データの完全消去
データの完全消去の最新ニュースをまとめて検索!
データの完全消去(完全削除)(英語:Data erasure)とはハードディスク等の記憶媒体内のデータを電磁気的にデータが残留しないように、特殊なハードウェアやPC上のソフトウェア等を用いた上書き処理で完全に削除する手法の一つ。
目次 |
[編集] 概要
オペレーティングシステム標準の削除コマンドは、データ本体ではなくその格納場所を示すポインタ(アドレスの一種)を削除するだけであるため、一般的なデータ復活ツールでデータを復活させることが出来る。しかしながら、データの完全消去を行えば、データ復活ソフトウェアだけでなく、専門的な解析装置を用いてもデータを復活することは非常に難しくなる。
なお、専用装置などを用いた記憶媒体の消磁処理や物理的破壊もデータを完全に消去する手法であるが、この記事で説明するデータの完全消去は記憶媒体上の電磁気的情報を削除するのみで、記憶媒体の機能を破壊するわけでは無い。削除後の記憶媒体は他の目的のために再利用することも可能である。
データの完全消去を行う方法としては、記憶媒体の全ての記憶領域に対して無意味なデータを上書きするが、他の目的のデータ削除と決定的に違うのは、その目的が残留磁気等の痕跡により元のデータが推測されるのを防ぐという所にある。そのため、米国政府や業界の標準規格では複数回の上書き処理が要求されており、その中の一部の規格では、完全に消去されたことを確認するためのベリファイ(再確認)処理を要求するものもある。
記憶媒体の紛失や盗難に対する備えとして、データの読み込み時にパスワード認証等を行い、認証が失敗した場合にデータを完全消去する機能を持つセキュリティ対策ソフトウェアもある。
[編集] 重要性
情報システムには概して大量の機密データが保管されている場合がある。例えば姓名・住所・生年月日・電話番号や、クレジットカード情報、銀行・証券口座情報、医療機関受診記録などの一般的個人データのほか、司法機関の捜査情報や国家機密などである。これらのデータは通常ハードディスク上や遠隔地のサーバストレージに保管されている場合が多い。
- 情報流出の危険性
情報システムの更新が行われるときには、機密データが保管されていたハードディスクが処分時に外部流出することもある。またノートパソコンや外部記憶装置(USBメモリー等)が盗難にあうことにより、外部流出する事態も考えられる。 このような場合に、記憶媒体上のデータが完全消去されずに流出したり改ざんされたら、企業・組織の信用失墜や経済的ダメージは計り知れない。かかる事態を防ぐために、世界中の企業で年間500万ドルもの投資がなされているというデータもある[1]。
- 内部統制
企業・組織に対しては、機密情報の未承認流出のリスクを低減させるために、業界標準や政府規制の厳格適用が求められている。日本においては、これらの政府規制として個人情報保護法や日本版SOX法がある。これらの内部統制に違反することは企業価値を低下させるだけでなく、民事・刑事上の罪に問われることもある。
- 省資源や環境保護との兼ね合い
データの完全消去ではなく、記憶媒体の消磁や物理的破壊を行うことは、記憶媒体を再利用不可能な状態にするため、最終的に産業廃棄物を増やしたり、新たに製造した製品を購入することで製品製造時の温室効果ガス排出量を増やしたりする。これに対して、データを完全消去して記憶媒体を再利用することは、省資源や環境保護に資することである。
[編集] データの消去手法
データを完全消去する基本的な方法は、記憶媒体の全ての記憶領域に2進数の0と1のランダムな組み合わせを書き込む処理となる。完全消去処理のセキュリティレベルは、この書き込み処理が記憶媒体に対して何回繰り返し行われたかに依存する。(これ以降の説明では、記憶媒体をハードディスクと仮定して記述する)
[編集] ディスク全領域への上書き処理
通常のデータ消去プログラムは、ディスクの全領域のデータを別データに置き換えることを目的とするが、ディスクを上書きするプログラムは必ずしもすべての領域にアクセスできるわけではなく、例えばディスク上の隠しエリア(Host Protected AreaやDevice configuration overlay)や代替セクタ処理で退避された領域などにはアクセスすることが出来ず、そこに存在するデータが残ることになる。つまり、ディスク上の全ての領域にアクセスすることこそが、データ消去の完全性を高める手段であるともいえる。
データを完全消去するプログラムは、一般的なBIOSやOSのAPIではなく、直接ハードディスクのAPIを通してアクセスする必要がある。BIOSやOSのAPIを通してディスクにアクセスするタイプの消去プログラムは、特定のセクタをアクセスする命令をAPI経由で実行した時に、実際にはその特定セクタにアクセスしていないのに、あたかもアクセスが正常に終了したという回答をBIOSやOSのAPIから受け取ることがある。これらの事象が発生したとき、消去すべきデータを残存させてしまう危険性が極めて高くなる。
