データの完全消去

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動: 案内検索
Hard disk platters and head.jpg

データの完全消去(データのかんぜんしょうきょ、英語:Data erasureデータの完全削除とも)とはハードディスク等の電子媒体内のデータを電子的にデータが残留しないように、特殊なハードウェアやソフトウェア等を用いた上書き処理で完全に削除する、コンピューターセキュリティ上の手法の一つ。

民生用向けでは、ハードディスク、フラッシュメモリの完全消去のための各種ツールが有名である。一方、電子媒体でも、光ディスク(CD/DVD/BD等)、光磁気ディスク(MO)の完全消去に関しては、必要性にもかかわらず、ハードディスク、フラッシュメモリほどには強調されていない。

概要[編集]

オペレーティングシステム標準の削除コマンドや削除オペレーションは、通常、媒体上のデータ本体は消去せずに、ファイルシステムが指し示すデータの格納場所を削除するだけである(en:unlink (Unix))。そのため、単に削除したデータは、一般者利用のデータ復活ツール(市販品など)でも、復活できることが多い。

このように、データ削除により見かけ上は存在しなくなっても、媒体上にはデータの残骸が残存しているのであり、媒体が盗難等の理由により流出した際に、データの機密性の保持に問題が生じる。

今日のコンピューターセキュリティ上、データの残骸も含めて、「データの完全消去」を行う事が重要視されている。データの完全消去では、一般的には、前述のデータ復活ツールだけではなく、特殊な専門的解析装置を駆使しても、媒体からデータの復活が困難になるようにすることをも、目的とする場合もある。

なお、数1000ガウス以上の磁気をハードディスクに照射し、媒体ごと消磁する手法や、装置にドリルで穴を開けるなどの物理的破壊をする手法もある。それぞれ、コスト上の問題や、媒体面の記録を完全に失活できるか(後述)の問題がある。

手法など[編集]

データ消去の手法としては、デバイスに対して通常の方法により、記憶媒体の全ての記憶領域に対して無意味なデータを上書きする、いわゆるソフトウェア的な手法が一般的、効率的である。

単に"00"や"FF"(16進数)などで上書きしただけでは、媒体面の残留磁気等の痕跡により元のデータが推測される可能性があると言う主張がある[1]

そのため、米国政府や業界の標準規格では、書き込みするデータ列や、複数回の上書き処理を要求などの規定がある。一部の規格では、完全に消去されたことを確認するためのベリファイ(再確認)処理を要求するものもある。

なお、ハードディスクは装置や制御機構が故障してしまうと、装置や媒体を物理的破壊(磁気ディスクは消磁を含む)する以外に方法はなくなる。

重要性[編集]

情報システムには概して大量の機密データが保管されている場合がある。例えば姓名・住所・生年月日・電話番号や、クレジットカード情報、銀行・証券口座情報、医療機関受診記録などの一般的個人データのほか、司法機関の捜査情報や国家機密などである。これらのデータは通常ハードディスク上や遠隔地のサーバストレージに保管されている場合が多い。

情報流出の危険性
情報システムの更新が行われるときには、機密データが保管されていたハードディスクが処分時に外部流出することもある。またノートパソコンや外部記憶装置(USBメモリー等)が盗難にあうことにより、外部流出する事態も考えられる。
このような場合に、記憶媒体上のデータが完全消去されずに流出したり改ざんされたら、企業・組織の信用失墜や経済的ダメージは計り知れない。かかる事態を防ぐために、世界中の企業で年間500万ドルもの投資がなされているというデータもある[2]
内部統制
企業・組織に対しては、機密情報の未承認流出のリスクを低減させるために、業界標準や政府規制の厳格適用が求められている。日本においては、これらの政府規制として個人情報保護法日本版SOX法がある。これらの内部統制に違反することは企業価値を低下させるだけでなく、民事責任を問われたり、刑事罰に処されることもある。
省資源や環境保護との兼ね合い
データの完全消去ではなく、記憶媒体の消磁や物理的破壊を行うことは、記憶媒体を再利用不可能な状態にするため、最終的に産業廃棄物を増やしたり、新たに製造した製品を購入することで製品製造時の温室効果ガス排出量を増やしたりする。これに対して、データを完全消去して記憶媒体を再利用することは、省資源や環境保護に資することである。[独自研究?]

