「ピーマンPRO」オンラインマニュアル    

←前ページ

↑メニュー

次ページ→

消去方法について-> 消去方法についての考慮点・推奨方法


AR380-19、DoD5220.22-M、NIST SP 800-88等の規格がありますが、メディアの進化は著しく、また、規格では十分に表記されていない部分も多くあるため、それぞれの企業において消去ポリシーを定めて行う必要があります。

考慮すべきポイント


代替処理済みセクター(Reallocated sector)の考慮

ハードディスクにおいては、ディスク表面の不良などによって、ある箇所(セクタ)でエラーが頻発するようになると、ディスクはあらかじめ予備として持っているエリアを、その不良セクタの代替として割り当てることにより、不良セクタを切り離します。切り離された不良セクタは、ディスク外部からのソフトウェア処理においてアクセスすることはできなくなります。
そのため、通常レベルの消去において重大な問題になることはないと思われますが、厳しいセキュリティが要求されるケースでは、代替処理済みセクタについて考慮する必要があります。
代替処理済みセクターの消去は、エンハンストセキュア消去・サニタイズ処理が必要になります。


SSD等フラッシュメモリメディアにおける"Wear Leveling"への対応

フラッシュメモリには、書き換え回数に有限な限度があるため、SSD等では、同じ個所に書き込みが集中しないよう、書き込み箇所を平均化する機構(Wear Leveling)が組み込まれているケースが多くなっています。(「セキュア消去について」参照)
そのため、通常の上書き処理では、消去したいメモリセルの割り当てが変更され、消去されない可能性が生じます。
Wear Levelingを回避して全エリアを消去するには、エンハンストセキュア消去・サニタイズ処理が必要になります。

しかし、ATAコマンドを処理しないUSBメモリ、また、セキュア消去・サニタイズに対応していないSSD等においては、「ピーマンPRO」で3回、あるいはそれ以上の回数消去を行うことで、データが残るリスクを少なくすることが可能であると考えられます。

SSD等フラッシュメモリメディアにおける非割り当て領域への対応

フラッシュメモリでは、上記"Ware Leveling"に加え、メモリセル消去処理の時間を短縮するためにも、メモリエリアの割り当て変更を頻繁に行っているものが多くあります。そのため、非割り当て領域にあるメモリには、通常の方法ではアクセスできませんが、データが残っている可能性があります。
非割り当て領域の消去は、エンハンストセキュア消去・サニタイズ処理が必要になります。


RAIDディスクの考慮


サーバー系では多くのディスクがRAID構成されています。
「ピーマンPRO」等、汎用ソフトウェアからは、RAID構成のディスクには、論理ディスク単位でアクセスし、消去処理も論理ディスク単位で行われます。
RAID1(ミラー)であれば、2台のディスクに同じ値を書き込みます。RAID5/6等については、厳密には全物理ディスクに対し、指定した値によるクリアが行われるわけではありません。パリティ値の書込みが行われる物理ディスクが存在します。その値から元のデータを復元することは実質不可能とは思われますが、厳密な値書込みを要求する場合、1論値ディスク=1物理ディスクという設定に変更して、消去処理を行ってください。
また、スペアドライブについても、見逃すことなく考慮する必要があります。


HPA・DCO・リカバリエリア等の考慮

デスクトップ/ノートPCにおいて、リカバリエリア等が用意されている場合があります。
リカバリエリアのしくみはメーカーによりさまざまですが、ディスク消去の際、そのエリアにユーザーがどの程度アクセスし、書き込みが行われているかどうか、リカバリエリアを消去してもいいのかなどを考慮する必要があります。

リカバリエリアの構成のひとつの方法として、ATA(PATA,SATA)ディスク規格にある、HPA(Host Protected Area)を設定している場合があります。HPAが設定されている場合、ディスクの設定容量以降の部分はソフトウェアからアクセス不可となり、ソフトウェアからは、実際より小さい容量のディスクとして認識されます。アクセス不可のエリア(Protected Area)にリカバリ情報が保存され、リカバリの際には、HPA設定を無効にして行われます。
そのため、ユーザーがHPAに関する設定変更を行わない限り、そのエリアにデータ等が書き込まれることはありません。
通常の消去処理は、HPAを無効にしない限り、Protectされたエリア以外の部分のみとなります。
ただし、セキュア消去・サニタイズでは、HPA設定を無視し、全ディスクが消去されます

