神奈川県庁のHDD流出事件が話題になっていますが、どんな事件だったのでしょうか。
また、対策としてはどのようなことができるのでしょうか。
神奈川県庁の対応はどこがまずかったのでしょうか。
筆者なりに考察してみましたので、自社でのセキュリティ対策が十分かなどを検討する際に参考にしていただければと考えます。
目次
事件の概要
事件の概要について、いろいろなニュースサイトで情報を収集した結果を引用します。
今回の事件、まとめると以下であると認識しています。
- 神奈川県庁は、神奈川県庁の住民の情報が格納されたストレージ27TB相当のリース返却を、富士通リースに委託した。
- 富士通リースは、ブロードリンク社に廃棄業務を再委託をした。
- ブロードリンク社の社員が、一部のストレージをオークションに売却した。
- 落札者が復元ソフトでデータを復元した結果、公文書が大量に復元された。
朝日新聞
納税などに関する大量の個人情報や秘密情報を含む神奈川県庁の行政文書が蓄積されたハードディスク(HDD)が、ネットオークションを通じて転売され、流出していたことが朝日新聞の取材で分かった。
県のサーバーから取り外されたHDDのデータ消去が不十分なまま、中古品として出回っていた。
県によると、データの消去から廃棄までを請け負った業者の社員が、転売に関与したことを認めているという。
~中略~
県が確認したところ、HDDは県庁内の各部局の情報を蓄積する共有サーバーに使われていた。
中には、法人名が記載された税務調査後の通知や、個人名や住所が記載された自動車税の納税記録、企業の提出書類、県職員の業務記録や名簿類などが含まれていた。
県によると、転売されていたHDDは、県が富士通リース(東京都千代田区)から借りたサーバーに使われたもので、今春に交換時期を迎え、サーバーから取り外された。富士通リースは県との契約に基づき、データを復元不可能な状態にする作業を、情報機器の再生事業を手がけるブロードリンク(同中央区)に委託。同社に対し富士通リースは、破壊して作動しないようにしてから廃棄するか、データを完全に消去するよう指示していた。
出品されていたHDD9個を、IT企業経営の男性が仕事に使おうと落札。使用前に安全性を確かめるため男性が中身を確認したところ、データの存在に気づいた。復元ソフトを使うと、神奈川県の公文書とみられる大量のファイルが保存されていたという。
jiji.com
県などによると、サーバーのリース契約が終了したことに伴い、ブロード社がデータ消去を請け負った。同社はHDDに穴を開けて復元不可能にする予定だったが、社員が処理前に持ち出し、7~8月に18個が出品された。
これまでに9個が回収され、中には自動車税申告書などの個人情報が残っていた。残りの所在は分からず、HDDの容量は計27テラバイトあるという。
画像引用元:朝日新聞
さて、ここまでの情報から、神奈川県庁の対応について、どこが正しくどこが間違っていたのかを、筆者なりに考察していきます。
富士通リース社の選定について
まず、多くの方が誤解している可能性がある点として、神奈川県庁が委託したのは、ブロードリンク社ではなく、富士通リースであると書かれています。
ブロードリンク社がやたらフォーカスされていますが、1次委託は富士通リースです。
県によると、転売されていたHDDは、県が富士通リース(東京都千代田区)から借りたサーバーに使われたもので、今春に交換時期を迎え、サーバーから取り外された。富士通リースは県との契約に基づき、データを復元不可能な状態にする作業を、情報機器の再生事業を手がけるブロードリンク(同中央区)に委託。同社に対し富士通リースは、破壊して作動しないようにしてから廃棄するか、データを完全に消去するよう指示していた。
富士通リースに対して、当該業務を委託することは適正だったのでしょうか。
ISO27001(ISMS)を取得している企業である。
まず、富士通リースはISO/IEC27001(ISO/IEC27001:2013/JIS Q 27001:2014)通称ISMSを取得しています。また、自社のHPに情報セキュリティポリシーが掲載されてます。ISMSの適用範囲としても全ての事業所が含まれているようで、情報セキュリティについて正しいマネジメントサイクルが取れている企業であると第三者から証明されています。
リース業者を選定する際のセキュリティ要件として、これら外部機関の認証の有無であったり、セキュリティポリシーの有無について確認を行うのが一般的であると考えます。
富士通リースについては「サーバ、ストレージのリース品の提供を受ける業者」としては、適正な企業であったと評価するのが妥当であり、神奈川県庁の対応に不備はないと筆者は考えます。
ブロードリンク社について
富士通リース社は、ブロードリンク社に対して、ストレージの廃棄を再委託しています。
再委託を行う際は通常、委託元に対して再委託を行う旨を、通知する必要があると考えます。
よって、神奈川県庁は「富士通リースはブロードリンク社に対して、HDDの廃棄を再委託する」という旨の通知を書面等にて受け、それを承諾しているはずです。
上記認識があっていたとして、県庁はブロードリンク社について、再委託をしても良い業者であると判断できるのでしょうか。
同じくISO27001(ISMS)を取得している企業である。
ブロードリンク社についても富士通リースと同様に各事業所でISMSの認証を受けています。
よって、再委託先の条件として、「サーバ、ストレージのリース品の提供を受ける業者」としては、ブロードリンク社は妥当であり、神奈川県庁の対応に不備はないと筆者は考えます。
では、何が問題だったのでしょうか。
「個人情報等を取り扱う委託先」としての評価を実施していない可能性
個人情報とは、企業や自治体にとって最も重要な情報であると考えます。
つまり、サーバやストレージのリースとは別に、個人情報の取扱に対する特別なアセスメントを県庁が実施していたかが今後の論点になると思わます。
