初期化したHDDから“世界最大級の情報漏えい”が発生　実は危険な「データ消去」のやり方と、IT資産を守るための心得

2,500社の企業で導入されているセキュリティソフトウェア

井口俊介氏：弊社のセミナーにご参加いただきありがとうございます。本日は「情報漏えいを防ぐ！　データ消去の最前線～SDGsを実現するITAD（IT資産の適正処理）解説セミナー～」をご紹介させていただきたいと思います。

「私たちが情報漏えいを防ぐ」という企業理念の下、データ消去を専門とするセキュリティソフトウェアメーカーです。

「TRUST DELETE」というセキュリティソリューションを中心として、数多くのお客さまに導入いただき、ご利用いただいています。

弊社の事業内容ですが、大きく2つございます。1つが「遠隔データ消去事業」というものです。パソコンを紛失したり盗難に遭った時に、遠隔でパソコンをロックしたり（データを）消去する消去ソフトウェアです。TRUST DELETEシリーズでご提供しています。

もう1つが「データ消去・証明事業」です。情報機器の廃棄やリースの返却、リユースなどの時に、データをしっかりと消去し、かつ消去証明をするソリューションを取りそろえています。本日のセミナーでは、こちらの「データ消去・証明事業」のほうをご紹介させていただきたいと思っています。

情報漏えい1件で、数億円もの損害を生む可能性も

みなさまは、正しいデータ消去ができておりますでしょうか？　この問いをしますと、不安を抱えているお客さまも多くいたりしますね。

例えばハードディスクとSSDの2つがあるんですが、実はデータ消去と言っても「ハードディスクにはこういったデータ消去がいい」とか「SSDではこういったデータ消去がいい」というのがあるんですね。情報機器それぞれに対して正しいデータ消去をすることが、今の時代には求められています。

情報漏えいの原因ですが、実は1位の「紛失・誤廃棄」が大きく占めているという結果もございます。最近はリモートワークや在宅勤務が多くなってきまして、不正アクセスによる情報漏えいの原因も伸びてきてはいます。

情報漏えいの原因は「紛失・誤廃棄」「ウイルス感染不正アクセス」「盗難」「誤送信」などもあります。そのあたりが常に（上位を）占めているので、上位4つを常に対策していれば、情報漏えいの原因のほとんどは防げると言えます。

昨今、情報漏えいは無視できない問題になっています。「情報セキュリティインシデントに関する調査報告書」では、情報漏えいがどのくらいの件数発生しているのか、想定の損害賠償総額などが発表されています。

（平均想定損害賠償額が）1件当たり数億円と出ており、1人当たりに換算しても平均約3万円と言われています。こういった金額を見ると、中小企業も非常に驚くことではあるんですが、大きな企業であっても賠償額は決して無視できません。

今の時代、情報漏えい対策をしないのは「あり得ない」

情報漏えいの対策を何もしないのは、今の時代はもうあり得ないということです。また、最近は個人情報保護法の改正がされており、私たちのデータの取り扱いは年々厳しくなっています。

総務省のセキュリティポリシーのガイドラインの改定もありましたが、実はこれにも大きなきっかけがあります。（2019年に）神奈川県庁でハードディスク転売・情報流出事件がありまして、これは当時「世界最大級の情報漏えい」と言われていました。

「情報機器を廃棄する時に、情報の復元を困難にする措置を徹底してください」ということで、ガイドラインが改定されました。つまり、情報機器の使用後も情報漏えい対策が必要になってきているということです。

今まで私たちがパソコンなどの情報機器を取り扱う時、運用中の情報漏えい対策は当たり前のように実施してきたんですが、神奈川県庁さんの事件は情報機器を返却する時に起きたということで、情報機器の使用後の情報漏えい対策が注目されてきています。

事件の原因は、データを「消したつもり」だったこと

県庁さんがハードディスクをリース返却する時には、フォーマット（初期化）を実施しています。その後、リース事業者さんにリース返却をします。

この件に関しては消去事業者さんにハードディスクの破壊処理を委託しており、つまり「（返却後の）破壊までしてください」という契約になっていたようです。リース事業者さんが消去事業者さんにディスクを渡して、一部のハードディスクは破壊せずにネットオークション等に転売されました。

購入者さんが、復元ツールと呼ばれるものでデータの中身を見てみたところ、データが復元できてしまいました。データを消したつもりで、最終的には破壊されたはずだったのですが、データが復元されて出てきました。ここで言えるのは、フォーマットは安全なデータ消去ではないということです。

IT業界に携わっている方は、「フォーマットは安全なデータ消去ではないよ」とご認識いただいている方も多いと思いますが、世の中はまだまだ「フォーマットをすれば消えている」という認識があると思っています。

総務省のセキュリティガイドラインでは改定が行われています。1つ目は「復元困難な状態を徹底してくださいよ」ということ。2つ目が「復元ツールを使ったとしても、データが読めない状態にしてください」。3つ目は「完了証明書等を発行するように」です。