- ハードウエアによる支援
ネットワークを用いて複数のマシンで同時にデータの完全消去処理を行うことも出来る。DOSベースで製作されている完全消去プログラムはネットワークを用いた処理は出来ないが、Linuxベースで製作されたものはネットワーク越しにサーバやストレージエリアネットワーク(SAN)に接続されたSATAディスクやSASディスクをハンドリングすることが出来る。またセクタサイズが520,524,528でフォーマットされたディスクを512に戻すことも可能である。
[編集] 完全消去を定めた規格
データの完全消去を定めた政府規格や業界標準が何種類か存在するが、それら全ての規格が着目している主要ファクターは「上書き回数」である。いくつかの規格では削除処理のベリファイ(再確認)や上書きパターンの表示について定められている。完璧な完全消去処理には、隠しセクタ(Host Protected AreaやDevice configuration overlay)や代替セクタ処理で退避された領域の消去処理も要求されるであろう。
米国政府が定めたNational Industrial Security Program(NISP)の1995年版のオペレーティングマニュアルDoD 5220.22-Mにてデータの完全消去処理について「全てのマッピング可能なセクタに何らかの文字で上書きを行った後、その補数の文字で上書きを行い、さらにランダムな文字コードで上書き処理を行う」という手法を認めていたが、2001年にトップ・シークレット情報を扱った記憶媒体の消去手法として認めない旨決定がなされた。しかしながら、現在でも多くの市販ソフトウエアがこの手法を採用しているのは事実である。
データを完全消去するソフトウエアは、上書き処理が完全に終了したことを明確に証明しなければならない。また、隠しセクタを消去する機能を持つべきであり、消去漏れや、書き込み不能セクタのログを出力すべきである。
| 規格名 | 制定日 | 上書き回数 | 上書きパターン | 備考 |
|---|---|---|---|---|
| 米国 NIST SP-800-88 [1] | 2006 | 1回 | 規定せず | |
| 米国 NSA/CSS Policy Manual 9-12 [2] | 2006 | - | 消磁または物理的破壊による | |
| 米国 NISP Operating Manual (DoD 5220.22-M)[3] | 2006 | 規定せず | ||
| 米国 国防総省 Unclassified Computer Hard Drive Disposition [4] | 2001 | 3回 | ある文字, その補数の文字, 任意文字 | |
| 米国 海軍 Staff Office Publication NAVSO P-5239-26[5] | 1993 | 3回 | ある文字, その補数の文字, 乱数文字 | ベリファイ必須 |
| 米国 空軍 System Security Instruction 5020 [6] | 1996 | 4回 | 0, 1, 任意文字 | ベリファイ必須 |
| 英国 HMG Infosec Standard 5, Baseline Standard | 1回 | 0 | ベリファイ推奨 | |
| 英国 HMG Infosec Standard 5, Enhanced Standard | 3回 | 0, 1, ランダム文字 | ベリファイ必須 | |
| カナダ Communications Security Establishment Canada ITSG-06 [7] | 2006 | 3回 | 1または0,その補数の文字,擬似乱数文字 | 機密データ以外 |
| ドイツ BSI [8] | 2004 | 2-3回 | 一様でないパターン, その補数の文字 | |
| オーストラリア ICT Security Manual [9] | 2008 | 1回 | 規定せず | 消磁または物理的破壊 |
| ニュージーランド 通信保安局 NZSIT 402 [10] | 2008 | 1回 | 規定せず | Confidential扱いの文書以下 |
| Peter Gutmannのアルゴリズム | 1996 | 最大35回 | 現在では時代遅れの方法 | |
| ブルース・シュナイアーのアルゴリズム[2] | 1996 | 7回 | 1, 0, 擬似乱数文字を5回 |
[編集] 中途半端な物理的破壊がもたらす弊害
中途半端に破壊されたハードディスクからデータを復活させることは可能である。たとえば、ドリルで穴を開けてプラッタを破壊したとしても、プラッタの残骸を最先端の残留磁気探索装置を用いて解析することにより、1ビットずつ手作業でデータを復活させていくことも出来る。ハードディスク・メーカーのシーゲイト・テクノロジーはそのような手法を保有していると公表しているし、いくつかの政府機関もそのような技術を独自に保有しているものと推測される。
[編集] 要求される上書き回数
