ハギーが解説　目からウロコの情報セキュリティ事情：データは消えない――メモリカードやUSBメモリに潜む落とし穴 (2/2)

USBメモリの落とし穴

　それではUSBメモリはどうでしょうか。一部のセキュリティを考慮した製品を除いて、今の情報漏えい問題で最も危険な記録メディアに挙げられているのがUSBメモリです。仮に盗まれた場合、保存された形跡のあるデータはHDDと同じように簡単に復元でき、利用者が「消去したはず」と思った会社の機密情報が第三者に知られることとなります。

　こうした事実に気付かずに、USBメモリで気軽にデータの受け渡しをしている企業が多数見受けられますが、極めて危険な行為です。利用者は「消去操作をしてから使っているから大丈夫だ」と思っていても、実際にはデータ本体が消えてはいないのです。「簡単に復元できる」という事実を知らないまま、他人にデータを見せていることは深刻です。事実を知れば、ぞっとする人が多いのではないでしょうか。

　さらに、会社の規則で「完全削除を行うこと」と定義しているところはどの程度あるのでしょうか。統計データはありませんが、私の経験上そのような会社は極めて少ないのが実情です。仮にルールを決めていても、それらが実行されているかをチェックしなければ、ルールが意味を持ちません。

　実際に「完全削除」を行うためには、物理記憶部分（ファイルの本体部分が格納されている場所）を意識的に上書き（ランダム値でもnull値でも大丈夫です）しなければなりせん。しかし、そこにはUSBメモリの大容量化という新たな問題が起きているのです。

　例えば、この前知人が持っていたUSBメモリの容量は、なんと64Gバイトもありました。数年前までは64Mバイト容量のUSBメモリが一般的だったのというのに、すでに約1000倍もの容量になっているのです。

　データ本体を完全消去するためには、別のデータを書き込みしなければなりませんが、64Gバイトという容量のすべてを書き込みする作業は実に大変なことです。知人が持っていた製品の仕様を見ると、「書き込み速度：3Mバイト／秒（最大）」と記載されていました。これは理論値ですが、64Gバイトの実質的な格納領域を仮に60Gバイトと見積もって、計算上すべての物理記憶部分へ書き込みをするには約5時間半もかかってしまいます。しかも、これは仕様書上の数字なので、実際にはそれよりも2倍以上もの時間がかかるでしょう。

　物理記憶部分に何かを書き込むだけで10時間以上もかかるとは、あまりも不便です。データ本体の完全削除を徹底するためには、一般的に3回以上書き込み操作をすることが望ましい（編注：HDDは最低3回、メモリカードやUSBメモリは最低1回の書き込みが望ましいとされています）とされていますが、64Gバイト容量なら30時間以上もかかってしまいます。

　書き込み速度の遅い安価で大容量のUSBメモリでデータを完全消去するには、悲惨な状況だといえるでしょう。仮に企業のルールで「USBメモリ全体を3回上書きしてデータを完全に消去すること」と既定していても、現実に即していないのです。

　書き込み速度が高速なUSBメモリには、メーカーがうたう書き込み速度が約32Mバイト／秒のものや37Mバイト／秒のものがあります。安価な製品との価格差は4倍以上にもなります。仮にこの数値で3回の上書き作業をしたとしても、64Gバイト容量では3時間程度かかることが想定されます。いくら作業時間が短縮されるとはいえ、書き込み作業のために1日の業務時間が3時間も削られるのは好ましくありません。

　このように会社の規則でデータの消去方法を規定していても、それに見合う書き込み速度が得られなければ「絵に描いた餅」になってしまうのです。記録メディアの大容量化と高速化では、セキュリティも考慮してもう少しバランスの取れるようにしていただきたいと思います。読者の周辺ではデータの消去についてどのような方法を実施されていますか。ぜひご意見を伺いたいと思っています。