ハードディスクのデータの消去手法[編集]

データを完全消去する基本的な方法は、記憶媒体の全ての記憶領域に2進数の0と1のランダムな組み合わせを書き込む処理となる。完全消去処理のセキュリティレベルは、

  • 部分の完全性。有意な情報が記録され得る媒体の部分が、あますところなく物理的に上書き処理されたか。
    OSが稼働中のディスクに対する消去という事は、この時点で完全性を欠いている[3]
  • 処理の完全性。上書き処理が正しく行われたか、エラーが発生していないか。
  • 残留情報不存在の完全性。媒体の記憶密度や特性に併せて、科学的知見から、元のデータを推測できる一切の電磁気学的情報が残存していないか。

に依存する。

この章では、媒体としてハードディスクだけを取り扱う。

ディスク全領域への上書き処理[編集]

通常のデータ消去プログラムは、ディスクの全領域のデータを別データに置き換えることを目的とするが、ディスクを上書きするプログラムは必ずしもすべての領域にアクセスできるわけではなく、例えばディスク上の隠しエリア(en:Host Protected Areaen:Device configuration overlay)や代替セクタ処理で退避された領域などにはアクセスすることが出来ず、そこに存在するデータが残ることになる。つまり、ディスク上の全ての領域にアクセスすることこそが、データ消去の完全性を高める手段であるともいえる。

データを完全消去するプログラムは、一般的なBIOSOSのAPIではなく、ATAインターフェイス経由でハードディスクコントローラーと直接やり取りする必要がある。BIOSやOSのAPIを通してディスクにアクセスするタイプの消去プログラムは、特定のセクタをアクセスする命令をAPI経由で実行した時に、実際にはその特定セクタにアクセスしていないのに、あたかもアクセスが正常に終了したという回答をBIOSやOSのAPIから受け取ることがある。これらの事象が発生したとき、消去すべきデータを残存させてしまう危険性が極めて高くなる。

ハードウエアによる支援
ネットワークを用いて複数のマシンで同時にデータの完全消去処理を行うことも出来る。DOSベースで製作されている完全消去プログラムはネットワークを用いた処理は出来ないが、Linuxベースで製作されたものはネットワーク越しにサーバやストレージエリアネットワーク(SAN)に接続されたSATAディスクやSASディスクをハンドリングすることが出来る。またセクタサイズが520,524,528でフォーマットされたディスクを512に戻すことも可能である。

完全消去を定めた規格[編集]

データの完全消去を定めた政府規格や業界標準が複数種類か存在する。それら全ての規格が着目している主要ファクターは「上書き回数」である。いくつかの規格では削除処理のベリファイ(再確認)や上書きパターンの表示について定められている。完全消去処理には、隠しセクタ(Host Protected AreaやDevice configuration overlay)や代替セクタ処理で退避された領域の消去処理も要求される。

米国政府が定めたNational Industrial Security Program(NISP)の1995年版のオペレーティングマニュアルDoD 5220.22-Mでは、データの完全消去処理について「全てのマッピング可能なセクタに何らかの文字で上書きを行った後、その補数の文字で上書きを行い、さらにランダムな文字コードで上書き処理を行う」という手法を認めていたが、2001年にはトップ・シークレット情報を扱った記憶媒体の消去手法としては認定しない旨、決定された。現在、多くの民生市販のソフトウエアは、この手法を維持している。

データを完全消去するソフトウエアは、上書き処理が完全に行われたことを明確に表示しなければならない。また、隠しセクタを消去する機能を有し、消去漏れや書き込み不能セクタのログについては、これを出力できることが望ましい。

