AR380-19、DoD5220.22-M、NIST SP 800-88等の規格がありますが、メディアの進化は著しく、また、規格では十分に表記されていない部分も多くあるため、それぞれの企業において消去ポリシーを定めて行う必要があるように思われます。

考慮すべきポイント

代替処理済みセクター（Reallocated sector）の考慮

ハードディスクにおいては、ディスク表面の不良などによって、ある箇所（セクタ）でエラーが頻発するようになると、ディスクはあらかじめ予備として持っているエリアを、その不良セクタの代替として割り当てることにより、不良セクタを切り離します。切り離された不良セクタは、ディスク外部からのソフトウェア処理においてアクセスすることはできなくなります。
そのため、通常レベルの消去において重大な問題になることはないと思われますが、厳しいセキュリティが要求されるケースでは、代替処理済みセクタについて考慮する必要があります。


SSD等フラッシュメモリメディアにおける"Wear Leveling"への対応

フラッシュメモリには、書き換え回数に有限な限度があるため、SSD等では、同じ個所に書き込みが集中しないよう、書き込み箇所を平均化する機構(Wear Leveling)が組み込まれているケースが多くなっています。（「セキュア消去について」参照）
そのため、セキュア消去・サニタイズが可能なSSD等の場合は、「NIST SP 800-88」の区分で"Clear"レベルにおいても（「ディスク消去の規格」参照）、非常に大切な方法となります。
しかし、ATAコマンドを処理しないUSBメモリ、また、セキュア消去・サニタイズに対応していないSSD等においては、十分な"Clear"ができない可能性があります。そのため、非常にセキュリティレベルの高い場合"Physical Destruction"を行うことを推奨します。
また、そこまでのセキュリティレベルは要求されない場合、「ピーマンPRO」で４回、あるいはそれ以上の回数消去を行うことで、データが残るリスクを少なくすることが可能であると考えられます。

SSD等フラッシュメモリメディアにおける非割り当て領域への対応

フラッシュメモリでは、上記"Ware Leveling"に加え、消去処理の時間を短縮するためにも、メモリエリアの割り当て変更を頻繁に行っているものが多くあります。そのため、非割り当て領域にあるメモリには、通常の方法ではアクセスできませんが、データが残っている可能性があります。
非割り当て領域の消去は、セキュア消去・サニタイズ処理が必要になります。


RAIDディスクの考慮

サーバー系では多くのディスクがRAID構成されています。
「ピーマンPRO」等、汎用ソフトウェアからは、RAID構成のディスクには、論理ディスク単位でアクセスし、消去処理も論理ディスク単位で行われます。
RAID1（ミラー）であれば、２台のディスクに同じ値を書き込みます。RAID5/6等については、厳密には全物理ディスクに対し、指定した値によるクリアが行われるわけではありません。パリティ値の書込みが行われる物理ディスクが存在します。その値から元のデータを復元することは実質不可能とは思われますが、厳密な値書込みを要求する場合、１論値ディスク＝１物理ディスクという設定に変更して、消去処理を行ってください。
また、スペアドライブについても、見逃すことなく考慮する必要があります。


HPA・DCO・リカバリエリア等の考慮

デスクトップ/ノートPCにおいて、リカバリエリア等が用意されている場合があります。
リカバリエリアのしくみはメーカーによりさまざまですが、ディスク消去の際、そのエリアにユーザーがどの程度アクセスし、書き込みが行われているかどうか、リカバリエリアを消去してもいいのかなどを考慮する必要があります。

リカバリエリアの構成のひとつの方法として、ATA(PATA,SATA)ディスク規格にある、HPA(Host Protected Area)を設定している場合があります。HPAが設定されている場合、ディスクの設定容量以降の部分はソフトウェアからアクセス不可となり、ソフトウェアからは、実際より小さい容量のディスクとして認識されます。アクセス不可のエリア(Protected Area)にリカバリ情報が保存され、リカバリの際には、HPA設定を無効にして行われます。
そのため、ユーザーがHPAに関する設定変更を行わない限り、そのエリアにデータ等が書き込まれることはありません。
通常の消去処理は、HPAを無効にしない限り、Protectされたエリア以外の部分のみとなります。
※ただし、セキュア消去では、HPA設定を無視し、全ディスクが消去されます。

「ピーマンPRO」ではHPAを無効にできるオプションを用意しています。Protectされたエリアも含め、全ディスクを消去する場合は、このオプション指定を行ってください。

ハードディスクには、もうひとつ、ディスク容量を実際より小さくする設定があります。DeviceConfigurationOverlay（DCO)と呼ばれる方法で、ディスクサイズの他、データ転送速度など、本来のディスク性能以下に設定を行うものです。DCOは、主にPCメーカーが、異なる型番のディスクの仕様を他と統一するなど、ディスク出荷時に限られた目的で使用されるものです。そのため、通常はDCOによってディスクが本来のサイズより小さく設定されていても、アクセスできないエリアにデータが書き込まれて残っていることはほとんどありません。
※エンハンストセキュア消去ではDCOを含む全領域が消去されます。通常のセキュア消去では、DCO設定エリアは消去されません。

「ピーマンPRO」ではDCOによりディスクサイズが小さく設定されているかの情報表示、および、DCO設定の解除ができる機能を用意しています。DCOを解除すると、HPAも無効になります。

