暇な翻訳者のページ

先頭に戻る

ディスクドライブ・データのサニタイズに関するチュートリアル
(Tutorial on Disk Drive Data Sanitization)
http://cmrr.ucsd.edu/people/Hughes/documents/DataSanitizationTutorial.pdf または http://cmrr.ucsd.edu/people/Hughes/DataSanitizationTutorial.pdf
以前、古い PC の HDD を消去しようとした際に見つけた記事が面白かったので勝手に訳したもの。データ消去には物理的な破壊や消磁も完全とは言えない、と言っています。 元記事はカリフォルニア大サンジエゴ校 (UCSD) の CMRR (Center for Magnetic Recording Research: 磁気記録研究センター?) の資料ですが、発表は2008年6月10日という情報があり、この資料も今や古典になっているかもしれません。

注意: 著作権者の許可を得て訳したものではありません。完全な見直しはしておりませんので、用語の不統一や誤りがあるかもしれません。

著者
Gordon Hughes, UCSD CMRR (gfhughes@ucsd.edu)
Tom Coughlin, Coughlin Associates (tom@tomcoughlin.com)

概要

ユーザーデータをドライブから完全に除去するための方法として、このサイトからダウンロードできるフリーウェアの「HDDerase」などの Secure Erase ユーティリティーを実行する方法がある。このユーティリティーは、連邦政府承認 (NIST 800-88) で ATA ANSI 規格の Secure Erase コマンドを実行する。この Secure Erase コマンドは最近の 15-20 GB を超えるすべての ATA ドライブに実装されている。このコマンドに似た SCSI ANSI 規格のコマンドは、テスト対象となったドライブではオプションであり、まだ実装されていない。通常の Secure Erase を完了するために要する時間は 30 分から 60 分である。一部の ATA ドライブには、ほんの数ミリ秒で完了する標準的な Enhanced Secure Erase も実装されている。

目次

初めに
頻発するデータ漏洩
データのサニタイズに関する法的要件
データ・サニタイズを怠った場合の法的罰則
ハードディスク・ドライブのデータ・サニタイズ
 ドライブを物理的に破壊する方法
 ディスクドライブを消磁する方法
 ドライブを破壊せずにデータを消去する方法
 データの暗号化によるセキュア・イレース
コンピューター・フォレンジックによるデータ復元
セキュア・イレースの実装と認定
データ・サニタイズの実際
著者について
用語(省略)

初めに

コンピューター専門家にとって、データ・セキュリティーは最優先の懸念事項の 1 つとなっている。現在では、ユーザーデータを不正使用から保護し、また記録の保持と消去 (サニタイズ) 両方のために、法的コンプライアンス要件を満たすことが厳しく要求されるようになっている。このチュートリアルでは、ユーザーデータのサニタイズと保護に関する懸念事項と発展について述べる。

データストレージのセキュリティー全体を考えるためには、以下のようにさまざまなレベルおよび場所における保護を考慮する必要がある。
  • 休止状態のデータ --- ドライブデータの消去
  • ディスクドライブ上の全データブロックのセキュアな消去
  • 単一ファイルの消去
  • ドライブの物理的または磁気的な破壊
  • 動作中のデータ --- 転送中のデータの暗号化
  • 転送中のデータおよび暗号鍵の保護
  • ユーザーにとっての透過性 (自動暗号化)
  • ドライブ内部の暗号化 (ストレージデバイスによるデータ暗号化)
  • データ暗号化に使用される鍵またはパスワードに応じたアクセスレベル
  • ドライブデータのサニタイズ
  • ユーザーデータのセキュアな消去 (ドライブの廃棄または再利用のため)

以下の表(表 1)はデータ・サニタイズ(消去)の実行時間とセキュリティーレベルを方法ごとに比較したものである。

表 1. データ・サニタイズの方法の比較

消去のタイプ平均時間セキュリティーコメント
通常のファイル削除数分非常に低いファイルのポインターを削除するのみであり、実際のデータは削除しない
DoD 5220 ブロック削除最大数日間3 回の書き込み + 1 回の検証が必要であり、再割り当てされたブロックの消去はできない
Secure Erase1 時間から 2 時間高いユーザーがアクセス可能なレコードすべてをドライブ内で上書き
NIST 800-88 Enhanced Secure Erase数秒非常に高いドライブ内の暗号キーを変更