規格名 制定日 上書き回数 上書きパターン 備考
米国 NIST SP-800-88 [1] 2006 1回 規定せず
米国 NSA/CSS Policy Manual 9-12 [2] 2006 - 消磁または物理的破壊による
米国 NISP Operating Manual (DoD 5220.22-M)[3][リンク切れ] 2006 規定せず
米国 国防総省 Unclassified Computer Hard Drive Disposition [4] 2001 3回 ある文字, その補数の文字, 任意文字
米国 海軍 Staff Office Publication NAVSO P-5239-26[5] 1993 3回 ある文字, その補数の文字, 乱数文字 ベリファイ必須
米国 空軍 System Security Instruction 5020 [6][リンク切れ] 1996 4回 0, 1, 任意文字 ベリファイ必須
英国 HMG Infosec Standard 5, Baseline Standard 1回 0 ベリファイ推奨
英国 HMG Infosec Standard 5, Enhanced Standard 3回 0, 1, ランダム文字 ベリファイ必須
カナダ Communications Security Establishment Canada ITSG-06 [7][リンク切れ] 2006 3回 1または0, その補数の文字, 擬似乱数文字 機密データ以外
ドイツ BSI [8] 2004 2-3回 一様でないパターン, その補数の文字
オーストラリア ICT Security Manual [9][リンク切れ] 2008 1回 規定せず 消磁または物理的破壊
ニュージーランド 通信保安局 NZSIT 402 [10][リンク切れ] 2008 1回 規定せず Confidential扱いの文書以下
Peter Gutmannのアルゴリズム 1996 最大35回 1, 0, 乱数文字をパスごとに混在 強力だが過剰ともされ、現在では使用例が減少している
ブルース・シュナイアーのアルゴリズム[4] 1996 7回 1, 0, 擬似乱数文字を5回

中途半端な物理的破壊[編集]

中途半端に破壊されたハードディスクからデータを復活させることは可能である[要出典]。たとえば、ドリルで穴を開けてプラッタを破壊したとしても、プラッタの残骸を最先端の残留磁気探索装置を用いて解析することにより、わずかな部分でも1ビットずつ手作業でデータを復活させていくことも出来る。ハードディスク・メーカーのシーゲイト・テクノロジーはそのような手法を保有していると公表しているし、いくつかの政府機関もそのような技術を独自に保有しているものと推測される[要出典]

要求される上書き回数[編集]

フロッピーディスクの場合、1回のみの上書きを行った消去手法が処された状態においては、残留磁気探索によってデータの析出を行うことができる。しかし、現在のハードディスクにおいては同様ではない。ハードディスクにおいて1ビットを記憶している領域は、フロッピーディスクに比べて遥かに小さく、記憶領域がトラック中心からずれている事を利用して残留磁気を検出するということは、ほぼ不可能である。

アメリカ国立標準技術研究所(NIST)が2006年に発表したSpecial Publication 800-88の7ページでは、次のように述べられている。『2001年以降の(15GBytes以上の)集積度の高いATAハードディスクにおいては、データの完全消去はディスク全域に1回のみ上書きすれば事足りる』[5]。 また、Center for Magnetic Recording Researchは、次のように述べている『データの完全消去はディスクに対する1回の上書きのことである。アメリカ国家安全保障局も推奨要綱にて、同相信号除去比(CMRR)試験をした結果、複数回の上書きは何ら安全性の向上に優位な差をもたらさず、1回の上書きで十分であることを認めている』[6]

ハードディスク以外の記憶媒体の消去[編集]

フラッシュメモリー[編集]

USBメモリメモリーカードSDメモリーカード等)のデバイスについては、フラッシュメモリーの特性上、書込の前に記憶ブロックをいったん消去する必要がある。しかし、OSまたはデバイスのウェアレベリング機能により、同一のファイル(または論理ブロックアドレス)を上書き処理しても、フラッシュメモリー上の同一のブロックに書き込まれる保証はない。この機能が働く場合、単一のファイルへの上書き処理は、古いブロックにデータ痕跡が残ったまま新しいブロックに上書きされることになり、データ完全消去の意味を成さない。

