第2回 そのメディア、そのまま捨てて良いのでしょうか?


松下 勉
テュフズードジャパン株式会社
マネジメントサービス部
ISMS主任審査員
CISA(公認情報システム監査人)
2007/6/27


 ケース3:どうしてもUSBメモリを使いたい!


【ケース3】

システムのメンテナンスなどで、論理的なセキュリティを考慮した結果、ネットワークからデータを転送できない設定になっています。

USBを使用してメンテナンスするサーバにデータを読み込ませたいのですが、持ち運びできるメディアの利用は禁止されています。どうしたらよいのでしょうか?

●対応事例
 関係する付属書A
 A.7.1.2、A.7.2.1、A.7.2.2、A.10.7.1、A.10.7.2、A.10.7.3、A.10.7.4

 これはメディアを利用するという側面で考えるケーススタディです。例外事項として、どうしても業務上、持ち運びできるメディアを用いてデータのやりとりを行いたい旨を、以下のような手続きにて承認を得る必要があります。

  • 自らが所属している情報セキュリティ担当者に承認を得る
  • ISMS委員会で業務上の必要性の判断を仰ぐ

 そして、個人のUSBと混同されず、部門で購入したUSBだけが利用できるように、例えば、USBに目に見えるように管理番号を付与します。その管理台帳には、部門名、利用者名、USBの管理番号、利用日時、返却日時、返却確認欄(中身が消去されていることの確認)、などを記載します。

 また、何の承諾も無くUSBを使用されることを防ぐために、管理責任者を決め、一定の個所で保管および管理するという、管理状況も把握できる仕組みがあることも重要です。これらのことにより、必要なときにしか利用できないことで、そのUSBを用いてデータを盗難しづらい仕組みを構築します。

 台帳管理だけでなく、USBを再利用することを考慮し、保存されていたデータの廃棄には、インシデントを誘発しないためにも返却の確認者立ち会いのもと、データの廃棄操作(Clear)を行うことで、次に使用するときに、そのときのデータが紛れないようにします。

 ケース4:消去できるメディア、それだけで安全?


【ケース4】

ケース3の手続きを行って、USBやCD-RW、DVD-RWなど、読み書き可能なメディアを使用しています。

この場合の再利用や廃棄方法はどうすればよいのでしょうか?

●対応事例
 関係する付属書A
 A.7.2.1、A.7.2.2、A.10.7.1、A.10.7.2、A.10.7.4

 このようなメディアは、ハードディスクと同じように、単にフォーマットするだけでは、情報を完全に破棄することができません。

 このことから、再利用するには、徹底的な上書き(Clear)により、元のデータが読めなくする方法を取ります。これには、米国国防総省(DoD)や米国国家安全保障局(NSA)などで確立されたデータ消去方式を用いたフリーソフト(利用方法の多くが、商用利用は禁止で個人利用のみ)や商用製品があるので、これらのツールを用いるとよいでしょう。また、消磁処理(Purge)ができる機器を用いて、元のデータを読めないようにするのもよいでしょう。

 廃棄方法では、やはり物理的に破壊すること(Destroy)で情報の盗難や漏えいを防ぐことができます。


 USBメモリでのファイル交換を禁止している企業も増えてきていますが、内部統制のためのルールを作る前に作ってしまった補助記憶媒体もまだ多く残っているのではないかと思います。対応に悩んだときは、まず情報セキュリティ担当者に相談してみてはいかがでしょうか。

 また今後CD-RやDVD-Rを扱うときは、そのメディアにデータが存在して消えていくというライフサイクルも頭に入れて作成するようにしてください。そうすれば、「このライフサイクルの段階では、このような取り扱いを行う」など、ライフサイクルのそれぞれの段階のリスクを予防することができるからです。

3/3
 

Index
そのメディア、そのまま捨てて良いのでしょうか?
  Page1
作るのは簡単、捨てるのは?
メディアの取り扱い方のガイドラインを考えよう
  Page2
ケース1:これは何が保存してあるのだろうか?
ケース2:ラベリングはどうするの?
Page3
ケース3:どうしてもUSBメモリを使いたい!
ケース4:消去できるメディア、それだけで安全?


Profile
松下 勉(まつした つとむ)

テュフズードジャパン株式会社

マネジメントサービス部
ISMS主任審査員
CISA(公認情報システム監査人)

これまで、ネットワークインフラ構築・サーバ構築などのネットワークエンジニア、ネットワークセキュリティ診断・情報セキュリティ監査・情報セキュリティポリシー策定・ISMS認証支援・プライバシーマーク認証支援などの情報セキュリティコンサルタントを経て、第三者認証機関の審査員となる。

ISMSで考える運用管理のヒント 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間