フロッピーディスクにおいて、1回のみの上書き処理を行った消去手法を用いた場合、残留磁気探索によってデータの復活を図れるのは確かである。しかしながら、現在のハードディスクで同様な事はありえない。なぜならば、ハードディスクにおいて1ビットを記憶している領域はフロッピーディスクに比べて遥かに小さく、記憶領域がトラック中心からずれている事を利用して残留磁気を検出するなどということはほぼ不可能だからである。
たとえば、アメリカ国立標準技術研究所(NIST)が2006年に発表したSpecial Publication 800-88の7ページで次のように述べられている『2001年以降の(15GBytes以上の)集積度の高いATAハードディスクにおいては、データの完全消去はディスク全域に1回のみ上書きすれば事足りる』[3]。 また、Center for Magnetic Recording Researchは次のように述べている『データの完全消去はディスクに対する1回の上書きのことである。アメリカ国家安全保障局も推奨要綱にて、同相信号除去比(CMRR)試験をした結果、複数回の上書きは何ら安全性の向上に優位な差をもたらさず、1回の上書きで十分であると認めている』[4]。
なお、現在販売されているATAハードディスクには、「データの完全消去」が機能の一部として組み込まれており、この機能を利用すれば隠し領域や代替セクタで置き換えられた領域も消去可能である。
[編集] オペレーティングシステムの標準コマンドを用いた消去処理の例
[編集] Linux
shredコマンドを用る場合として
SATAディスクの1つ目のプライマリパーティションに3回上書きをする例
shred -n 3 -v /dev/sda1
SATAディスクの1つ目のプライマリパーティションに3回上書きした後、ゼロクリアをする例
shred -n 3 -z -v /dev/sda1
ファイル targetfile.txt に3回上書きする例
shred -n 3 -v targetfile.txt
ddコマンドを用いて、shredコマンドと同様の事(3回上書き及びゼロクリア)を行うには
dd if=/dev/urandom of=/dev/sda1 dd if=/dev/urandom of=/dev/sda1 dd if=/dev/urandom of=/dev/sda1 dd if=/dev/zero of=/dev/sda1
のように実行すればよい。
- CD起動Linuxの利用
OS等が抜き取られて起動しない、破棄するコンピュータに内蔵されたハードディスクを完全消去する手法としては、CD起動できるKnoppix等を用いて、この節で示しているshredコマンドを用いるのが簡便であるが、Knoppixの場合、起動時にスワップパーティションを利用しないようにして起動するのが望ましい。起動コマンド例:『 knoppix noswap 』
[編集] Windows 2000/XP
cipherコマンドを用いてディスクの完全消去を行いたい場合、まずディスクをNTFSでフォーマットしなければならない。これはcipherが一時ファイルを作り空き領域が無くなるまで書き込みを行う手法を行っているからである。
D:ドライブの空き領域に対して3回上書きをする例
cipher.exe /w:d:
[編集] 完全消去可能な機材
HDDデータ完全消去装置として販売されている機材は、強力な磁力を使った消磁または磁気破壊によるものと、ソフトウエアによる上書き処理で完全消去を行う装置が販売されている。前者は短時間に多数のハードディスクを処理できるが、処理後のHDDは再使用できなくなる。後者のソフトウエアによる上書き処理を行う装置としては、ハードディスク試験装置のような特殊機材がある。これにはデータ消去機能が付属している事が多く、この種の装置はHDD独自のAPIを完全サポートしていることから完全消去が可能であるが価格が数十万円以上する。また、エンドユーザ向けには販売されている価格が数万円程度の廉価版も存在する[5]。ソフトウエア的に上書き処理するこれらの機材には、物理的に書き込み不可能になったセクタにデータが残存する可能性があることも留意すべきである。
[編集] こぼれ話
[編集] 完全消去が出来ていない可能性の例と回避策
- LinuxやWindowsの「ごみ箱」を空にしても、完全消去はされない
- 「ごみ箱」を空にしても、データ領域へのポインタが削除されるのみで、データそのものは全て残っている。
- Linuxのrmコマンド、Windows(DOS)のdelコマンドは、完全消去を行わない
- OS標準のファイル削除コマンドは、データ領域へのポインタが削除されるのみで、データそのものは全て残っている。
- Linuxのfdiskコマンド、mkfsコマンドでは、完全消去は行われない
- これらのコマンドはゼロクリアを行わない。完全消去したい場合は、パーティション作成後にshredコマンドを用いるべきである。
- Linuxでディスク全域をゼロクリアしても、完全消去となっていない可能性がある
