家studyをつづって

IT技術やセキュリティで勉強したことをつづっています。

「媒体のサニタイズに関するガイドライン」の概要(NIST SP800-88)

媒体のサニタイズに関するガイドライン

発行機関:NIST(IPA訳)
発行年月日:2006年9月

本文

SP 800-88, Guidelines for Media Sanitization | CSRC

和訳

https://www.ipa.go.jp/files/000025355.pdf

 

 

 

概要
情報システムは各種の媒体を使って情報を処理し、保存します。
上記の情報には保存することを意図されたものだけでなく、情報の処理や送信の過程でも保持されるものも含まれます。
このような残留情報が不正に開示されるリスクを軽減し、機密性を確保するためには媒体を適切な方法で処分する必要があります。
このガイドラインは、各組織が情報システムの機密性の分類を考慮しながら、適切なサニタイズと廃棄を行うことを支援するために策定されました。


情報の廃棄と媒体のサニタイズに関するポイントは、媒体の種類ではなく、記録されている情報の重要度にあります。
情報システムには、機密性の高い情報が含まれているものあり、重要度に応じ適切な処理を行わないと、不正な開示が発生する可能性があります。
そのため、このガイドラインは取り扱う情報に関して、適切な分類が行われていることを前提としています。

 

章構成

セクション 1では、この文書の作成機関、目的と範囲、対象読者、および前提条件について説明し、文書の構成を示す。
セクション 2 では、サニタイズに対するニーズの概要と、情報、サニタイズ、および媒体の基本的な種類の概要を示す。
セクション 3 では、サニタイズの意志決定を左右する手順と原則に関する一般的な情報を提供する。
セクション 4 では、サニタイズの意志決定を支援するプロセスの流れを示す。
セクション 5 では、いくつかの一般的なサニタイズ技法の要約を示す。
付録 A では、媒体のマトリックスを使って、各種の媒体を消去、除去、または破壊するために推奨される、最低限のサニタイズ技法を示す。この付録は、セクション 5 に示す意志決定フローチャートとともに使用すること。
付録 B では、このガイドで使用している用語の解説を示す。
付録 C では、媒体のサニタイズを支援するツールと参考になる外部情報源の一覧を示す。
付録 D では、組織のリソースにアクセスできないホームユーザや在宅勤務者向けの情報のサニタイズに関する考慮事項を示す。
付録 E では、このガイドの執筆に不可欠だった情報源や文書の一覧を示す。
付録 F では、組織のサニタイズ活動を文書化するための書式の例を示す。

 
サニタイズとは
データを簡単に取り出したり再現したりできないという合理的な保証を得るために記憶媒体からデータを削除するプロセスのことです。

 

サニタイズの種類 

種類 説明 技法
廃棄 サニタイズに関する特別な配慮を行わずに媒体を捨てる行為。機密ではない情報を含む古紙をリサイクルすることによって行われることが多いが、ほかの媒体を含む場合もある。  
消去 単にデータを削除するだけではなく、データの復旧ユーティリティによって情報を取り出すことができないようにする。たとえば、データの上書きは媒体の消去方法として容認できます。上書きが適切なサニタイズ方法かどうかは、媒体の種類やサイズに左右される場合もあります(SP 800-36 を参照)。また、研究の結果、今日の媒体のほとんどは1回上書きするだけで効果的に消去できるという結果が出ています。 媒体をサニタイズする方法の1つは、媒体上の格納領域を非機密データで上書きし、ファイルの論理的な格納場所(ファイルアロケー ションテーブルなど)の上書きだけでなく、アドレス指定可能なすべての場所の上書きが含まれる場合もあります。
除去 媒体を消去するだけでは十分ではない場合は、除去として消磁などの方法でデータを削除します。消磁は、破損した媒体の除去や、格納容量がきわめて大きい媒体の除去、フロッピーディスクの高速除去などに有効な方法です。媒体の除去が適当なサニタイズ方法でない場合は、媒体を破壊することが推奨されます。 除去の方法として、消磁やファームウェアのSecure Eraseコマンドの実行が挙げられます。
破壊 媒体の破壊は、一番のサニタイズ方法です。物理的な破壊は、分解、焼却、粉砕、細断、溶解などがあります。 分解、粉砕、溶解、および焼却等のサニタイズは、媒体を完全に破壊することを目的としており、専用の施設で実行されます。また、フロッピーディスクのような柔らかい媒体は細断という方法もあります。シュレッダを使って細断する場合、切るサイズは、データの機密性に応じて、そのデータを再現できないという十分な保証が得られる程度まで小さくします。

 

サニタイズと処分に関する意志決定に影響する要素

サニタイズに関する意志決定を行うときは、システムの機密性の分類とともに、いくつかの要素を考慮します。
たとえば、フロッピーディスクなどの安価な媒体を消磁するのは、費用対効果が高くない可能性があります。
サニタイズ方法の決定は、以下のような環境要因も考慮した上で、方法を決定することが望まれます。

  • 組織ではどのような種類(書き換え不可能な光ディスク、磁気ディスクなど)とサイズ(メガバイト、ギガバイト、テラバイトなど)の記憶媒体をサニタイズする必要があるか
  • 媒体に格納されているデータの機密性はどの程度か
  • 媒体は、管理された区域で処理されるか
  • サニタイズプロセスを組織内部と委託先のどちらで行うべきか
  • サニタイズする媒体の種類ごとの想定容量はどの程度か
  • サニタイズ用の機器やツールの準備状況はどうか
  • サニタイズの機器/ツールに関する要員の訓練レベルはどうか
  • サニタイズにどのくらいの時間がかかるか
  • ツール、訓練、有効性の確認、および媒体を供給の流れに戻すことを考慮した場合、
  • どの種類のサニタイズのコストが高くなるか

 

f:id:iestudy:20190822231306p:plain

媒体のサニタイズおよび破棄に至る流れ

 

サニタイズに関わる責任の所在

最高情報責任者(CIO:Chief Information Officer)
CIOは、情報セキュリティポリシーを公布する責任を負います。情報の廃棄と媒体のサニタイズは、このポリシーの構成要素の1つで、CIOは、組織で行われるサニタイズが本文書のガイドラインに沿うようにする責任を負います。

 

情報オーナー
情報オーナー(≒情報の作成者)は、現場での媒体保守が適切に監督されていることの責任を負います。また、情報オーナーは、情報の利用者が情報の機密性と媒体のサニタイズの基本的な要件に沿うようにする責任も負います。

 

資産管理担当者
資産管理担当者は、サニタイズされた媒体や機器が組織内に再配布されたり、外部に寄付されたり、破壊されたりした場合に、それらの状況が適切に把握されていることを保証する責任を負います。