データ消去に関するベスト・プラクティス

消去方式は何にするべきか?

大容量の内蔵HDD / SSDがPCに搭載されるようになりました。
それに伴い リース返却 / 廃棄処分時にデータ消去の時間が大幅に伸びました。
企業コンプライアンスの観点から、情報漏えい対策は必須です。

実際にデータ消去を行う段階になると、どの様な消去方式を行うべきか?
また、複数の抹消方式から用途に応じた抹消が選択できているか?という問い合わせをいただきます。

本ページではHDD / SSDに対し推奨するデータ消去を紹介させていただきます。

取扱データの機密性に応じたデータ消去ポリシーの策定

社内PCに保管されているデータは、様々なレベルの機密性データが存在しています。各データの機密性レベルに応じ、対応カテゴリーを策定する必要があります。

※機密性に応じたデータ消去レベルは右記3種に分類されます。

それを踏まえ、データが保存されているストレージの消去ポリシーレベルを策定してください。また社内環境に依存し、実行可否が生じます。その際は確実性の高い方法を選択下さい。

「Clearレベル」 一般流通している復元ソフトウェアでは
復元不可能な状態にする
「Purgeレベル」 研究所レベルの復元ツール(ソフトウェア / ハードウェア)を利用しても
復元不可能な状態にする
「Destroyレベル」 物理的に再構築しても
復元不可能な状態にする(物理破壊)

※DiskDeleterシリーズは「Clearレベル」「Purgeレベル」に対応

2014年 米国国立標準技術研究所(NIST)が発表した「SP800-88 Rev.1」では、米国政府・行政機関向けに下記判断基準を推奨しています。

HDD データ消去方式について

ディスク消去方式

NISPが1995年「全てのマッピング可能なセクタに何らかの文字で上書きを行った後、その補数の文字で上書きを行い、さらにランダムな文字コードで上書き処理を行う」という具体的な方法を発表しました。この方法がDoD規格の完全消去方法として一般に広まりました。さらに1996年 ピーターグートマンが発表した内容が根拠となり「3回以上の上書きを実施」が、データ消去方法の基準として世界的に認知されました。

一方 HDDは大容量化が進み10TBを超える機器が登場しました。さらに大容量化は加速します。従来の推奨方式である3回以上の上書き処理を実行しては、消去作業に膨大な時間(10TB 3回上書きの場合、約5日間の作業時間)が必要になります。

よって データ消去の現場では、今後もこの方式を採用し続けることが困難になっています。

2006年 米国国立標準技術研究所(NIST)が発表したSP800-88 に「2001年以降に製造された15GB以上のHDDは1回の上書きでデータの完全消去が効果的に実行される」と記述されました。
根拠としてHDDの磁気記憶媒体(プラッター)が高密度化し、ソフトウェア的に読み取りが困難になった点が挙げられます。

2014年に発表した改訂版も同記述を踏襲しています。(Clearレベルの場合)

Advancing technology has created a situation that has altered previously held best practices regarding magnetic disk type storage media. Basically the change in track density and the related changes in the storage medium have created a situation where the acts of clearing and purging the media have converged. That is, for ATA disk drives manufactured after 2001 (over 15 GB) clearing by overwriting the media once is adequate to protect the media from both keyboard and laboratory attack.

引用元:NIST SP 800-88 Guidelines for Media Sanitization

上記を勘案し、DiskDeleterでは以下の消去方式を推奨します。

HDDに対しDiskDeleterが推奨する消去方式

Clearレベルの場合、「1回書込+書き込み検証(NIST800-88)」を推奨します。ただし、大容量ストレージの消去に対する所要時間の長さと保存データの重要度によっては「1回上書き(ゼロライトかランダムライト)」後、Hex表示で書き込み確認作業を推奨します。

Purgeレベルの場合、HPA、DCO、代替処理済み領域などアクセスできない領域の消去も行うために、ATAコマンドの「拡張Secure Erase」方式(デバイスがサポートしている場合)による消去を推奨します。デバイスが同方式をサポートしていない場合は、物理破壊を推奨します。

※セキュリティフリーズロックが解除不可な場合、弊社専用ケーブルを利用することで対応が可能(この場合、HDDをPC本体から取り出す必要あり)

