データ消去に関するベスト・プラクティス

消去方式は何にするべきか?

大容量のハードディスクやSSD内蔵のPCが普及してきている現在、リース返却時や廃棄処分時に行う際のデータ消去作業工数が
大きな負担になってきています。企業内ではデータ消去に関する重要性は認識されていても、いざ消去を行う段階になると
どのような消去方法で行うべきなのか、また実際に行った消去作業が正しいのか判断できないといったケースが多く見受けられます。

そういった背景を受け、本ページでは、ハードディスク、SSDそれぞれに対して弊社が推奨するデータ消去の方法について解説を致します。

社内データの機密性に応じたデータ消去ポリシーの制定

社内PCに保管されているデータには、色々なレベルの機密性データが存在しており、それらのデータの機密性レベルを識別する必要があります。
※データの機密性に応じた消去レベルは右記の3つに分類されます。

それを踏まえて、データが保存されているストレージの消去ポリシーレベルを制定しなければなりません。(環境によってできるできないがある方式を採用するよりは、100%実行可能な消去方式で統一していくことを推奨する)

「Clearレベル」 一般的に入手できる復元ツールを利用しても
復元不可能な状態にする
「Purgeレベル」 研究所レベルの復元ツールを利用しても
復元不可能な状態にする
「Destroyレベル」 物理的に再構築をさせても
復元が不可能なレベル(物理破壊を意味します)

※DiskDeleterでは、「Clearレベル」「Purgeレベル」に対応。

2014年に米国国立標準技術研究所(NIST)が発表したSP800-88 Rev.1では、米国政府・行政機関向けに消去方式を選択する際の判断基準を下記のように推奨しています。

ハードディスクのデータ消去方式は何にするべきか

ディスク消去方式

NISPが1995年に発表した「全てのマッピング可能なセクタに何らかの文字で上書きを行った後、その補数の文字で上書きを行い、さらにランダムな文字コードで上書き処理を行う」という具体的な手法が明記されたことで、世界的にDoD規格の完全消去の方法として有名になり、1996年にピーターグートマンが発表した内容が根拠になって、「3回以上の上書きを行うこと」がこれまでの一般的なデータ消去方法として認識されてきました。

近年のHDDは10TB以上など大容量化が加速しており、そのディスクに対して従来の推奨方式である3回以上の上書き処理を採用していては消去作業時間に膨大な時間(例えば10TBを3回上書きで約5日間の作業時間)を要することになってしまいます。

このような背景からも、現場では、この方式を今後も採用し続けることが困難になってきています。

2006 年に米国国立標準技術研究所(NIST)が発表したSP800-88 では、「2001 年以降に製造された、15GBytes 以上の HDD は書き込み密度が高くなったことから、データの完全消去を行うには 1 回の上書き処理をするだけで効果的に消去することが可能」と記載され、それ以降、2014年の改訂版についてもその方式を踏襲している(Clearレベルの場合)。

Advancing technology has created a situation that has altered previously held best practices regarding magnetic disk type storage media. Basically the change in track density and the related changes in the storage medium have created a situation where the acts of clearing and purging the media have converged. That is, for ATA disk drives manufactured after 2001 (over 15 GB) clearing by overwriting the media once is adequate to protect the media from both keyboard and laboratory attack.

引用元:NIST SP 800-88 Guidelines for Media Sanitization

これらを踏まえDiskDeleterでは下記の消去方式を推奨します。

ハードディスクに対するDiskDeleterが推奨する消去方式

Clearレベルの場合、「1回書込+書き込み検証(NIST800-88)」を推奨します。ただし、大容量ストレージの消去に対する所要時間の長さと保存データの重要度によっては「1回上書き(ゼロライトかランダムライト)」後、Hex表示での書き込み確認作業で充分と思われます。

Purgeレベルの場合、HPA、DCO、代替処理済み領域などのアクセスできない領域の消去も行うために、ATAコマンドの「拡張Secure Erase」方式(デバイスがサポートしている場合)による消去を推奨します。デバイスが同方式をサポートしていない場合は、物理破壊を推奨します。