情報機器を復元が困難な状態にすることと、重要度に応じて完了証明書を出してくださいということです。

復元が簡単な消去と、復元が難しい消去の違い

Windowsでフォルダやファイルを削除して、その後「ごみ箱」を空にしたり、今回のようにフォーマットをするとか、さまざまあると思います。そういったかたちの消去は復元が簡単だということで、推奨できない消去方法です。

本で例えると、目次だけを消している状態になるんですよね。本を開いていただくとわかる通り、最初に目次があって、そのあと本文がありますよね。フォーマットは、目次の部分だけを消去して、内容までは消していないようなものです。ですので、内容をしっかり見れば、見えてしまいます。

これに対して「復元が困難な消去」とは、まずは信頼のある消去ソフトウェアをしっかり使ってください。

“本の目次”に加えて、しっかりと内容も消去してください。つまり、実際のデータの中身まで消去してください。復元ツール等を使ったとしても、復元が困難な状態にしてください。

機器の使用中だけでなく「使用後」にも要注意

今の時代に求められることとして、大きく3点あります。1つ目が、情報機器の使用「後」に関しても復元困難なデータを消去することです。2つ目は、信頼できるデータ消去であることと、証明書も発行できるといい、ということです。

3つ目は少し広い話になりますが、SDGs等に貢献できるIT資産の適正処理が求められています。データ消去の世界でもSDGsに貢献できることがありますので、ぜひこの点もご理解いただければなと思っております。これらは弊社ワンビのソリューションで実現できる内容となっております。

弊社のソリューションについてご紹介させていただきたいと思います。1つ目は「TRUST DELETE ITAD」です。この「TRUST DELETE ITAD」は、IT資産のデータ消去・リユース・リサイクルを提供する法人さま向けのITADサービスです。

情報機器を使い終わった時にデータを安心してしっかり消去したい時に、このITADがサービスとしてご提供できます。

しっかりとデータを消去してもう1回使いたいとか、もしくはデータ消去をした後にそのままリース会社に返却して廃棄したい時にも、このITADが役に立ちます。

SDGsも考慮したデータ消去が可能

（「TRUST DELETE ITAD」の）特徴の1つ目としては、IT資産を適正に処理することができます。これまでIT機器の最終的な対応は、物理破壊であったり磁気消去が一般的でした。

ITADは、物理破壊、磁気消去も可能なんですが、ソフトウェアによるデータ消去ができますので、どれでも選択できます。

これにより、再利用を考慮して適正にIT資産を処理するので、例えばリユースしてもう一回使うこともありますし、リサイクル等にも考慮したサービスとなっています。また、消去証明に関しても対応しております。

特徴の2つ目は「適正処理を素早く実現」です。これまでは、私たちがIT資産を使い終わって「どういったかたちでデータ消去をしよう？」「どういうふうに処理しようか」と考えた時に検討が始まって、どこか業者さんに作業依頼してお見積りをし、その後消去作業をしてお支払いで完了していたと思います。

ITADは、データ消去のサービスをあらかじめライセンスとしてご購入いただくことが可能です。ですので、例えばパソコンをご購入いただく時に、あらかじめITADのライセンスをご購入いただくこともできます。

第三者機関から認証済みのため、安心して利用できる

例えば、4年、5年経って（パソコンを）使い終わって、データ消去をする時にITADにご依頼いただく時にはもうお支払い済みなので、すぐに作業に取りかかれます。

エンドユーザーさまの立場からすると、「予算を立てやすい」というのが非常にポイントになるかなと思います。後から考えるのではなくて、購入時に廃棄やリース返却する時までを考えて、予算立てすることができます。

エンドユーザーさまにご提案いただく時に、「使い終わった後の時までご配慮されていますか？」とご提案いただけるようなサービスになっております。

特徴の3つ目としては、データ消去証明書が発行できることです。特徴的なところとしては、第三者証明サービスに対応しています。ADEC（データ適正消去実行証明協議会）という第三者機関があり、データ消去証明書が発行できます。

ワンビの消去ソフトウェアは、第三者機関から「消去技術認証」を得ていまして、「信頼できるソフトウェア」ということが認められてます。お客さまとしては安心して任せられるデータ消去サービスです。各機器に一つひとつ消去証明書を発行することが可能になっております。

信頼度の高い「消去証明書」を発行

消去には「オンサイト消去」と「オフサイト消去」があります。作業員がお客さまの指定の事務所やデータセンターにお伺いして、データ消去を実施して、その後データ消去証明書を発行するサービスがあります。

例えば、データセンターからハードディスクを持ち出せないような場合には、オンサイト等の消去が適しています。

オフサイト消去は、弊社の指定工場でIT機器を回収させていただきます。トラック等で訪問して回収させていただいて、弊社の指定場所で消去した後、証明書を発行するサービスも実施しています。