DCOは、HPAより上位の制限で、HPAはDCOで制限された内部での容量制限のしくみです。
例：
ディスク全容量   100,0000  DCO制限 900,000
この状態でHPAは、DCOで制限された内部900,000以下での設定となります。

ディスク全容量   100,0000  DCO制限 900,000 HPA 800,000

参照：
「CD、USBメモリからの起動」「gphj」起動
「起動環境作成時の共通オプション」HPAを無効にしてディスク全体消去


リカバリエリアが、通常どおりアクセス可能なエリアに存在する場合（別パーティション等）、通常の消去においても、そのエリアも含めディスク全体の消去が行われます。

「起動消去プログラム」での、「代替処理済みセクター」「HPA」「セキュア消去」の確認画面


「Windows消去プログラム」での、「代替処理済みセクター」「HPA」「セキュア消去」の確認画面



メディア毎の処理ポリシー例

"NIST SP 800-88"掲載の方法に加え、"Wear Leveling"を考慮に入れた場合の推奨される方法（弊社による推奨）をまとめてみます。

それぞれのメディアにおける処理方法

メディア Clear Purge Physical Destruction ピーマンPROでの処理 フロッピー ディスク (Floppies) データの上書き 専用装置で、磁気的破壊を行う(Degauss)。 焼却(incinerate)、断片化(shred) Clear ATA(PATA,SATA) ハードディスク データの上書き ATAセキュア消去を行う。 または、 専用装置で、磁気的破壊を行う(Degauss)。 破壊(disintegrate)、断片化(shred)、粉砕(pulverize)、焼却、融解(incinerate) Clear,Purge ATA以外(SCSI,SAS等) ハードディスク データの上書き 専用装置で、磁気的破壊を行う(Degauss)。 破壊(disintegrate)、断片化(shred)、粉砕(pulverize)、焼却、融解(incinerate) Clear Flush メモリメディア （SSD等） ・SecureErase可 ATAセキュア消去を行う ATAセキュア消去を行う 破壊(disintegrate)、断片化(shred)、粉砕(pulverize) Clear,Purge Flush メモリメディア (SSD,USBメモリ等) ・SecureErase不可 ・Wear Levelingあり データの上書き（複数回）(*注) あるいは、Physical Destruction Physical Destruction 破壊(disintegrate)、断片化(shred)、粉砕(pulverize) Clear Flush メモリメディア (SSD,USBメモリ等) ・SecureErase不可 ・Wear Levelingなし データの上書き データの上書き 破壊(disintegrate)、断片化(shred)、粉砕(pulverize) Clear

(*注)データの上書き（複数回）
でも、データが残る可能性があります。


消去回数の考慮

"NIST SP 800-88"においては、１回の書き込みで適切（adequate）とされています。しかし当然のことながら、より多くの回数書き込んだ方が、ベターであることに変わりはありません。
また、書き込みエラーが発生する場合などにおいては、何回か書き込みを行った方が、少しでも書き込みが行われる可能性が高くなり、より望ましいと言えます。
そのため、時間的に猶予があれば、最低限２回程度の書き込みを行うことをお勧めします。特にエラーが発生しているディスクにおいては、４回など、より多くの回数書き込みが必要です。
※「ピーマンPRO」では、エラー時に、セクタ単位に詳細なリトライを行う機構を持っています。

読み込み検証は、いずれの場合も重要なステップとなります。
ディスクへの「書き込み処理」は、あくまでソフトウェア的には「エラーが返されないで書き込み処理が終わった」処理であり、物理的に書き込まれたかどうかを再度読み込みし、検証を行っているわけではありません。したがって、書き込み時エラーが発生しなくても、確実に書き込まれたかどうかは１００％確実とは言えないのです。読み込み検証によって、実際のディスクの状態が確認できます。

セキュア消去において、「ピーマンPRO」では、２回消去(セキュア消去+00通常書き込み）、３回消去(セキュア消去+ランダム+00通常書き込み）のメニューを用意しています。
これは、セキュア消去ではその仕様上、書き込みエラーを把握できないために、通常の書き込み処理が必要なことと、エンハンストセキュア消去では、書き込まれる値が必ずしもゼロではないため、ゼロ書き込みを行い、消去された状態を把握しやすくするためのものです。
セキュア消去においても、読み込み検証は重要なステップです。

エンハンストセキュア消去では、代替処理された不良セクタにも書き込みを行いますが、２回目以降の書き込みは、不良セクタへの書き込みは行われません。ただし、不良セクタは「不良」であるために、書き込み処理によってどの程度「消去」されたのかどうかは、厳密には把握できません。
また、HPA（HostProtectedArea)（*注）が設定されている場合、セキュア消去では、HPAを無視し、ディスク全体の処理、２回目以降の書き込み、検証は、HPAを除く、制限されたエリアのみの処理になることに注意してください。

(*注)HPA （HostProtectedArea)
HPAは、ディスクに対し、ソフトウェアからアクセスできる範囲を先頭から一定のエリアまでに制限する設定です。
HPAが設定されたディスクでは、ソフトウェアからは、ディスク全体ではなく、先頭から一部だけの容量の小さいディスクとして認識されます。
HPAは、リカバリエリアなどとして、メーカーにより設定されているケースがあります。その場合、セキュア消去、HPAを無効にした処理では、リカバリエリアも消去されますので注意してください。