Windows 10の通常サポートサイクルの終了が迫り、COVID-19パンデミックによるリモートワーク支援のためのハードウェア交換の波が始まってから既に5年が経過した今、多くのIT部門はシステムの刷新を進めています。しかし、廃止されたシステムの活用方法は、新たに購入するシステムと同じくらい重要です。
ドライブが消去されていることを本当に確認せずに古い会社のラップトップを廃棄すると、機密データが悪意のある人物の手に渡った場合に、数百万ドルの罰金または法的損害賠償を科せられる可能性があります。
モルガン・スタンレー、顧客情報が残ったままハードドライブを販売したとして3500万ドルの罰金
続きを読む
たとえば、2022年に米国証券取引委員会は、金融会社であるモルガン・スタンレー・スミス・バーニー(MSSB)が、一部のデータセンターを一掃するために資格のない引っ越し・保管会社を雇った後、個人を特定できる情報(PII)を含むデバイスを適切に廃棄しなかったとして、同社に3,500万ドルの罰金を科しました。
「MSSBとの契約によると、Moving Companyは電子廃棄物管理会社(「IT Corp A」)と協力し、廃止されたデバイスに存在するすべてのデータを消去または破壊することになっていた」とSECは2022年の提出書類[PDF]に記している。「しかし、契約期間中のある時点で、Moving CompanyはIT Corp Aとの協力を中止し、代わりにMSSBのデータセンターから撤去された消去されていないデバイスを別の第三者(「IT Corp B」)に販売し始めた。」
MSSBはベンダーを適切に監督していなかったため、引っ越し業者は4,900点もの資産を売却してしまいました。その中には、数千件もの個人情報が保存されていた未消去のハードドライブも含まれていました。通貨監督庁(OCC)はモルガン・スタンレーに6,000万ドルの追加罰金を科し、同社は集団訴訟でさらに6,000万ドル[PDF]で和解しました。これにより、MSSBの負債総額は1億5,500万ドルに上りました。問題を単に第三者に押し付けただけでは、MSSBの責任は免れませんでした。
これらのハードドライブはデータセンターから持ち込まれたものですが、会社が交換するノートパソコンの中に入っていた可能性もあります。だからこそ、すべてのデータをサニタイズするだけでなく、作業を依頼する相手を信頼することが重要です。第三者に依頼するのは良い考えですが、料金に見合ったサービスを受けられるということを忘れないでください。古い機器と引き換えに無料で作業を引き受けると申し出た人は、適切なデータ消去を行う時間を取らない可能性があります。
サービスとしてのサニタイズ
「推測するなら、ほとんどのデータは消去されていないでしょう」と、企業や政府機関の顧客から古いコンピューターをサニタイズしてリサイクルするサープラス・サービスの社長、ルー・ラモンデッタ氏は述べた。「この業界で起きている不正行為には驚きです。人々はただコンピューターを手に入れたいだけなのに、手に入れたら転売しようとし、必要なレベルまで処理されていないことが多々あるのです。」
ラモンデッタ氏によると、専用のハードウェアとソフトウェアを使用してドライブを完全に消去するには、数時間かかるという。顧客の要求度に応じて、最大7回まで消去することもあるが、ほとんどの場合は1回で十分だとラモンデッタ氏は言う。さらに確実な消去を求める顧客には、ドライブを物理的に破壊することも可能だ。ドライブサニタイズルームには、高度なセキュリティシステムも備えている。
「資格を持つスタッフは1、2人しかいないので、ハードドライブの消去と破壊作業はすべて別の場所で行われています。カメラも設置され、管理されています。一度にそこに立ち入ることができるのは限られた人だけです」と彼は指摘した。「監査も行っています。消去作業の後、1人のスタッフがもう1人のスタッフを監査し、同じ種類の情報を取得していることを確認します。これはかなり複雑なプロセスです。」
ドライブの処分方法に応じて、Surplus Serviceの料金は1台あたり数ドルから15ドル程度です。また、オフィスから機器を回収する費用は199ドルから599ドルですが、機器の価値が高く、再販で利益が出る場合は、回収料金が減額または免除されることもあります。
自分でデータを消去して、業者に支払う費用を節約するのはどうでしょうか? まず、ほとんどのデータ消去ソフトウェアは、機密情報が悪意のある人物の手に渡らないことを確実に保証するレベルの確実性を提供していません。
「ドライブが『消去』されたからといって、必ずしもデータが完全に消えたわけではないことも指摘しておくべきです」と、データ復旧とサニタイズの両方を行う企業、DriveSaversのエンジニアリングディレクター、マイク・コブ氏は述べています。「例えば、TRIMのようなコマンドは、すべてのデバイスで一貫して機能するわけではありません。だからこそ、検証が非常に重要なのです。」
データまたはドライブの破壊に関するガイドライン
本格的なデータ破壊サービスはすべて、2014年に米国政府によって初めて導入されたNIST 800-88ガイドラインRev. 1 [PDF]に従います。このガイドラインでは、使用すべき特定のツールは指定されていませんが、データのセキュリティ分類とメディアが組織の管理下から外れているかどうかの両方に基づいて、企業にデータサニタイズの決定を下すようアドバイスしています。