データ消去証明書は、ADECのデータ消去証明書を発行できます。

データ消去の結果を第三者機関が確認して消去証明書を発行するので、非常に信頼度の高い消去証明書です。物理消去や磁気消去に関しては、それぞれに合った消去証明書が発行されます。

「TRUST DELETE ITAD」は、さまざまな情報機器に関した情報漏えいを防止できるソリューションとなっていますので、（端末を）使い終わった時に「何か安全に情報漏えい対策ができるソリューションはないか？」ということでしたら、ご検討ください。

データ消去を行う場所も、消去方法も選べる

ITADは、「情報機器の情報漏えいを防止したい」「データ消去作業自体を任せたい」というお客さまにおすすめです。消去方式がいくつかあり、ソフトウェアによる消去、磁気消去、物理破壊を選びたい、場所を選びたいケースです。

「データ消去証明書を発行してもらいたい」「SDGsに貢献したい」など、世の中に貢献できるような消去がしたい時にもおすすめです。

2つ目は「OneBe Wipe」というソリューションです。この「OneBe Wipe」は、いわゆるソフトウェアによる消去が実行できるものです。特徴としては、パソコンを使っている利用者さん自身でソフトウェアによる消去ができることです。

使い終わった後にパソコンのデータ消去をしっかりしたい場合には、エンドユーザーさま自身で消去をしていただくことによって、その後廃棄業者さんやリース業者さんに返却いただくことが可能です。もちろん返却する時には中身のデータは消えていますので、セキュリティ配送は不要になります。

管理者は、データが消えたのかを物理的に手元で確認することは不要です。第三者機関ADECからの証明書を発行することによって、「ちゃんとデータ消去が終わったな」ということを確認できる、非常にユニークなソリューションになっています。ADECのデータ適正消去実行証明書が発行できます。

「OneBe Wipe」の導入がおすすめなケース

「OneBe Wipe」のおすすめのケースとして、1つ目はデータ消去作業をお客さま自身で実施したい場合。2つ目が「再利用できる方法で消去したい」。リース返却等をする場合です。

3つ目は「データ消去証明書が欲しい」。4つ目は「データ消去サービスを提供したい」。これは、エンドユーザーさま向けと言うよりもパートナーさま向けです。「OneBe Wipe」を使って、各エンドユーザーさまのデータ消去をするサービスを提供したい場合にも当てはまります。実際に弊社でも事例がございます。

ソフトウェアによる消去ですので、SDGsへの貢献もできます。

最後に「データ消去証明ソリューション」の、「Storage LCM for NetApp」をご紹介させていただきます。

エンタープライズストレージに関する、国内初のLCMサービス（Life Cycle Management：IT資産の選定から廃棄までのライフサイクルを各プロセスに応じてサポートするアウトソーシングサービス）になっています。

NetAppさんのストレージに「ONTAP」というファームウェアがありますが、そのONTAPにはデータ消去の機能があるんです。

弊社ワンビとADECが連携することによって、ONTAPによるデータ消去をした後に、NetAppに記録されていた重要なデータが消去されたことを解析し、データ消去されたことが確認されると、ADECから第三者機関の証明書が発行されるサービスになっています。

データの消去確認をする手間も省ける

「Storage LCM」に関して、長野県塩尻市で実証実験を実施しました。実際に塩尻市でインタビューさせていただいて、なぜこういったストレージで実施したのかを弊社のYouTubeでも公開していますので、ぜひご確認いただければと思います。

運用例を少し書きました。NetAppのOSにデータ消去のコマンドがありますので、データ消去を実施します。このデータ消去作業は、弊社のパートナーから提供することが可能になっています。

普通ですと「データ消去の作業は完了しました」で終わると思うんですが、ここからが「Storage LCM」の特徴でして、消去した時の結果を消去証明します。

ワンビでは解析した結果をADECと連携して、「NetAppのストレージからちゃんとデータが消えているね」ということを証明することができます。そして、証明書をエンドユーザーさまに送ることができます。「Storage LCM」に関してもADECの消去証明書が発行できます。

「IT資産の処理に困っている」という悩みを解決

「Storage LCM」は、「NetAppさんのストレージを利用している」「データ消去作業を依頼したい」「消去証明書が必要」というお客さまに適しています。

これまでご紹介させていただいたソリューションは表にまとめております。弊社ではさまざまな情報機器の安心したデータ消去や、消去証明ができるソリューションをたくさんそろえておりますので、ぜひご相談いただきたいなと思っています。

弊社ワンビのホームページで、資料やカタログ、ホワイトペーパーや過去のセミナー資料もご提供しています。

最後にまとめですが、「IT資産を適正に処理したい」「ガイドラインに準拠する処理をしたい」「IT資産の処理に困っている」というお客さまは、ぜひ弊社ワンビにお気軽にお問い合わせいただければなと思っております。

本日はお忙しい中、お時間をいただきありがとうございました。