「ピーマンPRO」ではHPAを無効にできるオプションを用意しています。Protectされたエリアも含め、全ディスクを消去する場合は、このオプション指定を行ってください。

ハードディスクには、もうひとつ、ディスク容量を実際より小さくする設定があります。DeviceConfigurationOverlay(DCO)と呼ばれる方法で、ディスクサイズの他、データ転送速度など、本来のディスク性能以下に設定を行うものです。DCOは、主にPCメーカーが、異なる型番のディスクの仕様を他と統一するなど、ディスク出荷時に限られた目的で使用されるものです。そのため、通常はDCOによってディスクが本来のサイズより小さく設定されていても、アクセスできないエリアにデータが書き込まれて残っていることはほとんどありません。
※エンハンストセキュア消去・サニタイズではDCOを含む全領域が消去されます。通常のセキュア消去では、DCO設定エリアは消去されません。

「ピーマンPRO」ではDCOによりディスクサイズが小さく設定されているかの情報表示、および、DCO設定の解除ができる機能を用意しています。DCOを解除すると、HPAも無効になります。

DCOは、HPAより上位の制限で、HPAはDCOで制限された内部での容量制限のしくみです。
例:
ディスク全容量   100,0000  DCO制限 900,000
この状態でHPAは、DCOで制限された内部900,000以下での設定となります。

ディスク全容量   100,0000  DCO制限 900,000 HPA 800,000

参照:
CD、USBメモリからの起動」「gphj」起動
起動環境作成時の共通オプション」HPAを無効にしてディスク全体消去


リカバリエリアが、通常どおりアクセス可能なエリアに存在する場合(別パーティション等)、通常の消去においても、そのエリアも含めディスク全体の消去が行われます。

READエラー、WRITEエラー発生時の問題

ディスクに障害がある場合、消去、検証時にREADエラー、WRITEエラーが発生します。
WRITEエラーは、消去時に上書き処理がエラーになると発生します。エラーとなった部分(セクタ)には上書きされない可能性があり、その部分にデータが残る可能性があります。
READエラーは、読み込み検証時にデータを読み込む際、データが読み取れない場合に発生します。
その部分の値は検証できず、消去されたかどうかの確認ができない状態になります。
WRITEキャッシュが有効になっている場合、障害のあるセクタに対し、書き込みはエラーなく終了しても、読み込み時にエラーとなる可能性があります。その検出のためにも、読込検証処理は重要なステップとなります。
また、エラー部分においては、何度もリトライ処理が行われるため、処理の進行は非常に遅くなります。

エラーの発生件数、ディスクの内容の重要度にもよりますが、エラーが多く発生したディスクに対しては、処理方法を検討する必要があります。
エラーは不安定なため、処理毎に、エラー件数は変化することも多くあります。そのため、エラーの発生しているディスクに対しては、何度も処理を繰り返して、極力データの残る可能性を低くすることも、一つの方法です。
また、可能であれば物理的破壊も選択肢となります。


「起動消去プログラム」での、「代替処理済みセクター」「HPA」「セキュア消去」の確認画面


「Windows消去プログラム」での、「代替処理済みセクター」「HPA」「セキュア消去」の確認画面


消去回数の考慮


"NIST SP 800-88"においては、1回の書き込みで適切(adequate)とされています。しかし当然のことながら、より多くの回数書き込んだ方が、ベターであることに変わりはありません。
また、書き込みエラーが発生する場合などにおいては、何回か書き込みを行った方が、少しでも書き込みが行われる可能性が高くなり、より望ましいと言えます。
そのため、時間的に猶予があれば、最低限2回程度の書き込みを行うことをお勧めします。特にエラーが発生しているディスクにおいては、4回など、より多くの回数書き込みが必要です。
※「ピーマンPRO」では、エラー時に、セクタ単位に詳細なリトライを行う機構を持っています。

