神奈川県データ流出事件にかかわる組織の怠惰とISMSと自己防衛と

神奈川県データ流出 セキュリティ
この記事は約10分で読めます。

神奈川県でファイルサーバとして使われた機器のHDD(ハードディスクドライブ)が、リース終了後に初期化されずにヤフオクで転売された事件は「世界最悪級の流出」とも言われ、IT企業ならずとも震撼した事件といえます。実は私は神奈川県在住、とても他人事とは思えません。

この事件について、何がまずかったのか、そしてPCやサーバを扱う企業側としてどう防衛できるのかを考えてみました。

事件の概要

ご存知と思いますが、簡単に書くと以下の通りです。

神奈川県 ⇒ 富士通リース ⇒ ブロードリンク ⇒ ヤフオク ⇒ 落札者 ⇒ 流出判明

詳細はこちらが詳しいです。

神奈川県はリース終了に伴い富士通リースにファイルサーバを返却。富士通リースはブロードリンクに廃棄を依頼。ブロードリンクの社員がファイルサーバのHDDを持ち出し、ヤフオクで売却。購入者が調べて事件が発覚。

  1. 2014年、神奈川県は富士通リースとリースを契約しファイルサーバの利用を開始。その当時は大量データを暗号化する装置がなかったということで、生データのままファイルサーバに格納する方式となった。
  2. 2019年2月、リース契約終了に伴い神奈川県はファイルサーバをリニューアル。旧ファイルサーバはファイルをすべて通常削除。
  3. 富士通リースはリース終了したファイルサーバの売買契約をブロードリンクと締結、HDDは廃棄するよう依頼。
  4. ブロードリンクが神奈川県のファイルサーバを引き取り撤去。同時期にブロードリンクに渡った機器のHDDは500個超(あるいは370個超とも)。
  5. ブロードリンク社内で社員がHDDを窃取。ヤフオクで出品
  6. 落札者がHDD内に復元可能性のある残存データの存在を確認、朝日新聞に情報提供。
  7. 2019年12月6日、朝日新聞が一面で神奈川県の行政文書が大量流出と報道。同日夜ブロードリンクが会見を開き謝罪。
  8. 2019年12月18日、富士通リースが神奈川県に出向き謝罪。

各企業(組織)の怠ったこと

神奈川県

①行政文書などが格納されるファイルサーバについて、ハードウェアレベルの暗号化について十分検討されず、平文のまま格納される構成とした。
②「重要情報が格納されている機器(サーバー等)をリース満了によりリース会社に返却する場合は、従前より情報漏洩防止のため、県内部の初期化作業でデータを全て消去した後、リース会社が『データ復旧が不可能とされている方法によりデータ消去作業を行うものとする』としている。」が、その完了証明書等の交付は受けていない。
担当者も把握していないリサイクル業者(ブロードリンク)がリース機器引き取りを行っている。

富士通リース

①機器廃棄(リサイクル)について、完全にブロードリンクに丸投げとしていた。リース品引き取りもブロードリンクが行った。
リース契約には、データが完全に消去されたことを示す証明書を県に提出する内容も含まれていたが、富士通リースは証明書の発行をブロードリンクに依頼していなかった。

ブロードリンク

①以前より2ch等で内部の機器横流しの情報が出ていたが、会社自身でそのような状況を把握できることもなかった。
入庫、消去/破壊作業、出荷等の状況トレースが十分行われておらず入庫数しか記録されていなかった
セキュリティに関する装置は様々導入していたものの、モニタリングをほとんど行っていなかった。またセキュリティに関するルールも形骸化していた。

どうすれば防げたのか

ブロードリンクについては、大変申し訳無いのですが、すべてがありえない状態と思います。入庫した機器はブロードリンクにとっては材料であり、在庫です。それがどう加工されて出荷されていくのか把握するのは基本中の基本と思います。単純化した例えですが、100個入庫したのに50個しか出荷できないとなれば会社としては大損害です。なぜこれを放置したのかが理解に苦しみます。

また、データ消去を業務として持ち、セキュリティは万全とうたい、たしかに監視カメラなどを導入はしていました。それはちゃんと活用すれば意味があるものの、設置して活用していなかった様子が伺えます。「早朝ならば」、「リュックサックに隠せば」、「ロッカーに入れておけば」、といった抜け穴というよりもザル、いやワクとも言えないセキュリティの状況で良いと思っていたのは一体誰だったのでしょうか。

