少し前に神奈川県が導入したシステムについて情報漏洩のセキュリティ事故がありました。システムのリース終了後、それまで使用していたディスクのデータ消去に不備があったとのこと。
神奈川県庁が使っていたファイルサーバのHDDが転売され、個人情報を含むデータが流出した問題で、同庁は12月21日、転売された18台のHDD全てを回収したと発表した。24日には、HDDの処分を委託していた富士通リース(東京都千代田区)と、同社下請けのブロードリンク(東京都中央区)に対して指名停止処分を下したと明らかにした。
https://www.itmedia.co.jp/news/articles/1912/24/news088.html
Alibaba Cloud 上に構築したシステムでデータを完全に消去する方法をまとめてみました。 実際には消去することなく二度とアクセス出来なくするということになります。
目次
1. データを完全に消去するために必要なこと
先の神奈川件を例にしてデータを完全に消去するまたは2度とアクセス出来ないようにするには通常以下の方法が考えられます。
- ハードウェアを物理的に破壊する
- ディスクを物理的にフォーマットする
- 任意のデータで全領域を上書きする
- 暗号化を利用する前提で、暗号化キーを廃棄する
私がオンプレミスのシステムを担当していたころは②ないし③が多かったと考えます。 リース業者、レンタル業者による②と③の作業がリース・レンタル契約に含まれることも多かったのですが、もし何かあれば取り返しがつかないということもあり、システム引き上げのタイミングでは必ず自分たちで完全フォーマットないしZERO上書きを行ったものです。
10数年前の話ですが1度上書きしただけでは磁気が残って復元できる可能性があるということで何度もZERO書きする、物理ディスクを指し直してRAIDを組み直してZERO書きする、などもやっていたような記憶もあります。
また、最近はハードウェアレベルまたはソフトウェアレベルでデータを暗号化することも多いかと思います。 この場合は暗号化キーを廃棄することで第三者にデータが漏洩する可能性を限りなく小さくすることが出来るでしょう。
次項からAlibaba Cloud におけるデータ消去についてまとめていきますが基本はオンプレミスと変わりありません。 物理破壊は難しいですが、②③④のどれかを利用者自身の責任で実施することになります。
2. Alibaba Cloud ECS
Alibaba Cloud ECS はいわゆる仮想マシンです。 データはOSから見える領域、WindwosであればCドライブやDドライブ、Linuxであれば/や/homeなどのパーティション、になります。先の神奈川県の事例はファイルサーバということでAlibaba Cloud で言えばECS上にWindows サーバを構築しファイルサーバを利用するケースとなります。
Alibaba Cloud ECS で利用出来る対策は以下の②③④の3つになります。
システムディスク | データディスク | |
---|---|---|
物理破壊 | N/A | N/A |
完全フォーマット | N/A | 対応 |
全領域上書き | N/A | 対応 |
暗号キー廃棄 | N/A | 対応 |
まず、データディスクは物理破壊以外の3つの方法に対応します。 完全フォーマットも全領域上書きもOS標準ツールや3rd Party ツールで実行することが可能です。
一方、OSが格納されるシステムディスクは完全フォーマットや全領域上書きの手段は提供されておらず、また、暗号化にも対応していないため暗号キー廃棄の方法も利用出来ません。 ツールを使うと特定領域を狙って上書き出来ることもありますがあまり現実的ではないかもしれません。
参考までにECSのディスクの暗号化の詳細は以下のドキュメント。暗号化によるパフォーマンス劣化はほぼ無いこと、OSが格納されるシステムディスクは暗号化されないことが明記されています。また、暗号鍵の管理はAlibaba Cloud KMS を利用します。
https://jp.alibabacloud.com/help/doc-detail/59643.html
3. まとめ
ベストプラクティスは秘匿すべきデータをデータディスクにのみ配置しかつ暗号化を実施し、ECSを廃棄する際には暗号化キーを廃棄するです。 そして、アプリケーションレベルでも通信および格納データを暗号化する、になると考えます。
また、多くのWebシステムではECSはアプリケーションサーバとなりデータは別途データベースに配置することがほとんどです。 今回の話の考慮が必要なのはECS上でWindows サーバを立ち上げファイルサーバを運用する場合かと考えます。
データディスクについては完全フォーマットするか任意のデータで上書きするも手段としてはありえますが、人間として実施が漏れることもありえますし、スナップショットのデータもあります。 基本は暗号化(データディスクの暗号化とアプリケーションレベルでの暗号化)の1択がAlibaba Cloud だけではなくパブリッククラウドの利用のベストプラクティスになると考えます。