令和元年度以降、小中学校での1人1台端末の整備やクラウドサービスの本格活用が進み、教育情報セキュリティポリシーに関するガイドラインも時代とともに改訂を行ってきました。
文部科学省では新たに「暗号化消去」という用語を追加。この手法は、記録媒体を含む情報機器を廃棄する際や、リースの返却をするときにデータを復元できなくするものです。
この記事では暗号化消去の概要について解説します。暗号化消去のメリットやデメリット、懸念点について、また他の消去法との比較についても言及します。
暗号化消去は英語でCryptographic Erase(CE)とも呼ばれます。サーバーなどに暗号化して保存したデータが不要になったとき、該当するデータを削除すると同時に暗号化に使った鍵を削除することで、データにアクセスできなくする削除方法です。
一般的に暗号化はデータを保護するために使いますが、鍵をなくすとそのデータは復号できなくなります。この仕組みを逆手に取ったものが暗号化消去であり、鍵を削除することで実質的にデータ閲覧を不可能にします。
従来はソフトウエアによる上書き消去や物理的な破壊による消去を行っていましたが、暗号化消去により短時間で媒体の再利用ができるようになりました。
暗号化消去は、自己暗号化ドライブ(SED:Self-Encrypting Drive)など、ハードディスクやSSD自体に暗号化機能を備えた機器で広く実装されています。あらかじめストレージ全体を暗号化したうえで運用し、不要になったタイミングで鍵だけを破棄することで、媒体内のデータを実質的に読めない状態にします。
米国のガイドラインである NIST SP 800-88 などでも、暗号化されたボリュームに対する暗号鍵の破棄は有効なデータ消去方式の一つとして位置付けられています。ただし、この方式が成立する前提として、対象となるボリュームが事前に十分強度のあるアルゴリズム(例:AES-256 など)で暗号化されていることが不可欠です。
暗号化消去では、データそのものを書き換えたり物理的に破壊したりする必要がないため、ストレージの容量が大きくても消去に要する時間は「鍵の削除処理」にほぼ依存します。その結果、復旧作業やメディアの交換を伴わずに、短時間で安全かつ容易に再利用へ移行できるという運用上のメリットが生まれます。
小中学校ではタブレット端末を1人1台配布していますが、卒業時などには端末を返却させます。従来のように端末の物理的破壊では端末の再利用ができずコストがかかりすぎてしまいます。
また上書き消去では、端末の容量が大きいために膨大な時間が必要となり、全生徒分を上書きするとなると大変な時間と労力がかかります。
その点、暗号化消去は鍵を削除するだけでデータ消去ができ、数秒で終了します。また端末の一部領域のみのデータを抹消することも可能です。
大量の端末からデータ消去する必要がある場合には、暗号化消去はメリットが大きいといえるでしょう。
特に SSD やフラッシュメモリなど、内部でウェアレベリングやガーベジコレクションが行われるストレージでは、物理セクタ単位での上書き消去が難しい場合があります。暗号化消去であれば、内部のブロック構造や残留データの場所に依存せず、鍵の破棄だけで論理的に全体を無効化できるため、フラッシュ系ストレージとの相性が良いという特徴があります。
また、暗号化消去はシステム管理ツールや MDM(モバイルデバイス管理)と連携しやすく、ネットワーク経由で一括して鍵破棄コマンドを配信することで、管理者が現場に行かなくても大量端末の消去処理を一括で完了させることができます。誰が・いつ・どの端末に対して暗号化消去を実行したかという操作ログも残しやすく、監査や内部統制の観点からも優れています。
物理破壊や磁気消去と異なり、記録媒体自体はそのまま再利用できるため、買い替えコストや廃棄コストの削減、電子機器廃棄物の削減といった観点でもメリットがあります。自治体や教育機関・企業が定期的に端末を更新するようなケースでは、コスト面・環境面の両方で暗号化消去が採用されやすくなっています。
暗号化するためのアルゴリズムが脆弱だと、削除したはずのデータが復号される可能性があります。暗号化する際には、強力な暗号化アルゴリズムを選択する必要があります。使用しているアルゴリズムの脆弱性については、日々変化しているため定期的な確認をすることが推奨されます。
またデータ暗号化に使用する鍵が漏洩してしまうと、データが復元されてしまいます。暗号化消去を行うときには、鍵のバックアップが確実に存在しないことを確認しましょう。
現在のところ暗号化キーが完全に破壊されていれば、データを復元することはかなり難しいです。だからといってアルゴリズムが脆弱であればリスクが大きいため注意してください。
また、将来は技術が発展して暗号化しても破られることがあるかもしれません。常に現時点における十分に強力な暗号化アルゴリズムを使用しておくと良いでしょう。
暗号化消去は「鍵を削除すれば安全」という前提で設計されていますが、その前段階として、端末導入時にディスク全体を漏れなく暗号化しておくことが不可欠です。初期導入時に暗号化を忘れていた端末や、一部パーティションだけ暗号化されていない構成になっている端末が存在すると、その領域については暗号化消去の対象外となり、思わぬ情報漏えいリスクを残してしまうおそれがあります。
さらに、暗号鍵の管理方法も重要なポイントです。バックアップ目的で鍵を外部媒体やクラウドに保存している場合、鍵が適切に廃棄されていなければ、形式上は「暗号化消去を実施した」ことになっていても、実際には復号が可能な状態が残ってしまいます。鍵の複製先やバックアップの有無を棚卸しし、鍵破棄の手順まで含めてルール化しておくことが求められます。