富士通リースにおいては、その丸投げ体質、セキュリティに関する危機感の欠如が事態を招いたと思えます。顧客からのリース品引き上げにおいてはブロードリンクに丸投げ、リース契約の確認も怠って「リース契約1件終了」としていたのではないでしょうか。他の業界と異なり、リースが開始されれば顧客との接触も殆どないと思いますし、なにか緩みがあったのではないかと考えます。その上、神奈川県からデータ消去の証明書を求められながらも(現時点で判明している範囲では)何もアクションを起こしていないように見えます。「依頼し忘れていた」ことに早期に気づき、改めて依頼していれば、もしかすると正しく破壊処理に切り替えられ、流出が防げたかもしれません。

神奈川県は、「知識を持つ者がいないから」「ベンダがこれで良いと言ったから」というお役所仕事に始終していたのではないかと思います。2014年の時点でもデータを暗号化できる機器/システムはいくらでも存在していました。HDD数が396本(お問い合わせが多い質問3)RAIDですし、この規模で暗号化をサポートしていない方が異常です。2014年頃の3.5インチHDDを396本というと、FujitsuのETERNUS DX440 S2あたりでしょうか。カタログでは「128bit AES方式、または富士通独自方式によるデータの暗号化機能を搭載。さらに自己暗号化ドライブ(SED)を採用し、パフォーマンスの劣化を招くことなくデータの暗号化を実現。ドライブの持ち出しによる不正なデータ解読を防止」となっています。これが普通です。しかし「ベンダが無いと言ったから」ということでセキュリティに関するリスクを「しかたない」としてしまったのではないでしょうか。

また、データ消去については「証明書提出の督促は行ってきました(お問い合わせが多い質問6)」とあるのですが、督促の時期および回数が明らかではない現状、十分な意識が欠如していたのではないかと想像します。対象となるHDDの台数が数百台と膨大であり、全てを漏らさず消去/破壊してくれないと非常にまずいと思っていたとすれば、証明書が数ヶ月も届ない状況を異常としないはずがありません。それにしても396本中の9本しか状況を確認できていないとなると本当に恐ろしいことです。

今回関与している3つの組織のいずれかがセキュリティについてちゃんと考えていれば、今回の事故は起きなかったのではないか、そう思えて仕方ありません。「すべての組織が」ではなく「いずれかの組織が」です。事故というのはそういった「たまたますべてNGだった」「すり抜けてしまった」というところで発生するものですが、今回の件は色々と残念な結末でした。

ISMSの意義

ここで出てきた組織のうち、富士通リースブロードリンクは情報セキュリティマネジメントシステム(ISMS, ISO27001)の認証を取得しています。また神奈川県も「総務局ICT推進部」がISMSを取得しています。(当社は東京本社と大阪支社について取得しています)

ISMSはその名の通り、「情報セキュリティ」の「マネジメント」の「システム化」に関する認証です。システム化といってもIT化という意味ではなく、個人に依存したりせず、「組織としてうまく継続して機能するための仕組み化」を意味します。Wikipediaの言葉を借りれば「ISMSの目標は、リスクマネジメントプロセスを適用することによって、情報の機密性、完全性及び可用性を維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与えることにある。」ということです。

これはまさに今回の問題を解決するのにうってつけのモノと思います。がしかし、これが活かされていなかったという点が非常に残念です。機密情報をどう扱うか、ファイルサーバのリース返却にはどういうリスクが存在するか、どうすれば情報漏えいなどの事故を予防できるか、そういった検討や対応などを業務のPDCAに組み込む、それがISMSが求めている姿の一面です。

ISMSは、いろいろな情報や資産を洗い出し、それを継続して管理するという事も求めています。これがちゃんと実施できていれば、そもそもブロードリンクでのHDD紛失はすぐ発見できたと思います。残念でなりません。

データを破棄する企業の防衛方法

IT化社会に生きる我々は、情報機器を購入、運用そして最後には破棄をすることが多く発生します。今回のケースでもある破棄においては、ユーザ側の立場としてどうすればよいのでしょうか。

