パソコン破壊は最終手段｢データ消去｣の落とし穴

2024年9月24日 8時0分

使用済みパソコンなどの「データ消去」が不適切だと情報漏洩につながるが、その最適解は時代や技術とともに変わっている（写真：彩恵/PIXTA）

企業などの組織で使用されるパソコンやサーバーには、データを保存するための装置としてHDDやSSDなどのストレージが入っています。ここにはマイドキュメントやデスクトップなどのファイルが保存されますが、文書や表計算などのファイルによっては、企業秘密や個人情報のように機密レベルの高いものも含まれているでしょう。

サイバー攻撃やセキュリティーの最新動向など、その他の関連記事はこちら

パソコンやサーバーのファイルは組織にとっての資産であり、それらの情報が漏洩してしまうようなことがあれば、損失へと直結します。機密データを狙った不正や犯罪は報道されないものまで含めれば、日々あちこちで発生しており、どの組織にとっても他人事ではありません。

私は不正のデジタル証拠解析や消失データの復元を専門としていますが、ほぼ毎日、企業や弁護士からの相談を受けて、被害のデジタル証拠を集めたり、訴訟用の資料作成を行ったりしています。機密データや営業秘密が狙われる事件は、決して珍しいことではありません。

「使用済みのパソコン」から情報漏洩

また、機密情報が組織外へと流出してしまうのは、必ずしも不正や犯罪によるものとは限りません。事故として起こることもあります。お酒を飲みすぎて泥酔した従業員が会社のパソコンを紛失してしまったという事案も時折耳にしますが、酔っていなくてもデータが組織外に流出してしまうことがあります。

それは、使用済みのパソコンが第三者の手に渡るときに、ファイルがそのまま残っている、あるいは、消したはずなのに復元される場合などです。これは組織としては重大な問題です。

パソコンやサーバーを導入すれば、買い替えやリース満了などで使用を終える日が必ず来ます。このときの対応が不適切であると、情報漏洩が起こりやすくなります。

例えば有名なのは、2019年に起きた神奈川県庁の事件。ある人物が県庁サーバーに搭載されていたHDDを盗んでネットオークションに出品し、県が保存していたファイルが購入者によって復元されてしまったのです。リース期限を迎えたサーバーの返却過程で発生した情報漏洩です。

しかも購入者による復元方法は、無料のツールでも実行可能なものでした。つまり、簡単に県のファイルを復元できたわけです。しかし、県庁はサーバーにファイルをそのまま残して返却したわけではなかったようです。いわゆる「初期化」は行い、通常の方法ではファイルへのアクセスができないような対処はしてあったのです。それでも復元されたのは、ファイルを構成するデジタルデータの痕跡が残存していたからにほかなりません。

ファイルとしては見えなくても、デジタルの痕跡が残ることは十分にあり得ることで、しかも簡単な操作で復元できるツールは無料で入手できるのです。したがって、データ消去のポイントは、デジタルデータの痕跡が消え残らないようにすること、と言えます。

「物理破壊」は最後の手段、最適解は「暗号化消去」

さて、皆さんの勤務先では、どのように使用済みパソコンのデータを消しているでしょうか。見えないからこそ消えたのかどうかを確認することもできませんので、いっそのこと破壊して廃棄しようと思われるかもしれませんが、それはお勧めできません。

確かに「物理破壊」は、1つの手段ではあります。しかし「データ消去はよくわからないから壊して捨てよう」といった短絡的な意思決定は、「知性のなさがゴミを生む」ようなもの。世界的にもSDGs（持続可能な開発目標）の観点からリユースの検討がなされるべきとされており、加えて近年は技術的な観点からも物理破壊の選択肢は減っています。

現在、安全なデータ消去の方法として推奨されているのは、「暗号化消去」です。これは、データを記録媒体に保存するときに暗号化し、消去が必要になった際にそのデータの暗号鍵を消すことで、データの復元を不可能とする方法です。

これで見えないデータが消え残る悩みに頭を抱える必要はなくなります。しかし、暗号化の運用がされていない企業や組織はまだ多くあることでしょう。そのような場合は、国際的なデータ消去の標準規格に準じた、適正なデータ消去が求められます。

HDDなどを対象としたデータ消去の標準規格として、2006年に「NIST SP800-88」が制定されました。ほかにも規格は存在しましたが、2014年に「NIST SP800-88 Rev.1」として改定されて以降は、この規格が実質的なスタンダードとなりました。

その後、本稿執筆時点で最新の規格である「IEEE 2883-2022」が2022年に制定されましたが、まだ新しいのでご存じでない方も多いでしょう。この新規格は、発行主体が変わったものの、内容としては「NIST SP800-88 Rev.1」の後継に該当し、新しい機器の追加や細目の見直しなどが反映されています。

先ほど触れた「物理破壊」の選択肢が減っている根拠は、この最新規格に記載されています。従来の破壊規定には、「粉砕（Pulverize）」と「細断（Shred）」がありました。しかし、最新規格の制定に当たり、データ消去の手段としては不十分であると判断され、両手段ともに廃止されたのです。

現在、データ消去が十分になされる物理破壊としては、「焼却」「融解」「崩壊」といった方法が規定に残されていますが、前述のように世界的に媒体はリユースが推奨されています。

であれば、物理的に破壊することなく適正にデータを消去するには、具体的にどうすればよいのでしょうか。

最新の消去規格には、HDDとSSDについては「Clear（クリア）」と「Purge（パージ）」の2つの規定があります。いずれもリユースできるようにデータを消すものです（※）。

※ただし、Purgeに分類される「消磁」はリユース不可

もし神奈川県庁でClearを満たす消去処理が実施されていたならば、あの事件は発覚しなかったでしょう。ファイルの復元が不可能だからです。多くの場合、Clearでも十分な結果が得られます。

ではなぜ、Purgeという規定があるのでしょうか。これはHDDやSSDには余剰なデータ領域が用意されていて、不良セクターの交替処理時にデジタルデータの痕跡が残ることがあるからです。

Clearでも通常は復元できないのでリスクは低いのですが、念のため過去に一度でもデータが書き込まれた領域はすべて消そうとするのがPurgeです。暗号化消去は、Purgeに該当します。

可能であれば、機密度が高いデータの消去はPurgeをお勧めします。とくに記録密度の高いSMR方式と呼ばれるHDDでは、Clearだと余剰領域にわりとファイルが残ることが最近わかりました。この点について筆者は、今年の10月に神戸で開催される「コンピュータセキュリティシンポジウム2024」で研究論文の発表を予定しています。

また、データ消去に当たってはさまざまな方法がありますが、消去ソフトを使う場合には、フリーソフトは避けること。例えば、「データ適正消去実行証明協議会（略称：ADEC）」が認定する消去ソフトなど、信頼できるツールを使いましょう。

ADECは、外部の専門機関に各消去ソフトのデータ消去検証を委託し、その結果を受けて、認証判定委員会が適合性を判定するシステムで技術認証を行っています。フリーソフトの中には、実は処理した後にデジタルデータの痕跡が消え残ったまま、というものもあるのですが、ADECの認証を受けたソフトにはそういった心配がなく安心です。