また、暗号化アルゴリズムそのものについても、将来的には量子コンピュータの実用化などにより、現在安全とされている方式が破られる可能性があります。現時点で十分な安全性を持つアルゴリズムを選択するとともに、将来的な「ポスト量子暗号」の動向なども含めて、ガイドラインや専門機関の最新情報を定期的に確認し続ける必要があります。
このように、暗号化消去は運用が適切であれば非常に強力な手法ですが、「初期暗号化をきちんと行うこと」「鍵をどこにも残さず破棄できること」「使用する暗号方式の安全性を継続的に確認すること」といった運用面の前提が満たされていなければ、期待どおりの効果を発揮できない点がデメリット・懸念点といえるでしょう。
一般的なデータ消去の方法には、物理破壊・磁気消去・上書き消去があります。
物理破壊は記録媒体にドリルで穴を開けたりし、物理的にデータが読めない状態にすることです。ただし実際に穴を開けた記録媒体が動作した事例もあり、確実な消去方法ではないこともあります。また記録媒体自体も再利用できず、環境負荷も大きい方法です。
磁気消去は、専用の装置を使ってハードディスクドライブに強力な磁気照射をしてデータを消去する方法です。データ消去はできますが、ハードディスクドライブ自体も使用不可となります。データ記録に磁気を使っていない場合には、磁気消去はできないので注意が必要です。
上書き消去はデータの上に意味のないデータを上書きすることでデータを復元できないようにします。専用のソフトウェアを使って上書き消去を行えば、HDDは再利用できます。パソコンやHDDをリースしていて返却する場合によく利用される方法です。
これらの消去方法と暗号化消去を比較してみると、暗号化消去は削除に数秒程度しかかからないため、ストレージの容量が大きい場合に適しています。また記録媒体を再利用したい場合にも、暗号化消去であれば問題ありません。
消去方式を比較するときは、「消去にかかる時間」「媒体を再利用できるか」「コスト」「環境への負荷」「運用のしやすさ」といった観点で整理すると分かりやすくなります。物理破壊や磁気消去は消去の確実性は高い一方で、媒体の再利用ができず、廃棄物や処理コストが増大しやすい方式です。
上書き消去は HDD との相性が良く、媒体を再利用しながら一定以上の安全性が確保できますが、大容量ストレージでは処理時間が長くなりがちです。また、SSD では内部の制御方式の関係で、必ずしもすべての領域に意図したとおり上書きできるとは限らない点に注意が必要です。
暗号化消去は、初期暗号化さえ済んでいれば、媒体の種類や容量にかかわらず短時間で消去を完了でき、媒体の再利用も可能です。特に学校や自治体、企業などで多数の端末を一斉に更新する場面では、暗号化消去を前提とした運用を行うことで、業務負担の軽減と環境負荷の低減を同時に実現しやすくなります。
一方で、暗号化消去は鍵管理や暗号アルゴリズムの選定など、適切な設計・ルール整備が前提となる方式です。媒体単体を廃棄するだけで完結させたい場合や、暗号化運用そのものを採用しづらい環境では、従来の物理破壊や上書き消去を組み合わせる、といったハイブリッドな運用も検討が必要です。
暗号化消去は、鍵を抹消してしまえば数秒でデータの復号が不可能になるデータ消去の方法です。令和元年度から小中学校では1人1台のタブレットを配布しての教育を実施しており、卒業時には学校へ返却することになっています。
端末は次の生徒に再利用するため、データを消去する必要がありますが、物理破壊や磁気消去は端末の再利用ができません。また大量の端末から大きなデータを削除するには、時間がかかりすぎる上書き消去も不向きです。
暗号化消去は、短時間で消去ができ記録媒体の再利用が可能というメリットがありますが、暗号化アルゴリズムが脆弱だとデータを復元されてしまうリスクがあります。
データ消去は、より厳格なセキュリティ基準を満たすデータ消去業者に依頼する方法もあるので、業者の選択も含めて検討してみましょう。
あわせて、運用の段階からディスク全体の暗号化を徹底し、鍵のバックアップや複製先を適切に管理・廃棄できる体制を整えておくことが重要です。暗号化消去を前提とした設計・運用ができていれば、端末更新やリース機返却のたびに発生する消去作業の負担を大きく減らすことができます。
最終的には、扱う情報の機密性や規模、媒体の種類(HDD/SSD/その他)、求められる法令・ガイドラインへの準拠レベルなどを踏まえ、物理破壊・磁気消去・上書き消去・暗号化消去といった複数の手段の中から、組織にとって最適な組み合わせを選択することが求められます。学校や自治体、企業においても、暗号化消去を有力な選択肢の一つとして位置付けたうえで、ポリシーやルールの整備を進めていくことが重要です。
※2022/4時点公式HPより
2022年4月時点で「データ消去」で検索して公式サイトが表示される上位35社をピックアップ。 消去証明書の発行または第三者機関の認定があるデータ消去サービス・販売企業の中から以下の基準で選定
アドバンスデザイン:全ての消去方法に対応。データ復旧会社の消去サービスを提供
ブランコ・ジャパン:消去したデバイス数が最多2.5億台以上(2022年6月公式HPより)
日東造機:物理破壊装置の業界シェアNo1(※)参照元:日東造機(http://nittoh.co.jp/db50pro.html)2022年6月時点
▼スクロールできます▼
| アドバンスデザイン | ブランコ ジャパン |
⽇東造機 | ||
|---|---|---|---|---|
| 販売 | データ消去ソフト | 〇 | 〇 | - |
| 磁気データ消去装置 | 〇 | - | - | |
| 物理破壊装置 | 〇 | - | 〇 | |
| データ消去サービス | オンサイト対応 | 〇 | 〇 | - |
| オフサイト対応 | 〇 | - | - | |
| レンタル | データ消去機器レンタル | 〇 | - | - |
| 公式サイト | ||||