消去方法について-消去における規格

「ピーマンPRO」オンラインマニュアル

消去方法について-> 消去における規格

ディスク消去における規格について

ディスク消去において、アメリカの国家機関を中心に、1990年代以降さまざまな規格が策定されてきました。
しかし、近年のディスク容量の増大、ＳＳＤ等のメモリメディアの普及により、消去に要求される手法は大きき様変わりしてきています。

「ピーマンPRO」では、３回書き込みにおいて、「米陸軍準拠方式 (AR380-19)」(1998年2月)に準拠し、４回書き込み＋検証において「米国防総省基準(DoD5220.22-M Sup.1）」(1995年2月)に準拠しています。ただし、これらの規格はもはや古いもののなり、近年では、2014年12月に改定された「アメリカ国立標準技術研究所(NIST SP 800-88 Rev1)」 (2014年12月)に移りつつあります。
NIST 800-88　は、単に消去における書き込みパターンを定めたものではなく、どのように廃棄するかの決定方法から、HDD、SSD等の個別メディア毎の扱いまでの言及があり、消去の担当者の方には、一読されることをお勧めします。

以下、それぞれの規格の概要を説明します。

米陸軍(US Army) AR380-19 規格の概要

US Army Information Systems Security (AR380-19) ,27-Feb-98

３回の上書き処理を行う

全個所を３回上書きする。
１回目はランダム値、２回目はある値、３回目はそのほ補数値。

Appendix F Clearing, Sanitizing, and Releasing Computer Components
Overwrite all locations three times (first with random charactor, second time with a specified charactor,third time with the compliment of the specified charactor.

米国防総省（Secretary of Defense) DoD5220.22-M 規格の概要

DoD5220.22-M Supplement 1 ,Feb-1995

３回の上書き処理とその確認を行う

全個所をある値で上書き、次にその補数、次にランダム値で上書きする。
その後全セクタが、上書きされたことの確認、エラーセクタの無いことを確認する。
※「ピーマン」では、確認の容易さと、より確実な消去のため、４回目にゼロのステップを加えています。

Overwrite all locations with a character, its complement, then with a random
character.
Verify that all sectors have been overwritten and that no new bad sectors have
occurred.

以降の改訂版において消去方法については、管轄の安全保障局(CSA)に委ねられ、具体的な方法についての言及は無くなっている。

CSA: Cognizant Security Agency. These agencies include the Department of Defense (DoD), Department of Energy (DOE), Central Intelligence Agency (CIA), and Nuclear Regulatory Commission (NRC).

DoD5220.22-M Feb-2006
Clearing and Sanitization. Instructions on clearing, sanitization and release of IS(Infomation system) media shall be issued by the accrediting CSA.

DoD5220.22-M Incorporating Change 1 ,Mar-2013
Clearing and Sanitization. Instructions on clearing, sanitization and release of IS media shall be issued by the accrediting CSA.

DoD5220.22-M Incorporating Change 2 ,May-2016
Sanitize or destroy ISs media before disposal or release for reuse in accordance with procedures established by the CSA.

非公式に出された以下のリビジョンにおいてのみ、非公式なコメントとして消去方法についての記載が見られる。
ハードディスクの消去（Clear): 全エリアをある一つの文字で上書きする

DoD 5220.22-M Incorporating Change 1 with inline ISLs Compiled May 2, 2014
Non-Removable Rigid Disk: Overwrite all addressable locations with a single character.

米国立標準技術研究所(NIST) SP 800-88 規格の概要

NIST: National Institute of Standards and Technology （アメリカ国立標準技術研究所）

NIST Special Publication 800-88 Guidelines for Media Sanitization (NIST SP 800-88) September, 2006

2001年ごろ以降のディスクの消去は、１回書き込みが適当（adequate）

15GBを越えるような、2001年以降のディスク等では、書き込み密度が非常に高くなったことにより、以前のように数回の書き込みではなく、１回上書きすれば適当である。

That is, for ATA disk drives manufactured after 2001 (over 15 GB) clearing by overwriting the media once is adequate to protect the media from both keyboard and laboratory attack.