先頭に戻る


頻発するデータ漏洩

従来、コンピューター・ストレージを設計する際の基本は、あらゆる手段でユーザーデータを保護することであった。ディスクドライブはコンピューター・システムの基本的マスストレージであり、誤ったデータ消去を防ぐように設計されている。オペレーティングシステムが誤ってユーザーデータをサニタイズしてしまわないように、「リサイクル」フォルダーや「unerase」コマンドなどの手法が一般的に使用されている。ファイルポインターを削除する方法は高速にデータを書き込むための方法として一般的であるが、これは実際にファイルデータを上書きするための時間がファイルポインターを削除する時間よりもはるかに長いためである。誤ったユーザーデータを返すことがないように、ドライブは高度なエラー検出およびエラー補正手法を使用している。

これらのことから、コンピューター・データを本当に消去してしまうことは通常とは異なる事態であることがわかる。上記のようにユーザーデータ保護およびユーザーデータへの高速アクセスのための手段が取られているため、結果的にそうしたデータは不正人物による復元に対して脆弱性を持つことになる。

コンピューターの紛失や盗難に関し、以下のような統計がある 1
  • 統計によれば、我が国では毎日ノート PC の 14 台に 1 台が盗まれ、2000 台を超えるコンピューターが盗まれている (Information Week)。
  • 43 秒ごとに 1 台のコンピューターが盗まれている。
  • 盗まれたノート PC の 98% 以上は戻ってこない (FBI)。
  • 企業の IT 管理者 769 人に対する調査から、64% がノート PC の盗難を経験していることが判明している (Tech Republic)。
コンピューターを紛失または廃棄した場合、廃棄されたアクティブなデータはそのコンピューターのハードディスク・ドライブに保存されたまま残っていることが普通である。たとえユーザーがすべてのファイルを「削除」したとしても、それらのデータは「リサイクル」フォルダーから、または Norton Unerase などの特殊なユーティリティー・プログラムにより、復元することができる。

データが復元不能なまでに消去されていない場合、所有者の物理的管理下ではなくなったディスクドライブ上のデータは他人の手に渡る可能性があり、多くの場合は実際に他人の手に渡る。廃棄されたディスクドライブ、保証期間内に修理されるディスクドライブ、あるいは再販売されるディスクドライブから、ほとんど手間をかけずにデータを復元することができる。 廃棄されたディスクドライブからのデータの復元に関し、これまで多くの報告書が発表されている2, 3。毎年、何十万台ものハードディスク・ドライブが役目を終えている。これらのハードディスク・ドライブの一部は再度市場に戻っており、セキュアな消去がされていない限り、それらのドライブ上のデータは復元可能である。

セキュリティーおよびプライバシーの点から、役目を終えたコンピューターのハードディスク・ドライブのデータを信頼性の高い方法で消去し、データへのアクセスを防止する機能が緊急に必要である。データ・サニタイズの要件はユーザー・アプリケーションによって異なる。たとえ一般消費者向けのドライブであっても、ユーザーのプライバシー保護または DRM のために、データ・サニタイズを使用してもよいかもしれない。

 1. The U.K. Times Information Security Supplement, 27March2007
 2. T. Coughlin,Rumors of My Erasure Are Premature, Coughlin Associates, http://www.tomcoughlin.com/Techpapers/Rumors of my erasure,061803.pdf (2003)
 3 J. Garfinkel, A. Shelat, A Study of Disk Sanitization Practices, IEEE Security and Privacy, Jan.-Feb. 2003.


先頭に戻る


データのサニタイズに関する法的要件

ほとんどの人々は法的コンプライアンス規制によってデータの長期保持が要求されていることを認識しているが、それらの同じ規制はプライバシーその他の理由からデータ保護の必要性を規定している。また、それらの規制の多くはデータのサニタイズに関する条件や要件も規定している。投資家、消費者、そして環境を保護するための厳格な地方法、州法、連邦法により、組織は役目を終えた IT 機器の廃棄の際に十分注意する必要があることが規定されている。

ハードディスク・ドライブなどのデータストレージ・デバイス上のデータの保持とサニタイズに関し、いくつかの法律や規制がある。米国における要件の一例を以下に示す。

Health Insurance Portability and Accountability Act (HIPAA: 医療保険の携行性と責任に関する法律)
Personal Information Protection and Electronic Documents Act (PIPEDA: 個人情報保護及び電子文書法) Gramm-Leach-Bliley Act (GLBA)
California Senate Bill (カリフォルニア州上院法案) 1386
Sarbanes-Oxley Act (SBA)
SEC Rule (証券取引委員会規則) 17a

