CSO Forum Home Working Group Security Products and Solution Events Reports
セキュリティ戦略 - Innovative Solution

企業の内部情報管理徹底へ,HDDデータ消去が必須に
[2006/01/18]

 企業が内部情報の管理を徹底するため,使用済みパソコン(PC)・サーバーのHDDデータを専門業者に任せて消去する動きが活発化してきた。この背景には,企業の内部情報管理が経営上の重要事項になっている一方,社内では管理が徹底しきれない現状がある。このような専門業者として,ビジネスを拡大しているデジタルリユースは2001年3月に設立し,翌年2002年9月に単月黒字を達成し,4年半後の2005年10月累損一掃した。2005年度は27億円の売上高を見込む。

HDDデータ消去がセキュリティ上の盲点
 企業の内部情報漏えいが,経営上のリスクとして顕在化している。企業の社会的責任(CSR)に対する関心の増大,個人情報保護法の完全施行などにより,企業の情報管理徹底への要求は高まっている。この結果,顧客情報を漏えいさせてしまった企業が社会から非難され,ビジネス面で大きな損失を受けるようになってきた。
 このような情報管理の中で,特に盲点になりやすいのが使用済PC・サーバーなどのHDDに保存されたデータである。企業の内部情報管理には入力・活用・処分(廃棄,売却)の3段階があり,このどこか一つでも漏れがあれば情報は漏えいしてしまう。しかし,一般的な傾向として入力と活用の段階には注意が向くが,処分の段階での管理は甘くなりがちである。実際,企業がPCをリサイクル業者に出し,これを購入した個人からHDDに顧客データが入っているという指摘を受けた例が複数発生している。また,企業の移転・引越しなどの際にPCのチェックすると100台に数台程度が行方不明になっていることも多い。
 さらに,データ消去を社内で済ますことにも問題が多い。購入とリースのどちらの場合でも,データ消去はPC・サーバーを利用した企業に責任があるが,PC・サーバーの専門家でない社員が不十分に消去しただけでは,データが復活できてしまう。例えば,単純なHDDの初期化だけでは,市販のHDDデータ修復ソフトウェアでデータを復活させることが可能である。

本当の安心・安全の確保
 このような処分段階での情報管理を徹底するため,使用済みPC・サーバーのHDDデータを専門業者に任せて消去する動きが活発化している。このような専門業者の草分け的な存在であるデジタルリユースによれば,データ消去サービスを希望する企業はここ数年,50%/年の勢いで延びていると言う。同社のサービスは,(1)残存リスクの消去を確実に行う「第三者プロの手順」を保有,(2)豊富な実績,(3)圧倒的な価格競争力,(4)「書面による作業証明」という四つの特徴を持ち,業界内の注目も高い。
 (1)の「残存リスクの消去を確実に行う第三者プロの手順を保有」については,ユーザーが希望するレベルに合わせ,NSA標準,NATO標準など,各種消去法を準備している。すなわち,1回上書きから複数上書きの消去スキームを実施する。作業フローに関しては,PC・サーバーの回収から消去・検品,出荷までの標準工程を確立しており,競合他社の多くが事業部単位で取得しているISO9001やISMSについても全社・全事業所(本社および2工場)レベルで取得している(図1)。
 (2)の「豊富な実績」については,同社会社設立から4年半で45万台以上を扱って事故例なしという実績を誇っている。しかも,ユーザーには大手銀行・メーカー・商社・官公庁などのような情報管理に対する要求レベルの高い企業が含まれており,そのような高いレベルの要求にも答えられている。しかも,同社は三菱商事やバッファローをはじめとする大手企業6社の異業種合弁会社という株主特性があり,業界でも稀有な信用力と技術力に基づいたサービス提供できる体制になっている。
 (3)の「圧倒的な価格競争力」については,容量80GB未満のHDDの消去費用が2000円台で提供可能(ただし,消去回数などの前提条件により変動)である。同社によれば,「ここまで安価なサービスを提供できるライバルはいない」と言い切る。
 (4)の「書面による作業証明」については,しっかりとした消去作業の記録を残しており,残存リスクに対する客観的な消去作業報告書を発行できるサービスになっている(図2)。具体的には,作業日時・作業者名・PC1台毎のメーカー・モデル名・シリアル番号・データ消去の方法などを記載した作業証明書を発行,ユーザーは自己のPCがいつ・どこで・どのように消去されたかの記録を残すことができる。

2つのメニューの準備
 デジタルリユースはHDDデータ消去サービスに関し,出張サービス(オンサイト・サービス)と引取サービス(センドバック・サービス)の二つのメニューを準備している。
 前者では,企業・官公庁などのユーザー企業に出張し,同社技術者がその場でデータ消去作業を実施する(図3)。現在は東京都,千葉県,埼玉県,神奈川県の1都3県,大阪府などを中心にサービス提供(2005年11月時点)しており,相談に応じてその他のエリアへの出張にも対応可能と言う。このサービスは,「情報セキュリティポリシー上,会社内でデータ消去作業を実施するルールを定めているユーザー,リース会社へのPC返却前の処理をご検討されているユーザー,データ消去後に既存の廃棄処分許可業者で廃棄をしたいユーザーに向く」とデジタルリユースは言う。
 後者では,PC・サーバーを引き取り(回収)し,同社工場内にてHDDデータを消去する。全国どこでもPC1台からの注文に対応している。「自社資産でデータ消去後に不要となり,売却したい(リユース)したいというユーザー,日本全国に不要パソコンの保管場所があるユーザーに向く」とデジタルリユースは言う。
 また,オプション・サービスとして,不要PCなどの買い取りサービスも実施している。例えばノートPCの場合,5〜6年前にPCメーカーが発売した製品以降のPCを買い取りしている(2005年11月時点)。

図1:ISO9001やISMSについても全社・全事業所(本社および2工場)レベルで取得
工場風景

図3:ユーザー企業に出張し,同社技術者がその場でデータ消去作業を実施
データ消去作業実施図		 図2:消去作業報告書
工場風景


P R
情報漏洩防止ソリューション 「秘文」

情報漏洩防止ソリューション「秘文」は,ISMS認証基準の管理策に対応したマネジメントシステムをご提供していく事で,
情報漏洩防止トータルセキュリティの実現を目指します。

「秘文」セキュリティシステム図
■持ち出し制御による情報漏洩防止「秘文AE Information Fortress」
PCごとの不正な持ち出しを制御,大切な情報も安心して活用できます。
ユーザごとのポリシー設定で,情報の不正な持ち出しを制御できます。
■共有データの暗号化・フォルダ単位のアクセス権設定「秘文AE Information Share」
PCからファイルサーバへのアクセスコントロールが行えます。
 ・ファイルサーバ上に共有機密フォルダとして共有データを暗号化
 ・フォルダ単位のアクセス権設定が可能


製品詳細はこちら
| HOME | 記事一覧へ | 三菱商事 情報セキュリティアライアンス |

Copyright (c)2005-2007 TechnoAssociates, Inc. All Rights Reserved.
CSOフォーラム 株式会社テクノアソシエーツ