先日、神奈川県庁で使用されていたハードディスク(HDD)がインターネットオークションに出品、落札され、その中に個人情報を含む大量の行政文書のデータが復元可能な状態だったことが分かりました。その後の調査で、HDDの廃棄を委託された業者の従業員が廃棄前のHDDを横領し、ネットオークションで転売していたことが明らかになりました。その従業員は窃盗の容疑で逮捕されましたが、それまでに数千個もの記憶媒体を横領し、転売していたことが明らかになっております。 まずこれまでに判明した事件の経過を確認した後、問題点について検討します。
事件の経過(各社プレスリリース、報道、等に基づき作成)
- オークションサイトで落札した中古HDDに神奈川県の情報と思われる電子データが復元されたので確認して欲しいと、神奈川県庁に通報
- 翌日、電子データの内容を確認したところ、神奈川県庁の内部情報と思われるデータを確認
- 上記中古HDD落札者から提供されたHDDのシリアルナンバーから、神奈川県が富士通リース(株)(以下、富士通リース)に返却したものと一致したことを確認
- 神奈川県から富士通リースに対し、事実確認を指示
- 富士通リースによる調査の結果、当該HDDはリース契約満了に伴い返却したサーバーのものであり、(株)ブロードリンク(以下、ブロードリンク)にデータ消去、廃棄を委託したものであることが判明
- ブロードリンクの社内調査により、ある従業員が廃棄前のHDDを横領し、ネットオークションで転売していたことが判明
- HDDを転売した従業員は懲戒解雇された後、警察に被害届が提出され逮捕
- 転売されたHDDは上記落札者から神奈川県庁に返却されたが、同時期に廃棄処理を依頼した残りのHDDは転売後行方不明
今回のHDD流出の全体像(各社プレスリリース、報道、等に基づき作成)
今回のHDD流出における主な問題点
今回のHDD流出事件を簡単にまとめると上記の通りです。あくまでも神奈川県庁や各社のプレスリリース、及び報道された内容に基づいて作成しているので、非公開情報等、反映されていないこともあることはご了承ください。
この中から、弊社の観点での問題点は以下の通りです。
① リースしたサーバー機のデータ消去が不十分
② HDD廃棄業者の機器管理や作業管理が不十分
③ 組織間で作業実施状況が未確認
問題点①:リースしたサーバー機のデータ消去が不十分
神奈川県庁がリースしたサーバー機はファイルサーバとして利用されていたそうです。つまり、当該サーバー機が割り当てられた利用部門、または全部門の行政文書や参考資料、作成データ等、すべての情報が当該サーバー機に格納されていたことになります。
リース期間を終えてサーバー機を入れ替え、リース元である富士通リースに返却する際にHDD内の全データを消去し、かつデータ領域のHDDをフォーマットしたとされています。恐らくはWindowsの標準機能で実施したと考えられます。
問題はこのWindowsのフォーマット機能ではデータが完全に消去されたことにはならないことにあります。簡単に説明すると、HDD内に格納されているデータは管理領域とデータ領域とで構成されています。作成されたファイルの内容はデータ領域に格納され、ファイル名やファイルサイズ、作成日時等の情報(エクスプローラーで確認できる情報)は管理領域に記録されています。また、管理領域には当該ファイルがデータ領域のどこにあるか、という情報も内部情報として含んでいます。HDDを1冊の本に例えると、管理領域は表紙(本のタイトル)と目次、データ領域は文章です。ただし、文章はページごとにバラバラにされ、順不同になっていますが、目次のページ数を見れば見たい文章を見ることができます。
Windowsのフォーマット機能は、この管理領域を消去するだけです。そのため、エクスプローラーだとファイルが一つも無い様に見えますが、実際にはデータ領域に格納された内容はそのままです。上記の本の例で言えば、表紙と目次がなくなり、本文のページがバラバラになって順不同に積み重なっているイメージです。その理由は、データ領域まで消去しようとすると、それだけ時間がかかるからです。特に近年はHDDの大容量化が進み、テラバイト(TB)サイズが当たり前のように使用されています。この数テラバイトのデータを完全に消去するにはかなりの時間がかかります。そのため、標準のフォーマット機能では管理領域だけが消去の対象となっています。つまり、フォーマットとは「初期化」ではなく、単純に「また最初から利用できる」という意味合いでしかありません。そのため、Windowsのフォーマット機能だけではデータの復元が可能な状態です。
問題点②:HDD廃棄業者の機器管理や作業管理が不十分
上記の問題点は神奈川県庁でも理解していたと考えられます。そのため、神奈川県庁と富士通リースとのリース契約では、富士通リースに対して、
「復旧が不可能とされている方法によりデータ消去作業を行うものとする」
という条項があったとされています。そのため、富士通リースはサーバー機HDDのデータ消去、破棄を専門業者であるブロードリンクに委託していました。ブロードリンクの発表資料によると以下のセキュリティ対策がされていたとされています。
1.カードキーと指紋認証による入退出
2.入退出ログ管理
3.24時間監視カメラ
4.1台1台の個体管理
5.私物管理(持ち込み・持ち出し防止)
6.開閉アラーム警報
7.ポケット縫い付け専用ユニフォーム
今回の事件では上記のセキュリティ対策のうち、全く機能していないことが分かったのは「4.1台1台の個体管理」「5.私物管理(持ち込み・持ち出し防止)」です。今回の事件ではデータ消去の前段階でHDDが横領されています。よって、受領時と廃棄処理後のHDDの数量をチェックするだけでも、少なくともHDDが紛失したことは検知できたはずです。また、資料には「5.私物管理」について「持ち出し防止に手荷物検査をしています」という記載がありますが、こちらも記載とはまったく異なる実施状況だったと考えられます。しかも、逮捕された容疑者はかなり長期間にわたって横領・転売を続けていたことが分かっています。つまり、ブロードリンクが実施していたとされるセキュリティ対策は長期間にわたって形骸化していたことがわかります。
