データ適正消去実行証明協議会(ADEC)は2月4日、「暗号化消去システム認証 for Cloud」(CE-C認証)の制度を開始すると発表した。クラウドデータ暗号化の消去実行する証明書の発行の審査・認証を行うもので、制度に参加する地方自治体などのユーザーや事業者を募集する。
CE-C認証は、デジタル庁が推進する「ガバメントクラウド」に保存されたデータの消去を行う場合に必要とされる暗号鍵の抹消によるデータ消去(暗号化消去)の実行およびそのプロセスを審査・認証する。これにより生成されたログを利用して暗号化消去が成立していることを証明できる。第三者の審査員が約200項目にわたり評価を行うという。
「暗号化消去システム認証 for Cloud」の概要(出典:ADEC)
暗号化消去の方法は、米国立標準技術研究所の「NIST-SP800-88」や米電気電子学会の「IEEE2883」でPurge扱いのデータ抹消となる。また、地方自治体は、2026年度までの自治体システム標準化やガバメントクラウドへの対応において、クラウド上に保存されたデータの抹消が必要な場合に、「政府情報システムのためのセキュリティ評価制度」(ISMAP)の管理規定に準拠した暗号化消去を用いることが必須となっている。
ADECは、2024年5月にエントラストジャパン、キヤノンITソリューションズ、さくらインターネット、日本電子計算と合同で実証実験を行った。パブリッククラウド上に保存された暗号化データの暗号鍵の抹消による消去を行い、そのプロセスを審査・認証して、生成ログを基に暗号化消去の成立を証明できること確認した。また、仙台市の協力でクラウドサービスカスタマー側での実運用により、消去証明書発行までのフローを実行可能なことも確認したとしている。
2024年5月に行った実証実験のイメージ(出典:ADEC)
今後ADECは、CE-C認証の普及と合わせて、アイフォレンセ日本データ復旧研究所 代表取締役の下垣内太氏と立命館大学 情報理工学部教授の上原哲太郎氏の協力を得ながら、IEEE2883での国際標準化を進めていくという。
