こんにちは、さとうです、
米国NIST(技術標準研究所)から
「SP800-88 Revision1 媒体のデータ抹消処理(サニタイズ)に関するガイドライン」
の邦訳版が公開されています。
本ガイドの目的は、媒体の廃棄や再利用を必要とする場合、または組織の有効な管理から媒体が離れることになる場合の意思決定を支援することです。
媒体及び情報の最終的なデータ抹消処理や廃棄についての効果的なリスクベースの意思決定を行うため、本ガイドと併せて現場のポリシー及び手順を策定し、使用すべきとしています。
本ガイドでは、データ抹消処理(サニタイズ)の分類は以下3つのように定義しています。
●消去(Clear)
すべてのユーザアドレス指定可能なストレージ領域のデータに対してデータ抹消処理を行うための論理的な技術を適用し、単純な非侵襲のデータ回復技術から保護する。
通常は、新しい値で書き換えたり、メニューオプションを使用してデバイスを工場出荷時の状態にリセットしたりする(書き換えがサポートされていない場合)など、ストレージデバイスへの標準的な読み書きコマンドを介して実行される。
●除去(Purge)
物理的又は論理的な技術を適用して、最先端の研究室レベルの技術を使用しても対象データの回復を不可能にする。
●破壊(Destroy)
最新の研究室レベルの技術を使用しても対象データの回復を不可能にし、かつその後のデータの保存に当該媒体が使用できないようにする。
また、本ガイドでは「最低限のデータ抹消処理についての推奨事項」として、各媒体ごと適切と考えられるデータ抹消処理の方法について記載しています。
以下に一例を簡単に紹介します。
以下に一例を簡単に紹介します。
■ハードコピーストレージ
-紙及びマイクロフォーム
・消去:-
・除去:-
・破壊:分解装置や焼却
※注意:素材を燃やした場合、白い灰になるまで燃やさなければならない
■ネットワークデバイス
-ルータ及びスイッチ(家庭用、ホームオフィス用、企業用)
・消去:工場出荷時のデフォルト設定にリセット
・除去:-(メーカーに問い合わせが必要)
・破壊:細断、分解、粉砕、又は認可された焼却炉で焼却
※注意:消去と除去については、適切なデータ抹消処理手順に関する追加情報をメーカに問い合わせる必要がある
■モバイルデバイス
-Apple iPhone 及び iPad
・消去:完全データ抹消処理オプションを選択
・除去:完全データ抹消処理オプションを選択
・破壊:細断、分解、粉砕、又は認可された焼却炉で焼却
※注意:消去/除去操作の後、デバイスの複数の領域(ブラウザ履歴、ファイル、写真など)に手動で移動して、デバイス上に個人情報が保持されていないことを確認
-Google Android OS を実行しているデバイス
・消去:工場出荷時リセットを実行
・除去:工場出荷時データリセットオプション
・破壊:細断、分解、粉砕、又は認可された焼却炉で焼却
※注意:消去/除去操作の後、デバイスの複数の領域(ブラウザ履歴、ファイル、写真など)に手動で移動して、デバイス上に個人情報が保持されていないことを確認
■機器
-オフィス機器。これには、コピー、プリンタ、ファクス、複合機を含める。
・消去:工場出荷時のデフォルト設定にリセット
・除去:-
・破壊:を細断、分解、粉砕、又は認可された焼却炉で焼却
※注意:デバイスの複数の領域(保存されたファクス番号、ネットワーク構成情報など)に手動で移動して、デバイス上に個人情報が保持されていないことを確認
■周辺接続型ストレージ
-外付けローカル接続ハードドライブ。これには、USB、Firewire などが含まれる(eSATA を ATA ハードドライブとして扱う)
・消去:上書き技術/方法/ツールを使用して媒体を上書き
・除去:(媒体によるが)該デバイスのデータ抹消処理
・破壊:細断、分解、粉砕、又は認可された焼却炉で焼却
※注意:消去技術及び除去技術の各々について検証が必要
■光媒体
-CD、DVD、BD
・消去:-
・除去:-
・破壊:以下の方法で破壊
光ディスク粉砕装置て CD 媒体の情報含有層を取り除く(CDのみ)
光ディスク媒体を焼却(灰になるまで)
光ディスク媒体シュレッダまたは分解装置で破砕
※注意:-
■フラッシュメモリベースのストレージデバイス
-USB リムーバブル媒体。これは、ペンドライブ、サムドライブ、フラッシュメモリドライブ、メモリスティックなどが含まれる。
・消去:上書き技術/方法/ツールを使用して媒体を上書き
・除去:-(メーカに問い合わせが必要)
・破壊:細断、分解、粉砕、又は認可された焼却炉で焼却
※注意:除去が望ましいケースのほとんどは、USB リムーバブル媒体を破壊すべき
クラウドサービス等でインターネット上のデータを受け渡しをする機会が増えたものの、まだまだ媒体を使用するケースはあります。
ランサムウェア対策の観点からも取り外し可能な媒体の需要は依然として存在します。
人為的な犯罪や過失に対する防御という観点でも媒体の適切なデータ処理方法を理解しておくことが必要です。
さとう