(全10回連載:IT資産ストレージ運用・管理ガイド)
1. “サニタイズ or デストロイ”の意思決定ポイント
| 判定フロー | 推奨アクション |
|---|---|
| 情報区分 (Data_Class) が「High」 かつ ストレージが再利用不要 | Destroy:物理破壊 (Shred ≤ 6 mm)|ISO/IEC 21964-3 ISO – ISO/IEC 21964-3:2018 |
| 情報区分が「High」だが SSD/HDD を再利用 | Purge:Crypto Erase or Secure Overwrite (≥ 3 Pass) |
| 情報区分が「Low / Moderate」 | Clear:1 Pass ゼロ書き, Factory Reset + MDM Wipe |
NIST SP 800-88 r1 は Clear / Purge / Destroy の 3 方式を提示し、「機密度×再利用可否」で選択せよと述べています。
NISTコンピュータセキュリティリソースセンター – Guidelines for Media SanitizationNIST – NIST Special Publication 800-88, Revision 1: Guidelines for Media Sanitization
2. 主要メディア別マッピング表
| Media Type | Clear | Purge | Destroy |
|---|---|---|---|
| HDD | 1-Pass overwrite | Degauss (8,000 Oe) | Shred ≤ 25 mm |
| SSD | ATA Secure Erase | Crypto Erase | Shred ≤ 6 mm |
| NVMe | nvme format | Crypto Erase | Shred ≤ 2 mm |
| モバイル端末 | Factory Reset + MDM Wipe | – | Crush + Shred |
| テープ | Re-write blank tape | Degauss | Incinerate |
ISO/IEC 21964 は物理破壊サイズを Class E ≤ 6 mm で“最高機密”と規定しています。
ISO – ISO/IEC 21964-1:2018
3. ROI:物理破壊 vs. ソフト消去
Blancco (2024) の調査では、ソフトウェア消去により物理破壊コストを最大 46 % 削減でき、さらに ESG スコアも向上すると報告されました。
blancco.com – [Overview] Physical Destruction vs. Secure Data Erasure
| コスト項目 | 物理破壊/台 | ソフト消去/台 |
|---|---|---|
| 処理費用 | $6.50 (Shred) | $2.80 (License) |
| リサイクル収益 | – | + $3.00 (再販) |
| 実質コスト | $6.50 | -$0.20 |
4. 廃棄証明書テンプレート
NIST は「追跡可能な証跡」を必須要素に挙げています。次の Excel は Certificate_ID / Sanitization_Method / Verification_Result などを含み、Pass / Fail に応じてセルが緑/赤に自動着色されます。
Download disposal_certificate_template_v1.xlsx
主要フィールド
| 列 | 例 | 説明 |
|---|---|---|
Certificate_ID | CERT-2025-0001 | 一意の証明書番号 |
Sanitization_Method | Purge (Crypto Erase) | Clear / Purge / Destroy 詳細 |
Verification_By | T.Yamada | 第三者含む 2 名以上推奨 |
Verification_Result | Pass / Fail | Fail 時は再処理 |
5. 14-Day クイックアクション
| Day | タスク | 成果物 |
|---|---|---|
| 1 | データ分類ポリシー再確認 | 改訂版ポリシー |
| 2–3 | メディア在庫棚卸し | 媒体リスト |
| 4 | Clear/Purge/Destroy マトリクス適用 | マッピング表 |
| 5–6 | ツール/ベンダー選定 (Blancco Eraser, ERI Direct 等) | 見積書 |
| 7 | テンプレートにテスト 3 件登録 | v0.1 |
| 8 | Verification 手順書作成 | SOP |
| 9 | 条件付き書式・アラート設定 | v0.2 |
| 10 | 監査ログ出力テスト | |
| 11–12 | 本番処理 (20 台) | 証明書 x20 |
| 13 | KPI 更新 (差異率, ESG) | ダッシュボード |
| 14 | 改善レビュー | 報告書 |
6. 監査で“突かれる”3ポイントと対策
| リスク | 典型的指摘 | 対策 |
|---|---|---|
| 証跡欠如 | 証明書に署名・日付なし | テンプレの必須セルチェックを有効化 |
| 認定外ベンダー | ISO/EU GDPR 要件未満 | ADISA など 認定ベンダー 採用adisacertification.com NSYS Group |
| 不適切なメソッド | SSD に Degauss | マトリクスで 媒体×方法 を固定 |
7. KPI 更新例
| 指標 | Before | After (90 d) | 目標 |
|---|---|---|---|
| 不適切廃棄率 | 8 % | < 1 % | 0 % |
| 廃棄コスト/台 | $6.50 | $3.40 | ≤ $4 |
| ESG: CO₂ 削減 (t) | – | -0.8 | – |
8. 次回予告
第7回:棚卸し台帳 × 財務資産台帳 ― 二重入力を無くす方法
CMDB と ERP を連携し、減価償却スケジュールを自動化します。API フロー図を配布予定です。