データの完全消去：消去の規格について

飽和磁気記録における、上書きによるデータの消去と、上書きされたデータの復旧の可能性とを技術的な見方から、「HDDでは上書消去されたデータを残留磁気として検出・復旧することは現実的には不可能」であり、また、「磁気力顕微鏡」を使用して１ビットずつ読み出す手法を取っても、記録されたビットの物理的寸法が「磁気力顕微鏡」の能力を超えるほどの微細になってしまっているために不可能であることがわかっています。では、最近のデータ漏洩を防ぐための「完全消去」方法に関する米国の規格はどうなっているのでしょうか。

米国の公的文書・規格・報告書

１．NISP　DoD（米国国防総省）：現時点に於ける「データの完全消去を行うための方法」の根拠とされているのが、NISP（National Industrial Security Program）として1995年2月に発行されたオペレーティングマニュアルDoD（Department of Defense：国防総省） 5220.22-Mで、データの完全消去処理方法について「全てのマッピング可能なセクタに何らかの文字で上書きを行った後、その補数の文字で上書きを行い、さらにランダムな文字コードで上書き処理を行う」という具体的な手法が明記されたことで、世界的にDoD規格の完全消去の方法として有名になり、それ以来現在まで最も有効な方式として信じられているのですが、2006年2月に改訂された同文書では、最高機密の保護を目的とした方法としては「上書き消去」を取り消し、「外部磁界による減磁（消去）」、または「物理的な破壊」のみを最高機密の漏洩防止手段として定めています。[注1]

２．NIST（米国国立標準技術研究所）：2006年9月に発表したSpecial Publication 800-88[注2]では、「2001年以降に生産された、15GBytes以上のATAハードディスクにおいては、データの完全消去は、ATAコマンドとして実装されたSecure Eraseの実行により、ディスク全域に1回のみの上書きを行うことで十分である」。（ATAコマンドの実行では、DCOやHPAなどの隠し領域や、不良セクタとして代替セクタ処理を受けた部分も含めて、論理アドレスが付与された領域全てに上書きが実行される）ことが明記されましたが、2014年12月の改定時には、「1回の上書き」を行うことで「研究所レベルの高度な読み出し方法を試行しても、データの読み出しは不可能である」ことは認めた上で、「SSDなどのフラッシュメモリーを使用した記憶媒体を例に、ウェアレベリングやオーバープロビジョニングを目的とした領域や、製造上存在する余剰な領域などのような、製造者のみが管理する領域の存在を危惧し、「上書き」を媒体の完全な消去のための手段から除外し、「外部磁界による減磁」と、「物理的な破壊」のみに限定しています。[注3]

３．UCSD (カリフォルニア大サンジエゴ校) CMRR (Center for Magnetic Recording Research: 磁気記録研究センター)：2008年6月発表のTutorial on Disk Drive Data Sanitizationは、2006年9月にNISTの発表したSP800-88によって「データの完全消去」の手段として認定されたSecure Eraseが誕生した背景として、UCSDのCMMRが、「DoD 5220.22-Mによって規定された上書き方法（OS上で動作するプログラムを利用した、3回の上書きによる消去）では、論理アドレス（LBA）の付与された範囲しか対処の範囲とされないが、論理アドレスは、実際に使用可能な最大記録容量よりも低く設定される場合があり、また代替処理されたブロックや、隠し領域も対処の範囲外となってしまうことを理由として要求したことを挙げ、また同時に、上書き回数に関わる消去能力評価を行った結果、 1 回でも複数回でも消去能力に差がないことが判明したため、U.S. National Security Agency (米国家安全保障局)が 1 回の上書きに Information Assurance Approval (情報保証承認) を発行したという背景の説明も付け加えています。[注4]
更に、水平（面内）磁気記録方式と垂直磁気記録に用いられる磁気材料の違いによって要求される外部磁界の大きさの違いや、熱アシスト磁気記録やフラッシュメモリーを併用したハイブリッドHDDの登場など、科学技術の発展により、データの完全消去の難易度がますます高度になって行くことに対する懸念も述べています。

まとめ

現在のHDDは、記録密度の向上とコストダウンを目的とした技術の進化により、過去（特に2000年以前）と比べると、同列とすることの出来ないほど進化していて、完全なデータ消去方法についても、過去の報告書や評価結果をそのまま適用することは不適当ですが、技術論としての上書きによる消去は現在も有効で、2001年以降に生産されたHDDにおいては、その上書きを複数回行うことの必要性は全く存在しないことは証明されています。しかし実際は、①パソコンの製造業者が、システムの初期化を目的としたデータを保存しておくために設定した、DCOやHPAと称する隠し領域や、使用中に不良として検出されたセクタの代替処理を行ったブロックなどのOSからは認識不能な領域や、②製造上発生した、論理アドレスの付与されていない余剰領域や、製造工程上で判明した欠陥の代替領域、製造業者だけしか知り得ない動作上に使用される領域など、現存する上書きによる消去を目的としたソフトウェアでは処理することが不可能な領域の存在も危惧されています。

このため、HDDに対して、情報セキュリティを目的とした消去を行う場合は、最新版（2014年12月）のNIST文書SP800-88に従い、HDDの再利用が必要とされない限り、外部磁界による消去や物理的破壊を選択し、再利用が必要な場合など他に選択肢が無く、やむを得ず上書きを選択する場合においても、上書き回数を複数とする必要は無く、OS上で動作するソフトウェアではなくATAコマンドを使用して行うSecure Eraseを用い、隠し領域やユーザの使用中に代替処理されたセクタの消去までを行うことが現時点では最も適切な判断ということができます。

• [注1] NISP (National Industrial Security Program), DoD 5220.22-M (2006)
  https://www.esd.whs.mil/Portals/54/Documents/DD/issuances/dodm/522022M.pdf
• [注2] Special Publication 800-88, NIST_日本語版 (2006)
  https://www.ipa.go.jp/files/000025355.pdf
• [注3] Special Publication 800-88 Revision 1, NIST (2014)
  http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf
• [注4] Tutorial on Disk Drive Data Sanitization
  https://cmrr.ucsd.edu/_files/data-sanitization-tutorial.pdf