暗号化したパソコンをそのまま廃棄しても大丈夫?暗号化消去のすすめ
出典:ESET サイバーセキュリティ情報局
企業・組織の業務において、パソコンはもはや必要不可欠と言える存在となっています。しかし、さまざまな要因でパソコンのライフサイクルは速まっており、その廃棄に頭を悩ませている企業・組織も少なくないでしょう。この記事では、パソコンの安全な廃棄方法について暗号化消去を含め、複数の方法を解説していきます。
悪用の恐れがある企業・組織の廃棄パソコン
昨今、サイバー攻撃者はあらゆる方法を用いて、企業・組織のデータの窃取を目論んでいます。これらデータを盗み出すことで、そのデータを悪用してさらなる犯罪につなげる、あるいはデータ自身を人質として身代金を要求するといった手口は多くのユーザーにも知られるとおりです。
こうしたデータの窃取における手口は、一般的にイメージしやすい、社内ネットワークに侵入してデータを盗み出すというものだけにとどまらない。過去には、廃棄されたパソコンやストレージなどから機密情報のデータが見つけ出され問題化したケースもある。大きな事件には至らずとも、国内でも企業・組織の廃棄したパソコン、ストレージが原因で以下のような事例が起こっているのです。
某県庁における重要データの漏えい未遂
2019年、関東の某県庁にてリース期間が終了して廃棄されたHDDがネットオークションに出品されました。購入者がそのHDDを入手後にデータ復元ソフトを用いたところ、データが復元されたことで情報漏えいの事態に。HDDの購入者による県庁への通報で漏えいが発覚し、リース会社を経由して廃棄を担った会社にて社内調査を実施。その結果、廃棄を担った会社の従業員が関与していたことがわかりました。このケースでは、ストレージ内のデータが悪用される事態は未然に防げたものの、社会的に廃棄の取り扱いについて再考を求められる機会となりました。
ビジネス文書が格納されたHDDが流出
2022年、某セキュリティ事業者のビジネス文書が格納されたHDDの存在が発覚。調査を進めたところ、当該企業に所属する元従業員がビジネス文書を自らのHDDにバックアップしていたことが判明しました。元従業員がそのHDDをデータ消去が不完全な状態で第三者に販売したことが原因でした。その後、販売されたHDDを回収できたことで、HDDを購入した第三者以外への情報流出は未然に防げたことも確認されました。
今回紹介した2つの事例では結果的に一部への情報流出にとどまり、大規模な情報漏えい事件には至らずに事態が収束しています。しかし、これはあくまで偶然が重なっただけに過ぎないことに留意すべきです。また、近年においてもなお、廃棄されたパソコンやストレージなどからの情報漏えいが確認されています。改めて、情報漏えいの予防を前提にした廃棄対応が重要なのは言うまでもないでしょう。
「暗号化」されたデータの安全性
近年、盗難・紛失への対策として、ストレージの暗号化が推奨されています。その代表がWindowsの企業・組織向けのエディションに搭載されているBitLockerを用いるものです。BitLockerを有効化することによって、パソコン内のHDDやSSDといったストレージが暗号化されます。暗号化を解除するためにはBitLockerの回復キーが必要となり、この回復キーが第三者に渡らない限り、暗号化されたデータの復号はほぼ不可能です。こうした仕組みによって格納されたデータの安全性が高いレベルで確保されるのです。
それでは、BitLockerを用いてデータが暗号化されたパソコンは、そのまま廃棄しても問題ないのでしょうか。結論から言えば、そのまま廃棄することは情報漏えいにつながりかねないため、すべきではありません。というのも、BitLockerの場合、先述のとおり、回復キーが入手できれば復号できてしまうからです。
また、回復キー自体を削除していても、そもそも回復キーをツールで復元されてしまう可能性もあります。加えて、非公式のものではあるが、BitLockerをハッキングするツールも存在しています。データを暗号化しているからといって、パソコンをそのまま廃棄するのは危険だと認識しておくことが重要なのです。
どのようにパソコンを廃棄すべきか?
先述のとおり、暗号化されたパソコンをそのまま廃棄するのはリスクが高いです。それではどのような方法で廃棄するのが望ましいのでしょうか。総務省による「国民のためのサイバーセキュリティサイト」の内容をもとに、いくつかの方法を以下に紹介します
データ消去ソフトウェアの利用
多くの事業者からデータ消去専用のソフトウェアがリリースされています。中にはNISTの推奨するデータ消去方式をはじめ、さまざまな方式を選べるものもあります。データ消去にかかる所要時間やデータ消去レベルに応じて選択することになるでしょう。
しかし、慎重を期して複数回上書きをすると膨大な時間が必要になる場合もあるため、注意しておきたいです。また、最近利用が増えているSSDに関しては、ハードの特性上、完全にデータを消去できない場合があるため、後述する物理的な破壊も検討の1つにすると良いでしょう。
専門業者への委託
近年では数多くの事業者がパソコン廃棄の代行を行っています。一方で、先の某県庁での事例のように、委託された事業者の再委託先の従業員が廃棄したと偽って、社外に流出させるようなケースもあります。そのため、適切な廃棄を徹底している事業者を選ぶ必要があります。その際に、廃棄プロセスが可視化されていることや、処理後に廃棄証明書を発行しているかといった観点も判断材料としたいです。
物理的な破壊
パソコンからHDDやSSDなど、ストレージ部分を取り出して破壊することで、原則としてそのストレージからはデータが取り出せなくなります。しかし、HDDとSSDでは破壊の方法も異なります。加えて、デバイスごとにストレージの取り出し方も違ってきます。また、メインのストレージ以外にも記憶領域が存在するものもあります。このように、デジタルデバイスに詳しくない者が廃棄を担う場合、適切に破壊できない場合もあるため、専門の事業者に依頼するのが安全でしょう。
暗号化消去
昨今、推奨されているのが暗号化消去という方法です。2020年以降、行政機関においても推奨されています。暗号化における復号鍵を確実に廃棄することで、第三者がデータを参照することはできなくなります。この方法を用いることでパソコン、HDDの物理的な破壊も不要であり、少ない工程で実施できるのもメリットです。
※暗号化消去とは…暗号化消去とは、重要データをクラウドやサーバー、ストレージ、データベースに格納する時点で暗号化して保管し、データの廃棄・消去が必要になった場合には暗号データを複合するための鍵を消去することでデータの複合は不可能となり、実質データを廃棄・消去したと同等になる手法です。(出典:https://cpl.thalesgroup.com/ja/faq/encryption/what-is-cryptographic-erase)
ただし、BitLockerを用いる場合、BitLockerを有効化する以前のデータは暗号化されていない可能性があります。また、管理者権限を取得できれば暗号化の解除も可能なため、廃棄時には注意が必要です。
基本的にPC廃棄については専門業者に依頼をすることが多いと思われます。セキュリティの観念から廃棄・引渡し前に上記のようなデータ消去ソフトの利用や物理的な破壊等出来ることを行っておきたいものです。不安であれば専門業者に任せるのも一つの方法です。
★---------------------------------------★
【アルテミスBP パートナー様募集!】
セキュリティベンダー様、SIベンダー様、OA機器ディーラー様、通信機器ディーラー様、ソフトウェア開発会社様、xSP様、iDC様など、ネットワークセキュリティ事業を共に展開するパートナー様を広く募集しています。
私たちだからできる「ワンストップサービス」も魅力の1つです!
⇒ 専用ページはこちら
★-------------------------------------------★