なぜ「Purge(パージ)」が注目を集めるのか
ストレージなどのメディア消去(Media Sanitization)の現在の標準ガイドラインとなっているNIST(米国国立標準技術研究所)の「SP800-88 Rev.1」では、消去手法として「破壊(Destroy)」「除去(Purge)」「消去(Clear)」の3つを定義しており、セキュリティ上の機密度や管理状態からどの手法を選択するのが最良かの指針を示している。Destroyは文字通りHDDやSSDなどの媒体そのものを物理的に破壊することを意味しており、データの読み出しは実質不可能になる。Clearはソフトウェア的な手法でOSが読み書きすることが可能な領域を上書き消去する方法だ。データ消去ソフトウェアの多くはこのClearの手法を行ってHDDデータの消去を行うが、以前までのように複数回ダミーデータを重ね書きするような手法は今日では用いられることが減ってきており、基本的には1回の消去動作で完了する。理由としては、今日のHDDは大容量化を実現した記録密度の向上により一度上書き消去されたデータの復元が不可能になったことが挙げられる。
そして両者の中間に位置するのがPurge(パージ)だ。SP800-88 Rev.1の定義によれば「研究所レベルの技術をもってしても復元が難しい状態」へと持ち込むのがPurge(パージ)であり、より具体的には、Destroyによる破壊行為までには至らなくても、Clearの1回上書きによる消去作業では対象とならなかった領域も含めたデータが対象となる。これには磁気消去などのほか、HDDやSSDが内部に持つコマンド動作を利用することで実現する。ではなぜ、いまこのPurge(パージ)が注目を集めるのだろうか。過去1年に起きたトレンドを追いかけてみる。
「NIST SP800-88 Rev.1」で定義された3つのデータ消去手法は、セキュリティリスクの高さや管理体制によって使い分けが行われる
引用:NIST(米国国立標準技術研究所)「SP800-88 Rev.1 Guidelines for Media Sanitization(媒体のサニタイズに関するガイドライン)」、「Sanitization and Disposition Decision Flow(サニタイズと処分に関する意思決定の流れ)」 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf
きっかけは昨年2019年12月に神奈川県で発生した個人情報流出事件にさかのぼる。神奈川県では県庁内で個人情報や機密情報を含む行政文書の保存に利用されていたサーバーを同年春にリースアップしたが、その際にリース会社が別の事業者にデータ消去を含むHDDの処分を依頼した際、事業者の従業員がHDDを盗み出し、インターネットのオークションサイトで売り捌いていたことが、オークションでHDDを入手した人物がデータを復元してみたことで発覚したもの。最終的に盗み出されたすべてのHDDは回収されたものの、それぞれの組織の管理体制やデータ消去に関する認識不足、個人情報流出に対するリスクが顕在化したことで大きな話題になった。実際、この事件の後にデータ消去や製品リサイクルを行う事業者に多数の問い合わせが殺到したことが、その問題の大きさを示している。
この自治体でのデータ管理と消去に関する体制は総務省でも議論となり、最終的に今年2020年5月22日に「自治体情報セキュリティ対策の見直しについて」のタイトルでガイドラインが発表されており、夏以降に実施されている。具体的には、そこに格納されているデータの機密性によって分類を行い、マイナンバー関連の事案には職員立ち会いの下での物理的破壊が必須とされ、機密性が高い「2」のカテゴリでは物理破壊を含むOS以外のデータ領域も含んだ削除手法が、機密性がやや低い「1」のカテゴリではそれらに加えてOSのアクセス領域の削除の手法が選択できる。つまり、マイナンバー関連ではないものの、自治体内部で機密性が高いと判断されたデータを含むHDDについては、Clear(クリア)でなくPurge(パージ)を選択する必要があるわけで、データ消去を考えるうえで必ず念頭に置いておかなければならない。
