2019年12月、神奈川県庁がリース会社から借りていたサーバーのハードディスクドライブ(HDD)18本が不正に持ち出され、ネットオークションで転売されていたことが発覚した。サーバーはリース契約で、リース満了で県庁から返却されたもの。リース会社からHDD破壊の委託を受けている事業者の社員がHDDなどをこっそりネットオークションで転売していた──。今回はこの情報漏洩事件から、サーバーのリース契約で発生しうる問題点を指摘し、ユーザーと業者それぞれがなすべき対策を提言する。
HDD流出事件の概要
2019年11月26日夕刻、ある人物から県の情報と思われる電子データを持っているとの話が神奈川県庁にあり、同庁が調べてみたところ県の情報と思われるデータが複数確認された。データはその人物がオークションサイトで購入したHDD9本の中にあり、購入後に復元ソフトでデータを復元したことで明らかになった。購入者から提供されたHDDのシリアル番号は県が富士通リースに返却したリース物件のサーバーのHDDと一致。県は利用サーバーのHDDが外部に流出したとし、契約先である富士通リースに事実確認を指示した。
富士通リースが調査したところ、同社がHDDの破壊を委託したブロードリンクの社員が、破壊前のHDD18本をオークションに出品し、落札されていたことが12月5日に判明した(関連記事:神奈川県庁の行政文書を記録したHDDが流出、ネットオークション転売で発覚)。
今回と同様の事件は、インターネットの普及以前、1980年の中頃から始まった「パソコン通信」時代にも発生している。東京・秋葉原のショップから、中古HDDを購入し、その内容を興味本位に調べる人達がいた。HDDには、有名作家の原稿や企業等が利用しているコンピューターのユーザーID/パスワードが保存されていることがパソコン通信で話題になったこともあった。30年以上前の話で、当時パソコン通信利用者は特殊な世界にいる人達(「オタク」とか、「ネクラ」と言われていた)と思われており、大手マスコミが取り上げることはあまりなかった。また、個人情報保護に対する考え方が今ほど厳しくなかったこともあり、パソコン通信利用者間での話題に止まっていた。
機密情報の廃棄を考える
HDD内にあるデータを完全消去するには、いくつかの方法がある。一般的なのが、ソフトウェアを使う方法。データ消去ソフトは有料、無料のものが多く市場に出回っている。ただしこの方法は、一部が損傷を受け、コンピューターで読むことができなくなったHDDでは使えない。その場合でも可能なのが、強磁気を使ったデータ消去装置によるデータ消去、あるいは物理的にHDDを破壊するという方法だ。HDDを物理的に破壊するとは、ディスク面に複数の穴をあける、あるいはハンマーなどで叩き壊すこと。
サーバーもPCも、リース物件である場合は、利用者は勝手に処分できないため、リース契約書に対応を明記されていることがある。標準的なリース契約書では、「リース期間中に付加したデータ等の情報は、借り主が返却前に完全消去する」、あるいは、「リース終了物件からの情報漏洩をリース会社は責任を負わない」と記述していることが多い。
このため、リース満了後にサーバーやPC等を返却する場合は、利用者がデータ消去ソフトを使って消去してから、リース物件を返却する。あるいは、リース契約書にデータ消去に関する項目を追加し、データの消去に立会う、完全にデータが消去されたかを確認するなど、データ消去を利用者組織内で実施することを明記したうえで、実施する。
買取物件の場合、所有権は利用者側にあるため、ソフトウェアでデータを確実に消去できるのであれば、HDD等の再利用も考えられる。しかし、本来は処分を前提に強磁気装置の使用あるいは、物理破壊を行うことが望ましい。なお、一部のPCショップでは、物理破壊等を有料で請け負っている。
今回の事件から見えてきたこと
今回の事件の関係者、それぞれについての問題点を指摘してみる。神奈川県庁は借りていたサーバーのリース期限が来たため富士通リースに返却したが、初期化作業を行ったのみで、富士通リースにサーバーを返却していた。
当該サーバーのHDDは18本(3TB/本)あり、合計のHDD容量は54TB(1テラ=約1兆バイト)にのぼる。ただ実際のデータ量は、54TBの30~40%程度(約16~22TB)ではないだろうか。
富士通リースは返却されたサーバーの、HDDの破壊をブロードリンクに依頼した。しかしこの時富士通リースは、破壊証明書の取得をブロードリンクに依頼していなかった。
ブロードリンクでは、HDDからのソフトウェアによるデータ完全消去と物理的な破壊を行っていたが、これらの作業は「リアルタイム」ではなかった。破壊証明書が必要なものについては、保管場所でHDDの固有情報(シリアル番号等)や破壊前の写真を撮る等の処置を行った。そのうえで、証明書が必要のないものも含めた一定量のHDDを集めてデータ完全消去・HDD破壊を行う「一括処理」を行っていた。容疑者は、破壊証明書が不要なものの中から、HDDを抜き取っていた。
図1:事故の概要図拡大画像表示
ここで各関係者についての疑問点をまとめてみる。
①サーバーの利用者であった神奈川県庁は、通常のフォーマットではデータが完全に消去できないことを知らなかったのか?
②富士通リースはブロードリンクに対し、データ破壊を依頼するにあたって、なぜ破壊証明書を要求していなかったのか?
③ブロードリンクの記者会見を見た限りにおいては、個々のHDDの管理が杜撰に感じられた。HDDをシリアル番号で個別管理するという発想はなかったのか?
④富士通リースは、ブロードリンクのHDDデータ完全消去、物理破壊等の手順全体を把握できていたのか?
ブロードリンクは2007年にISMS(情報セキュリティマネジメントシステム)を取得し、これは現在も継続している。ISMSの有効期間は3年間なので毎年の維持審査と期限前の更新審査を何度も受けていることになる。マネジメントシステムが適切に機能しているかの審査がISMS審査員の役割だが、果たして適切な審査が行われていたのかという点が問題視される可能性もある。
こう見ると、関係者のだれもが適切な対応を取れていなかったのでは、と考えられてしまう。
●Next:同じ轍を踏まぬための対策を提言
会員登録(無料)が必要です
- 1
- 2
- 次へ >
- 緊迫した現場で強いストレス─サイバーセキュリティとメンタルヘルスの関係:第8回(2020/06/12)
- パンデミックと情報セキュリティ、危機管理対策の共通性を考える:第7回(2020/05/12)
- 三菱電機の事案から、サイバー攻撃被害企業が行う「情報公開」の意義、あり方を考える:第6回(2020/02/04)
- 「見えない情報」をどう守る?─重要インフラの事件・事故から考える:第4回(2019/11/19)
- 敵を知り、己を知る─ハッカーのさまざまな情報収集手段:第3回(2019/10/23)
