「ピーマンPRO」オンラインマニュアル    

←前ページ

↑メニュー

次ページ→

消去方法について-> セキュア消去について


セキュア消去(Secure Erase)、サニタイズ(Sanitize)とは


ピーマンPRO「起動消去プログラム」には「セキュア消去(Secure Erase)」「サニタイズ消去(Sanitize)」の機能があります。
セキュア消去は、通常の消去に比べ、安全性、処理速度の面で優れていますが、実行環境に制限があったり、ソフトウェアのコントロール外で処理が行われるための不確実さがあるなど、その特徴を十分理解したうえでご使用ください。
サニタイズは、セキュア消去より新しい規格で、対応ハードディスク、SSDであれば、実行環境の制限はなく、より容易に実行できます。また、実行中の進行状況の把握が可能になったことで、より確実に消去が可能です。ただし、サニタイズ対応ディスクは、セキュア消去対応のものよりは少ないのが現状です。

「ピーマンPRO」(ver4.6.x以降)での対応
・ATA(IDE,SATA)ディスク(SSDを含む)  ・・・ セキュア消去・サニタイズ
・NVMeドライブ ・・・ セキュア消去
・eMMCドライブ ・・・ セキュア消去・サニタイズ
・その他(SCSI、RAID等) ・・・ 通常の消去のみ


通常の消去処理

ピーマンPROも備える通常の消去処理は、場所、値を指定してデータを書き込む処理を、全ディスクエリアに対して行うことで実現されています。

セキュア消去・サニタイズの処理

セキュア消去、サニタイズ処理は、ATA規格のディスク(PATA(IDE),SATA)、NVMe, eMMCにおいて、ディスクそのものが備える、消去のための機能です。
対応したディスクに、セキュア消去・サニタイズを行うコマンドを送ることにより、ディスク内部で消去処理が実行されます。

セキュア消去・サニタイズが推奨される場合

1.「代替処理されたセクタ」が多く存在する場合
ハードディスクはセクタと呼ばれる単位(通常512バイト)で処理されます。ディスク表面の不良などによって、ある場所でエラーが頻発するようになると、ディスクはあらかじめ予備として持っているエリアを、その不良セクタの代替として割り当てることにより、不良セクタを切り離します。

不良セクタには、なんらかのデータが残っている可能性がありますが、切り離された不良セクタには、ソフトウェアからは一切アクセスできないため、通常の消去処理では消去できません。
セキュア消去にも2種類あり、通常のセキュア消去(SecureErase)では、不良セクタの消去は行われませんが、エンハンストセキュア消去(Enhanced Secure Erase)では、不良セクタも含めた消去が行われます。サニタイズ処理においても、不良セクタも含めた消去が行われます。

不良セクタは、ソフトウェア処理ではアクセスはできないこと、また「不良」であるため、読み取りの可能性も低いこと、セキュア消去でも完全に消去可能かどうかも不定であること(不良であるため)も考慮する必要があります。

「代替処理されたセクタ」数は、「ピーマンPRO」の画面で確認することができます。

※「起動消去プログラム」でのディスク詳細情報表示画面

2.SSD(ATA)、NVMe、eMMCなどのメモリメディア
フラッシュメモリには、書き換え回数に有限な限度があるため、SSD等では、同じ個所に書き込みが集中しないよう、書き込み箇所を平均化する機構(Wear Leveling)が組み込まれているケースが多くなっています。
これらの機構では、ソフトウェアが指定する書き込み位置(セクタ)と、実際に書き込みが行われるメモリセルの対応付けが動的に変更されることになります。そのため、ディスク全体に対し書き込み(消去)を行ったとしても、必ずしも搭載されているメモリ全体が消去されないケースが発生します。
また、通常の書き込みに際し、時間のかかる消去処理を回避するために、対象メモリエリアの消去を行わず、エリアの置き換え処理が行われる場合もあります(メモリの動的マッピング)。
セキュア消去・サニタイズに対応したSSD(ATA)、eMMC等では、規格としてセキュア消去・サニタイズの処理により”Wear Leveling”、メモリの動的マッピングを回避し、搭載されている全メモリセルを消去できるとされています。