SSDのデータ消去方式について

SSDはHDDとハードウェアの構造が完全に異なります。HDDは記録媒体が「磁気ディスク」です。一方 SSDは「フラッシュメモリ」です。フラッシュメモリは、書き込み回数に上限がある為、ウェアレベリングという書込制御技術が導入されています。ウェアレベリングにより、意図せずデータが残存する可能性が生じます。(SSDウェアレベリングについて「SSDデータ消去の仕組み」で紹介しています ご興味があれば参照ください)

またSSDのハードウェア的な寿命は、消去(上書き)により短縮します。過度な上書きは推奨しません。

SSDのデータ消去

2014年に米国国立標準技術研究所(NIST)が発表したSP800-88 Rev.1では、「有効性が確認されている1回以上の上書き後、書き込み検証を行う」または、デバイスがサポートしている場合「ATAコマンド」を利用すると記載されています(Clearレベルの場合)。

1. Overwrite media by using organizationally approved and tested overwriting technologies/methods/tools. The Clear procedure should consist of at least one pass of writes with a fixed data value, such as all zeros. Multiple passes or more complex values may alternatively be used. Note: It is important to note that overwrite on flash-based media may significantly reduce the effective lifetime of the media and it may not sanitize the data in unmapped physical media (i.e., the old data may still remain on the media). 2. Use the ATA Security feature set’s SECURITY ERASE UNIT command, if supported.
引用元:NIST SP 800-88 Guidelines for Media Sanitization

ここで問題が生じます。SSDはメーカー独自のファームウェアによりATAコマンドが動作します。データ消去がSSDメーカーのファームウェアに依存し、正常に実行されたか?検証できません。あるSSDメーカーのATAコマンドを利用したデータ消去を実行した際、「ファームウェアのバグ」により、データの消去が行われなかったという事例があります。

上記からDiskDeleterでは以下の消去方式を推奨します。

SSDに対しDiskDeleterが推奨するデータ消去方式

Clearレベルの場合、「NIST800-88 Advanced」(2回書込+書き込み検証)、または「NIST800-88」(1回書込+書き込み検証)を推奨します。

Purgeレベルの場合、HPA、DCO、代替処理済み領域などアクセスできない領域の消去も行うために、ATAコマンドの「拡張Secure Erase」方式(デバイスがサポートしている場合)で消去を行った後「NIST800-88 Advanced」もしくは「NIST800-88」による消去を推奨します。デバイスが同方式をサポートしていない場合は、物理破壊を推奨します。

※セキュリティフリーズロックが解除不可な場合、弊社専用ケーブルを利用することで対応が可能(この場合、HDDをPC本体から取り出す必要あり)

アクセスできない領域に対して消去作業は必要か?

HDD / SSDには、OS / ソフトウェアからアクセス出来ない領域が存在しています。この領域は、上書き方式では消去できません。対応しているのは「拡張Secure Erase(ANSI規格 ATAコマンド)」だけです。

HPA 工場初期出荷状態(初期状態)に復帰させるリカバリ領域。
ユーザーが作成したデータが一切保存されていない為、
消去する必要なし。
DCO ドライブ構成オーバーレイ。
他社製のHDDへ載せ替える際に利用する領域。
ユーザーが作成したデータが一切保存されていない為、
消去する必要なし。
代替処理済み領域 一般的なデータ復旧 / デジタル フォレンジック ソフトウェアでアクセス不能な領域。
セクタ単位でデータ断片の可能性が高く、ファイル全体が読み出される可能性は低い為、
消去する必要なし。

HPA / DCO / 代替処理済み領域は、一般的に消去する必要はありません。しかし、一般に販売されていない高度な解析ソフトウェア / 特殊な物理装置を使用することでアクセス可能です。データの秘匿性 / 機密性レベルに応じ「Purgeレベル」の消去は必要です。

DiskDeleterでは「Purgeレベル」の場合、ATAコマンド「拡張Secure Erase」+「NIST800-88 Advanced」または「NIST800-88」を推奨しています。

※「拡張Secure Erase」を実行するには専用ケーブルが必要。

無料評価版申込

 

製品購入