Health Insurance Portability and Accountability Act (HIPAA: 医療保険の携行性と責任に関する法律) は、ヘルスケア業界の個人情報をセキュアに保持することを目標としている。企業がデータ・セキュリティーに関して HIPAA 準拠の行動をしていないとみなされた場合、その企業には最大 25 万ドルの罰金が科され、責任者は最大 10 年間の禁固刑に問われる。

データのサニタイズに関し、これらの法的要件、あるいはさらに厳格な企業秘密要件または政府秘密要件を満たす、承認された方法がいくつかある。それらの多くはディスクドライブを物理的に破壊することによって使用不能にする方法である。別のデータ・セキュリティー手段として、ユーザーデータを暗号化する方法がある。データの作成から破壊までセキュアにデータを暗号化する方法は、機密情報保護のための一部コンプライアンス規制法で承認されている。そのセキュリティーレベルは連邦文書 FIPS 142-2 によって決められている。

データ・サニタイズに関して新たに発表された文書 NIST 800-884 によれば、許容される方法の中にはドライブ内で Secure Erase コマンドを実行する方法や消磁などが含まれている。これらの方法は、たとえ研究室レベルの特殊手段を使用しても復元できないようにデータを消去する。そうした高度な手法はデータのプライバシーを狙う者にとって脅威となる。彼らはドライブ技術に関する特定の知識と特殊な科学技術装置を使用し、ドライブの通常の動作環境以外でデータを復元しようと試みる。彼らの使用する方法には、ドライブ技術に関する特定の詳細を理解した信号処理装置や人員による方法、さらにはハードディスク・ドライブから部品を取り出してスピンスタンドでテストする方法などがある。

Secure Erase は、法的なデータ・サニタイズ要件を満たす効果的でセキュアな方法として NIST 800-88 によって認められており、研究室レベルの手段による攻撃にも対抗することができる。

 4. NIST Special Publication 800-88, Guidelines for Media Sanitization, August 2006

先頭に戻る


データ・サニタイズを怠った場合の法的罰則

以下の表5はデータ・セキュリティーの法律に違反した場合の罰金と禁固刑を要約したものである。
Gramm-Leach-BlileySarbanes-OxleyFACTAHIPAA
Financial Services Modernization ActPublic Company Accounting Reform & Investor Protection Act Fair and Accurate Credit Transaction ActHealth Insurance Portability & Accountability Act
ディレクターおよびオフィサー$10,000$1,000,000$50,000 to $250,000
企業・機関$100,000
禁固年数5 年から 12 年20 年1 年から 10 年
FDIC 保険停止
業務への影響排除措置 (Cease and Desist)
個人$1,000,000民事訴訟$25,000
企業・機関資産の 1%
 5. From Ensconce Data Technology, Inc

先頭に戻る


ハードディスク・ドライブのデータ・サニタイズ

サニタイズのセキュリティーに関する基本的なレベルとして、以下の 4 つを定義することができる。つまりウィーク・イレース (ファイルの削除)、ブロック・イレース (外部ソフトウェアによる上書き)、通常の Secure Erase (最近のドライブ)、そして Enhanced Secure Erase (下記を参照) の 4 つである。UCSD の CMRR はソフトウェアによるセキュアな消去のためのテスト・プロトコルを既に確立した6

ブロック・イレースは最も一般的に使用されている。ブロック・イレースは消去しない場合よりも、またはファイル削除やドライブのフォーマッティングよりもはるに優れているが、マルウェアに対して脆弱であり、すべてのデータブロックを完全に消去することはできない。例えば、ドライブによってデータブロックが再割り当てされている場合、ドライブ・パーティションが複数ある場合、ホストに保護された領域、デバイス構成が重複している場合、ドライブに欠陥がある場合には完全な消去はできない。

通常の Secure Erase は Confidential レベルまでのユーザーデータを法的にサニタイズする方法として NIST 800-88 によって承認されており、Enhanced Secure Erase は Confidential レベルを超えるレベルに対しても承認されている。Enhanced レベルはごく最近実装されたばかりであり、最初は Seagate のドライブに実装され、これらのドライブは現在 CMRR による評価が行われている。

