企業として eWaste(電子廃棄物)を管理する場合は特に、データセキュリティの影響を深く考慮する必要があります。ストレージデバイスをワイプするツールを使用するだけでなく、古い機器を細断することを選択する企業もあります。
先日、サイバーセキュリティに特化したハードウェア破壊と IT および電子機器の統合資産処分プロバイダ、Electronics Recycling International (ERI) の共同創設者兼会長である John Shegerian 氏にお話を伺いましたので、上の Defrag This ビデオでご紹介しています。ERI は、毎年数十億ポンドの eWaste を安全に破壊し、データの破壊を保証しています。
ファイルやフォルダをデスクトップのごみ箱に移動したからといって、それらが永久になくなるわけではありません。デスクトップのゴミ箱を空にしたとしても、完全になくなってしまうわけではありません。デジタルフォレンジックチームやセキュリティ専門家に聞いてみてください。ハードドライブから消去されたように見えるデータは必ずしも永久に失われたわけではないと異口同音に答えるでしょう。古いハードウェアからどれだけの情報を復活させることができるかは驚異的です。サイバー犯罪者は、破棄されてゴミのように見える古いデバイスからデータを掘り出します。これらのデバイスには、一般に思われているよりはるかに多くの電子情報が残っています。さらに悪いことに、eWaste にも規制へのコンプライアンスが求められます。
不要になったデバイスは、ディスクワイピングツールやセキュア消去を使用して、あるいは古いストレージデバイスをシュレッダーで物理的に破壊するなどして、しっかりデータを消去しておく必要があります。物理的な破壊が最も確かな方法かもしれませんが、環境保護や人道的支援の立場から、寄付やリサイクルで不要になったデバイスに新たな生命を吹き込めたらそれに越したことはないと考える人はたくさんいます。残念ながら、寄付には多くのセキュリティ上の問題があり、これが問題となっています。
eWaste ソリューションからセキュリティソリューションへ
ERI は、2000年代初頭のドットコム時代から eWaste ビジネスのパイオニアとして登場して以来、今日の eWaste とデータ破壊の要求を満たすために eWaste ビジネスを進化させてきました。
Shegerian 氏は次のように説明します。「当時(2002-2004年)は、エレクトロニクスからの固形廃棄物が急激な勢いで増加しつつありました。私たちの会社は、環境保全のための技術革命ソリューションを提供しました。」
ERI(当時はカリフォルニアに拠点を置いていました)は、すべての eWaste をガラス、パラジウム、プラスチック、鋼、銅、アルミニウム、金に分解して、すべての材料をリサイクルしました。これらの材料は世界中の製錬所に送られ、必要に応じて新しい電子機器やその他の目的に再利用されます。環境的には、ERI のソリューションは大成功でした。しかし、サイバーセキュリティとデータプライバシーが重要視されるようになり、状況が変わり始めました。ERI に持ち込まれる電子機器には大量のデータが詰まっており、環境だけでなくセキュリティ面での対処を施して2つを融合させる必要があります。
サイバーセキュリティと eWaste は、今では切り離せないものになっています。eWaste に対する認識の仕方は大きく変化し、古いデバイスのリサイクルに際して、そのデバイスに残されたデータが決して取り出されることがないことを確認しなければならなくなっています。
古いハードウェアの寄付
以前は、企業が多くの eWaste を処理したいとき、資金が足りない公営の学校や救済軍などの非営利団体に古いデバイスを寄付することは好ましい選択肢でした。ですが、今は、古い機器を単に寄付することは、セキュリティ上のリスクの放置を意味します。
救世軍も寄付された古いデバイスを適切にリサイクルするために ERI に処理を依頼しています。場合によっては、ERI は、善意のためという救世軍のミッションに適合するよう、eWaste をリサイクルした上で支払いをすることさえできる、と、Shegerian 氏は説明します。
「現在でも通用する寄付モデルは存在します。ただし、データの機密性を考慮して、持ち込まれるデバイスのすべてのデータが完全に消去され抹消されていることを確認する必要がります。データに伴う責任は膨大ですから。」
地方自治体でさえ、寄付された後に機密データが漏洩しないことを確実にするために ERI のような会社を使用しています。
eWaste が悪意ある人間の手に渡ると
以前は、eWaste を海外に送付することは大きな問題ではありませんでした。中国などの他国の企業が、eWaste を別の電子機器にリサイクルすることは普通に行われていました。ところが、いったん、悪意ある人間がデータが常に完全に消去されるとは限らないことに気付くと、状況は一変しました。ハードドライブをフォーマットしただけで、それを eWaste 施設や他国の廃棄物集積所に送付し、悪いことが起こらないようにと願っても無意味です。
結局のところ、ならず者国家やその他の悪意ある人間は、個人識別情報や知的財産などの機密データを入手しようとして、古くて役に立たないように見えるデバイスを採掘することを厭いません。
Shegerian 氏は、「2012年か13年だったと思いますが、私のところにある電話がかかってきました。」と述懐します。それは、国土安全保障省(Department of Homeland Security、DHS)からの電話で、Shegerian 氏と彼のパートナーに会うことができるかという問い合わせでした。もちろん、受け入れることにしました。
DHS と FBI の担当官が Shegerian 氏と彼のパートナーのところにやってきたのは、eWaste に何が起こっているかを話すためでした。多くの国々、主に香港、中国、アフリカ、インドなどの沿岸で、eWaste を購入する企業が行っていることは、微細な金属やその他の材料を取り出そうとして eWaste を採掘することではありませんでした。eWaste の購入は、悪意ある目的、デバイスから機密データを抽出するために行われていました。
まとめ
悪意ある人間は、何とかして、自分たちの利益のために eWaste から機密データを抽出する方法を探し出そうとします。これは一般的な善良な組織にとってコンプライアンスの悪夢です。サイバーセキュリティはどの組織にとっても最優先事項であり、eWaste がデータ保護とコンプライアンスのパラダイムの一部であることを十分考慮する必要があります。