第2回 そのメディア、そのまま捨てて良いのでしょうか?
松下 勉
テュフズードジャパン株式会社
マネジメントサービス部
ISMS主任審査員
CISA(公認情報システム監査人)
2007/6/27
作るのは簡単、捨てるのは?
情報システムが企業に導入され始めたころの情報管理は、紙媒体やFDなどのメディア、スタンドアロンのPC端末や、汎用機が主流でした。しかし1980年代後半から、PCをクライアントとしたネットワークが広がるだけでなく、インターネットのように大規模なネットワークを通じて情報が行き交うことになり、情報管理も物理的な対策だけでなく、論理的な対策まで講じなければならなくなっています。
昨今、ISMS(情報セキュリティマネジメントシステム)の認証取得やさまざまな情報漏えいの事件が起きた影響から、情報漏えい対策のソフトウェアやツールが多く企業に導入されています。これにより、デジタル化された情報がネットワークやUSBなどのメディアを通じて流出することを防いでいます。
しかし、これまで使用してきた紙や、社員に企業が貸与した携帯電話、PDA、モバイルPCなどを再利用したり、廃棄したりする際に、以前のデータが残らなくする方法を考える必要があります。
今回は、情報を格納したメディアの「捨て方」「取り扱い方」について、ケーススタディを基に考えてみたいと思います。
メディアの取り扱い方のガイドラインを考えよう
企業では、さまざまなメディアが使用されていることから、「実際、私たちの使用しているメディアを再利用したり廃棄したりする方法って、何を基準に実施したらいいのだろう?」と感じているのではないでしょうか。
そこで、メディアの再利用および廃棄方法について、各メディアに対応した方法をまとめたガイドラインが、米国国立標準技術研究所(NIST)から「SP 800-88」という文書で公表されています。基準となる考え方は、これを基に説明していきます。
| 【関連リンク】 SP 800-88 Guidelines for Media Sanitization http://csrc.nist.gov/publications/nistpubs/800-88/NISTSP800-88_rev1.pdf |
まず、メディアに保存されている情報が、セキュリティ分類上のどのレベルなのかによって、処分方法を選択するフローがあります。全体像の仕組みとしては、こちらをご覧ください。
 |
| 図1 メディアの捨て方フローチャート |
判断の方法として、メディアに複数のセキュリティ分類のデータが保存されている場合は、その中でも重要度の高いレベルでの取り扱いにします。このように取り扱うのは、組織の要求する重要度の高いセキュリティ分類のデータが、その重要度よりも低いレベルの対策で保護されても、さらされている脅威から守ることができないからです。
メディアの再利用および廃棄の方法の大きな枠組みは、以下の3つに定義されています。
●Clear(情報の消去):
重要ではない情報を利用し、重要な情報を上書きする。
●Purge(情報の除去):
消磁やATAハードディスクドライブ(2001年以降の製品で15GB以上の容量のもの)のファームウェア・コマンドなどにより、データリカバリをできなくする。
●Destroy(物理的破壊):
粉砕、溶解、焼却などにより、メディアを破壊する。特に、CD-R/W、DVDなどからデータを消去する場合に用いる。
メディアにはどのような形態があるのかを、以下のようにまとめました。SP 800-88では、上述した3つの廃棄方法でどのような方法を取るのかをまとめています。
- ハードコピー(Hard Copy Storages)
- 紙
- マイクロフィルム
- 携帯端末(Hand-Held Devices)
- 携帯電話
- 携帯端末(PalmやPocketPCなど)
- ネットワーク機器(Networking Devices)
- ルータ
- 装置(Equipment)
- コピー機
- ファックス
- 磁気ディスク(Magnetic Disks)
- FD
- ATAハードディスクドライブ
- ハードディスクと一緒に使用するUSB可搬メディア(ペンデバイス、フラッシュデバイスなど)
- ZIPディスク
- SCSIドライブ
- FD
- 磁気テープ(Magnetic Tapes)
- 巻き取り型のカセットフォーマットのテープ
- 光学ディスク(Optical Disks)
- CD
- DVD
- メモリ(Memory)
- SDなどのコンパクトフラッシュドライブ
- DRAM
- ハードディスクとは別で使用するUSB可搬メディア(ペンデバイス、フラッシュデバイスなど)
- PCカード(PCMCIA)
- スマートカード etc.
- 磁気カード(Magnetic Cards)
1/3 |
 |
| Index | |
| そのメディア、そのまま捨てて良いのでしょうか? | |
 |
Page1 作るのは簡単、捨てるのは? メディアの取り扱い方のガイドラインを考えよう |
| Page2 ケース1:これは何が保存してあるのだろうか? ケース2:ラベリングはどうするの? |
|
| Page3 ケース3:どうしてもUSBメモリを使いたい! ケース4:消去できるメディア、それだけで安全? |
|
 |
ISMSで考える運用管理のヒント 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