このように消去プロトコルが 4 つ存在する理由は、ユーザーがサニタイズのセキュリティーレベルと所要時間との兼ね合いを判断するからである。ほとんどのユーザーは特殊なソフトウェアと数日間を要する高セキュリティーのプロトコルを敬遠するため、そうしたプロトコルはほとんど使用されず、実用価値は限られる。例えば、データ上書き方式の古い文書 DoD 5220 は Confidential データを複数回ブロック上書きすることを要求しているが、そのためには今日の大容量ドライブでは完全消去に 1 日以上を要する可能性がある。そこでユーザーは、そのドライブを次に使用するユーザーが (ウィーク・イレースで消去されたデータにアクセスできる) 復元手段を知っていてその手段を使用する可能性のリスクと、データ消去のための時間との兼ね合いを判断することになる。図 1 は、さまざまな消去オプションのセキュリティーレベルと消去スピードとの兼ね合いを示している。

図 1. ハードディスク・ドライブのデータ消去モードによるセキュリティーと完了までの時間の比較
↑ セキ ュ リテ ィ DoD 5220
物理的破壊
Secure Erase
DoD 5220
複数回ブロック上書き
高速 Secure Erase
通常の消去
速さ →


最高機密情報の場合除き、ユーザーは通常、何時間あるいは何日間も要する消去方法は使用せず、数分で済む消去方法を使用する。つまりユーザーは、許容できるレベルのセキュリティーで妥当な時間内に終了する方法を選択する。

 6 G. Hughes, CMRR Secure Erase Protocols, http:/cmrr.ucsd.edu/Hughes/

先頭に戻る


ドライブを物理的に破壊する方法

データの復元を積極的に防止するために、ディスクドライブを取り外して破壊し、さらには顕微鏡レベルにまで粉々にする方法がある。(実際には、特に緊急時には、単純にディスクを曲げてしまう方法が非常に効果的である。) 現在は使用されなくなった古い政府文書 DoD 5220.22M では、Secret よりも機密性が高い分類のデータに対し、ストレージメディア (磁気ディスク) の物理的破壊を要求している。そうした物理的な破壊でさえ、残ったディスク破片が 512 バイトのレコードブロック 1 つのサイズ (今日のドライブでは約 125 分の 1 インチ) よりも大きければ、完璧ではない。線密度とトラック密度が向上するにつれ、許容される最大ディスク断片サイズもさらに小さくなる。CMRR は、このサイズにまで破壊されたディスク破片を研究している2。記録メディアに格納されたビットの画像化に磁気顕微鏡が使用されている。

磁気ディスク・データカートリッジ、テープカートリッジ、セキュアな USB ドライブ、光メディアなど、一部のストレージ製品はハードディスク・ドライブよりも破壊が容易である。

先頭に戻る


ディスクドライブを消磁する方法

ディスクドライブ上の磁気データを消去するために消磁器が使用される。消磁器は高密度の磁界を発生させ、その磁界により、ドライブのデータトラック上のセクターヘッダー情報 (ドライブヘッドの位置指定やデータエラー回復に必要な情報) を含め、ハードディスク・ドライブの磁気記録をすべて消去する。また、トラック磁石やディスクモーターの磁石も、多くの場合は消磁器の磁界によって消去される。物理的に破壊した場合と同様、ディスクドライブが適切に消磁されると、そのディスクドライブはもはや使用できなくなる。

CMRR はデータ・サニタイズのための商用消磁器の評価を行っている。

ドライブ設計者はディスク当たりのデータストレージ容量を高めるために、常に磁気記録の線密度を高めている。その結果、ディスクの保磁力 (磁気メディア上にビットを書き込むために必要な磁界の強さ) が増加している。保持力の増加につれ、ディスク上に記録されたデータの消去に必要な磁界も増加する。従って、古い消磁器は新しいハードディスク・ドライブ上のデータを完全に消去できない可能性がある。垂直記録による新しいドライブは、従来の水平記録ドライブ用に設計された現在の消磁器では消去できないかもしれない。

今後の世代の磁気記録メディアは、非常に保磁力の高いディスクを使用して 1 平方インチ当たり 500 ギガビットを超える面密度を実現する可能性がある。これらのドライブ技術はディスクドライブの磁気書き込み素子にレーザー光を使用して磁気メディア上の記録点の温度を上げ、書き込み素子が超高保磁力メディアにもビット記録できる程度にまで保磁力を下げるのかもしれない。こうした熱アシスト磁気記録 (Heat or Thermally Assisted Magnetic Recording (HAMR/TAMR)) 技術を使用するディスクドライブの場合、室温にあるディスクドライブの消去に必要な消磁器の磁界は実現不可能または現実的ではない可能性がある。こうした場合にはドライブを物理的に破壊する必要があるかもしれない。

