セキュリティというと標的型攻撃など外部の脅威が注目されがちだが、廃棄処理に関する情報漏えいリスクも無視できない。自治体がHDDの廃棄を委託した企業から個人情報が流出した事件は記憶に新しい。このリスクにどう対処すればよいのか。
2019年末、自治体が廃棄したHDDから市民の個人情報が流出していたことが発覚した。廃棄の委託先企業の内部不正が原因だった。情報処理推進機構(IPA)でも情報セキュリティの10大脅威の1つに「サプライチェーンの弱点を悪用した攻撃の高まり」を挙げている。製造工程や流通工程だけでなく、廃棄までのライフサイクル全体に注意を払う必要がある。
この対処法の1つとして、ベンダー側の動きを参考にしたい。一般にサーバ製品の保守サービスでは、故障したHDDはベンダー側で引き取るが、これをユーザー側の所有物として内部廃棄を可能にするオプションが登場している。さらに手間のかかる廃棄データの消去作業を、設置先から持ち出さずに実施するサービスも提供されており、従来の廃棄プロセスや作業工数を大きく変えることなく情報漏えいリスクを軽減できる。
加えて、製品面での対策も強化されている。データ消去と初期化処理を1ボタンで実現したり、HDD内のデータをパフォーマンスに影響なく暗号化したりといった機能が実装され始めた。本資料では、このように運用と製品の両面からサプライチェーンのリスク対策を強化するポイントを解説する。
Brought to you by HPE and Intel®
ITmediaはアイティメディア株式会社の登録商標です。
