第2回 そのメディア、そのまま捨てて良いのでしょうか?


松下 勉
テュフズードジャパン株式会社
マネジメントサービス部
ISMS主任審査員
CISA(公認情報システム監査人)
2007/6/27


 作るのは簡単、捨てるのは?

 情報システムが企業に導入され始めたころの情報管理は、紙媒体やFDなどのメディア、スタンドアロンのPC端末や、汎用機が主流でした。しかし1980年代後半から、PCをクライアントとしたネットワークが広がるだけでなく、インターネットのように大規模なネットワークを通じて情報が行き交うことになり、情報管理も物理的な対策だけでなく、論理的な対策まで講じなければならなくなっています。

 昨今、ISMS(情報セキュリティマネジメントシステム)の認証取得やさまざまな情報漏えいの事件が起きた影響から、情報漏えい対策のソフトウェアやツールが多く企業に導入されています。これにより、デジタル化された情報がネットワークやUSBなどのメディアを通じて流出することを防いでいます。

 しかし、これまで使用してきた紙や、社員に企業が貸与した携帯電話、PDA、モバイルPCなどを再利用したり、廃棄したりする際に、以前のデータが残らなくする方法を考える必要があります。

 今回は、情報を格納したメディアの「捨て方」「取り扱い方」について、ケーススタディを基に考えてみたいと思います。

 メディアの取り扱い方のガイドラインを考えよう

 企業では、さまざまなメディアが使用されていることから、「実際、私たちの使用しているメディアを再利用したり廃棄したりする方法って、何を基準に実施したらいいのだろう?」と感じているのではないでしょうか。

 そこで、メディアの再利用および廃棄方法について、各メディアに対応した方法をまとめたガイドラインが、米国国立標準技術研究所(NIST)から「SP 800-88」という文書で公表されています。基準となる考え方は、これを基に説明していきます。

【関連リンク】
SP 800-88 Guidelines for Media Sanitization
http://csrc.nist.gov/publications/nistpubs/800-88/NISTSP800-88_rev1.pdf

 まず、メディアに保存されている情報が、セキュリティ分類上のどのレベルなのかによって、処分方法を選択するフローがあります。全体像の仕組みとしては、こちらをご覧ください。

図1 メディアの捨て方フローチャート

 判断の方法として、メディアに複数のセキュリティ分類のデータが保存されている場合は、その中でも重要度の高いレベルでの取り扱いにします。このように取り扱うのは、組織の要求する重要度の高いセキュリティ分類のデータが、その重要度よりも低いレベルの対策で保護されても、さらされている脅威から守ることができないからです。

 メディアの再利用および廃棄の方法の大きな枠組みは、以下の3つに定義されています。

●Clear(情報の消去):

重要ではない情報を利用し、重要な情報を上書きする。

●Purge(情報の除去):

消磁やATAハードディスクドライブ(2001年以降の製品で15GB以上の容量のもの)のファームウェア・コマンドなどにより、データリカバリをできなくする。

●Destroy(物理的破壊):

粉砕、溶解、焼却などにより、メディアを破壊する。特に、CD-R/W、DVDなどからデータを消去する場合に用いる。

 メディアにはどのような形態があるのかを、以下のようにまとめました。SP 800-88では、上述した3つの廃棄方法でどのような方法を取るのかをまとめています。

  • ハードコピー(Hard Copy Storages)
    • マイクロフィルム
  • 携帯端末(Hand-Held Devices)
    • 携帯電話
    • 携帯端末(PalmやPocketPCなど)
  • ネットワーク機器(Networking Devices)
    • ルータ
  • 装置(Equipment)
    • コピー機
    • ファックス
  • 磁気ディスク(Magnetic Disks)
    • FD
    • ATAハードディスクドライブ
    • ハードディスクと一緒に使用するUSB可搬メディア(ペンデバイス、フラッシュデバイスなど)
    • ZIPディスク
    • SCSIドライブ
  • 磁気テープ(Magnetic Tapes)
    • 巻き取り型のカセットフォーマットのテープ
  • 光学ディスク(Optical Disks)
    • CD
    • DVD
  • メモリ(Memory)
    • SDなどのコンパクトフラッシュドライブ
    • DRAM
    • ハードディスクとは別で使用するUSB可搬メディア(ペンデバイス、フラッシュデバイスなど)
    • PCカード(PCMCIA)
    • スマートカード   etc.
  • 磁気カード(Magnetic Cards)
1/3

Index
そのメディア、そのまま捨てて良いのでしょうか?
Page1
作るのは簡単、捨てるのは?
メディアの取り扱い方のガイドラインを考えよう
  Page2
ケース1:これは何が保存してあるのだろうか?
ケース2:ラベリングはどうするの?
  Page3
ケース3:どうしてもUSBメモリを使いたい!
ケース4:消去できるメディア、それだけで安全?


ISMSで考える運用管理のヒント 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間