読み込み検証は、いずれの場合も重要なステップとなります。
ディスクへの「書き込み処理」は、あくまでソフトウェア的には「エラーが返されないで書き込み処理が終わった」処理であり、物理的に書き込まれたかどうかを再度読み込みし、検証を行っているわけではありません。したがって、書き込み時エラーが発生しなくても、確実に書き込まれたかどうかは100%確実とは言えないのです。読み込み検証によって、実際のディスクの状態が確認できます。

セキュア消去において、「ピーマンPRO」では、2回消去(セキュア消去+00通常書き込み)、3回消去(セキュア消去+ランダム+00通常書き込み)のメニューを用意しています。
これは、セキュア消去ではその仕様上、書き込みエラーを把握できないために、通常の書き込み処理が必要なことと、エンハンストセキュア消去では、書き込まれる値が必ずしもゼロではないため、ゼロ書き込みを行い、消去された状態を把握しやすくするためのものです。
また、セキュア消去/サニタイズは、メーカー独自の方法で実装されており、その実体が不明な事、また通常あまり使用されない機能であるため、不具合のある可能性もあります。
セキュア消去においても、読み込み検証は重要なステップです。
※一部ディスクでは、サニタイズ実行後、書き込みが不可になる事例がありました。

エンハンストセキュア消去では、代替処理された不良セクタにも書き込みを行いますが、2回目以降の書き込みは、不良セクタへの書き込みは行われません。ただし、不良セクタは「不良」であるために、書き込み処理によってどの程度「消去」されたのかどうかは、厳密には把握できません。
また、HPA(HostProtectedArea)(*注)が設定されている場合、セキュア消去では、HPAを無視し、ディスク全体の処理、2回目以降の書き込み、検証は、HPAを除く、制限されたエリアのみの処理になることに注意してください。

(*注)HPA (HostProtectedArea)
HPAは、ディスクに対し、ソフトウェアからアクセスできる範囲を先頭から一定のエリアまでに制限する設定です。
HPAが設定されたディスクでは、ソフトウェアからは、ディスク全体ではなく、先頭から一部だけの容量の小さいディスクとして認識されます。
HPAは、リカバリエリアなどとして、メーカーにより設定されているケースがあります。その場合、セキュア消去、HPAを無効にした処理では、リカバリエリアも消去されますので注意してください。


推奨する消去方法について


NIST-SP 800-88 r1の規格等を踏まえ、弊社では以下の方法を推奨しております。
※Read/Writeエラーが多く発生する場合、その件数によりますが、物理的破壊が必要な場合があります。


それぞれのメディアにおける処理方法

メディア

「ピーマンPRO」における方法

コメント

ハードディスクドライブ
ATA(SATA)/SCSI(SAS)
●実行可能な場合
「セキュア消去/サニタイズ(1回)」+読込検証
または
「セキュア消去/サニタイズ(2回)」+読込検証

●不可な場合
「1回消去」+読込検証
Reallocated Sectors(不良セクタ)のカウントがない場合、
「1回消去」+読込検証でも問題ない。

書き込みエラーの検出の為、「セキュア消去/サニタイズ(2回)」も選択肢となる。

エラーセクタ等の検証のため、検証処理は必ず行う。
SSD
ATA(SATA),NVMe,eMMC
●実行可能な場合
「セキュア消去/サニタイズ(1回)」+読込検証
または
「セキュア消去/サニタイズ(2回)」+読込検証

●不可な場合
「4回消去」+読込検証
SSDにおいては、非割り当て領域が多くあり、「セキュア消去/サニタイズ」が推奨される。
書き込みエラーの検出の為、「セキュア消去/サニタイズ(2回)」も選択肢となる。

実行不可な場合、消去回数を多くすることで、出来る限り、非割り当て領域を多く消去する。

エラーセクタ等の検証のため、検証処理は必ず行う。
USBフラッシュドライブなどメモリメディア 「3回消去」(または「4回消去」)+読込検証 消去回数を多くすることで、出来る限り、非割り当て領域を多く消去する。
SSDに比べ容量が比較的小さいため、「3回消去」としているが、容量が多い場合「4回消去」。

エラーセクタ等の検証のため、検証処理は必ず行う。