実施していない場合は、県庁の対応に問題があります。
例として、以下のような取り組みを県庁は実施すべきです。
- HDDを業者に引き渡してから、廃棄されるまでの業務を見える化し、業務にリスクが無いことを定性的にアセスメントする。(例えば、業者に引き渡した後、廃棄されるまでは常時施錠管理がされており、不正に持ち出してオークションに売却されるリスクが無いことを担保する。保管場所は入退室のログが取られており、監視カメラで監視されていることを確認する等。)
- HDDが確実に廃棄されたか、結果が見えるかされるようにする。(全てのHDDについて写真等の証明を必ず受け取る等)
- 従事する従業員に対してセキュリティの教育がされているかを確認する
- 誓約書等で、情報管理に対する確認を取る
- 委託先に立ち入り調査を行い、信頼できる委託先であるか実査を行う
「委託する前に」県庁内で実施すべきことをしていない可能性
復元ソフトにより、データが復元できたということは、県庁は「データの復元ができないような論理削除を実施した後に、業者に引き渡すという、基本的なセキュリティ対策を怠っていた」可能性があります。
出品されていたHDD9個を、IT企業経営の男性が仕事に使おうと落札。使用前に安全性を確かめるため男性が中身を確認したところ、データの存在に気づいた。復元ソフトを使うと、神奈川県の公文書とみられる大量のファイルが保存されていたという。
データが復元できないような論理削除とは、例えばWindowsのファイルをゴミ箱に入れる、OSを再インストールする等ではもちろんだめです。
NIST-SP800で定義されるところの、「Clearレベル」または、「Purgeレベル」のデータ消去を実施していないため、復元ツールを用いて復元ができてしまったということでしょう。
これは、県庁として実施すべきことを怠っている部分であると筆者は考えます。
NIST-SP800では、重要なデータが格納された媒体は「Destroy」つまり物理廃棄というのがベストプラクティスになっていますが、リース契約上県庁でDestroyはNGだったと推察できます。
よって、せめて「Purgeレベル」のデータ消去ぐらいはやっておくべきでしょう。
参考:媒体のサニタイズプロセスに関するガイドライン
媒体のサニタイズに関するガイドライン(SP 800-88)では、内部に重要な情報が格納された媒体は、基本的には「物理破壊」がベストプラクティスであると定義されています。
これはサニタイズプロセスで、内部の情報が確実に消去しきれているリスクを担保するには相当の費用がかかることから企業にとっては「割りに合わない」という理由があるためです。詳細は下の絵を参照ください。
「Clearレベル」一般的に入手できる復元ツールを利用しても復元不可能な状態にする
「Purgeレベル」研究所レベルの復元ツールを利用しても復元不可能な状態にする
「Destroyレベル」物理的に再構築をさせても復元が不可能なレベル(物理破壊)
参考(古い):媒体のサニタイズに関するガイドライン(SP 800-88)
参考(最新):NIST Special Publication 800-88 Revision 1
同様の事件がおきないように、何を注意するべきなのか(暫定)
「重要な情報を取り扱う委託先」のアセスメント
自社内で、個人情報などの重要な情報を取り扱う場合のアセスメントが整備されているか確認をしましょう。
再掲ですが、以下のような取り組みが必要であると考えます。
- HDDを業者に引き渡してから、廃棄されるまでの業務を見える化し、業務にリスクが無いことを定性的にアセスメントする。
- HDDが確実に廃棄されたか、結果が見えるかされるようにする。
- 従事する従業員に対してセキュリティの教育がされているかを確認する
- 誓約書等で、情報管理に対する確認を取る
- 委託先に立ち入り調査を行い、信頼できる委託先であるか実査を行う
HDD/SSD内のデータの安全な廃棄の実行
以下の通り、データ消去を行いましょう。
HDDの場合
「Clearレベル」→ディスク全体の領域を乱数で上書きした後、ゼロ(0x00)で上書きし、書込検証する方式を取りましょう。
「Purgeレベル」→ATAのSecure Erase機能を用いましょう。対応していない場合は物理破壊をしてください。
SSDの場合
「Clearレベル」→NIST800-88 Advanced準拠方式を用いましょう。
「Purgeレベル」→ATAのSecure Erase機能を用いましょう。対応していない場合は物理破壊をしてください。
オススメはこちらの製品です:DiskDeleter
サプライチェーンのリスクについて考える(恒久)
恒久的には、今回のケースはサプライチェーンに関するリスクであると言えます。
日本企業は、まだサプライチェーンリスクに対するマネジメントができている組織が少ない印象ですが、米国では、米国防省と取引をしている全世界の企業に対してNIST SP800-171への準拠が要求されています。
企業としては、NIST SP800-171に準拠しなければ、このような事件の根本解決にならないだけではなく、今後グローバルサプライチェーンからはじき出されてしまうおそれがあります。
ぜひ、担当者の方は、サプラーチェーンリスクについて一度考えてみてはいかがでしょうか。
関連:未経験者がセキュリティエンジニアに転職する際の仕事内容・必要なスキル
関連:セキュリティ人材への転職にオススメな転職サイト、転職エージェントまとめ
関連:セキュリティ人材への転職やスキルアップにオススメな資格まとめ
関連:セキュリティ人材への転職やスキルアップにオススメな書籍まとめ
まとめ
いかがでしたか?
続報などがありましたら、随時更新していきたいと思います。
個人情報を扱う仕事をしている方などの参考になれば幸いです。