組織はまず、データ漏洩が企業自身と、リスクのある媒体に個人情報が保存されている可能性のある個人にどのような影響を与えるかを自問する必要があります。連邦情報処理規格(FIPS)199 [PDF] は、データ漏洩が機密性(データの不正な入手を防ぐ)、整合性(データの真正性と正確性を維持する)、可用性(データのタイムリーさと信頼性を維持する)に及ぼす潜在的な影響を検討するのに役立ちます。これにより、セキュリティの分類を低、中、高のいずれにするかを判断できます。
NIST によれば、データをサニタイズするには主に 3 つの方法があります。
- クリア:データをゴミデータで上書きするか、それが不可能な場合は工場出荷時設定にリセットします。欠点は、通常、OSが書き込みできないディスク領域が存在し、消去されないことです。これは、ウェアレベリングやオーバープロビジョニングといった機能によって、ストレージデバイスに余分なデータブロックを付与し、使用頻度に応じて入れ替えることで、デバイスの耐用年数を延ばすことができるためです。ラボ環境ではデータ復旧が可能です。
- パージ:セキュアイレースなどの追加技術を用いてデバイスのすべてのセクションを消去し、ラボ環境であってもデータの復旧を困難にします。ただし、ドライブは再利用可能です。
- 破壊:ドライブを修復不可能なほど物理的に損傷させ、二度と使用できない状態にします。破壊方法には、ドライブの細断や焼却などがあります。適切に処理された場合、個々のNANDフラッシュチップさえも無傷のまま残すことはできません。この方法は、ドライブ(そして場合によってはそのドライブが電源を供給していたデバイス)を再利用できないため、最もコストがかかり、環境にも悪影響を及ぼします。
組織では、企業データをどのように廃棄するかを評価するために使用できる便利な意思決定ツリーを提供しています。
NIST 800-88 決定木
消すのか、破壊するのか?
組織は、リスクとコストの両方を比較検討した上で、適切な方法を選択する必要があります。医療、金融、政府機関など、機密性の高い分野の企業では、ドライブの破壊が求められる場合があり、破壊の種類についても非常に具体的な指示が出されることがあります。
「何分の一インチかの細断を要求する顧客もいれば、4分の1インチか半インチ程度の細断で問題ないという顧客もいる」とラモンデッタ氏は語った。
Dell施設でのHDD破砕 –画像: Dell
ラモンデッタ氏によると、Googleはストレージデバイスを粉砕し、その後焼却することを望んでいるという。一方、彼が関わっている政府機関の中には、ドライブを最大7回消去することを要求しているところもある。彼は組織にアドバイスを提供するものの、最終的にはクライアントが判断を下す。
「私たちはサステナビリティと再利用を重視する企業です」と彼は語った。「ですから、ドライブをシュレッダーで細断するかデータ消去するかという選択肢があったら、必ずデータ消去を選びます。そうすれば中古市場で再販できるからです。正直なところ、1~3回データ消去すれば、それ以上の頻度でデータ消去する理由はほとんどありません。」
暗号化されたドライブは、暗号鍵を消去できれば情報の読み取りがほぼ不可能になるため、セキュリティをさらに強化します。しかし、多くのシステムは部分的にしか暗号化されておらず、鍵をクラウドに保存しているシステムもあります。例えば、Microsoft BitLockerの鍵はクラウドで利用可能です。
検証と文書化
NISTによると、サニタイズ実施後、組織または請負業者はデータが実際に利用できないことを検証し、問題のドライブが適切に処理されたことを示す証明書の形で文書を提出する必要があります。信頼できるサニタイズサービス業者は、これらすべてを代行してくれます。しかし、もし業者が対応できなかった場合、データサニタイズが実施されたことを証明する書面を提出する必要があります。
EPGDビジネス法律事務所の弁護士、シルヴィーノ・ディアス氏は、「善意によるデータ消去は、後日データが復旧された場合の責任を自動的に回避するものではありません」と述べています。「規制当局や裁判所は、合理性と努力の証明を重視します。文書化されたサニタイズ手順、検証可能なプロセス(ログ、保管管理など)、ベンダーによる監視、そして暗号化を導入することをお勧めします。」
ディアス氏はまた、特に米国では、特定の業界における個人情報(PII)の保護に関する法律が多数制定されていると指摘した。HIPAA(医療保険の携行性と責任に関する法律)では、企業は不要になった患者記録を破棄しなければ罰金が科せられる。米国の金融機関は、顧客情報を安全に保管することを義務付けるセーフガード規則[PDF]の対象となっている。その他の企業は、消費者情報を含む資料を合理的に廃棄することを義務付けるFTC廃棄規則[PDF]の対象となっている。違反者は、政府から罰金を科せられるだけでなく、訴訟に直面する可能性がある。
ノートパソコンのOEMは返金保証を提供
