ADECの「暗号化消去システム認証 for Cloud」制度策定に協力　クラウドデータの暗号化消去実行証明書の発行制度がスタート

キヤノンマーケティングジャパングループのキヤノンITソリューションズ株式会社（本社：東京都港区、代表取締役社長：金澤　明、以下キヤノンITS）は、データ適正消去実行証明協議会（以下ADEC）にて2025年2月4日から開始する「暗号化消去システム認証 for Cloud」（以下CE-C認証）制度の策定に協力しました。

■暗号化消去とは
暗号化消去（Cryptographic Erase：CE）とは、サーバーやクラウド上に暗号化して保存したデータが不要になった際、当該データを削除すると同時に暗号化に使用した鍵を削除することで、データ抹消処理に置き換え利用不能にする論理的な削除方法です。
これまでオンプレミスやAWS/Google Cloudなどのクラウドサービス利用において、削除対象のデータに機密情報や機微情報が含まれていた場合のデータ消去が課題でしたが、暗号鍵を消去することで復元が不可能となり、第三者への情報漏えいを防止できます。

■「CE-C認証」制度策定の背景
昨今クラウドの利用は業界を問わず拡大しており、各業界のセキュリティガイドラインでもクラウド上のデータ消去方法として暗号化消去の掲載が進んでいます。自治体においても政府が推奨するクラウド・バイ・デフォルト原則に従い、システムとデータをクラウド環境に置くことで業務を効率化することを推進しており、ガバメントクラウド※1もその一環となっています。

ガバメントクラウドの要求仕様書やISMAP※2管理規定では、データ漏えい対策や、利用中止の際に必要となるデータ消去を考慮し、暗号化消去が求められていました。しかし、これまでは暗号化消去の実装/運用/動作確認を評価する制度がなく、データ消去の有効性を説明することが難しい状況でした。

このような背景を受けて、ADECのCSP認証基準WGでは、2024年7月から暗号化消去の認証制度策定を検討しており、このたび、「暗号化消去システム認証 for Cloud」（CE-C認証）の運用を開始する運びとなりました。自治体やサービスプロバイダーは、この制度を活用することで、暗号化消去によるデータ消去の第三者評価を受けることが可能になります。

■キヤノンITSの役割
キヤノンITSは、暗号化製品である「CipherTrust Data Security Platform」や「Cipher Security Service」の取り扱いを通じて、クラウド環境における確実なデータ消去方法として「暗号化消去」の普及ならびに啓蒙活動に取り組んでいます。2023年7月からはADECの「暗号化消去」の認証制度の策定を目的としたワーキンググループに参画し、今回の「CE-C認証」の制度リリースに貢献しました。その功績が認められ、2024年7月よりADECにおける幹事会社を拝命し、参画しています。

■今後の展望
ADECでは、『データ消去技術ガイドブックを公開』し、安全/確実なデータ消去の環境作りを推進しています。また、CSP認証基準ワーキンググループをCSP認証基準委員会(仮称)に昇格させ、「CE-C認証」制度の運営を行うとともに、暗号化消去の普及・啓蒙を推進していきます。その一環として、下垣内 太氏（アイフォレンセ日本データ復旧研究所　代表取締役）、上原 哲太郎教授（立命館大学 情報理工学部）、満塩 尚史准教授（順天堂大学 健康データサイエンス学部）の協力を得て、IEEE2883 SISWG※3にて国際標準化を進めてまいります。

＜ADEC CSP認証基準ワーキンググループメンバー＞
リーダー　　：税所　達朗（さくらインターネット株式会社）［運営実行委員会委員長］

メンバー 　  ：吉川　大亮（キヤノンITソリューションズ株式会社）

　　　　　　：岡部　淳一（ISACA東京支部　副会長　兼　理事）

　　　　　　：村上　輝暁（Pマーク主任審査員/ISMS審査員補）

　　　　　　：坂本　哲也（株式会社ウルトラエックス）

　　　　　　：沼田　理（デジタル・フォレンジック研究会）［技術顧問］

　　　　　　：大泰司　章（合同会社ＰＰＡＰ総研）

　　　　　　：井谷　寛（ネットアップ合同会社）

　　　　　　：神沢　剛史（ネットアップ合同会社）

オブザーバー：佐々木　良一（東京電機大学　名誉教授　兼　同大学サイバーセキュリティ研究所　客員教授）

　　　　　　：上原　哲太郎（立命館大学　情報理工学部　教授）

　　　　　　：神田　雅透（独立行政法人情報処理推進機構）

　　　　　　：下垣内 太 氏（アイフォレンセ日本データ復旧研究所　代表取締役）

　　　　　　：満塩 尚史 准教授（順天堂大学 健康データサイエンス学部）

事務局　　　：鈴木　啓紹

●ADECからのプレスリリース
　https://adec-cert.jp/news/detail.php?no=1738129072

＜関連するお知らせ＞

パブリッククラウド上の暗号化消去を実現する実証実験に参画
～仙台市やデータ適正消去実行証明協議会らとともにデータの活用/保存/確実な消去を確認～
　https://www.canon-its.co.jp/corporate/info/2024/info-0528

＜関連製品＞

■CipherTrust Data Security Platform

あらゆる環境に保存された個人情報や重要情報を保護するデータ中心のセキュリティプラットフォームです。

オンプレミスのサーバーから仮想環境、パブリッククラウドまたはハイブリッド クラウドなど、企業や組織が保有するデータをあらゆる脅威から守ります。お客さまのシステム構成を大幅に変更することなく短期間に強固な暗号基盤を構築・運用開始できます。

https://canon.jp/business/solution/it-sec/lineup/data-security-platform

■Cipher Security Service
月額費用でサーバー暗号化と暗号鍵の保管を同時に提供するサービスです。ハードウェアセキュリティモジュールのグローバルリーダーであるThales（タレス）社が提供する統合データセキュリティプラットフォーム「CipherTrust Data Security Platform」を使用しサーバー内の情報を暗号化します。サーバーへの不正アクセスやマルウェア感染などにより第三者に重要情報を含むファイルが流出した場合においても情報漏えいの被害を最小限に抑えます。
https://www.canon-its.co.jp/files/user/products/cipher_security/lp/

●本資料に記載されている社名・製品名・サービス名は、各社の商標または登録商標です。

※1　政府共通のクラウドサービスの利用環境。自治体においても、基幹20業務のシステムを2025年度内に向けて標準化することが義務付けられている
※2　内閣官房（内閣サイバーセキュリティセンター・情報通信技術（IT）総合戦略室）・総務省・経済産業省が所管して発足した政府情報システムのためのセキュリティ評価制度
※3　IEEE2883 SISWG　アイ・トリプル・イー、Institute of Electrical and Electronics Engineers）は、米国に本部を置く電気・情報工学分野の学術研究団体（学会）、技術標準化機関である。日本語では米国電気電子学会、米国電気電子技術者協会

一般の方のお問い合わせ先：ＩＴサービス営業本部 ＩＴサービス事業企画部　03-6701-3513