ESET/サイバーセキュリティ情報局
暗号化済みPCでも要注意! 知らないと危険な廃棄時の情報漏えいリスク
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「暗号化したパソコンをそのまま廃棄しても大丈夫?暗号化消去のすすめ」を再編集したものです。
企業・組織の業務において、パソコンはもはや必要不可欠と言える存在となっている。しかし、さまざまな要因でパソコンのライフサイクルは速まっており、その廃棄に頭を悩ませている企業・組織も少なくないだろう。この記事では、パソコンの安全な廃棄方法について暗号化消去を含め、複数の方法を解説していく。
悪用の恐れがある企業・組織の廃棄パソコン
昨今、サイバー攻撃者はあらゆる方法を用いて、企業・組織のデータの窃取を目論んでいる。これらデータを盗み出すことで、そのデータを悪用してさらなる犯罪につなげる、あるいはデータ自身を人質として身代金を要求するといった手口は多くのユーザーにも知られるとおりだ。
こうしたデータの窃取における手口は、一般的にイメージしやすい、社内ネットワークに侵入してデータを盗み出すというものだけにとどまらない。過去には、廃棄されたパソコンやストレージなどから機密情報のデータが見つけ出され問題化したケースもある。大きな事件には至らずとも、国内でも企業・組織の廃棄したパソコン、ストレージが原因で以下のような事例が起こっているのだ。
・某県庁における重要データの漏えい未遂
2019年、関東の某県庁にてリース期間が終了して廃棄されたHDDがネットオークションに出品された。購入者がそのHDDを入手後にデータ復元ソフトを用いたところ、データが復元されたことで情報漏えいの事態に。HDDの購入者による県庁への通報で漏えいが発覚し、リース会社を経由して廃棄を担った会社にて社内調査を実施。その結果、廃棄を担った会社の従業員が関与していたことがわかった。このケースでは、ストレージ内のデータが悪用される事態は未然に防げたものの、社会的に廃棄の取り扱いについて再考を求められる機会となった。
・ビジネス文書が格納されたHDDが流出
2022年、某セキュリティ事業者のビジネス文書が格納されたHDDの存在が発覚。調査を進めたところ、当該企業に所属する元従業員がビジネス文書を自らのHDDにバックアップしていたことが判明した。元従業員がそのHDDをデータ消去が不完全な状態で第三者に販売したことが原因であった。その後、販売されたHDDを回収できたことで、HDDを購入した第三者以外への情報流出は未然に防げたことも確認された。
今回紹介した2つの事例では結果的に一部への情報流出にとどまり、大規模な情報漏えい事件には至らずに事態が収束している。しかし、これはあくまで偶然が重なっただけに過ぎないことに留意すべきだ。また、近年においてもなお、廃棄されたパソコンやストレージなどからの情報漏えいが確認されている。改めて、情報漏えいの予防を前提にした廃棄対応が重要なのは言うまでもないだろう。
パソコンの紛失・盗難による情報漏えいリスクに備え、企業・組織が講じるべき対策
https://eset-info.canon-its.jp/malware_info/special/detail/240604.html
「暗号化」されたデータの安全性
近年、盗難・紛失への対策として、ストレージの暗号化が推奨されている。その代表がWindowsの企業・組織向けのエディションに搭載されているBitLockerを用いるものだ。BitLockerを有効化することによって、パソコン内のHDDやSSDといったストレージが暗号化される。暗号化を解除するためにはBitLockerの回復キーが必要となり、この回復キーが第三者に渡らない限り、暗号化されたデータの復号はほぼ不可能だ。こうした仕組みによって格納されたデータの安全性が高いレベルで確保されるのだ。
それでは、BitLockerを用いてデータが暗号化されたパソコンは、そのまま廃棄しても問題ないのだろうか。結論から言えば、そのまま廃棄することは情報漏えいにつながりかねないため、すべきではない。というのも、BitLockerの場合、先述のとおり、回復キーが入手できれば復号できてしまうからだ。
また、回復キー自体を削除していても、そもそも回復キーをツールで復元されてしまう可能性もある。加えて、非公式のものではあるが、BitLockerをハッキングするツールも存在している。データを暗号化しているからといって、パソコンをそのまま廃棄するのは危険だと認識しておくことが重要なのだ。
ストレージを暗号化する「BitLocker」とは?利用する上での注意点はあるのか?
https://eset-info.canon-its.jp/malware_info/special/detail/201224.html
どのようにパソコンを廃棄すべきか?