現在では、ハードディスク・ドライブの回路基板にフラッシュメモリーによるライトキャッシュを備えた「ハイブリッド・ドライブ」がノート PC に採用されつつある。そうした半導体メモリーチップ上にあるデータは消磁の影響を受けない。これらの不揮発性半導体上のデータは、他の何らかの手法を使用してサニタイズする必要がある。こうしたさまざまな理由から、ハードディスク・ドライブ上の全データを消磁することは次第に困難になると思われる。

先頭に戻る


ドライブを破壊せずにデータを消去する方法

ハードディスク上のデータのサニタイズは簡単ではない。ファイルを削除しても、ディレクトリー構造による特殊なディスクセクターからファイル名を除去するにすぎない。ユーザーデータはドライブのデータストレージ・セクターに残り、新しいデータで上書きされるまで、それらのセクターから取得することができる。ハードディスク・ドライブを再フォーマットするとファイルディレクトリーがクリアーされ、ストレージ・セクターとのリンクは解除されるが、それらのセクターが上書きされるまでユーザーデータは残り、復元が可能である。個々のデータファイルやハードディスク全体を上書きするソフトウェア・ユーティリティーはエラーや悪意のウィルス攻撃を受けやすく、また新しいハードウェアや進化するコンピューター・オペレーティングシステムに対応して常に変更が必要である。

ハードディスク・ドライブ上に格納されたユーザーデータを外部ソフトウェアによって確実にサニタイズするのは簡単ではない。DoD 5220 のバリエーションを使用して 35 回もの上書きを繰り返す商用ソフトウェアパッケージが数多く販売されている。しかし今日のドライブでは、1 回の上書きよりも多数回の上書きの方が効果的と言い切ることはできない。一部のドライブではオフトラック・オーバーライトが効果的な場合があるが、そのためのドライブ外部コマンドは存在せず、トラックを外れてヘッドを移動するようなソフトウェア・ユーティリティーを作ることはできない。また、大容量のハードディスク・ドライブを消去するためには、たとえ 3 回の上書きでも 1 日以上の時間を要する場合がある。多忙な IT 施設では、そうした時間がないことが多く、また IT 人員が手を抜く可能性がある。

DoD 5220 による上書きには他にも脆弱性がある。例えば、この方法ではドライブの最大アドレスまでしか消去されないが、ドライブの最大アドレスは本来の容量よりも低く設定される場合があり、また再割り当てされた (エラーのある) ブロックが消去されない、他のパーティションが見逃される、などの脆弱性がある。ほとんどのドライブでは、再割り当てされたセクターに外部からの上書でアクセスすることはできず、いったんこれらのセクターに記録されたデータはすべて残ってしまう。これらのセクターは特殊なフォレンジックによって復元、解読できる可能性がある。エンタープライズクラスのドライブやドライブシステム (SCSI/FC/SAS/iSCSI) では、ソフトウェアコマンドによってすべてのユーザーブロックの読み書き機能をテストすることができるが、マスマーケット用のドライブ (PATA/SATA) では、再割り当てされたブロックにはユーザーがアクセスできる論理ブロックアドレスがないため、それらのブロックの読み書きや検出はできない。

UCSD の CMRR の要求により、オープンな ANSI 規格に Secure Erase (SE) コマンドが追加された。ANSI T13.org 委員会は ATA インターフェース仕様 (IDE とも呼ばれる) を管理し、ANSI T10.org 委員会は SCSI インターフェース仕様を管理している。

Secure Erase はハードディスク・ドライブ自体に組み込まれており、従って外部ソフトウェア・ユーティリティーに比べ、悪意のソフトウェアによる攻撃を非常に受けにくい。

CMRR によるテストによれば、2001 年以降に製造された ATA インターフェースのドライブ (容量が 15 GB を超えるドライブ) にはすべて SE コマンドが実装されている。SCSI ドライブ用にも、内部用に標準化された Secure Erase コマンドがあるが、そのコマンドはオプションであり、テスト対象となった SCSI ドライブには現状では実装されていない。

Secure Erase は手軽に使用できるデータ破棄用のコマンドであり、「データを電子的なシュレッダーにかける」ことに相当する。このコマンドを実行すると、ドライブは内部で、考えられるユーザーデータ記録領域をすべて、G リストレコードを含めて上書きによって完全に消去する (G リストレコードには、再割り当てされたディスクセクター (ハードエラーのためドライブが今後使用しないセクター) 上の読み取り可能データが含まれている場合がある)。