3.処理速度を要求する場合
セキュア消去・サニタイズの処理は、ディスク内部で実行されるため、そのディスクハードウェアの持つ最高の処理速度で実行されます。そのため、通常の消去に比べ早い処理が可能です。
特に、フラッシュメモリ(SSD、NVMe、eMMC)に関しては、セキュア消去・サニタイズの処理の方が、かなり早くなります。
ただ、ハードディスクであれば、「ピーマンPRO」における通常の消去処理は非常に高速に処理を行いますので、セキュア消去には及ばないものの、若干のプラス時間で処理を行うことが可能です。

ディスク消去に必要な時間」参照。 


セキュア消去・サニタイズの問題点

セキュア消去・サニタイズは、上記のように優れた点がいくつもありますが、以下の問題もあります。
・処理の可能な環境が限られている。(下記「セキュア消去・サニタイズの詳細」参照)
・特にサニタイズは、対応しているHDD,SSDが多くはない。
・ソフトウェアのコントロール外の処理であるため、状態の把握ができない、処理の内容がメーカーの実装に依存し知ることができない、書き込みエラー等の発生があってもわからないなどがあります。
そのため、「ピーマンPRO」においては、セキュア消去・サニタイズの後、通常の方法で書き込む処理を行い、その後、内容の読み取り検証を行う方法用意しています。
  

セキュア消去・サニタイズの詳細


ATA(SATA)セキュア消去の処理内容

セキュア消去には、通常の「セキュア消去」(Secure Erase)と「エンハンスト セキュア消去」(Enhanced Secure Erase)の2種類があります。
「エンハンスト」の方が、より新しく、より確実な消去方法です。ディスクがエンハンストに対応している場合は、「ピーマンPRO」では自動的にエンハンスト処理を行います。

・「セキュア消去」
ディスク全体をゼロで消去する。代替処理された不良セクタは消去されない

・「エンハンストセキュア消去」
ディスク全体をゼロ、または、メーカーの定める値で消去する。代替処理された不良セクタも消去される
※ランダム値が書き込まれるなど、ディスク全体に同じ値が書き込まれない場合があります。そのため、直後の読み込み検証処理では検証エラーとなる場合があります。

また、処理にかかる時間は、あらかじめメーカーが定めた値がディスクに書き込まれており、「ピーマンPRO」では、その値を読み取って画面で表示させています。

ATA(SATA)サニタイズの処理内容

サニタイズ処理では、代替処理された不良セクタ、非割り当てエリアを含む、全ユーザーエリアが消去されます。
ATA規格のサニタイズ処理には以下の3種類があります。
・CRYPTO SCRAMBLE ・・・ 暗号化対応HDD/SSDにおいて、暗号化キーを削除。
・BLOCK ERASE ・・・ 特にSSDにおいて、メモリブロックの消去処理を行う。
・OVER WRITE ・・・ 上書き処理にによって消去を行う。

「ピーマンPRO」においては、以下の処理を行います。
〇:対応 ×:非対応 −:任意
CRYPT BLOCK
ERASE
OVER WRITE 処理内容
- CRYPT SCRAMBLE + BLOCK ERASE
× CRYPT SCRAMBLE + OVER WRITE
× × CRYPT SCRAMBLE
× - BLOCK ERASE
× × OVER WRITE


NVMeセキュア消去の処理内容

NVMeドライブでは、搭載されているメモリは使用可能容量より大きく、使用メモリの割り当てを常に変えながら、使用可能容量が構成されています(動的なメモリマッピング)。NVMeのセキュア消去では、割り当てられていない領域も含め、装置全体ついて消去処理を行います。
装置が複数のドライブ(NameSpace)に分けられている場合、機種によっては選択外のドライブも含め、装置全体が消去されますので注意してください。

eMMCセキュア消去・サニタイズの処理内容

eMMCドライブでは、搭載されているメモリは使用可能容量より大きく、使用メモリの割り当てを常に変えながら、使用可能容量が構成されています(動的なメモリマッピング)。eMMCフラッシュメモリのサニタイズ処理では、使用可能容量全体についてメモリ消去(Erase)処理を行った後、非割り当てエリアについて消去(サニタイズ)処理を行います。そのことで、メモリ全体からデータの痕跡を消去します。
セキュア消去では、使用可能容量についてのみ、メモリ消去(Erase)処理を行います。