まずデータ消去には何段階も存在することを知っておく必要があります。

  1. 論理削除
    PCやファイルサーバのファイルを削除操作によって削除すること。厳重な保護がある環境では、削除を取り消すための操作も存在します。また、そうでない場合も復旧を試みることができるソフトウェアも存在します。神奈川県の行ったこの状態では、「消去した」とは程遠い状況です。
  2. 論理フォーマット
    論理フォーマット(クイックフォーマット)も1の論理削除とほとんどかわりありません。復旧の可能性が多分に存在します。
  3. 物理フォーマット
    ここまで実施されてようやく最低限の削除といえます。OS管理下の範囲をすべてクリアする処理が行われるため、ほぼ復元は不可能となります。ただ、1や2と異なり、3以降は処理に非常に長時間かかります。
  4. 専用ソフトウェアによる消去
    物理フォーマットは全データを消去するという目的ではなく、OSが使う範囲でエラーがない状態とするのが目的です。ほぼ同じような消去ではありますが、データ消去を目的とする専用ソフトウェアを使った消去の方が少しだけ安心できます。消去においては、同じ箇所への書き込みを1回〜複数回と選べるケースが多いと思います。これは、電子顕微鏡レベルでの分析を踏まえてDoD(Department of Defense:米国国防総省)が定めた規格に準拠するためのもので、通常は1回でも十分です。
  5. 強磁気による消去
    HDDは円盤に磁気で情報を記録していますので、外部からであっても、非常に強力な磁場を与えることでデータを消去することが可能です。3および4の方式だと最近の大容量HDDの消去には非常に長い時間がかかりますが、この方法であれば短時間で消去が行えます。ただ欠点としてそのHDDは再利用が不可能となります。
  6. 物理破壊による消去
    1〜5は、その消去が確かに行われているかを目視で確認する方法はありません。そのため、物理的な破壊をもって、データが復元できない状態とするのがこの物理破壊です。通常は、4本の非常に硬い釘のようなものを機器に押し付けてHDDに穴をあける事で破壊とします。完全に破壊しないのは、シリアルナンバー等、対象機器を破壊したということが分かるようにするためでもあります。
補足ですが、HDDを知識なしに物理破壊しようとはしない方がいいでしょう。最近のHDDは円盤が金属ではなくガラスのようなもので作られています。専用の環境や機材を使わずに破壊しようとしても、円盤が破壊できなかったり、破壊の際に細かく鋭利なガラス状のものが飛び散り非常に危険です。専用の破壊器具を使うようにしましょう。

機密でない情報であっても、3「物理フォーマット」以上の方法を使って消去するのが良いでしょう。3の情報を復元させるには、CIAなどの組織が長時間かけて分析する必要があります。もし大量の個人情報など、万が一の漏洩も許されないものは、4の処理の後、業者にて6の方法をおこない、証明書を取得、保管するのが良いかと思います。

また、漏洩がリスクとなる情報を保存するHDDであれば、HDDに書き込まれる物理データの暗号化を最低限実施すべきです。もちろん追加コストが生じますがそれと漏洩リスクを天秤にかければ良いかと思います。

まとめ

神奈川県人の私の個人情報や秘密の情報は、今どこにあるのでしょうか。こんな事をしてタダで済ませるのでしょうか。行政処分なり、指名停止なりはあるとして、個人への補償などは期待できる訳はないでしょう。でも、こんな杜撰な活動の結果で発生した漏洩について、少なくとも個人が負担するべきではないとも考えます。

先日も象印が盗まれたデータを元に詐欺メールが出回っていると聞いています。例えば氏名、住所が正確で、税金に関わる機微情報を使って仕組まれた詐欺が生じた場合、これを個人がリスク負担せよというのはどうかなと思っています。何も起きなければよいのですが…。

今や地方自治体(埼玉県、三鷹市、市川市など)でもISMSを取得している時代です。このような事故は再発しないよう、自治体側でもベンダ任せにせず、セキュリティリスクには目を光らせてもらいたいものです。

当社は、本文でも記載したとおり、ISMSは2013年に取得し更新を続けております。今後は新規に立ち上げたカンボジア支社への適用も視野に、日々セキュリティをマネジメントしています。セキュリティやISMS、そしてシステム化についてのご相談をお待ちしております