SE コマンドはコンピューター・オペレーティングシステムやストレージシステム・ソフトウェアに含まれる既存の「ドライブ・フォーマット」コマンドに追加されたコマンドにすぎず、ハードディスク・ドライブにとっての負担は何もない。Secure Erase コマンドはハードディスク・ドライブ内部で実行されるため、追加のソフトウェアも必要ない。

Secure Erase はディスクドライブ・トラック上のデータの 1 回消去を実行する。CMRR における技術テストの結果、オントラック・オーバーライトを 1 回行っても複数回行っても消去に差がないことが判明したため、U.S. National Security Agency (米国家安全保障局) は 1 回の上書きに Information Assurance Approval (情報保証承認) を発行した。

セキュア・イレースは、National Institute for Standards and Technology (NIST: 米国立標準技術研究所) の Computer Security Resource Center7 によって承認されている。NIST 文書 800-88 は、外部からブロック上書きを行う Norton Government Wipe などのソフトウェア・ユーティリティーよりも高いセキュリティーレベルで SE を承認しており、また SE は HIPAA、PIPEDA、GLBA、Sarbanes-Oxley の法的要件を満たしている。

保護された実行環境 (例えば RAID アレイなどのファイルシステム・ハードウェア内部やセキュアなコンピューター内部) で実行するソフトウェア上書きユーティリティーも、NIST 800-88 の下でセキュアと検証できる可能性がある。最も機密性の高いデータの場合の場合、米政府はドライブを物理的に破壊することを求めている。

今日のドライブメーカーは、ドライブ内でデータを暗号化する (下記を参照) ことにより、より高セキュリティーで (秘密データを含めて) セキュアに消去する手段を追求している。

 7. NIST Computer Security Resource Center, Special Publication 800-88: Guidelines for Media Sanitization, August 2006

先頭に戻る


データの暗号化によるセキュア・イレース

最近、記録前にユーザーデータを暗号化する (内部で完全にデータを暗号化する) 2.5 インチのハードディスク・ドライブがノート PC 用に導入された8, 9。こうしたドライブは、ノート PC やドライブを紛失したり盗まれたりした場合にデータを保護することができ、さらにはフォレンジック・リカバリーからも強力に保護することができる。またこれらのドライブは暗号鍵をセキュアに破棄することにより、ドライブ上のデータを瞬時にサニタイズすることができる。

なぜドライブ内で休止状態にあるデータを暗号化するのだろうか。他にも、例えばユーザーアプリケーション・プログラムでデータにアクセスし、コンピューター内でデータを暗号化することもできるはずである。その理由は、コンピューターレベルでデータを暗号化すると、多くの重要なデータ管理機能が使えなくなるためである (インクリメンタル・バックアップ、継続的データ保護、データ圧縮、重複排除、仮想化、アーカイブ、Content Addressable Storage、アドバンストルーティング、シンプロビジョニングなど)10 。これらの機能が使えなくなると、企業レベルのストレージを行う企業はデータ・アクセス速度やコストに重大な影響を受ける。これらの機能はすべて、ユーザーデータの構造を利用しており、またデータを検証する必要がある。暗号化によってデータがランダムにされると、これらの機能の効率が低下し、または機能が使用不能になる。例えば、データ圧縮率 2:1 以上であったものが 1:1 未満になってしまうかもしれない。なぜなら、ランダムデータを圧縮すると、むしろデータが大きくなる場合があるからである。さまざまなユーザーによってデータセットが暗号化されると、重複排除をしても同じデータセットを見つけることはできなくなる。

コンピューターレベルの暗号化をドライブ内の暗号化にも使用することができ、二重に暗号化しても何ら害はなく、しかもセキュリティーを高める。ドライブ内で暗号化することにより、ノート PC のディスクドライブやテープバックアップなど、取り外し可能なストレージに特有の暗号鍵管理の問題から解放される。実際、何百万人もの個人情報を記録したバックアップテープの紛失が大きく報道されたことから、ハードウェアベースのテープドライブ暗号化が 2007 年までに普及するかもしれない11

FDE-SE (Full Disk Encryption - enhanced Secure Erase) はドライブ内部の暗号鍵をセキュアに変更し、ディスク上の暗号化されたユーザーデータを暗号解除不能にする。これは現在の ATA ANSI 仕様の Enhanced SE コマンドの中に実現されている。

