ひねり出したメモ

主にコンピューター関連の話を書きます。

HDD・SSDなどに記録されたデータを消去する際の上書き回数(NIST SP 800-88 rev.1「媒体のデータ抹消処理(サニタイズ)に関するガイドライン」より)

セキュリティ

まえがき

HDDなどに記録されたデータを消去する際の上書き回数について調べると、 35回上書き1するGutmann方式(1996年発表)や、3回上書き[^1]するDoD 5220.22-M規格(1995年発表)などが見つかりますが、 「上記の規格は古く、現在のHDDでは1回の上書きで十分」という情報も見つかります。

また、フラッシュメモリー(SSD、SD、USBメモリー)の場合、ウェアレベリング(書き込み場所を分散させメディアの寿命を延ばす処理)が行われるため、 上書きが困難という情報も見つかります。参考URL

そこで、記録メディアの上書き回数についてより新しい基準がないか調べたところ、 NIST(米国国立標準技術研究所)のSP 800-88 rev.1 (2014年12月)「媒体のデータ抹消処理(サニタイズ)に関するガイドラインという文章を IPAが翻訳していることを知りました。

「媒体のデータ抹消処理(サニタイズ)に関するガイドライン」には、電子媒体のほか、紙などの抹消方法や組織内での運用、消去後の検証についても記載がありますが、 この記事ではHDDなどの上書き回数に限ってまとめています。

なお、翻訳版は下記のURLにあります。
https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000094547.pdf

データ抹消処理の種類

ガイドラインではデータ抹消処理を消去(Clear)除去(Purge)破壊(Destroy)の3種類に分類しており、 抹消処理と記録媒体の種類ごとに処理方法が記載されています。

各処理方法の定義はガイドラインの「2.5 データ抹消処理の種類」に記載されています。

消去

消去(Clear)は、すべてのユーザアドレス指定可能なストレージ領域のデータに対してデータ抹 消処理を行うための論理的な技術を適用し、単純な非侵襲のデータ回復技術から保護する。通常 は、新しい値で書き換えたり、メニューオプションを使用してデバイスを工場出荷時の状態にリ セットしたりする(書き換えがサポートされていない場合)など、ストレージデバイスへの標準 的な読み書きコマンドを介して実行される。

除去

除去(Purge)は、物理的又は論理的な技術を適用して、最先端の研究室レベルの技術を使用し ても対象データの回復を不可能にする。

破壊

破壊(Destroy)は、最新の研究室レベルの技術を使用しても対象データの回復を不可能にし、且 つその後のデータの保存に当該媒体が使用できないようにする。

それぞれの処理方法の詳細はガイドラインの「5 データ抹消処理方法のまとめ」に記載されています。

HDDやSSDなどの上書きに限れば、消去は「デバイスの標準的な読み書きコマンドを使用」、 除去は「専用の標準化されたデバイスのデータ抹消処理コマンドを使用」という違いがあるようです。

消去の説明には「機微データが保持されている可能性のあるデバイスのすべての領域に対応できない場合がある」とあり、 例としてフラッシュメモリーのウェアレベリングが挙げられています。

除去の場合は、「一般的な読み書きコマンドに内在する抽出機能を迂回するように媒体固有の技術を適用する」とあり、 おそらくウェアレベリングのような処理を迂回して確実に上書きするのが除去になると思われます。

上書き回数

上書き回数についてはガイドラインの「付録 A - 最低限のデータ抹消処理についての推奨事項」に記載されています。

HDDの場合

HDDは4種類が記載されています。

  • 磁気ディスク(フレキシブル又は固定)
  • ATA ハードディスクドライブ
  • SCSI ハードディスクドライブ
  • 外付けローカル接続ハードドライブ

消去の上書き回数については、4種類とも「すべて 0 の列などの固定データ値を持つ少なくとも 1 回書き込みパスであるべきである。複数の書き込みパスやより複雑な値もオプションとして使用することができる」と記載されています。

除去の場合、ATASCSIでは接続方式ごとの機能を使用して上書きする方法が記載されていますが、 「磁気ディスク(フレキシブル又は固定)」では上書きによる除去は記載がなく、消磁による除去のみ記載があります。 おそらく「磁気ディスク(フレキシブル又は固定)」は接続方式に関係なく利用できる方法を記載していると思われます。

フラッシュメモリーの場合

SSD

SSDは3種類が記載されています。

  • ATA ソリッドステートドライブ
  • SCSI ソリッドステートドライブ
  • NVM Express SSD

消去の上書き回数については「すべて 0 の列などの固定データ値を持つ少なくとも 1 回パスの書き込みで構成されるべきである。複数パスやより複雑な値も代替として使用することができる。」となっています。 また「マッピングされていない物理媒体のデータ抹消処理が行えない(つまり、古いデータが当該媒体上に残っている)可能性があることに留意することが重要である」との注意書きがあります。 ただしNVMeのみ注意書きがありません。2

除去の場合は、接続方式ごとの機能を使用して上書きする方法が記載されています。

USBメモリーやSDカード

USB リムーバブル媒体(USBメモリー)、メモリカード(SD、SDHC、MMC)の場合は、 「消去パターンは少なくとも 2 回パスであるべきであり、1 回目パスにパターンを、2 回目パスにその補数3を含むようにする。追加のパスを使用することもできる。」となっています。

  1. 上書き回数だけでなく書き込む内容も規定されている。
  2. なんでだろう?
  3. 反転させたパターンを書き込めばよいのだろうか?