「廃棄したPCから情報漏えい」を防ぐ簡単かつ安価にHDDのデータを消去するには

SMBが、社内のITスタッフを活用して妥当なコストでデータを消去する方法は幾つかある。SMB向けのデータ消去手段を2つのステップに集約して説明しよう。

[Joel Dubin，TechTarget]

　HDDなどの固定記憶装置を備えたコンピュータデバイスには、企業の機密情報が保存されている可能性がある。廃棄予定の機器内のデータは、消去するか読み出し不能にしなければならない。それを怠ると、デスクトップであれノートPCであれPDAであれ、誰かがそこに含まれているデータや機密情報を利用して、あなたの会社に不正侵入するためのバックドアを開けるかもしれない。

　情報漏えいは企業に大きな損害を与える可能性がある。例えば、顧客データの流出は企業のイメージダウンや訴訟につながる。大企業と同様に中堅・中小企業（SMB）の場合も、SOX法（サーベンス・オクスリー法）やHIPAA法（医療保険の相互運用性と説明責任に関する法律）などの法律に従ってデータを消去することが求められている。データ消去が不完全だと、いつか監査人や当局の検査官があなたの会社を訪れたときに、そのツケを支払う羽目になるかもしれない。

　軍用グレードのデータ消去装置を購入する余裕がある大企業であれば、データ消去が問題になることはない。しかしリソースも予算も限られているSMBにとっては、データ消去は簡単なことではない。

データ消去の手順を策定する

　SMBが社内のITスタッフを活用して妥当なコストでデータを消去する方法は幾つかある。SMBにとってのデータ消去手段は、以下の2つのステップに集約できる。

1. 廃棄すべき資産を特定、隔離する手順を策定する
2. 実際にデータを消去するためのツールまたはサービスを利用する

　最初のステップは廃棄手順を策定することだ。ITスタッフは、社内にあるすべてのIT資産と機器を網羅したリストを保持していなければならない。このリストには、デスクトップやワークステーションだけでなく、ノートPCやPDAなどのモバイル機器も含めること。

　これはSMBにとって難題のように思えるかもしれない。しかし小規模企業であっても、IT機器の購入、配布、保守、廃棄は単一の窓口（IT部門など）を経由するようにすべきだ。

　機器の廃棄時期が来たら、それを配布したIT部門に返却しなければならない。その機器に廃棄処分の札を付け、物理的に廃棄するときまで隔離した場所に確実に保管しておくこと。

　理想的には、廃棄処分の前にすべての機器のデータを消去した上で、社外に持ち出しても安全であることを資産管理リストに記載することが望ましい。しかし、これは常に可能とは限らない。機器の廃棄を請け負う業者が社外でデータの消去を行う場合もあるからだ。

データ消去の手順を実行する

　機器に廃棄処分の札を付けたら、次のステップはHDDなどに保存されたデータを実際に消去するためのツールあるいはサービスを利用することだ。データ消去ツールは高価なため、SMBにとってはデータ消去を業者に委託するのがベストな選択肢だと言える。その場合、機器の物理的廃棄も請け負う業者と契約するのが一般的だ。業者の選定に当たっては、業界監視団体の認可を受けていることを確認すること。

　また、データが適切に消去されたか確認するための監査をその業者が認めているか否かを確認する。個々の機器あるいはメディアを追跡でき、データ消去が行われたすべての機器を特定した証明書を提供できる業者でなければならない。

　監査の一環として、業者の物理的セキュリティをチェックするために定期的に査察を行うこと。さらに、以下の点についても確認する必要がある。

• メディアが破壊されるまでの間、機器が保管されている場所はきちんと施錠されているか
• データの消去にはどのような手順が用いられるのか
• データ消去手順を確認できるか
• その業者は引き取った機器のリストを保管しており、データが消去された機器を特定できるか

本稿筆者のジョエル・デュビン氏はCISSP（公認情報システムセキュリティ専門家）資格を持つ独立系コンピュータセキュリティコンサルタント。Microsoft MVPに選ばれ、Web／アプリケーションセキュリティを専門とする。著書に「The Little Black Book of Computer Security」（29th Street Press）があり、シカゴのラジオ局WIITでコンピュータセキュリティの番組を担当。「IT Security Guy」ブログも運営している。

関連ホワイトペーパー

ハードディスク | 情報漏洩 | 運用管理 | 機密情報 | SOX法