クラウドは、データを完全削除したくてもハードディスクを物理破壊してくれない。どうする？ AWSが説明

神奈川県庁が富士通リースから借りていたサーバのハードディスクが不正に転売された結果、膨大な個人情報などが漏洩した事件が起きました。これをきっかけに、ハードディスクなどのストレージをいかに安全に破棄すべきか、という点に世間の関心が高まっています。

オンプレミスで使われていたストレージであれば、ハードディスクやSSDなどの媒体を取り出して物理的に破壊することで、データを第三者が読み出し不可能な状態になったと確認できます。

クラウドではどうでしょうか？ クラウドのストレージに保存したデータを削除した後、これが第三者によって完全に読み出しできない状態にしようと、クラウドに対して「ストレージを物理的に破壊してほしい」といったリクエストは、（特殊な契約でも結ばない限り）できません。

クラウドでは基本的に、自分が使わなくなったストレージはリソースプールに戻り、別のユーザーに割り当てられ、再び使われることになるのです。

このとき、自分が消したはずのデータが、なんらかの方法で第三者に読み取られてしまうといったことはない、ということを、クラウドでどのように保証できるでしょうか？

この問いに、AWSジャパンのブログに投稿された記事「クラウドにおける安全なデータの廃棄」が答えています。

データを暗号化して保存し、破棄時には暗号鍵を消去する

ブログでは第三者からデータを安全に保護する手段として、暗号化を紹介しています。その部分を引用しましょう。

統制の一例として、ストレージ領域をデフォルトで暗号化を行う設定とすることで第三者によるアクセスへの保護を実現します。そしてEBSやS3 Bucketを削除する際には、あわせて当該領域の暗号化に用いた鍵をAWS Lambdaを使用してKMSより削除します。これにより従来行っていた当該データの復号が困難になるとともに廃棄証明の代わりとして、暗号化による保護を実施した記録をお客様自身で自動的に取得、管理することができるようになります。鍵へのアクセスが無くなることで、当然AWSによっても、またお客様も廃棄されたデータへのアクセスはできなくなります。

ユーザーの責任においてストレージに記録されるデータをあらかじめ暗号化しておき、削除時に暗号鍵も消去してしまう。

これによりストレージが別のユーザーに再割り当てされたとしても、それ以前に保存されていたデータを読み取ることは不可能だ、というわけです。

また、ストレージデバイスが製品寿命に達して破棄される場合についても、次のように説明されています。

ユーザーデータを保存したメディアは、安全に停止するまで AWS の統制から除外されることはありません。AWSで扱われるメディアはワイプ処理もしくは消磁処理され、AWSのセキュアゾーンを離れる前に物理的に破壊されます。AWS の第三者レポートに文書化されているように、AWS データセンターに対する第三者の検証によって、AWS がセキュリティ認証取得に必要となるルールを確立するためのセキュリティ対策を適切に実装していることが保証されます。お客様はこうした第三者のレポートをAWS Artifactから入手することが可能です。

詳細はぜひ、この「クラウドにおける安全なデータの廃棄」を読んでみてください。

AWSジャパンのブログは、通常は米国で発表された新サービスを紹介する記事の翻訳が中心です。しかし今回は日本オリジナルの記事となっています。これはやはり、神奈川県庁と富士通リースの事件を受けて書かれたものなのでしょう。

（12/20 9:00 追記 記事冒頭の神奈川県庁でのデータ流出の経緯についての記述が間違っており、修正しました）