消去方式「米国国防総省方式(DoD 5220.22-M)」 と今日におけるその利用について知っておくべきこと

2月 12, 2021 ブログ

事業者が自社の消去ソリューションについて、「米国国防総省方式( DoD 5220.22-M 以下DoD)」の消去基準を満たしていると説明する際、一般的には、消去ソフトが指定可能な ハードドライブのすべての場所に文字列、その補数、およびランダムな文字列を書き込むことを意味します。そして書き込み後には、必ず検証を実施します。この3ステップは、市販されているツールによるデータの復元を防ぐように設計されています。

しかし、DoDは現在流通しているHDDにとってベストな消去方式でしょうか?この消去方式の歴史と今日における利用について理解しましょう。

Richard Stiennon ステノン(Richard Stiennon)は、2016年から2017年まで Blancco Technology Group の最高戦略責任者、2000年から2004年まで Gartner Inc. の研究担当副社長などを歴任してきました。現在、リチャードはオーストラリアのチャールズ・スタート大学でサイバーセキュリティの講師を務めており、国際データサニタイズコンソーシアム(IDSC)のディレクターでもあります。最新の著書「There Will Be Cyberwar」は、2016年4月にワシントンポスト紙のベストセラーになりました。リチャードは、Forbes、Dark Reading、Infosecurity Magazine、Network World、BetaNews などのニュースメディアで定期的に取り上げられ、データガバナンス、データ管理とサイバーセキュリティについてコメントしています

DoD基準」という言葉は、データサニタイズの分野でよく使われる用語です。しかし、この「基準」は、企業、政府機関、ITAD(リサイクル・リユース事業者)、およびデータサニタイズソリューションプロバイダーにとって何を意味するのでしょうか。

保存されたデータを消去するための最も簡単な方法は、HDD のストレージ領域を同じデータで上書きすることです。通常、全て0で上書きされます。「DoD 基準」はこれに加え、規定されたランダムな書き込みで、さらに上書きを行います。これにより、少なくとも市販されているツールによるデータの復元を防ぐことができます。

DoD 基準とは?

DoDは、データサニタイズの分野において初期の段階で登場しました。米国国防総省が、国家産業保全プログラム運用マニュアル(「NISPOM」または国防総省文書 #5220.22-M )で公開した際、1と0のパターンによるHDD の上書き処理が定められました。この処理では、3つの安全な上書きパスと、最終パス終了後の検証が必要でした。これは、スマートフォンが台頭しフラッシュベースのストレージテクノロジーが広く普及するよりも前、1995年のことでした。

DoDは通常、次の方法で実装されます。

DoD で HDD を消去すると、ソフトウェア/ハードウェアベースのどんな復元手法を用いても、ドライブから意味のあるデータを復元できなくなります。

2001年、国防総省ではDoDの一部として追加の上書きと検証方法を指定しました。 DoD 5220.22-M ECE 方式は、DoD 5220.22-M の拡張(7パス)版です。 DoD 5220.22-M を2回実行し、その間に追加のパス(DoD 5220.22-M(C)Standard)を挟みます。

しかしながら、2006年に最後のメジャーアップデートが行われた最新バージョンの DoD では、ハードドライブを消去する上書きパターンが指定されなくなりました。

実際、DoD NISPOM 5220.22M には複数のマイナーアップデートがあり、最新のリビジョンでは、2016年の変更が含まれています。 現在、DOD 5220.22-M文書では、1)デジタルサニタイズの手法が指定されておらず、2) その他の政府機関である管轄保全局 (Cognizant Security Agency: CSA)にサニタイズ手法を任せています。

DoDによるデータ消去は、データ消去ソフトウェアで採用されている最も一般的なデータ消去方式の1つであり、一般的には、米国では依然として業界の標準として認識されています。Blancco Drive Eraser を含むほとんどのデータ消去ソフトウェアは、DoDを含む複数のデータデータ消去方式をサポートしています。しかし多くの場合、このDoDは、より多くの時間が必要となること、最新の消去基準と比べて経済的ではないことから、現在に至ってはそれほど効果的ではなく、連邦政府機関においても推奨のプラクティスから外れています。しかし、国防総省の歴史的な基準であることから依然として評価が高く、組織の内部ポリシーと情報セキュリティチームは、DoDテクノロジーを必要としていることがあります。

DoD 5220.22-Mサニタイズ手法の真実

今日、DoDはデータ消去手法の選択肢として利用可能ですが、国立標準技術研究所(NIST)のデータサニタイズ基準 (NIST 800-88 ClearおよびNIST 800-88 Purge)の利用が進んでいます。

NISTの消去方式が利用される理由を以下に列記します。

リサイクル・リユース事業(ITAD)の領域では、事業者や顧客はしばしば「DoD認定」を挙げていますが、実際にはそのような認定は存在しません。代わりに、米国国防総省は、媒体のサニタイズのためのNIST 800-88ガイドラインを遵守しています。ただし、これはガイドラインであり、認定ではありません。前述したように、政府による規制や認証プログラムの多くは、現在、NIST SP 800-88を引用しています。

