「ピーマンPRO」オンラインマニュアル    

←前ページ

↑メニュー

次ページ→

消去方法について-> 消去における規格


ディスク消去における規格について


ディスク消去において、アメリカの国家機関を中心に、1990年代以降さまざまな規格が策定されてきました。
しかし、近年のディスク容量の増大、SSD等のメモリメディアの普及により、消去に要求される手法は大きき様変わりしてきています。

「ピーマンPRO」では、3回書き込みにおいて、「米陸軍準拠方式 (AR380-19)」(1998年2月)に準拠し、4回書き込み+検証において「米国防総省基準(DoD5220.22-M Sup.1)」(1995年2月)に準拠しています。 ただし、これらの規格はもはや古いもののなり、近年では、2014年12月に改定された「アメリカ国立標準技術研究所(NIST SP 800-88 Rev1)」 (2014年12月)に移りつつあります。
NIST 800-88 は、単に消去における書き込みパターンを定めたものではなく、どのように廃棄するかの決定方法から、HDD、SSD等の個別メディア毎の扱いまでの言及があり、消去の担当者の方には、一読されることをお勧めします。

以下、それぞれの規格の概要を説明します。

米陸軍(US Army)  AR380-19 規格の概要


US Army Information Systems Security (AR380-19)  ,27-Feb-98

3回の上書き処理を行う

全個所を3回上書きする。
1回目はランダム値、2回目はある値、3回目はそのほ補数値。

Appendix F Clearing, Sanitizing, and Releasing Computer Components
Overwrite all locations three times (first with random charactor, second time with a specified charactor,third time with the compliment of the specified charactor.

米国防総省(Secretary of Defense)  DoD5220.22-M 規格の概要


DoD5220.22-M Supplement 1 ,Feb-1995

3回の上書き処理とその確認を行う

全個所をある値で上書き、次にその補数、次にランダム値で上書きする。
その後全セクタが、上書きされたことの確認、エラーセクタの無いことを確認する。
※「ピーマン」では、確認の容易さと、より確実な消去のため、4回目にゼロのステップを加えています。

Overwrite all locations with a character, its complement, then with a random
character. 
Verify that all sectors have been overwritten and that no new bad sectors have
occurred.


以降の改訂版において消去方法については、管轄の安全保障局(CSA)に委ねられ、具体的な方法についての言及は無くなっている。

CSA: Cognizant Security Agency. These agencies include the Department of Defense (DoD), Department of Energy (DOE), Central Intelligence Agency (CIA), and Nuclear Regulatory Commission (NRC).

DoD5220.22-M Feb-2006
Clearing and Sanitization. Instructions on clearing, sanitization and release of IS(Infomation system) media shall be issued by the accrediting CSA.

DoD5220.22-M Incorporating Change 1 ,Mar-2013
Clearing and Sanitization. Instructions on clearing, sanitization and release of IS media shall be issued by the accrediting CSA.

DoD5220.22-M Incorporating Change 2 ,May-2016
Sanitize or destroy ISs media before disposal or release for reuse in accordance with procedures established by the CSA.

非公式に出された以下のリビジョンにおいてのみ、非公式なコメントとして消去方法についての記載が見られる。
ハードディスクの消去(Clear): 全エリアをある一つの文字で上書きする

DoD 5220.22-M Incorporating Change 1 with inline ISLs Compiled May 2, 2014
Non-Removable Rigid Disk: Overwrite all addressable locations with a single character.

米国立標準技術研究所(NIST) SP 800-88 規格の概要


NIST: National Institute of Standards and Technology (アメリカ国立標準技術研究所)

NIST Special Publication 800-88 Guidelines for Media Sanitization (NIST SP 800-88)  September, 2006


2001年ごろ以降のディスクの消去は、1回書き込みが適当(adequate)


15GBを越えるような、2001年以降のディスク等では、書き込み密度が非常に高くなったことにより、以前のように数回の書き込みではなく、1回上書きすれば適当である。

That is, for ATA disk drives manufactured after 2001 (over 15 GB) clearing by overwriting the media once is adequate to protect the media from both keyboard and laboratory attack.