FDE SE 暗号化が高度なフォレンジック分析に対しても保護が可能かどうか、テストが必要である。その結果により、データ消去のセキュリティーレベル (Confidential、Secret、Top Secret、さらに上など) が決定される。米商務省は 256 ビット以上の暗号化の大部分を輸出禁止とし、FDE E-SE を AES-128 ビット暗号化までに制限している (ディスクドライブは世界的な産業であるため)。

FDE ドライブ内で AES-256 ビット暗号化を行うことにより、FDE SE のセキュリティーレベルを少し高められる場合がある。FDE E-SE による動作が AES-128 を二重に行うのと等価であることに注意する必要がある。なぜなら、破棄された鍵によって暗号化されたデータが新しい鍵によって暗号解除され、またAES は対称暗号方式であるからである。二重の AES-128 に対して総当たり攻撃をするためには一重の AES-256 と同じ計算量が必要と見なせるはずである。

偏執症レベルのセキュリティーを実現したい場合には、FDE E-SE の後に通常の上書き SE を実行し、FDE ディスクドライブ内の暗号化テキストを削除することができる。

Trusted Computing Group (trustedcomputinggroup.org の Storage Working Group) の包括的仕様により、FDE に関するオープンな業界標準が検討されている。TCG のドライブ企業メンバーには、Seagate、HGST、Fujitsu、WD などが含まれている。ATA ドライブに対する ANSI オープンスタンダード (t13.org) に暗号化による SE が含まれ、規格の一部になる可能性がある。

CMRR は既に FDE-SE ドライブのテストを開始している。これらのドライブは Enhanced SE を 15 ミリ秒内に完了するが、750 GB ATA インターフェースの HDD を従来の Secure Erase を使用して消去する場合は 1 時間以上を要する (または外部の上書きソフトウェアを使用した場合は何時間も要する)。

  8. G. Hughes, "Wise Drives", IEEE Spectrum, August 2002
  9. e.g. Seagate Momentus 5200 drives
 10. Storage magazine, October 2006
 11. Storage magazine, December 2006



先頭に戻る


コンピューター・フォレンジックによるデータ復元

フォレンジック・リカバリーは高度な機器と特殊な手法を使用して専門家によって行われる。通常、フォレンジック・リカバリーは故障したハードディスク・ドライブからのデータ復元や法的証拠開示のために行われる。フォレンジック企業は電子機器を使用することにより、ディスクドライブ上の未消去ながら保護されたデータを適切に復元することができる。しかしこれまでに説明したセキュア・イレース・コマンドは、物理ディスクドライブのフォレンジック・リカバリーが不可能なレベルにまで、ディスクドライブ上のすべてのユーザーデータを消去する。フォレンジック・リカバリーによる攻撃を許すほど古いドライブはあまりにも古すぎ、Secure Erase コマンドを組み込むことはできない。

場合によると、実際の磁気ディスク記録の経験のない人々により、仮定の仕組みに基づく偏執症レベルの復元方式が提案され、たとえ物理的に破壊した後でもデータを復元できる可能性がある、と主張される場合がある。コンピューター・フォレンジックによるデータ復元を行う 1 企業は、通常のドライブエレクトロニクスを使用せずに、ディスク上に記録されたビット列の磁気イメージからユーザーデータを読み取ることができると主張している12。ドライブから取り外され、スピンスタンドでテストされるディスクからトラックを読み取ることは何十年か前は実際に可能であったが、トラックサイズがマイクロインチという今日では、もはや不可能となっている。

特殊な手法には時間を必要とし、その時間自体がデータ復元にとっての防御であり、またデータのセキュリティーを高める。また、磁気イメージのデータにアクセスするためには、磁気記録に関する十数段階もの技術的な障害を乗り越える必要がある。たとえこれらの障害を乗り越えたとしても、ディスク上にある何百万ものユーザーデータ・ブロックの中から 1 つのユーザーデータ・ブロックを復元するだけでも 1 時間近くかかるはずである。相当量のデータを数ヶ月内に復元するためには、ディスクが元のままで損傷がなく、その上をヘッドが自在に浮上動作してデータ再生信号を得られるようでなければならず、しかもその後で、それらの技術的障害を乗り越えなければならない。単純にディスクを曲げてしまえば、そうした復元はほとんど不可能になる。そのため、ディスクを曲げ、物理的にドライブを損傷することによって実質的に復元を不可能にすることができる。