「ピーマンPRO」においては、サニタイズ対応の場合は、サニタイズ処理、サニタイズ非対応(セキュア消去対応)の場合は、セキュア消去を行います。


ディスク/インタフェースの対応

セキュア消去を行う場合、まずは、そのディスク単体が、セキュア消去の規格に対応していないといけません。
近年出回っている、ATA(PATA、特にSATA)ディスクであれば、ディスク自体は対応しているケースが多いようです。ただし、100G未満の数年前のディスクでは、エンハンスト処理には対応していな場合も多く見受けられます。
サニタイズ処理は、非対応ディスクは多く存在します。

ディスクが対応していることに加え、使用しているディスクインタフェース(ハードウェア、ソフトウェア共)が、セキュア消去のためのATAコマンド処理を通過させるものでなくてはいけません。
例えばPCオンボード、インテルチップセット(ICH7,8,9,10等)接続のSATA、PATAは処理可能なケースが多いですが、同じディスクでも、USB接続等では処理できないケースが多く存在します。


処理の可否状態

ディスク、インタフェースが対応している状態であっても、ディスクの状態によって、処理ができないケースがあります。


※「Windows消去プログラム」(gppro4.exe)でのディスク詳細情報表示画面

セキュア消去 凍結(Frozen)状態
ディスクに対し凍結(Frozen)コマンドが送られ、凍結状態になっているとセキュア処理関連の一切の処理を行うことができません。
凍結は、ディスクの電源を一旦切り、再度ONになると自動的に解除されます。凍結状態は、セキュア消去に対する凍結であって、通常のディスクの読み書き等の使用においては、一切関係はありません。

多くのPCにおいて、BIOSにより、起動時に一斉に凍結コマンドが全ディスクに送られています。
それは、ウイルス等、悪意のあるソフトウェアが、ディスクに対しパスワードを設定したり、消去を行うことを回避するためのものです。
そのようなPCでは、本来ディスクは電源がONになった時には必ず凍結は解除されているのですが、その直後BOISが凍結コマンドを無条件に送るため、PCの起動後ディスクの状態を見ると、凍結状態になってしまうのです。

凍結状態を解除するには、BIOSの設定変更により、Freezeコマンドを送らないようにするか、そのようなコマンドを送らないPCにディスクを接続する方法をとることが必要です。ソフトウェア処理により解除することはできません。
PCが起動している状態で、ディスクの電源をOFF/ONすることでも可能ではありますが、ディスクその他を破壊する危険がありますので、その危険性を十分認識したうえで、ユーザー責任において行ってください。
※一般的に、SATA電源は、抜き差ししても比較的安全な場合が多いと思われます。IDE電源は不可です。

セキュア消去 ハードディスクパスワード、ロック状態
セキュア消去の規格のひとつとして、ハードディスクパスワードの設定があります。
パスワードを設定したディスクの電源をOFF/ONすると、ディスクは「ロック状態」となり、読み書きを含むディスクに対するアクセスが一切できなくなります。
「ロック状態」を解除するには、設定したパスワードでロック解除を行うか、パスワードを削除する必要があります。当然ながら、パスワードがわからないと、ロック解除/パスワード削除はできません。

・凍結状態
リード/ライト可能。パスワード設定、解除、ロック解除不可。セキュア消去不可。
コマンドにより解除不可能。

・ロック状態
リード/ライト不可。セキュア消去不可。
ロック解除/パスワード削除コマンドにより状態解除可能。パスワードが必要。


セキュア消去・サニタイズの処理手順


「ピーマンPRO」では一連の処理を、内部で自動的に行いますので、特に意識していただく必要はありません。
ただし、セキュア消去・サニタイズが途中で中断した場合など、知っておいていただくと、その後の回復が容易になります。

ATAディスクで、セキュア消去を行うには、あらかじめハードディスクパスワードを設定し、セキュア消去処理の際に指定しなければいけません。「ピーマンPRO」では、ディスクパスワード(master)として "pass"を設定し、処理を行っています。

セキュア消去が中断された場合の問題

セキュア消去の処理が途中で中断した場合などは、ディスクの消去が完了していません。
もう一度消去処理を実行してください。

ATAディスク・サニタイズが中断された場合の問題

対応している仕様によっては、次回ON時に、サニタイズ処理が継続されます。
その場合、通常の読み書きができない状態になります。
サニタイズ処理が終了するまで、電源をONにしたまま放置する必要があります