削除・破壊(sanitize)のタイプは４つに分類される

Disposal、Cleaning、Purging、Destroying
の４種類に分類され、廃棄するものによって適切に使い分ける必要がある。

削除・破壊(sanitize)か、廃棄(disposition)の決定について

セキュリティの重要性、再利用するか、組織のコントロールから離れるかどうかなどの要素を考慮し、決定を行う。
また、その処理の確認プロセス、および、ドキュメント化が必要。

それぞれのメディアにおける処理方法

メディア

Clear

Purge

Physical Destruction

フロッピー
ディスク
(Floppies) データの上書き専用装置で、磁気的破壊を行う(Degauss)。焼却(incinerate)、断片化(shred)

ATA(PATA,SATA)
ハードディスクデータの上書き ATAセキュア消去を行う。
または、
専用装置で、磁気的破壊を行う(Degauss)。破壊(disintegrate)、断片化(shred)、粉砕(pulverize)、焼却、融解(incinerate)

ATA以外(SCSI,SAS等)
ハードディスクデータの上書き専用装置で、磁気的破壊を行う(Degauss)。破壊(disintegrate)、断片化(shred)、粉砕(pulverize)、焼却、融解(incinerate)

Compact Flash Drives, SD データの上書き Physical Destruction 破壊(disintegrate)、断片化(shred)、粉砕(pulverize)、焼却、融解(incinerate)

USB Removable Media データの上書き Clear 破壊(disintegrate)、断片化(shred)、粉砕(pulverize)

NIST Special Publication 800-88 Guidelines for Media Sanitization (NIST SP 800-88) Revision 1 December, 2014

磁気メディアは、１回書き込みによりデータの取得はできなくなる

磁気メディアを使用するストーレッジは、ある例えばゼロ(00)のような固定位置を１回を書き込むことにより、実験室での手法を用いても、書き込まれていたデータを取得することはできない。
本来の読み書きのためのインタフェースを通しての上書き処理において、大きな欠点としては、現在割り当てられていない領域（エラー領域や、非割り当て領域）にはアクセスできないということ。

For storage devices containing magnetic media, a single overwrite pass with a fixed pattern such as binary zeros typically hinders recovery of data even if state of the art laboratory techniques are applied to attempt to retrieve the data.
One major drawback of relying solely upon the native Read and Write interface for performing the overwrite procedure is that areas not currently mapped to active Logical Block Addressing (LBA) addresses (e.g., defect areas and currently unallocated space) are not addressed.

削除・破壊(sanitize)のアクションには３種類

Clear: 通常のRead/Writeインタフェースを通して、全エリアを上書き処理。通常の方法でのデータ取得を困難にする。
Purgr: 物理、論理的方法を用い、実験室レベルでのデータ取得を困難にする。
Destroy: 実験室レベルでのデータ取得を困難にすると共に、データ装置の再利用も不可にする。

削除・破壊(sanitize)か、廃棄(disposition)の決定について

セキュリティの重要性、再利用するか、組織のコントロールから離れるかどうかなどの要素を考慮し、決定を行う。
また、その処理の確認プロセス、および、ドキュメント化が必要。

それぞれのメディアにおける処理方法

メディア

Clear

Purge

Physical Destruction

フロッピー
ディスク
(Floppies) 全エリア１回上書き+検証(10%以上) 専用装置で、磁気的破壊を行う(Degauss)。焼却(incinerate)、断片化(shred)

ATA(PATA,SATA)
ハードディスク全エリア１回上書き+検証(10%以上) ATAサニタイズ/セキュア消去+検証(10%以上)

または、
専用装置で、磁気的破壊を行う(Degauss)。破壊(disintegrate)、断片化(shred)、粉砕(pulverize)、焼却、融解(incinerate)

ATA(PATA,SATA)
SSD 全エリア１回上書き+検証(10%以上)
ATAセキュア消去+検証(10%以上)
ATAサニタイズ+検証(10%以上) 破壊(disintegrate)、断片化(shred)、粉砕(pulverize)、焼却、融解(incinerate)

SCSI
(SCSI,SAS)
ハードディスク全エリア１回上書き+検証(10%以上) SCSIサニタイズ処理+検証(10%以上)

専用装置で、磁気的破壊を行う(Degauss)。破壊(disintegrate)、断片化(shred)、粉砕(pulverize)、焼却、融解(incinerate)

NVMe
(SSD) 全エリア１回上書き+検証(10%以上)

NVMe Format(セキュア消去)+検証(10%以上)
破壊(disintegrate)、断片化(shred)、粉砕(pulverize)、焼却、融解(incinerate)

Memory Cards
(SD, MMC, etc) 全エリア１回上書き N/A 破壊(disintegrate)、断片化(shred)、粉砕(pulverize)、焼却、融解(incinerate)

USB Removable Media 全エリア１回上書きサニタイズが実行可能であればサニタイズ破壊(disintegrate)、断片化(shred)、粉砕(pulverize)、焼却、融解(incinerate)