズムなくして、データ管理ポリシーの実際の施行を保証できない」と助言している。使用後のPC、外付けドライブ(HDDやSDD)、サーバー機器の処理(リサイクルや再販売を含む)の際にも、35%が「ドライブを再フォーマットする」と回答、無料もしくは有料の専用のツールを利用している企業は少数派にとどまった。

Blanccoでは、ITチームはこれまでITセキュリティ対策としてマルウェアなどに優先的に取り組み、データ消去の優先度は低かったと原因を分析している。一方で、企業にPCセキュリティの脅威で優先順位をつけてもらったところ、「不完全/不適切なデータ消去」は9.44と最多、「トロイの木馬」(9.19)や「ワーム」(8.86)などを上回った。また、ITセキュリティの優先度リストにおけるデータ消去の位置付けについて聞いたところ、「優先度リストの上位」との回答は34%、「同中間」(47%)となるなど、問題意識が高まっていることをうかがわせた。

(末岡洋子)