DoD 5220.22-Mの消去基準および今日それを適用するにあたって知っておくべきすべての事柄

概要：ベンダーのソリューションがDoD 5220.22-M「基準」に対応していると自ら述べている場合、通常そのソフトウェアはハードドライブのアドレス指定可能なロケーションに文字、その補数、および無作為な文字を書き込むことを意味します。その上で、検証も実施されなければなりません。その手順を3回実施することにより、商業的に可能なプロセスによるデータ復元を回避することが意図されています。

Richard Stiennon Security executive Richard Stiennon has previously held roles such as Chief Strategy Officer of Blancco Technology Group from 2016-2017 and Vice President of Research at Gartner Inc. from 2000 to 2004. Currently, Richard is a cyber security lecturer at Charles Sturt University in Australia and a strategic advisory member of the International Data Sanitization Consortium. His book, There Will Be Cyberwar, was named a Washington Post bestseller in April 2016. Richard is regularly featured in news publications such as Forbes, Dark Reading, Infosecurity Magazine, Network World and BetaNews, where he comments on data governance, data management, and cyber security.

リチャード・スティエナン著

DoD 5220.22-Mを言及する「DoD基準」はサニタイゼーション業界でしばしば利用される用語ですが、実際にITAD、組織、そしてデータサニタイゼーションプロバイダーにとってこの「基準」は何を意味するのでしょうか。

あらゆる位置に同じデータを書き込むという非常に単純な上書き技術 (ほとんどの場合ゼロのみを使ったパターン) ではありますが、DoD「基準」やそれに類似したものは、所定の無作為な上書き方法により、さらに一歩踏み込んだ上書きを行います。こういったアプリケーションは、少なくとも、標準的なデータ復元方法によるデータの復元を防止することができます。

DoD基準とは何か。

ハードドライブのデータを消去するためのDoD 5220.22-M「基準」が初めて出現したのは、データサニタイゼーション業界がまだ進化しつつあった初期の頃です。1995年の「米国国家産業保全プログラム運用マニ ュアル」で公開された「基準」では、ゼロと１のパターンによるハードドライブの上書き手順が規定されています。手順には3回のセキュアな上書きパスと最終パスの終わりに実施される検証が求められています。

DoD 5220.22-Mデータサニタイゼーション手法は通常以下のように実施されます。

• パス1: すべてのアドレス指定可能なロケーションをバイナリーのゼロで上書きする。
• パス2: すべてのアドレス指定可能なロケーションをバイナリーの1 (上記の補数) で上書きする。
• パス3: すべてのアドレス指定可能なロケーションを無作為なビットのパターンで上書きする。
• 最終的な上書きパスを確認する。

DoD 5220.22-M データサニタイゼーション方法を使ってハードドライブを消去することで、ソフトウェアベースのファイル復元方法だけでなくハードウェアベースの復元方法によってもデータがドライブから復元されることを防止しています。

2001年のDoDメモでは上書き方法に追加事項が指定され、何らかの経緯で「基準」の一部として採択されました。DoD 5220.22-M ECEはDoD 5220.22-Mを拡張したバージョン (パス7回) です。DoD 5220.22-Mを2回実行しますが、間にもう1つのパス (DoD 5220.22-M (C) 基準) が挟まれています。2007年に更新された最新版の「基準」では、もはや上書きパターンが規定されていません。

DoD 5220.22-Mサニタイゼーション方法はデータ破壊ソフトウェアで最も一般的に使用されているサニタイゼーション方法です。大半のデータサニタイゼーションソフトウェアはDoD 5220.22-Mを含む複数のデータサニタイゼーション方式をサポートしています。

基準の背後にある真実

今日では、しばしばNIST 800-88 ClearやNIST 800 88 Purgeといったほかのデータサニタイゼーション基準がDoD 5220.22-M「基準」より優先されています。

これには、次の理由があります。

• 米国国防省はHDDのセキュア消去方法にDoD 5220.22- Mを参照しなくなった。
• 現在では、ほとんど (特に政府部門) の規制・認定プログラムはDoD「基準」ではなく、NIST SP 800-88媒体消去ガイドラインを引用している。
• DoD 5220.22-M方法は、国防省、エネルギー省、原子力規制委員会、中央情報局などの安全保障機関 (CSA) の各加盟組織によって使用が許可されなくなった。
• 複数の上書きパスは必ずしも必要ではない。多くの場合、上書きパスは1回で十分。
• DoDそのものの機密データにより、DoDでは完全削除、消磁、物理的な破壊を組み合わせる必要がある。
• NISP運用マニュアル (DoD 5220.22-M) の1995 年版の条項は2001年のマニュアル更新時に削除され (上記22-M ECEに記載)、極秘メディアでの使用が許可されなくなった。
• NISPOMはデータサニタイゼーションに関する米国政府の基準を定義していない。データサニタイゼーション基準は、CSA (Cognizant Security Authority) が管理している。
• DoD 5220.22-Mは、民間人の媒体サニタイゼーションについて国防省による認定を受けたことがない。
• DoD「基準」にまとめられている 上書き方法の実施は確かに可能であるが、「DoD認定」の主張には語弊がある。