dd if=/dev/zero of=/dev/sda
- 政府や業界の規格において、ゼロクリアは完全消去と認められない場合がある。shredコマンドを用いるべきである。
- WindowsXP/2000のディスクの管理や、ファイルエクスプローラでドライブ(パーティション)をフォーマットしても、完全消去は行われない
- 「クイックフォーマット」の選択如何に関わらず[6]、ドライブ(パーティション)の全領域に上書き処理が行われるわけではないため、データそのものは全て残っている。完全消去したい場合は、パーティション作成後、cipherコマンドを用いるべきである。
- WindowsのWordやExcelのファイルは完全消去できない
- WordやExcelなど、編集時に一時ファイルを作成するものは、データファイルのみを完全消去しても、完全消去したことにはならない。何度も編集したデータファイルの場合、パーティション全域に分散してデータの残骸が残っていることを考慮すべきである。完全消去したい場合は、cipherコマンドを用いるべきである。
- スワップ領域を用いているシステムでは、ファイル単位での完全消去は出来ない
- Windowsで仮想メモリを用いている場合(標準設定)、Linuxでスワップパーティションを用いている場合(標準設定)では、データファイルの編集時にスワップ領域が作業用に用いられる可能性が排除できない。システム設定でスワップをOFFにするか、Linuxの場合であればデータファイルを編集する前にroot権限でswapoffコマンドを実行することで回避できる。
- 市販・フリーウエアの完全消去ソフトウエアでファイル単位の完全消去が出来ると謳っているものであっても完全消去できていない場合が多い
- たとえばWordやExcelのような編集時に一時ファイルを作成する種類のものは、ファイル本体だけでなく、パーティションの空き領域全てを完全消去処理する必要がある。パーティションの空き領域に依存するが、ファイル1個消す時間が数十分~数時間掛かる場合が多く、数秒で完全消去できたと報告するソフトウエアは、実は完全消去できていない可能性がある。該当の完全消去ソフトウエアの取扱説明書の制限事項にこのあたりの情報が書かれているはずである。
[編集] ディスクの完全消去サービスで開示されたほうがよい事項
データの完全消去の状況を顧客が知るために、完全消去作業の直後に開示されたほうが良いと思われる事項
- 上書きを何回したか、上書きしたデータの種類(1,0,乱数等)の情報開示
- 全セクタの中から、顧客がその場でランダムに選択したセクタのバイナリダンプを実演する(Windowsの場合Diskprobe。Linuxの場合ddコマンドの出力をbviやkhexeditで表示等)
- 隠しセクタも完全消去したかどうか、消去に用いたAPI関数名やハードディスク製造メーカーの消去プログラム名等の技術情報開示
- 代替セクタの数と、代替セクタが消去されたかどうか、消去した場合は用いたAPI関数名やハードディスク製造メーカーの消去プログラム名等の技術情報開示
[編集] 関連項目
- 完全消去の対象となる主な記憶媒体
- 機密保護に関する法規等
- その他
[編集] 参考文献
- ^ http://www.networkworld.com/news/2006/110206-data-breach-cost.html
- ^ Schneier, Bruce (1996). Applied Cryptography. New York: Wiley. ISBN 0471128457.
- ^ "Special Publication 800-88: Guidelines for Media SanitizationPDF". NIST (September 2006). 2007-12-08 閲覧。 (542 KB)
- ^ "Tutorial on Disk Drive Data Sanitization," Hughes & Coughlin, Center for Magnetic Recording Research, (Sourced: 2008-06-10)
- ^ 信濃毎日新聞 HDDに書き込まれたデータを完全消去する専用機を開発(この機種については価格98,000円)
- ^ ただしVistaからはこの動作は改められている。Windows Vista の format コマンドの動作の変更
[編集] 外部リンク
- JM 日本語版Manpage SHRED
- @IT ファイルを完全に消去するには
- Microsoftサポートオンライン Windows で Cipher.exe を使用して削除済みのデータを上書きする方法
- Microsoftサポートオンライン 暗号化ファイル システム用 Cipher.exe セキュリティ ツール
- @IT ディスクの内容を完全に消去する
最終更新 2009年9月21日 (月) 15:58 (日時は個人設定で未設定ならばUTC)。
【データの完全消去】変更履歴