そのため、後述の#オペレーティングシステムの標準コマンドを用いた消去処理の例の手法では、OSから見るとパーティションの全部や一部、またはファイルにデータの上書きを行なっているが、フラッシュメモリー内部では記憶ブロックの配置換えが頻繁に行われるため、ほとんど有効でない。

フラッシュメモリーの特性上、記憶ブロックをいったん消去する事は頻繁に行われるが、このブロック消去はデバイスの内部処理で行われるものであり、OSからの通常のデータ書込コマンドによっては、必ずしも行われる保証がないと言うことである。

逆に言うと、フラッシュメモリーデバイスの専用ツールを用いて、ディスク全体に対して記憶ブロック消去コマンドを発行する処理はSecure Eraseと呼ばれるが、それは、データの完全消去に有効な手段となりうる。ただし、記憶ブロックを消去した直後のフラッシュメモリー素子の物理的なレベルでの残留情報不存在の完全性は十分に研究されていない。

Flash SSD[編集]

Flash SSDの場合は、単純なフラッシュメモリーと比較した場合、高速化、性能維持や記憶素子寿命の向上のために、コントローラーがより高度な管理、制御を行う。

例えば、ハードディスクドライブでも行われる所の、代替ブロック処理(ブロックが書き換え寿命に達すると自動的に予備領域から代替ブロックを割り当てる)については、単純なフラッシュメモリーデバイスではそのような機能を備えないかまたは簡易な処理が多いが、Flash SSDについてはハードディスクドライブの代替に使われる事から、代替ブロック処理ひとつをとっても、より複雑、高度な管理がなされている。代替ブロック処理が行われればハードディスクの場合と同様な問題が生じる。

もっとも記憶素子としてはフラッシュメモリーを用いるため、より複雑な管理をしている点を除けば、データの完全消去の方針や残留情報不存在の完全性については前述のフラッシュメモリーと同様となる。

システムドライブとして利用された場合、ドライブ全体をまるごと消去する事が望ましい。

光ディスク (CD等)[編集]

CD/DVD/BD等の光ディスクの場合。

追記型(CD-R、DVD-R、BD-Rなど)
1回書き込んでしまうと消去や上書きができない仕様なので、物理的破壊以外に有効な方法はない。
書換型(CD-RW、DVD-RW、DVD-RAM、BD-REなど)
CD-RW等については、ISO 9660UDFに基づいてデータを上書きする必要がある。通常はライティングソフトウェアで処理する。
DVD-RAMについては、OSのファイルシステム経由で上書きが可能である。
いずれの場合も消去の完全性(部分、処理、残留情報不存在)について十分検証されていない。

光ディスクは単価が比較的安価な事から、廃棄の際には物理的破壊が推奨される場合が多い。それでも各種媒体ではよく、「割れば大丈夫」と言う論調があるが、完全消去と言う観点では、次の行為は不十分な処理である。記録層を粒子状に粉砕すれば完全消去が可能である。

数カケラに割る
光ディスクは1層、多くても2層の薄膜状の記録層を、樹脂表面に[7]貼付けた構造である。記録層を高度な技術をもってカケラから剥離し繋ぎ合わせることで、専用の探索装置を用いて解析することにより、わずかな部分でもデータを復活させていくことも、不可能ではない(ハードディスクと違い、そのような事実の公表はない)。
分割して破砕する場合は、紙シュレッダーと同様に、破片が細かいほど記録面の復活が困難になる。ただし、記録密度は紙よりも遥かに高いことに注意が必要である。
ディスクの下の面[8]に浅く傷を付けるだけ
これは全く不十分である。記録層に損傷が無い可能性が高く、樹脂表面をある程度の研磨技術により平らにすれば、すぐ読み取りが可能である。
上の面には記録層が貼付けてあるので、こちらに傷をつけるとよい(ただし、1層記録の場合)。前述の記録層の理由から、深いほど、細かいほどよい。2層記録の場合は割った方がよい。

