この度、データ適正消去実行証明協議会(会長:荻原紀男、㈱豆蔵ホールディングス代表取締役会長兼社長、略称「ADEC:エーデック」)では、業界標準で知られるNIST-SP800-88rev.1で示されたデータ消去クラスとして定められる「Purge」について、業界で初めて消去能力の妥当性を検証し、その消去が正しく行われるソフトウェアであることを示す消去ソフト技術認証を実施しました。
より一層の安全・安心なリユース・リサイクルへの実現のため、本認証を有効にご活用ください。
昨今のデータ消去の潮流
2019年末に発生した、神奈川県庁で利用されていたHDDの情報流出事件を契機に、情報システム機器の廃棄の在り方について一般的にも注目を集めるようになって参りました。
これに伴い、昨今、データ消去の業界では消去ランクに応じた消去方法が認知され、「どのランクのデータ消去を行うか」を廃棄ルールで定め、消去業務を担う企業側で公表することが増えつつあります。
また、総務省が地方自治体等に向けて公開する「地方公共団体における情報セキュリティポリシーに関するガイドライン」では取り扱うデータの機密性に応じて消去ランクに定めることが推奨されております。
Purge消去とは
Purge消去(Purge)とは、NIST(米国国立標準技術研究所)が定める3段階のデータ消去レベルのうちのひとつです。レベルは3段階あり、「Clear」「Purge」「Destroy」に分かれています。
総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」では取り扱う機器の情報の機密性に応じて、機密性の低い情報を扱うデバイス向けには【 Clear(消去)】、機密性の高い情報を扱うデバイス向けには【 Purge(除去)】または【 Destroy(破壊)】を行うことが適切であるとしています。
①【 Clear(消去)】一般的に入手できる復元ツールを利用した攻撃に対して耐えられる。
政府機関の承認を受け、その有効性が確認されている上書き技術/方法/ツールを使って媒体の既存データに対する上書きを行なう、米国国防省規格等として従来から多く用いられている方法等。
②【 Purge(除去)】研究所レベルの攻撃に対して耐えられる。
- ATAコマンドの「Enhanced SECURITY ERASE UNIT」を使用する。
(Enhancedモードがサポートされていない媒体の場合はNormalモード)
- Cryptographic Erase(暗号化消去)を行う。
- 外部磁界等による消磁を行なう。
注:Cryptographic Eraseとは、データを媒体上に暗号化して記録して置き、データの抹消が必要になった場合には、その暗号化に使用した「暗号化キー」だけを抹消することにより、データの復号を不可能にする方法。
③【 Destroy(破壊)】媒体の再生(再組立等)に対して耐えられる。
消磁設備や物理的破壊装置により、再使用不可能になるように破壊する。
注:消磁方式を用いる場合、2007年以前に製造された機器は、それ以後主流となった垂直磁化方式のHDDに対しては、十分な消磁をできないことがあるので注意が必要。
ADECによるPurge消去のソフトウェア認証
NIST-SP800-88rev.1では「Purge消去」の定義が定められております。今まで定義されるPurge消去が実際に機能したか、定義通りに消去ができたかの技術的な検証が第三者によって行われたことはありませんでした。
ADECでは従前より、第三者の立場から「消去事業者の認証」「消去ソフトウェアの能力認証」を行って参りました。昨今の世情における「Purge消去」の需要の高まりを踏まえ、「Clear消去」に加え「Purge消去」の有効性を検証し、認証を行うことと致しました。
情報デバイスに対してPurge消去を実施後に、その有効性(あらかじめデータの記録されたドライブのOSがアクセス可能な領域全体及び隠し領域や、異常が検出され使用されなくなった部分(セクタ)に対してデータの書き換えが行われたか)を検証し、認証を行った事例は存在せず、業界初となります。
データ適正消去実行証明書の発行
ADECで認証された「消去ソフトウェア」のメーカーおよび「消去サービス事業者」として認証された企業様と協力し、パソコン等のデータが適正に消去されたことを証明する「データ適正消去実行証明書」を発行しています。
消去事業者認証
消去事業者の信頼性向上を目的に、消去プロセス・作業環境のセキュリティ管理認証を行います。
ガイドラインの制定
日本のデータ消去に関する現状や課題を背景に、消去事業への適切な取り組み方や消去方法に関する技術的な見解をまとめています。
ソフトウェア消去技術認証
適正な消去技術に基づいた消去ソフトウェアであることを認証します。
ドライブに対して上書き消去を実施し、その有効性を検証し認証が行われる。
ドライブに対してのPurge消去を実施後に、その有効性(あらかじめデータの記録されたドライブのOSがアクセス可能な領域全体及び隠し領域や、異常が検出され使用されなくなった部分(セクタ)に対してデータの書き換えが行われたか)を検証し、認証が行われる。(業界初)
今回ADEC消去技術認証においてPurge検証を行い認証適合となった消去ソフトウェアについて
○ ADEC-S2020-001
- プロダクト名:Data Sweeper 1.99.x
- 企業名:アドバンスデザイン株式会社
- 消去クラス:Purge 消去メディア:PC対応HDD/SSD
○ ADEC-S2020-002
- Flash Erase SSD 1.7.0
- 株式会社ウルトラエックス
- 消去クラス:Purge 消去メディア:PC対応HDD/SSD
2020年10月28日(水)~30日(金)に開催されます、2020 Japan IT Week(秋)@幕張メッセにおいて、実際に認証された消去ソフトウェアをご覧頂けます。
ADEC概要
ADECは、データの適正な消去のあり方を調査・研究し、その技術的な基準を策定するとともに、これに基づいてデータの適正消去が実行されたことを証明するための第三者的な証明制度の普及・啓発を図り、我が国における健全で安心安全な循環型IT社会の実現に寄与することを目的としています。
※詳細はWebサイトをご参照ください。http://www.adec-cert.jp/
○ ADEC体制図
日本のデータ消去に関する現状や課題を背景に、消去事業への適切な取り組み方や消去方法に関する技術的な見解をまとめています。
- 運営実行委員会(委員長:㈱豆蔵ホールディングス)
ADEC運営方針を決議する機関
- 消去技術認証技術委員会(委員長:ワンビ㈱)
データ消去技術の認証基準の策定・予備判定を行う機関
- 消去プロセス認証基準委員会(委員長:凸版印刷㈱)
データ消去プロセスの認証基準の策定・予備判定を行う機関
本リリースに関するお問い合わせ先
データ消去実行証明協議会(ADEC)
広報担当 大泉、鈴木
e-mail:kouhou@adec-cert.jp TEL:090-6654-6350