NIST へのフォーカス

NIST SP 800-88 は、ここ数年の間に、米国におけるデータ消去の標準となりました。もともと2006年に発行され、 2014年12月に改訂されたこのガイドラインは、DoDの処理プロセスでは未考慮だったフラッシュベースのストレージとモバイルデバイスを取り扱っています。付録Aの最小サニタイズの推奨事項において、ハードドライブ、周辺機器、磁気および光学ストレージ、およびその他のストレージ媒体のデータサニタイズの推奨手法を概説しています。これらの手法には、ハードドライブに組み込まれたプロトコルである上書きとセキュア消去が含まれています。

NIST SP 800-88は、電子媒体をサニタイズするためのガイドラインの提供を目的として出版されました。付録Aの「媒体サニタイズに関する意志決定のマトリックス」は、データ破壊のための選択肢を検討する組織のための資料です。ただし、この文書には、基準、要件、仕様は記載されていません。

DoD基準で消去することの意味

最新バージョンのNISPOM(DoD 5220.22-M) では、すでに、安全な消去のための手法が指定されていないため、そのマニュアルは、基準ではありません。

しかし、このガイドラインでは「情報システムの媒体の消去、サニタイズ、リリースに関する指示は、管轄保全局(CSA)が発行しなければならない」と述べています。データサニタイズの基準は、管轄保全局(CSA)の責任です。管轄保全局(CSA)を構成するのは、国防総省(DoD)、米国エネルギー省(DOE)、原子力規制委員会(NRC)、国家情報長官室(DNI)、国土安全保障省(DHS)です。

事業者が自社のソリューションについて DoD 5220.22-M の基準を満たしていると述べる際、一般的には、ソフトウェアが指定可能なハードドライブのすべての場所に文字列、その補数、およびランダムな文字列を書き込みます。さらに、検証を必ず実施します。この手順は、市販されているツールによるデータの復元を防ぐように設計されています。

国家安全保障局 (NSA 勧告 LAA-006-2004)は、2004年秋、DoDの処理プロセスの1回の上書きを使用するだけでデータサニタイズを達成するのに十分であると説明しています。ただし、消去ソフトウェアでは、物理的に障害が発生したハードドライブや、接続されていないハードドライブの消去ができません。また、ソフトウェア消去においても、SSD 上の隠れたセクターのデータに到達する際の制限が存在します。

物理破壊 vs. データ消去

ドライブが不要になった際、データサニタイズを実現する別の手法には、溶融、破砕、焼却、または細断による物理破壊があります。

ドライブの再利用を考えると、ドライブは完全に破壊されるため、物理破壊は理想的ではありませんが、この手法でさえも必ずしも絶対安全という訳ではありません。破壊したディスクの断片(特に、SSD)に十分な大きさがあれば、復元可能なデータが含まれていることがあります。しかし、ソフトウェアによるデータ消去であれば、データは一切、残らないため、消去後にディスクの再利用が可能となり、コストを抑えることもできます。

どちらの手法を選択しても、物理破壊またはデータ消去ソフトウェア、またはその両方を問わず、組織はまず、サーバー、PC、リムーバブル メディアなどのさまざまな IT 資産に対するハード ドライブの廃棄とデータサニタイズを管理するためのポリシーを定める必要があります。これらのポリシーには、データを守るための実証済みの措置を講じることができるよう、従業員のためのトレーニングを含める必要があります。米国連邦取引委員会の公正で正確な信用取引法(FATCA)は、特定の消費者情報の適切な保管と処分を規定する多くの規制の1つであり、そのような情報が適切に処理されることを規定しています。

最高レベルのセキュリティ環境でデータを確実に消去するベストな手法は、 ソフトウェアベースのデータ消去 と物理破壊を組み合わせることです。これにより、データが完全に除去されるため、ディスクの断片からデータが復元される可能性が一切無くなります。

どのデータ破壊手法が適切か?

今となっては、DoD の消去手法は推奨されるベストプラクティスではありません。組織は、データへの不正なアクセスを防ぎ、データストレージデバイスをサニタイズするための手法として、NIST 800-88を採用することが多くなっています。

DoD、NIST、またはその他のデータサニタイズ手法を使用する場合でも、Blanccoのデータ消去ソリューションはグローバルにおいて15以上の認証を取得し、22以上の消去方式が実装されています。

DoD 5220.22-M、NIST 800-88 Clear、NIST 800-88 Purgeなど、Blanccoがサポートするデータ消去方式について詳しくは、こちらをご覧ください。

Blanccoは、全世界15以上の組織によって検証され、認証/承認/推奨を受けています。 このレベルのコンプライアンスを達成できるセキュリティファームは他にありません 製品認定