『データセンターから生きて出ることはない』Azure廃棄ディスクの行方を追ってみた
2019-12-24
azblob://2022/11/11/eyecatch/2019-12-24-what-happens-to-discs-discarded-contacted-microsoft-2.png

はじめに

堀ノ内さんのアドベントカレンダー記事で触れられていた「廃棄ディスク問題」が気になって自分でも調査+問い合わせしたくなっちゃった佐藤です。
堀ノ内さんのアドベントカレンダー記事では最近話題になった「神奈川のデータ漏洩問題」に触れて、MicrosoftのHPなどからMicrosoftのデータ破棄の考え・人的リスクに対する対応などがまとめられています。
そこで、私も公式ドキュメントからわかることを先にまとめて、それをよんで分からなかったことをcloud.config Divの神田君に協力していただいてMicrosoftに問い合わせてみたので、その結果を紹介します。

公式ドキュメントの記述

「azure データ破棄」と調べると一番上に出てくる公式ドキュメントでは、Azureインフラストラクチャのコンプライアンスは以下のように書いてあります。

> Azure インフラストラクチャは、ISO 27001、HIPAA、FedRAMP、SOC 1、SOC 2 など、国際的かつ業界固有の広範なコンプライアンス標準に適合するように設計および管理されています。 また、オーストラリアの IRAP、英国の G-Cloud、シンガポールの MTCS など、国 (地域) に固有の標準にも適合します。 British Standards Institute が行うようなサード パーティによる厳正な監査により、これらの基準に定められている厳密なセキュリティ管理要件を満たしていることが証明されています。
> Azure が準拠しているコンプライアンス標準の完全な一覧については、「コンプライアンス認証」をご覧ください。

また、機器の破棄については以下のように記述されています。

> システムの寿命がくると、Microsoft 運用担当者は、データを格納しているハードウェアが信頼できない第三者の手に渡らないよう、厳格なデータ処理およびハードウェア廃棄の手続きを実行します。 セキュリティで保護された消去アプローチは、それをサポートしているハード ドライブに使用されます。 ワイプできないハード ドライブの場合、このドライブを破壊して情報の復旧を不可能にする破棄プロセスが使用されます。 この破棄のプロセスでは、分解、損壊、粉砕、または焼却処理が可能です。 資産の種類に従って破棄の手段が決定されます。 破棄の記録が保存されます。 すべての Azure サービスは、承認済みのメディア ストレージと破棄管理サービスを利用します。

以上から、「国際的かつ業界固有の広範なコンプライアンス基準に適合するように分解・損壊・粉砕・焼却処理などの破棄プロセスをして、その記録もばっちりします」ということがわかりました。
しかし、具体的に「国際的かつ業界固有の広範なコンプライアンス基準に適合するプロセス」や「破棄プロセスの記録」をMicrosoftが実際どうやっているのかまでは検索した限り、見つかりませんでした。
そこで、今回はcloud.config Divの神田君に協力していただいて、Microsoftに問い合わせてみました。

問い合わせた内容

問い合わせた内容は以下です。

  1. HDDなどの記録機器はどのような手段で破棄されるのか
  2. 破棄の管理プロセスはどうなっているのか。また、破棄の記録はどのような形で何年間保持されるのか

頂いた回答のまとめ

頂いた回答はコメント+URLだったため、ここではそれらをまとめていきます。
また、回答内容については公開情報のため、ブログにしてOKとのことでした。

1. HDDなどの記録機器はどのような手段で破棄されるのか

こちらは

> 媒体を分割した上で、他の国で処理を行っております。

という回答とともに、Microsoftの澤円さんのこちらのスライドを紹介していただきました。
その63ページ目に以下のスライドがありました。

https://www.slideshare.net/decode2016/spl002 から引用

「データセンターから生きて出ることはない」「四つに分解して別の国で処理」との言葉にあるようにデータセンター内で4つに破壊してから、それぞれ別の国で各パーツを処理しているようですね。
HDDまるごとそのまま1か所で処理されていたからこそ起きてしまった神奈川のデータ漏洩問題対策もばっちりですね。
また、Microsoftの澤円さんのこちらのスライドはクラウドに抱きがちな心配について、構築運用の面から回答しているので、クラウドへの不安がある方におすすめです。

2. 破棄の管理プロセスはどうなっているのか。また、破棄の記録はどのような形で何年間保持されるのか

こちらは

記憶媒体の廃棄に関しましては、米国の NIST 800-88 Guidelines for Media Sanitation に従ってデータ消去または破壊を行っております。 内部プロセス等、詳細についてお伝えすることが叶いませんが、 非常に高いセキュリティにて厳重にデータ管理を実施しておりますのでご安心いただければ幸いでございます。

という回答とともに堀之内さんの記事でも触れられていたこのページを教えていただきました。
堀之内さんの記事でも触れられていた2006年発表された初版のガイドラインをIPAが日本語翻訳した文書に、破棄する情報のサニタイズの方法がまとめられている表があったので、引用させていただきます。

https://www.microsoft.com/ja-jp/trust-center/privacy/data-management から引用

この中から、破棄する情報が記録されている媒体の性質や機密性に対するリスク、その媒体の将来の計画などを考えて、どの手段をとるかを決定するべきとのことだったのでMicrosoftもこういった手法をとっているようです。

おわりに

堀ノ内さんのアドベントカレンダー記事で触れられていた「廃棄ディスク問題」が気になって、私も公式ドキュメントからわかることを先にまとめて、それをよんで分からなかったことをcloud.config Divの神田君の協力の元、Microsoftに問い合わせてみた結果を紹介しました。
その結果、データセンター内での破壊・復元不可な状況での処理が徹底されていて、破棄管理もしっかりされていることがわかりました。

最後にこの記事を書くためにご協力いただきましたcloud.config Divの神田君cloud.config Divの関根さん、そして対応いただいたMicrosoftの方々、ご協力ありがとうございました。