「Purge(パージ)」により、なぜデータ復元が困難になるのか
なぜ Purge(パージ)がClearよりも復元が困難になるのか、それにはHDDの仕組みを少し理解する必要がある。世間一般にHDDは「2TB」「3TB」などの容量が仕様として表示され、販売されている。同様に、PCやサーバーを購入した際も、こうしたHDD容量がスペックとして記載されており、購入者はそれを目安に目的の製品を選ぶ。だがHDDは、カタログに表記される「見かけ上の容量」と、実際にHDDそれ自体が持つ「本来の容量」が必ずしも一致しているとは限らない点に注意したい。なぜなら、パソコンメーカーはHDD上にリカバリ用の領域を設けて製品を工場出荷状態まで戻すようにしていたり、あるいは部品交換用途などを想定して「容量を低い製品に合わせた状態で出荷する」ケースがあるからだ。一般に、これらはOSから認識できない隠し領域として扱われる。
HDDにおけるOS管理領域と隠し領域の概念図
※この図は概念であり、実際の HPA や DCO 等の領域の物理的な位置・配置を示す図ではありません。
引用:ADEC データ適正消去実行証明協議会 消去技術認証基準委員会 データ消去技術 ガイドブック 第2版(暫定版)[ https://adec-cert.jp/guidebook/pdf/DATAWIPEGUIDEBOOK.pdf ] P20
代表的な隠し領域には「HPA(Host Protected Area)」「DCO(Device Configuration Overlay)」の2つがある。前者はいわゆる「リカバリ領域」であり、PCを工場出荷状態に戻すときなど、HDDをクリーンな状態に戻すのに利用される。後者は異なるメーカーからHDDを購入した際に容量が異なっているため、これを同一で揃える場合などに利用される。先ほどの交換部品としてのHDDを導入する場合などに利用されるのがDCOの領域だ。HPAやDCOはBIOS、OS、ユーザーからは不可視になっており、直接触ることはできず、専用のコマンドを実行できるツールが必要になる。
さらにややこしいことに、HDDはこれら2つの隠し領域を含めてもすべての容量が使われているとは限らない。例えば工場出荷時のHDDであっても不良セクタが存在する可能性があり、これらは工場での物理フォーマットを経て不良セクタとしてアクセス不可能の状態にし、カタログ上の容量に合わせる形で出荷が行われる。また、HDDを使用していると不良セクタの数が増えてくるが、問題なく一定容量を利用できるよう、あらかじめ代替用の予約領域が用意されている。HDDのコントローラでは、不良セクタや予約領域をうまく処理することで、そこで動作するアプリケーションの動作に支障がないよう制御を行っているわけだ。
もし、HDDを手放す際にデータ消去を行ったとき、Clearの手法ではOSでアクセス可能なユーザー領域のみが対象になり、前述のHPAやDCO、そしてHDD自身が予約している代替用領域まではカバーされない。Purge(パージ)の手法では、それらすべての領域が削除の対象となるため、経年の使用を経て何らかの形で隠し領域に書き込まれたデータを復活させ、悪用される危険を防げる。これが2つのデータ消去手法の違いだ。
Purge(パージ)の存在を認識しつつ、必要に応じてClearとPurge(パージ)を使い分ける
すべてのHDDのデータ消去にPurge(パージ)を適用すると、元のパソコンに戻した時に認識できなかったり、起動することが不可能になったりすることが有るため、すべての場合に適用する必要はないものの、機密性の高いデータが含まれたHDDを物理破壊の手法に頼らずに処分する場合、Purge(パージ)は有効な選択肢となる。神奈川県での流出事件を経て見直された自治体のデータ消去のガイドラインだが、そもそもPurge(パージ)の存在を知らなければ潜在するリスクへの対処ができないわけで、今後手法の1つとして認識しておく必要があるだろう。
自らがツールを操作するわけでなくても、業者への委託においてもPurge(パージ)の存在を知らなければそもそも依頼のしようがないし、その作業完了の確認作業もままならない。個人情報の取り扱いが今後よりシビアとなっていくなかで、いらぬリスクを抱えぬためにも憶えておいて損はない。