なお、プレス式のCD-ROM、BD-ROM等については、追記・書換式の光学メディアと違い、プラスチック面に凹凸が記録されており、反射膜はレーザーを反射するために塗布されるだけである(なおプレスCD等はデータを多数配布するのが目的のため、データの完全消去と言う視点にはなじまない)。また、手でディスクを割ることは極めて危険な行為であり、破片が飛び散るおそれがあるため、市販のブランクディスクメディアの使用上の注意には「手でディスクを割らないで下さい。破片が飛び散り、大変危険です。」などと記載されている場合があり、メーカーなどの業界でも注意を呼び掛けている[9][10]

光磁気ディスク(MO)[編集]

光磁気ディスク(MO)については、OSのファイルシステム経由で上書きが可能である。消去の完全性(部分、処理、残留情報不存在)について十分検証されていない。

オペレーティングシステムの標準コマンドを用いた消去処理の例[編集]

前述のとおり、代替セクターや不良セクター等も含めた全セクタに正しく上書き処理がなされるかどうかは、OSや装置に依存する。

下記にあげるファイルシステムを操作するコマンドでは、概ね、隠しセクターや代替処理されたセクターの上書き処理はなされない。

Linux[編集]

shredコマンドを用る場合として

SATAディスクの1つ目のプライマリパーティションに3回上書きをする例

shred -n 3 -v /dev/sda1

SATAディスクの1つ目のプライマリパーティションに3回上書きした後、ゼロクリアをする例

shred -n 3 -z -v /dev/sda1

ファイル targetfile.txt に3回上書きする例

shred -n 3 -v targetfile.txt

ddコマンドを用いて、shredコマンドと同様の事(3回上書き及びゼロクリア)を行うには

dd if=/dev/urandom of=/dev/sda1
dd if=/dev/urandom of=/dev/sda1
dd if=/dev/urandom of=/dev/sda1
dd if=/dev/zero of=/dev/sda1

のように実行すればよい。

CD起動Linuxの利用
OS等が抜き取られて起動しない、破棄するコンピュータに内蔵されたハードディスクを完全消去する手法としては、CD起動できるKnoppix等を用いて、この節で示しているshredコマンドを用いるのが簡便であるが、Knoppixの場合、起動時にスワップパーティションを利用しないようにして起動するのが望ましい。起動コマンド例:『 knoppix noswap 』

Windows 2000/XP[編集]

cipherコマンドを用いてディスクの完全消去を行いたい場合、まずディスクをNTFSでフォーマットしなければならない。

cipherコマンドは、空き領域が無くなるサイズの単一の一時ファイルを作成し、その一時ファイルに対して完全消去動作を行う。なお制限事項として、FAT32で4GBを超えるパーティションでは、その4GBを超える部分が正しく消去されない。

D:ドライブの空き領域に対して3回上書きをする例

cipher /w:d:

データ消去のための専用機器[編集]

HDDデータ完全消去装置として販売されている機材は、強力な磁力を使った消磁または磁気破壊によるものと、ソフトウエアによる上書き処理で完全消去を行う装置が販売されている。

前者は短時間に多数のハードディスクを処理できるが、処理後のHDDは再使用できなくなる。

後者のソフトウエアによる上書き処理を行う装置としては、ハードディスク試験装置のような特殊機材がある。

これにはデータ消去機能が付属している事が多く、この種の装置はATAインターフェイス経由でハードディスクコントローラーと直接やり取りすることから完全消去が可能であるが、価格が数十万円以上する。また、エンドユーザ向けには販売されている価格が数万円程度の廉価版も存在する[11]

ソフトウエア的に上書き処理するこれらの機材には、物理的に書き込み不可能になったセクタにデータが残存する可能性があることも留意すべきである[要出典]

