キヤノンITS、「暗号化消去システム認証 for Cloud」制度策定に協力

　キヤノンITソリューションズ株式会社（以下、キヤノンITS）は4日、データ適正消去実行証明協議会（以下、ADEC）で、4日から開始する「暗号化消去システム認証 for Cloud（以下、CE-C認証）」制度の策定に協力したと発表した。

　暗号化消去（CE：Cryptographic Erase）は、サーバーやクラウド上に暗号化して保存したデータが不要になった際、当該データを削除すると同時に暗号化に使用した鍵を削除することで、データ抹消処理に置き換え利用不能にする論理的な削除方法。

暗号化消去の概念図

　これまで、オンプレミスやAmazon Web Services（AWS）/Google Cloudなどのクラウドサービス利用において、削除対象のデータに機密情報や機微情報が含まれていた場合のデータ消去が課題となっていたが、暗号鍵を消去することで復元が不可能となり、第三者への情報漏えいを防止できる。

　自治体においては、政府が推奨するクラウド・バイ・デフォルト原則に従い、システムとデータをクラウド環境に置くことで業務を効率化することを推進しており、ガバメントクラウドもその一環となっている。ガバメントクラウドの要求仕様書やISMAP管理規定では、データ漏えい対策や、利用中止の際に必要となるデータ消去を考慮し、暗号化消去が求められていたが、これまでは暗号化消去の実装／運用／動作確認を評価する制度がなく、データ消去の有効性を説明することが難しい状況だった。

　このような背景を受けて、ADECのCSP認証基準WGでは、2024年7月から暗号化消去の認証制度策定を検討しており、今回、「暗号化消去システム認証 for Cloud（CE-C認証）」の運用を開始する運びとなった。自治体やサービスプロバイダーは、この制度を活用することで、暗号化消去によるデータ消去の第三者評価を受けることが可能になる。

　キヤノンITSは、暗号化製品である「CipherTrust Data Security Platform」や「Cipher Security Service」の取り扱いを通じて、クラウド環境における確実なデータ消去方法として「暗号化消去」の普及ならびに啓発活動に取り組んでいる。2023年7月からはADECの「暗号化消去」の認証制度の策定を目的としたワーキンググループに参画し、今回の「CE-C認証」の制度リリースに貢献した。その功績が認められ、2024年7月からADECにおける幹事会社となった。

　ADECでは、データ消去技術ガイドブックを公開し、安全/確実なデータ消去の環境作りを推進している。また、CSP認証基準ワーキンググループをCSP認証基準委員会（仮称）に昇格させ、CE-C認証制度の運営を行うとともに、暗号化消去の普及・啓発を推進していく。その一環として、下垣内太氏（アイフォレンセ日本データ復旧研究所 代表取締役）、上原哲太郎教授（立命館大学 情報理工学部）、満塩尚史准教授（順天堂大学 健康データサイエンス学部）の協力を得て、IEEE2883 SISWGで国際標準化を進めていくとしている。