データのバックアップしてますか?

データは誰のもの?ハードディスクのセキュリティ対策

以前に書いたものの続きだ。

最近、ハードディスクを積んだ製品はパソコンだけでなく、家電製品や携帯電話、音楽端末にまで普及してきた。カーナビなどにもハードディスクが普及してきた。

当初、車のように振動の多いものにハードディスクが積まれるとは想像できなかった。昔のイメージが大きいからかもしれない。

家電に積まれたときも、衝撃的だった。ハードディスクレコーダーなど今どきの大きなデータを保存するものには、ほとんど搭載されている。

i-podの小型でないものにも乗っている。ビデオなどデータの大きいものを見るためだ。

一方で、UBSメモリーなどの半導体ディスクも8ギガとか超大型のものが売られている。あれだけ小型でこんなに大量に入ると、便利であるが無くしたときにはどうするのだろう?って職業病のようなことばかり考えてしまう。

データのバックアップ対策は必須事項だ。これはデータがクラッシュしたり、無くなった経験がないとなかなかやろうとしないもの。

そもそも、回転する消耗品であるとの認識も低いのかもしれない。それだけ一般的な普及をしてきたのかもしれない。

消耗品である以上は、書くまでもないが消耗するのだ。時間と共に劣化していく。今でも以前より減ったと思うが、ハードディスクにも当たりはずれがあるように思っている。すぐに壊れてしまうものがあったりする。でも昔よりも激減した。

パソコンでも、ノートのように持ち運ぶものは消耗以前に衝撃等の外的要因が多くある。これはi-podなどの持ち運び系すべてに共通する問題だ。

仕事柄、データの復旧をすることが多くある。同時に漏洩対策としての抹消もある。どちらにしても大切なことだ。

抹消自体は、物理的に破壊してもできることだから難しいことは無いのだが、復旧の場合は、難易度がケースにより異なってくる。

論理的な障害であれば、ツールで対応できることが多いが、物理的な障害だとクリーンルームを持った専門工場に出さないと無理なことが多い。

しかし、入れ物なハードディスク自体とても安価になってきたが、中身の資産価値は持ち主以外には計れないものだ。

個人の方であれば、デジカメなどのデータが多くある。撮ったデータをパソコンで編集したり、保存先としてデータを移すからだ。デジタルメディアの便利なところでもあるが、昔のフィルム写真のようにフィルムが物理的に存在する訳ではないので、扱いが楽な反面、飛んでしまったときの対応も困難な場合がある。

企業の場合だと、重要なデータとしてデータベースに格納されるような財務系データや図面系データなどが多くある。もちろんワードやエクセルのファイルでも重要なものがあることは、言うまでもない。

デジカメ写真のデータも重要になってくる。証拠や資料のために撮ったデータが飛んでしまった場合などは、その写真を撮った当時の状況を再現できない場合が多くあり、飛んでしまったデータを当時の再現できるコストまでか、再現でき無い場合はデータの復旧をする以外に選択肢はない。

まるで経済学のようだが、データの内容によってはコストとの比較で安い方を選択するしかない。それもできなければ、コストでは計れないことなので、復元する以外ないのだ。

飛んでしまったデータであれば、このような方法も1つだが、完全に戻せるとは限らない。これもデジタルリスク特有の問題の1つだろう。

これ以外にも、企業のなかで不正行為があった場合などにも、データを復元し企業が自ら証明するために、使われるケースも多くある。

これはハードディスクに限らす、ネットワーク上に流れるデータも含まれる。ネットの閲覧履歴やメールのデータなどである。

デジタル文書管理の1つとして、最低限行わなければならない1つに該当するもの。

矛盾したように聞こえるかもしれないが、いずれも防衛策として有効な方法だ。

復元するにも、抹消するにも、理由があっておこなうもの。

不正の場合は、隠滅のためにこの手法を使ってしまう方々もいる。

あらゆる方法や手法を把握し、問題が発生する前に対策を行うしか方法はない。

リスクとはネガティブなイメージが強いが、保有する以上は良いことも良くないことも同時に持つものである。

だからこそ、性質上の問題特性がある以上は、それに準備するしかない。

単にバックアップを取るだけでは、解決しない深い問題なのだ。

でも、取ったバックアップの管理もしっかりしてますか?データの保全だけを考えれば取っただけで十分であるが、管理がしっかりできていないと、抹消の何もなく漏れる危険性が増すだけになる。

トレードオフの関係にここでも出てくるのだ。

当面、飛ばないメディアが普及するとは考えがたい以上は、今出来ることを知っておかなければならないのだ。

現状の情報セキュリティ教育研修をそのまま続けて大丈夫ですか?

ほとんどの企業において、情報セキュリティ教育のコンテンツは一巡しています。新たに知るべく脅威などもありますが、ほぼ新しいコンテンツはありません。

技術者の方々は、常に最新の動向を知る必要があります。しかし、一般社員の方々が知るべくことは技術者の方々とは内容が違います。

一般社員の方々に向けた「情報セキュリティ」に必要なことは、ほぼ伝えきられたと考えます。
現在行われているのは、二巡、三巡の繰り返しです。同じことを反復練習していても情報漏洩事故は減少していません。