※セキュリティフリーズロックの解除不可により同方式を採用出来ない場合、専用ケーブルを利用することで対応が可能。

SSDの消去方式は何にするべきか

SSDはハードディスクとは異なり、書き込み回数に制限のあるNAND型フラッシュメモリを使用しているため、SSDの寿命を延ばすためにウェアレベリングを行っていることに注意しなければなりません。ウェアレベリングでは、アドレスの再割当てによって消去対象のページに書き込みが行われず、実際には別で割り当てられたアドレスに書き込みが行われます。そのため、元の消去対象ページのデータは元に残ったままとなっていることに留意しなければなりません。

また、SSDのライフタイムを考慮した場合、消去による上書きはSSDの寿命を縮めることに繋がるため、過度な上書きは望ましくありません。

SSDのデータ消去

2014年に米国国立標準技術研究所(NIST)が発表したSP800-88 Rev.1では、「有効性が確認されている1回以上の上書き後、書き込み検証を行う」または、デバイスがサポートされている場合「ATAコマンド」を利用すると記載されています(Clearレベルの場合)。

1. Overwrite media by using organizationally approved and tested overwriting technologies/methods/tools. The Clear procedure should consist of at least one pass of writes with a fixed data value, such as all zeros. Multiple passes or more complex values may alternatively be used. Note: It is important to note that overwrite on flash-based media may significantly reduce the effective lifetime of the media and it may not sanitize the data in unmapped physical media (i.e., the old data may still remain on the media). 2. Use the ATA Security feature set’s SECURITY ERASE UNIT command, if supported.
引用元:NIST SP 800-88 Guidelines for Media Sanitization

ただ、SecureErase/拡張SecureEraseによる消去作業は、SSDに搭載されているメーカー独自のファームウェアによってATAコマンドが動作するため、消去作業が確実に行われたかどうかの確認はとれません。データ消去についてはファームウェアに委ねられているため、ファームウェアのバグによってデータ消去が行われていなかったという事例もあるということを考慮しなければなりません。

これらを踏まえDiskDeleterでは下記の消去方式を推奨します。

SSDに対してDiskDeleterが推奨する消去方式

Clearレベルの場合、「NIST800-88 Advanced」(2回書込+書き込み検証)、または「NIST800-88」(1回書込+書き込み検証)を推奨しています。

Purgeレベルの場合、HPA、DCO、代替処理済み領域などのアクセスできない領域の消去も行うために、ATAコマンドの「拡張Secure Erase」方式(デバイスがサポートしている場合)で消去を行った後に「NIST800-88 Advanced」もしくは「NIST800-88」による消去を推奨しています。デバイスが同方式をサポートしていない場合は、物理破壊を推奨します。

※セキュリティフリーズロックの解除不可により同方式を採用出来ない場合、専用ケーブルを利用することで対応が可能。

アクセスできない領域に対して消去作業は必要か?

ハードディスクやSSDには通常、OSやアプリケーションなどからアクセス出来ない下記領域が存在しており、これらの領域は上書き方式では消去できません。これらの領域は「拡張Secure Erase(ANSI規格のATAコマンド)」によってのみ消去が可能となります。

HPA 工場初期出荷状態(初期状態)に復帰させるリカバリ機能のための情報だけが
保存されている領域。ユーザが作成したデータが保存される領域ではない為、
敢えて消去を行う必要は認められない領域。
DCO 大容量の記憶媒体を旧型PC(小さいディスクサイズ)のサービスパーツとして使用
するために意図的な容量削減を目的に設定した領域。ユーザが作成したデータ保存が行われる
領域ではない為、敢えて消去を行う必要は認められない領域。
代替処理済み領域 一般的なデータ復旧やデジタル・フォレンジック用途のソフトウェアではアクセス不能な領域。
セクタ単位のデータの断片の可能性が高く、ファイル全体が読み出される可能性は低い為、
消去作業は不要な領域。

前述の通り、「HPA」や「DCO」には、通常、ユーザが作成したデータは保存されていません。また、「代替処理済み領域」は読み込めなかった断片化されたセクタのデータのため、一般的にはこれらの領域を消去する必要はありません。

しかしながら、これらの通常アクセスできない領域に対しては、特殊な機器を用いることでアクセスすることが可能であることから、データの機密性レベルによっては、Purgeレベルの消去も必要です。

DiskDeleterでは、Purgeレベルの場合、ATAコマンドの「拡張Secure Erase」+「NIST800-88 Advanced」or「NIST800-88」を推奨しています。

※「拡張Secure Erase」を実行するには専用ケーブルが必要。