「専門家」による他の主張として、未消去トラックのエッジから、限定的ながら情報を復元できるという主張がある。しかし CMRR によるテストの結果、この主張が誤りであることが証明されている13。そうした復元も、ドライブの磁気記録設計に関する詳細な技術知識を前提としている。ChannelScience.com の Charles Sobey は、ドライブの種類によらずにデータを復元することに関して啓発的な記事を書いており、そうした障害がいかに困難なものかを示している14

 12. www.actionfront.com
 13. T. M. Coughlin and G. F. Hughes, "Secure Erase of Disk Drive Data," IDEMA Insight Magazine, pp. 22-25, Summer 2002
 14. See white papers at http://www.actionfront.com/ts_whitepaper.aspx




先頭に戻る


セキュア・イレースの実装と認定

CMRR は連邦政府のために長年セキュア・イレースを研究してきており、その調査14から、ユーザーデータの削除に関して以下の 3 つの異なる方式があることが分かっている。

ウィーク・デリートは、Windows や Linux などの一般的なオペレーティングシステムでユーザーがファイルを削除する方式である (図 1 の "Usual Computer Erase")。この方法はファイルディレクトリーのエントリーを削除するにすぎず、ユーザーデータ自体を削除するわけではない。

ブロック上書きユーティリティーは、(その上書きをする時点で) ユーザーがアクセスできるブロックをすべて上書きする。この方式はファイル消去方式よりも削除の信頼性レベルは高く、これらのユーティリティーは DoD 5220 の連邦政府要件を満たすと主張している。今日のハードドライブ技術により、この文書は時代遅れとなっており、代わりに NIST 800-88 を使用する必要がある。

ディスクドライブの Secure Erase は ANSI ATA および SCSI ディスクドライブ仕様で規定されたドライブコマンドであり、ドライブのハードウェア内部で実行される。Secure Erase は 5220 によるブロック消去の約 1/8 の時間で完了する。

CMRR は政府およびドライブメーカーに対してデータ消去の有効性の検証および認証を行っており、ディスクドライブのデータ消去に関して世界で最も経験豊富かもしれない。CMRR はドライブ内部の技術に関して詳細に理解している数少ない公開組織の 1 つである。CMRR はT13.org の ATA 仕様に SE コマンドを含めるように要求した。この仕様では、Normal Erase モードの場合に SECURITY ERASE UNIT コマンドはユーザーがアクセスできるデータ領域すべてにバイナリーのゼロを書き込まなければならない。ATA によって再割り当てされたブロックにはユーザーがアクセスできないことに注意する必要がある。これらのブロックにはユーザーアドレスがないからである。CMRR の検証テストによれば、このコマンドによる消去のセキュリティーは NIST 800-88 の Purge レベルであるが、これはこのコマンドを持つドライブはユーザービットのランダマイズも行い、その後で磁気メディアに保存するためである。DoD 5220 で要求される消去検証 (忘れられる場合が多い) はドライブ内の書き込み障害検出ハードウェアを使用して行われ、時間が余分にかかることはない。このように実行時間が短縮されるため、ユーザーはドライブ消去をためらわなくなる。CMRR でテスト時間を測定したところ、DOD 5220 の場合は最大数日間を要したが、ドライブの通常の Secure Erase を使用する場合は 15 分から 45 分で完了することができる。

先頭に戻る


データ・サニタイズの実際

すべてのユーザー、連邦政府、商用ドライブ消去製品15 は Secure Erase コマンドを使用することができる。2006 年における最近の平均的な月では、CMRR の Web サイト (http://cmrr.ucsd.edu/hughes/SecureErase.html) で公開しているフリーウェアのセキュア・イレース・ユーティリティーのダウンロード数は 622 であった。この数字は過去の月平均ダウンロード数 109 よりも大幅に高く、これが Secure Erase への関心の高まりによるものであることは間違いない。(2006 年初めの月平均ダウンロード数は 350 であった。)

米海軍省はディスクドライブのデータ消去に対して Secure Erase を許可した。Esconce Data Technology15 などの一部商用ベンダーも Secure Erase を使用した製品を販売している。

 15. Digital Shredder, Ensconce Technology, ensconcedata.com

先頭に戻る


著者について

UCSD の CMRR は、セキュア・イレースその他のデータ・サニタイズ手順の認証を行っています。詳細についての連絡は UCSD CMRR の Gordon Hughes へ。http://cmrr.ucsd.edu/hughes を参照。

Coughlin Associates はデータストレージに関するコンサルティング、およびデータストレージ業界の市場および技術分析を行っています。詳細については、www.tomcoughlin.com をご覧になるか、408-871-8808 にお電話ください。

先頭に戻る