削除・破壊(sanitize)のタイプは4つに分類される

Disposal、Cleaning、Purging、Destroying
の4種類に分類され、廃棄するものによって適切に使い分ける必要がある。

削除・破壊(sanitize)か、廃棄(disposition)の決定について

セキュリティの重要性、再利用するか、組織のコントロールから離れるかどうかなどの要素を考慮し、決定を行う。
また、その処理の確認プロセス、および、ドキュメント化が必要。

それぞれのメディアにおける処理方法

メディア

Clear

Purge

Physical Destruction

フロッピー
ディスク
(Floppies)
データの上書き 専用装置で、磁気的破壊を行う(Degauss)。 焼却(incinerate)、断片化(shred)
ATA(PATA,SATA)
ハードディスク
データの上書き ATAセキュア消去を行う。
または、
専用装置で、磁気的破壊を行う(Degauss)。
破壊(disintegrate)、断片化(shred)、粉砕(pulverize)、焼却、融解(incinerate)
ATA以外(SCSI,SAS等)
ハードディスク
データの上書き 専用装置で、磁気的破壊を行う(Degauss)。 破壊(disintegrate)、断片化(shred)、粉砕(pulverize)、焼却、融解(incinerate)
Compact Flash Drives, SD データの上書き Physical Destruction 破壊(disintegrate)、断片化(shred)、粉砕(pulverize)、焼却、融解(incinerate)
USB Removable Media データの上書き Clear 破壊(disintegrate)、断片化(shred)、粉砕(pulverize)


NIST Special Publication 800-88 Guidelines for Media Sanitization (NIST SP 800-88) Revision 1  December, 2014

磁気メディアは、1回書き込みによりデータの取得はできなくなる


磁気メディアを使用するストーレッジは、ある例えばゼロ(00)のような固定位置を1回を書き込むことにより、実験室での手法を用いても、書き込まれていたデータを取得することはできない。
本来の読み書きのためのインタフェースを通しての上書き処理において、大きな欠点としては、現在割り当てられていない領域(エラー領域や、非割り当て領域)にはアクセスできないということ。

For storage devices containing magnetic media, a single overwrite pass with a fixed pattern such as binary zeros typically hinders recovery of data even if state of the art laboratory techniques are applied to attempt to retrieve the data.
One major drawback of relying solely upon the native Read and Write interface for performing the overwrite procedure is that areas not currently mapped to active Logical Block Addressing (LBA) addresses (e.g., defect areas and currently unallocated space) are not addressed.


削除・破壊(sanitize)のアクションには3種類

Clear: 通常のRead/Writeインタフェースを通して、全エリアを上書き処理。通常の方法でのデータ取得を困難にする。
Purgr: 物理、論理的方法を用い、実験室レベルでのデータ取得を困難にする。
Destroy: 実験室レベルでのデータ取得を困難にすると共に、データ装置の再利用も不可にする。

削除・破壊(sanitize)か、廃棄(disposition)の決定について

セキュリティの重要性、再利用するか、組織のコントロールから離れるかどうかなどの要素を考慮し、決定を行う。
また、その処理の確認プロセス、および、ドキュメント化が必要。

それぞれのメディアにおける処理方法

メディア

Clear

Purge

Physical Destruction

フロッピー
ディスク
(Floppies)
全エリア1回上書き+検証(10%以上) 専用装置で、磁気的破壊を行う(Degauss)。 焼却(incinerate)、断片化(shred)
ATA(PATA,SATA)
ハードディスク
全エリア1回上書き+検証(10%以上) ATAサニタイズ/セキュア消去+検証(10%以上)

または、
専用装置で、磁気的破壊を行う(Degauss)。
破壊(disintegrate)、断片化(shred)、粉砕(pulverize)、焼却、融解(incinerate)
ATA(PATA,SATA)
SSD
全エリア1回上書き+検証(10%以上)
ATAセキュア消去+検証(10%以上)
ATAサニタイズ+検証(10%以上) 破壊(disintegrate)、断片化(shred)、粉砕(pulverize)、焼却、融解(incinerate)
SCSI
(SCSI,SAS)
ハードディスク
全エリア1回上書き+検証(10%以上) SCSIサニタイズ処理+検証(10%以上)

専用装置で、磁気的破壊を行う(Degauss)。
破壊(disintegrate)、断片化(shred)、粉砕(pulverize)、焼却、融解(incinerate)
NVMe
(SSD)
全エリア1回上書き+検証(10%以上)

NVMe Format(セキュア消去)+検証(10%以上)
破壊(disintegrate)、断片化(shred)、粉砕(pulverize)、焼却、融解(incinerate)
Memory Cards
(SD, MMC, etc)
全エリア1回上書き N/A 破壊(disintegrate)、断片化(shred)、粉砕(pulverize)、焼却、融解(incinerate)
USB Removable Media 全エリア1回上書き サニタイズが実行可能であればサニタイズ 破壊(disintegrate)、断片化(shred)、粉砕(pulverize)、焼却、融解(incinerate)