第2回 そのメディア、そのまま捨てて良いのでしょうか?
松下 勉
テュフズードジャパン株式会社
マネジメントサービス部
ISMS主任審査員
CISA(公認情報システム監査人)
2007/6/27
作るのは簡単、捨てるのは?
情報システムが企業に導入され始めたころの情報管理は、紙媒体やFDなどのメディア、スタンドアロンのPC端末や、汎用機が主流でした。しかし1980年代後半から、PCをクライアントとしたネットワークが広がるだけでなく、インターネットのように大規模なネットワークを通じて情報が行き交うことになり、情報管理も物理的な対策だけでなく、論理的な対策まで講じなければならなくなっています。
昨今、ISMS(情報セキュリティマネジメントシステム)の認証取得やさまざまな情報漏えいの事件が起きた影響から、情報漏えい対策のソフトウェアやツールが多く企業に導入されています。これにより、デジタル化された情報がネットワークやUSBなどのメディアを通じて流出することを防いでいます。
しかし、これまで使用してきた紙や、社員に企業が貸与した携帯電話、PDA、モバイルPCなどを再利用したり、廃棄したりする際に、以前のデータが残らなくする方法を考える必要があります。
今回は、情報を格納したメディアの「捨て方」「取り扱い方」について、ケーススタディを基に考えてみたいと思います。
メディアの取り扱い方のガイドラインを考えよう
企業では、さまざまなメディアが使用されていることから、「実際、私たちの使用しているメディアを再利用したり廃棄したりする方法って、何を基準に実施したらいいのだろう?」と感じているのではないでしょうか。
そこで、メディアの再利用および廃棄方法について、各メディアに対応した方法をまとめたガイドラインが、米国国立標準技術研究所(NIST)から「SP 800-88」という文書で公表されています。基準となる考え方は、これを基に説明していきます。
| 【関連リンク】 SP 800-88 Guidelines for Media Sanitization http://csrc.nist.gov/publications/nistpubs/800-88/NISTSP800-88_rev1.pdf |
まず、メディアに保存されている情報が、セキュリティ分類上のどのレベルなのかによって、処分方法を選択するフローがあります。全体像の仕組みとしては、こちらをご覧ください。
 |
| 図1 メディアの捨て方フローチャート |
判断の方法として、メディアに複数のセキュリティ分類のデータが保存されている場合は、その中でも重要度の高いレベルでの取り扱いにします。このように取り扱うのは、組織の要求する重要度の高いセキュリティ分類のデータが、その重要度よりも低いレベルの対策で保護されても、さらされている脅威から守ることができないからです。
メディアの再利用および廃棄の方法の大きな枠組みは、以下の3つに定義されています。
●Clear(情報の消去):
重要ではない情報を利用し、重要な情報を上書きする。
●Purge(情報の除去):
消磁やATAハードディスクドライブ(2001年以降の製品で15GB以上の容量のもの)のファームウェア・コマンドなどにより、データリカバリをできなくする。
●Destroy(物理的破壊):
粉砕、溶解、焼却などにより、メディアを破壊する。特に、CD-R/W、DVDなどからデータを消去する場合に用いる。
メディアにはどのような形態があるのかを、以下のようにまとめました。SP 800-88では、上述した3つの廃棄方法でどのような方法を取るのかをまとめています。
- ハードコピー(Hard Copy Storages)
- 紙
- マイクロフィルム
- 携帯端末(Hand-Held Devices)
- 携帯電話
- 携帯端末(PalmやPocketPCなど)
- ネットワーク機器(Networking Devices)
- ルータ
- 装置(Equipment)
- コピー機
- ファックス
- 磁気ディスク(Magnetic Disks)
- FD
- ATAハードディスクドライブ
- ハードディスクと一緒に使用するUSB可搬メディア(ペンデバイス、フラッシュデバイスなど)
- ZIPディスク
- SCSIドライブ
- FD
- 磁気テープ(Magnetic Tapes)
- 巻き取り型のカセットフォーマットのテープ
- 光学ディスク(Optical Disks)
- CD
- DVD
- メモリ(Memory)
- SDなどのコンパクトフラッシュドライブ
- DRAM
- ハードディスクとは別で使用するUSB可搬メディア(ペンデバイス、フラッシュデバイスなど)
- PCカード(PCMCIA)
- スマートカード etc.
- 磁気カード(Magnetic Cards)
1/3 |
 |
| Index | |
| そのメディア、そのまま捨てて良いのでしょうか? | |
 |
Page1 作るのは簡単、捨てるのは? メディアの取り扱い方のガイドラインを考えよう |
| Page2 ケース1:これは何が保存してあるのだろうか? ケース2:ラベリングはどうするの? |
|
| Page3 ケース3:どうしてもUSBメモリを使いたい! ケース4:消去できるメディア、それだけで安全? |
|
ISMSで考える運用管理のヒント バックナンバー
- 第1回 ISMSで仕事をラクにしよう!
- 第2回 そのメディア、そのまま捨てて良いのでしょうか?
- 第3回 御社のログ管理体制、見直してみませんか?
- 第4回 どうすれば、管理していることになるのだろうか?
 |
ISMSで考える運用管理のヒント 連載インデックス |
TechTargetジャパン
- 実録、「Hardening Zero」の舞台裏 (2012/5/25)
コラムの更新頻度を落として何をやっていたかって? 「守る技術」に焦点を当てたこんなイベントを開催しました - 複雑化、巧妙化する脅威への対策は? (2012/5/23)
データ保護や標的型攻撃対策、クラウドセキュリティ……「第9回 情報セキュリティEXPO」の会場で見つけた製品を一挙に紹介 - 仮想化がはらむ新たなリスク (2012/5/17)
仮想化に伴って生じるセキュリティやパフォーマンスへの影響を慎重に考慮し、うまく制御していく方法を紹介します - 新入生も新入社員も勉強会に寄っといで! (2012/5/14)
週末ともなれば至るところでセキュリティ系勉強会やCTFなどのイベントがあり、ツイートも盛り上がりました
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。