廃棄会社を選ぶ際、組織は Surplus Service のようなサードパーティのリサイクル業者を利用するか、Dell や HP など大手 OEM と連携するかを選択できます。どちらの OEM にも、データをサニタイズできるだけでなく、廃棄する機器の価値に応じていくらかの返金を受けられるリサイクル プログラムがあります。
両社とも、廃棄を行うOEMメーカーだけでなく、どのメーカーのノートパソコンでも受け入れています。顧客には、オフィスまで来て使用済みパソコンを回収し、サニタリー処理のために輸送してもらう費用を請求しています。企業は追加料金を支払って、現場でサニタリー処理を行ったり、ドライブを物理的に破壊したりすることができますが、その場合、ノートパソコンに搭載されていた価値は下がります。
しかし、コンピューターが十分に新しく、修理または部品の再利用が可能な状態であれば、両社とも顧客に代金を支払うため、組織は廃棄サービスに支払う金額よりも多くの価値を実際に受け取ることができます。
「顧客が15年前の製品を使っている場合、当然ながらそこに価値はほとんどないかもしれません。しかし、これらのシステムのほとんどは新しく、価値があるはずです」と、デルの戦略およびグローバルモダナイゼーション担当シニアディレクター、ジーナ・カノ氏は、同社のアセットリカバリサービスプログラムについて語った。「アセットリカバリサービスは、顧客がその価値を引き出すことで、必要な更新コストの一部を相殺するお手伝いをします。」
HPの資産処分サービス「Renew Solutions」担当バイスプレジデント、クラウディア・コントレラス氏は、最も価値の高いコンピューターは購入から5年以内のものだと主張した。彼女は、Windows 10のサポート終了がPCの買い替えを促しているだけでなく、多くの企業が古くなったノートパソコンを買い替えざるを得なくなったCOVID-19の5周年も追い風になっていると指摘した。
「刷新の時が来ており、過去数ヶ月でその全てが起こりました」と彼女は述べた。「そして、今後6~10ヶ月も引き続き進展していくでしょう。」
コントレラス氏とカノ氏は共に、多くの企業が彼らの処分サービスを利用する理由は、環境への責任を果たしたいという思いからだと述べた。両社とも、デバイスとその部品の再利用を第一に考えており、材料のリサイクルは最後の手段にとどめている。
「標準的なHPデバイスの二酸化炭素排出量は、使用時を含めて全体で約200キログラムです。つまり、このデバイスの開発に4年間携わったということは、ほぼそのくらいの排出量になるということです」とコントレラス氏は述べた。「再生デバイスを使用して製品寿命を延ばすことで、新品デバイスに比べて環境への影響を60%削減できる可能性があります。」
HP と Dell はどちらも、NIST 800-88 データ削除標準に準拠しており、デバイスが適切に消去されたことを示す証明書を顧客に発行していると述べています。
DIYデータ破壊
しかし、外部の会社を利用したくない場合はどうすればよいでしょうか?社内のIT部門でNIST 800-88準拠のワイプを実行できるソリューションを提供するソフトウェアベンダーがあります。
BitRaserは、SSDやハードドライブ上のデータのセキュア消去(パージ)を実行するアプリケーションです。同社のセールス担当SVP、ナムラタ・セングプタ氏によると、このソフトウェアは細部までこだわった機能だけでなく、256GBのSSDを5分以内にパージできるほど高速です。さらに、作業記録も保存されるため、組織は消去を行ったことを証明できます。
「消去後、BitRaserは改ざん防止機能を備えた消去証明書と詳細なレポートを自動的に生成します。レポートには、デバイスのシリアル番号、使用された消去方法、日時、消去ステータスなどの詳細情報が含まれます」とセングプタ氏は述べた。「これらの証明書は、コンプライアンス監査やCCPA、GDPR、HIPAA、GLBA、SOX法などのデータプライバシー規制における検証可能な証拠として機能します。」
しかし、このアプリケーションは安価ではありません。サニタイズしたいデバイスの数に応じて、デバイス1台あたり4ドルから20ドルのライセンス料を支払う必要があります。また、社内のIT部門にも負担がかかり、すべてが適切に実行されるよう彼らに頼ることになります。
そして、BitRaserを使い終わった後も、古いノートパソコンをゴミ箱に捨てずに処分する方法を見つけなければなりません。起業家精神のある企業であれば、古いマシンを慈善団体に寄付したり、独自のeBayストアを立ち上げたりすることもできますが、どちらの取り組みにもある程度のスタッフの手間がかかります。
サイバーセキュリティ企業ウェルテック・ディフェンスのCEO、ウィンストン・ウェリントン氏は、企業に対し社内でドライブを完全に破壊し、残った部分の処理を第三者に依頼することを勧めているとレジスター紙に語った。
「ベストプラクティスは、企業がハードウェアの破壊を自ら管理することです。たとえサードパーティベンダーと提携し、古いハードウェアを渡す場合でも、引き渡す前に破壊する方が賢明です」とウェリントン氏は述べた。「企業に責任を委ねる場合、契約に基づいていれば企業が責任を負うことになります。しかし、私は自ら破壊し、電子廃棄物の処理を企業に任せることをお勧めします。」®