問題点③:作業実施が未確認
ブロードリンクがHDDのデータ消去や廃棄を行うのは、契約に基づいて実施されるものです。しかし、作業の実施状況や作業結果を委託元に報告することは、契約書に謳われていたとしても、実質的には行われなかった、または形式的なレベル、すなわち、単純に「やりました」というレベルでの報告しか行われていなかったことが推測されます。この場合、作業報告は少なくとも以下の2回行われなければなりません。
① : 富士通リースが、委託契約の一環としてブロードリンクから作業報告を受ける
② : 神奈川県庁が、リース契約の一環として富士通リースから作業報告を受ける
まず①の報告作業について、富士通リースは委託した作業が実際に行われたことを確認するため、何らかの報告書を受領しなければならないのですが、それが行われていなかったことが推測されます。ブロードリンクの資料を確認すると、明細レベルでの報告資料は「希望されたお客様のみ提出」とあります。今回の事件に関する委託契約に明細レベルでの資料提出を求めていたか定かではないのですが、少なくとも明細書を添付した作業報告が作成されていれば、そもそも廃棄処理前のHDDを横領して転売するといった行為はできなかったと考えられます。
さらに②の作業報告については報告を受けていないという問題に加えて、誰が作業をするのか、という問題もあります。上述の通り、今回の事件の対象となったサーバー機のリース契約には
「復旧が不可能とされている方法によりデータ消去作業を行うものとする」
という条項がありましたが、これを富士通リースが行わなければならないのか、それとも専門業者に再委託すること(今回はブロードリンクでしたが)も可能だったのか、明らかにされていません。もし再委託はできない、という契約内容であれば富士通リースが契約違反をしていたことになります。一方、再委託が可能であっても、富士通リースには再委託先がどの企業でどのように実施するのか、神奈川県庁に報告する義務が発生するはずです。しかしながら、神奈川県庁が実際にHDDのデータ消去や廃棄の作業を行っていたのがブロードリンクだとは知らなかったとのことです。つまり、富士通リースが報告を怠り、かつ神奈川県庁も報告を求めなかったことで、双方に問題があったという結論となります。
以上の問題点の背景には、リース期間の過ぎたサーバー機は最終的に処分されるため、重要なデータが復旧可能な状態であるにも関わらず、HDDを無価値な「ゴミ」という意識が、今回関係した組織や担当者すべてにあったのではないかと推測されます。
情報流出の防止に向けた対応策
それでは、このように機器更改や廃棄する情報機器の記憶領域から情報漏洩を防ぐにはどうすればいいでしょうか。情報機器の利用組織の視点で検討します。
利用者の対応としては、できることは可能な限り対処すべきです。
まず機器の利用を開始する際、ディスク領域を暗号化すべきです。「暗号化すると遅くなる」と主張する業者もいるかもしれませんが、以前に比べて機器の性能は格段に良くなっているので、通常の利用であればほとんどストレスなく利用できます。Windows10であれば「BitLocker」、MacOSならば「FileVault」というディスク暗号化の機能が提供されているので、これを利用すればHDDを取り外して他の機器につなげてもデータを読み取ることができません。もし暗号化機能を利用していれば、今回の様なケースでもデータを復元することは難しかったと考えます。
機器の利用が終了し、新しい機器に入れ替えする、または廃棄する際は、ディスクのデータ領域を上書きするフォーマットをすべきです。前述の通り、Windowsのフォーマット機能ではデータはすべて消去されないため、復元可能な状態で残存します。そのため、別途フォーマット機能を有するツールを使用して、データ領域をすべて上書きするようなフォーマットを行うべきです。ツール自体はそれほど高価なものではありませんが、時間がかかるのが難点です。しかし、業務利用が終了しているので、それほど大きな影響が出ることはないと考えます。
情報機器をリースしている場合、神奈川県庁の様にデータ消去を義務付けることを契約に盛り込むことが望ましいと考えます。その場合はリース業者がHDDのデータ消去や廃棄を自社で行うのか、再委託するのかを確認し、再委託の場合は再委託先の企業とHDD処理の内容を事前に確認するとともに、作業報告をどのような形態で受領するか、あらかじめ決めておく必要があります。
なお、神奈川県庁では再発防止策として、「リース契約満了時には、県庁から搬出する前に職員が立ち合いの元でHDD等を物理破壊させる」等の対応を検討しているようです。
また、PC等の個人が利用する機器に関しても、ディスクの暗号化を行うべきです。また、組織に関係するデータはPCローカルのディスクには保存せず、ファイルサーバに保管することで、HDD等記憶装置からの情報流出リスクを軽減させる方法も考えられます。
上記内容に関するご相談やお問い合わせについては、「お問い合せ」のページからご連絡ください。
デルタエッジコンサルタントでは情報セキュリティ全般にわたっての
・脆弱生の可能性を確認する簡易診断
・情報セキュリティに関する現状評価や見直し支援、ルール等の作成支援
・情報セキュリティに関する研修や訓練等の支援
等のコンサルティングサービスを提供しております。
詳細は、こちらのページをご確認ください。
==>「情報セキュリティ対策支援サービス」
興味や関心がございましたら、ぜひご連絡ください。