その他[編集]

完全消去が出来ていない可能性の例[編集]

LinuxやWindowsの「ごみ箱」を空にしても、完全消去はされない
「ごみ箱」を空にしても、データ格納場所の情報が削除されるのみで、データの痕跡は残留している。※ごみ箱の中のファイルは完全なデータである。
Linuxのrmコマンド、Windows(DOS)のdelコマンドは、完全消去を行わない
OS標準のファイル削除コマンドは、データ格納場所の情報が削除されるのみで、データの痕跡は残留している。
Linuxのfdiskコマンド、mkfsコマンドでは、完全消去は行われない
これらのコマンドはゼロクリアを行わない。完全消去したい場合は、パーティション作成後にshredコマンドを用いるべきである。
※Windows(DOS)のfdisk、formatコマンドも同様
Linuxでディスク全域をゼロクリアしても、完全消去となっていない可能性がある
dd if=/dev/zero of=/dev/sda
政府や業界の規格において、ゼロクリアは完全消去と認められない場合がある。shredコマンドを用いるべきである。
WindowsXP/2000のディスクの管理や、ファイルエクスプローラでドライブ(パーティション)をフォーマットしても、完全消去は行われない
「クイックフォーマット」の選択如何に関わらず[12]、ドライブ(パーティション)の全領域に上書き処理が行われるわけではないため、データの痕跡は残留している。完全消去したい場合は、パーティション作成後、cipherコマンドを用いるべきである。
稼働中のOSに一度でも接続したディスクは、完全消去が必要な可能性がある。
Excel他のアプリケーションソフトウェア等は、一時ファイルを多用する。また、OS自体も、主記憶上の情報をディスク上のスワップファイルに書き込む。小さいサイズのファイルは、ディスクのデータ用領域には格納されない[3]。このようにして、情報がディスクのあちこちに分散する可能性があり、OSで扱ったデータの痕跡を一切全て消去するには、OSのあるディスクを含めた全てのディスクについて完全消去が必要である。フラッシュメモリをハードディスクのキャッシュとして用いるOSでも、フラッシュメモリに対して同様の事が言える[13]

脚注・参考文献[編集]

  1. ^ 安心できる「パソコン廃棄時のデータ処理」とは - 日経BPnet
  2. ^ http://www.networkworld.com/news/2006/110206-data-breach-cost.html
  3. ^ a b 例えばNT File Systemは、十分に小さいサイズのファイルは、ディスクのデータ用領域ではなく、マスターファイルテーブル (MFT)に直接格納する。
  4. ^ Schneier, Bruce (1996). Applied Cryptography. New York: Wiley. p. 229. ISBN 0471128457. 
  5. ^ Special Publication 800-88: Guidelines for Media Sanitization (PDF)”. NIST (2006年9月). 2007年12月8日閲覧。 (542 KB)
  6. ^ "Tutorial on Disk Drive Data Sanitization," Hughes & Coughlin, Center for Magnetic Recording Research, (Sourced: 2008-06-10)
  7. ^ 2層(DL、Double Layer)の場合は、もう1層を樹脂内に封入)
  8. ^ 水平挿入の場合の下の面、樹脂表面。
  9. ^ 光ディスクの取扱い上の注意 (PDF) - 日本記録メディア工業会
  10. ^ ディスクを廃棄するときに注意することはどのようなことですか - 日立マクセル
  11. ^ 信濃毎日新聞 HDDに書き込まれたデータを完全消去する専用機を開発(この機種については価格98,000円)
  12. ^ ただしVistaからはこの動作は改められている。Windows Vista の format コマンドの動作の変更
  13. ^ Windows ReadyBoostについてはマイクロソフトは暗号化してキャッシュするので情報漏えいの問題はないと言明している。

関連項目[編集]

完全消去の対象となる主な記憶媒体[編集]

機密保護に関する法規等[編集]

その他[編集]

外部リンク[編集]