HDD転売事件からの教訓。記憶デバイスの棚卸と廃棄管理


神奈川県の行政文書を保存したハードディスクドライブ(HDD)が、委託業者の担当者を通じてインターネットオークションで転売されるという事件が発生し話題になっています。

監視カメラの設置や持ち物検査などのルールはあるものの、管理体制が不十分であったがために不正行為を防止できず、神奈川県のデータを保存したHDDほか大量の記憶媒体(デバイス)が持ち出される結果となってしまいました。また、神奈川県ではHDDの初期化をおこなっていましたが、データは復元可能であり、物理破壊などの廃棄証明をトレースしていなかった点において、運用に不備があったと言えます。

このような事件を繰り返さないために、今回はHDDを含めた記憶デバイスの棚卸と廃棄管理についてご紹介します。

trend_hdd.png

HDDなどの記憶デバイス、管理してますか?

本来、企業・組織で保有している資産は正確に管理されるべきものですが、特に大量のデータを保有できるPC、サーバー、今回取り上げるストレージ系の記憶デバイスは慎重に取り扱わなければなりません。USBメモリ、HDDはもとより、近年普及しているSSD(ソリッドステートドライブ)も管理対象となります。

企業でこのような記憶デバイスを購入する際は、申請を提出させて台帳に記録しておく運用が一般的です。しかし、購入時に記録を取ったきり、その後はどこにあるのか、誰が使用しているのかわからないというケースが少なくありません。また、サーバーが廃棄やリースアップとなる際、内蔵されている記憶デバイスの処置に対して記録が取られていないこともあります。
そのような場合、紛失・盗難があっても把握できない、不要になった記憶デバイスがデータの復元が不可能な状態で廃棄されたか確認できない状況である可能性が高いです。

HDD転売事件の教訓から、企業として保有している記憶デバイスがどこにあるのか、データの完全消去も含め廃棄作業は完了したかなど、説明できるよう管理しておくことは大変重要です。
監視カメラの導入や持ち物検査、データの暗号化などの対策も重要ですが、まずは一度、IT資産としての管理体制を見直すことをおすすめします。

棚卸から始める、記憶デバイスのライフサイクルマネジメント

記憶デバイスの管理をおこなうために、まず必要なのは現在の状況を把握することです。棚卸をおこない、廃棄を含めた管理プロセスを明確にしましょう。
企業内に、どれだけの記憶デバイスがあるのか、その所在、使用者、最終使用日時などを台帳化し、少なくとも四半期~半期ごとに状況確認した上で、最新の情報に更新するといった管理が望ましいです。そのように運用することで、紛失・盗難の抑止、ひいては記憶デバイスの有効活用にもつながります。

また、不要となった記憶デバイスは、データを復元できない状態にするか物理破壊をおこない、適切に廃棄処分しましょう。物理破壊した写真が添付された廃棄証明書を発行するなど、記録を残すことも重要です。外部業者に委託する場合も、同様の措置を講じましょう。
廃棄依頼中・廃棄完了・証明書発行待ちなど、記憶デバイスの廃棄に関わる作業ステータスと担当者を明らかにし、その情報も台帳にまとめておくことがポイントです。万全を期すためには、担当者と確認者を分けた複数名での管理が望ましいです。

trend_hddcheck.png

不正が起こらないルール作り、仕組み作り

【記憶デバイスを含むIT資産のライサイクルマネジメント】
 1. 計画
  ・用途や課題の精査
  ・購入/使用時の申請
 2. 調達
  ・製品選定
  ・新規購入または社内調達
 3. 導入
  ・端末、記憶デバイスの情報登録
  ・設置、動作確認
 4. 運用
  ・使用状況の確認、管理
  ・定期メンテナンス、セキュリティ対策
 5. 廃棄
  ・データ消去、物理破壊
  ・廃棄証明

上記プロセスを意識して、自社の運用に即したルールを策定しましょう。気をつけたいのは、ルールは厳重にすればするほど良いわけではない、ということです。むやみにルールを厳しくしたことで形骸化してしまっては、元も子もありません。ルール見直しと共に、ルールが守られる「仕組み」を整えることが肝心だと心得ておきましょう。

そのためにも、できるだけ実情に即したかたちで、実際に作業する担当者の負担が少ない運用が求められます。記憶デバイスの台帳化や廃棄証明書の管理は、紙ベースではなく電子化することも有効です。管理を個人・ルール任せにせず、仕組み化することで不正の予防が可能になります。

記憶デバイスの棚卸ができるIT資産管理ソフトSS1

サーバーや記憶デバイスの新規購入時に情報登録し、台帳を作成することは比較的容易ですが、既に稼働しているものの情報を集めるのは、大変な労力がかかります。
そこでここからは、台帳作成や廃棄管理を効率化できる「IT資産管理ソフトSS1」をご紹介します。SS1はもともと、PCやサーバー、ソフトウェアの管理がおこなえるソフトウェアで、各機器の詳細情報を自動取得し台帳化することが可能です。機器に搭載・接続されるHDDなどの記憶デバイスの情報も取得可能で、棚卸や廃棄状況の管理がおこなえます。

trend_hddkiki.png

(SS1では機器に搭載・接続されるデバイスの情報が取得可能)

機器が廃棄・リースアップとなる際には、機器情報の備考欄やインシデント情報でステータス管理をおこなったり、廃棄証明書を紐付けたりすることで、記憶デバイスを含めた適切なライフサイクルマネジメントの運用を支援します。廃棄・リースアップとなった機器や記憶デバイスの情報は、除却データとして残せます。

また、外付けHDDなどの着脱可能な記憶デバイスの管理、使用制限もできます。外部から持ち込まれた記憶デバイスを自動検知し、台帳化。手入力での情報登録も可能で、使用者情報や廃棄ステータスなどの項目を任意で設定して柔軟な管理をおこなえます。
管理外の記憶デバイスの使用については、警告メッセージを表示したり使用禁止にしたりすることもでき、会社指定のものしか使わせない運用が可能です。さらに、最終使用日時も一覧で把握できるため、定期的な棚卸の際に有効活用できます。

trend_hddlist.png

(外付けされた記憶デバイスの自動検知、台帳化も可能)

不正抑止だけでなく、IT資産を有効・安全に活用するために

SS1は、機器の詳細情報の取得・管理に長けているため、HDDなどの記憶デバイスの棚卸、廃棄管理もおこなえます。このようなソリューションを用いて、適切な記憶デバイスのライフサイクルマネジメントをおこなえば、盗難・転売といった不正を抑止できるほか、紛失や誤廃棄など、様々なトラブルの予防につながります。

また、日常のメンテナンス業務の効率化やコスト最適化にも役立てられますので、この機会にぜひルールや管理体制、「仕組み」を見直してみましょう。SS1は、その他にも多数の機能を搭載しております。お役に立てることがありましたら、ぜひ弊社までお問い合わせください。

●様々な課題を解決できるSS1の機能一覧はこちら
●SS1に関するお問い合わせはこちら

前へ

IT資産管理や情報漏洩対策を学べる、SS1オンラインセミナーが新しくなりました!

次へ

【やまちゃん先輩とこっぺ連載:第六回】今年はSS1○○周年!?2020年もよろしくお願いいたします。