先述のとおり、暗号化されたパソコンをそのまま廃棄するのはリスクが高い。それではどのような方法で廃棄するのが望ましいのだろうか。総務省による「国民のためのサイバーセキュリティサイト」の内容をもとに、いくつかの方法を以下に紹介する。
・データ消去ソフトウェアの利用
多くの事業者からデータ消去専用のソフトウェアがリリースされている。中にはNISTの推奨するデータ消去方式をはじめ、さまざまな方式を選べるものもある。データ消去にかかる所要時間やデータ消去レベルに応じて選択することになるだろう。
しかし、慎重を期して複数回上書きをすると膨大な時間が必要になる場合もあるため、注意しておきたい。また、最近利用が増えているSSDに関しては、ハードの特性上、完全にデータを消去できない場合があるため、後述する物理的な破壊も検討の1つにすると良いだろう。
・専門業者への委託
近年では数多くの事業者がパソコン廃棄の代行を行っている。一方で、先の某県庁での事例のように、委託された事業者の再委託先の従業員が廃棄したと偽って、社外に流出させるようなケースもある。そのため、適切な廃棄を徹底している事業者を選ぶ必要がある。その際に、廃棄プロセスが可視化されていることや、処理後に廃棄証明書を発行しているかといった観点も判断材料としたい。
・物理的な破壊
パソコンからHDDやSSDなど、ストレージ部分を取り出して破壊することで、原則としてそのストレージからはデータが取り出せなくなる。しかし、HDDとSSDでは破壊の方法も異なる。加えて、デバイスごとにストレージの取り出し方も違ってくる。また、メインのストレージ以外にも記憶領域が存在するものもある。このように、デジタルデバイスに詳しくない者が廃棄を担う場合、適切に破壊できない場合もあるため、専門の事業者に依頼するのが安全だろう。
・暗号化消去
昨今、推奨されているのが暗号化消去という方法だ。2020年以降、行政機関においても推奨されている。暗号化における復号鍵を確実に廃棄することで、第三者がデータを参照することはできなくなる。この方法を用いることでパソコン、HDDの物理的な破壊も不要であり、少ない工程で実施できるのもメリットだ。
ただし、BitLockerを用いる場合、BitLockerを有効化する以前のデータは暗号化されていない可能性がある。また、管理者権限を取得できれば暗号化の解除も可能なため、廃棄時には注意が必要だ。
安全な暗号化と暗号化消去のためのソリューション
企業・組織の場合、リース期限やOSのバージョンアップに伴う、定期的なパソコンの買い替えが必要となってしまう。そのため、買い替えのたびに廃棄している企業・組織も多いだろう。今後も当面、パソコンの業務利用が続くことが見込まれることから、引き続き一定のタイミングで買い替えを余儀なくされるはずだ。こうした状況を見据えると、パソコンの導入時点で暗号化消去による廃棄を前提に、ソリューションを活用することも一考に値する。
例えば、暗号化機能「ESET Full Disk Encryption」が備わるESET PROTECT Eliteでは、セキュリティ管理ツール「ESET PROTECT」を用いることで、社内パソコンを一元管理して暗号化の実施が可能だ。また、復号が必要になった際も同様にESET PROTECT上で行うことができる。廃棄の際の暗号化消去でも同様に、セキュリティ管理ツール側で行うことで、安全な廃棄を実現する。
コンプライアンス重視が社会的な要請となっている中、企業・組織にとって、これまで以上にパソコンの廃棄におけるリスク管理が求められることになるだろう。社会的な信頼の失墜を招かないためにも、「何か」が起こることを極力回避する対策が求められている。そうした観点からも、廃棄を見据えた暗号化ソリューションの導入も検討してほしい。