IT資産処分 (ITAD) の領域において、オペレーターと顧客が「DoD認定」を口にすることが多くありますが、実際には、そのような認定は存在しません。代わりに、米国国防総省は「NIST 800-88メディアサニタイゼーションガイドライン」を順守していますが、これはあくまでもガイドラインであり認定ではありません。英国ITAD業界の代表的な認定は CESG と呼ばれるもので、英国政府関連機関が実施している認定であり、DoDとNISTのガイドラインを上回るものです。

NISTへの焦点

過去数年において、米国では、 NIST (米国標準技術局) 特別文書800-88。が最も権威ある消去基準となりました。もともと2006年に発行され、2012年に改定されたこの文書は、付録Aの「Minimum Sanitization Recommendations (サニタイゼーションに関する最低推奨事項)」で、ハードドライブとその他のメディアのデータサニタイゼーションの優先方式をまとめており、上書きと、ハードドライブに組み込まれたセキュア消去プロトコルを挙げています。

NIST特別文書800-88は電子メディアのサニタイジングに関するガイドラインを提供することを意図して公開されましたが、この文書には、基準、要件、または仕様が提供されていません。

DoD基準に則した「消去」とは何を意味するのでしょうか。

前述において、米国防総省の国家産業セキュリティプログラム運用マニュアルDoD 5220.22-Mは、実際のところセキュアな消去に関する特別な方法を一切規定していないため、決してマニュアルではなく、基準であるということを説明しました。

ただし、同ガイドは「ISメディアのクリアリング、サニタイゼーション、リリースに関する指示は認定権力のあるCSAによって発行されるべきである」ことを述べています。データサニタイゼーションの基準は国防総省 (DoD)、エネルギー省 (DOE)、天然資源委員会 (NRC)、中央情報局 (CIA) といったCSAが管理しています。

ベンダーのソリューションがDoD 5220.22-M「基準」に対応していると自ら述べている場合、通常そらのソフトウェアはハードドライブのアドレス指定可能なロケーションに文字、その補数、および無作為な文字を書き込むことを意味します。その上で、検証も実施されなければなりません。その手順を3回実施することにより、商業的に可能なプロセスによってデータが復元されることを回避することが意図されています。

2004年秋に米国国家安全保障局（NSA勧告 LAA-006-2004）が、データのサニタイゼーションを達成する上でDoDプロセスによる上書きを1回だけ行えば十分であると述べたことを知っておく必要はありますが、ディスク完全消去ソフトウェアは、物理的に機能停止となったハードドライブや切断された内部ハードドライブをサニタイズできません。

物理的破壊とデータ消去

ドライブが不要となった場合のデータサニタイゼーションには、溶解、粉砕、焼却、またはシュレッディングによる 物理的破壊もあります。ドライブを再利用する場合は、物理的破壊をしてしまうと完全に破壊されてしまうため理想的ではありませんが、この方法でさえ必ずしも絶対的ではありません。破壊した後に残ったディスクの破片に十分な大きさがある場合 (特に SSD 上)、なおも復元可能な情報が含まれる可能性があります。データ消去ソフトウェアは情報を後に残さず、ディスクは消去後の再利用が可能であるため、コストを持続することができます。

物理的な破壊であれ、データ消去ソフトウェアであれ、どちらの方法を選択するにしても、組織にはまず、ハードドライブ処分や、サーバー、ノートブック、取り外し可能なメディアなどのIT資産のデータサニタイゼーションに関する方針が必要です。これらの方針には、従業員がデータを無害に保つべく、実証された手順を実施できるように従業員研修が含まれる必要があります。連邦取引委員会 (FTC) の公正かつ正確な信用取引のための法律 (FACTA) は、特定の消費者情報の適正な保存と破棄に関して多数ある規制のほんの一つにすぎず、当該情報の破棄が適切になされることを求めています。

最もセキュリティが高い環境においてデータ削除を確実に実施するには、ソフトウェアベースのデータ削除と物理的破壊を組み合わせるのが最善と言えます。データは完全に除去されているため、破片からデータが復元される可能性がまったくありません。

DoD 5220.22-Mなど、Blanccoがサポートするデータ消去基準と方法データ消去基準と方法についてさらにお読みください。

– –

セキュリティ専門家のリチャード・スティエナンは、2016年から2017年にはBlancco Technologyグループの最高戦略責任者を、2000年から2004年にはGartner Inc. のリサーチ担当副社長を歴任しました。現在、リチャードはオーストラリアのチャールズスタート大学でサイバーセキュリティ講座の教鞭をとるとともに、インターナショナルデータサニタイゼーションコンソーシアムのディレクターを務めています。最近の著書『There Will Be Cyberwar (サイバー戦争の予告)』は、2016年4月にワシントンポスト誌のベストセラーにノミネートされました。リチャードはForbes、Dark Reading、Infosecurity Magazine、Network World、BetaNewsなどのニュース誌において定期的に取り上げられ、データガバナンス、データ管理、サイバーセキュリティについてのコメントを提供しています。

You may be interested in:

消えろ、データ！消えろ！

Sustainability Costs of End-of-Life Data

遠く離れたデータの管理

消去 vs. 削除 : 「削除した」ファイルは本当に消えていますか？