事業者が自社のソリューションについて米国国防総省の消去方式(DoD 5220.22-M)の「基準」を満たしていると明言する場合、それは通常、自社のソフトウェアが、文字列とその補数、およびランダムな文字列をHDDのすべてのアドレス指定可能な場所に書き込むことを意味しています。この上書きプロセスは検証が必要です。この「3回上書き」の手順は、商用として利用可能な手法でデータを復元できないように設計されています。しかし、DoD 5220.22-M基準（または、より長い時間を要するDoD 5220.22-M ECE基準）は、組織にとって最適な消去手法になるでしょうか？

米国国防総省のデータ上書き基準が今日どのように適用されるかについて詳しくは、続きをお読みください。

Stephanie Larochelle フロリダを拠点とする技術愛好家でライターのステファニー ラロシェルは、デジタル世界の複雑さを簡素化することに尽力しています。Blancco のシニア コンテンツ ライターとして、彼女の目標は、データ消去をわかりやすく、取り組みやすいものにして、誰もがデータ セキュリティのこの重要な側面を理解できるようにすることです。

DoD基準（別名DoDワイプ）とは何ですか？

DoD 5220.22-Mを指す「DoD基準」は、データ消去の世界でよく使われる用語です。しかし、この「基準」は、企業、政府機関、ITAD、データ・サニタイズ・ソリューション・プロバイダーにとってどのような意味を持つのでしょうか。

保存したデータを消去するための最もシンプルな技術は、ハードディスク・ドライブの記憶領域を同じデータで上書きすることでした。非推奨のDoD “基準 “および類似の方法は、ランダムなバイナリ・パターンで複数のパスを規定することにより、これをさらに一歩進めます。これらの手法は、最新のデータ 消去の基準を満たしていない可能性はありますが、少なくとも標準的な手法ではデータを復元できなくなります。

DoD 5220.22-Mはいつ、なぜ採用されたか？

DoD 5220.22-M によるデータ消去手法は、データ・サニタイズ業界の初期に登場しました。米国国防総省（DoD）が国家産業保全計画実施マニュアル（「NISPOM」、「NISP運用マニュアル」、または国防総省文書#5220.22-Mとしても知られる）で発表した際、ハードディスク・ドライブ（HDD）を1と0のパターンで上書きするプロセスが規定されていました。このプロセスでは、3回の安全な上書きパスと最終パス終了時の検証が必要でした。これは1995年のことであり、スマートフォンが登場し、フラッシュベースのストレージ技術が普及する前のことでした。

米国国防総省のショート・ワイプ

本来の要件を反映して、DoD 5220.22-Mのデータ・サニタイズ手法は、DoD 3回上書き方式またはDoDショート・ワイプ方式とも呼ばれ、通常、以下の方法で実施されます：

• パス1：すべてのアドレス可能な場所を2進数のゼロで上書きする
• パス2：すべてのアドレス可能な場所を2進数の1（上記の補数）で上書きする。
• パス3：すべてのアドレス可能な場所をランダムなビットパターンで上書きする。
• 最後の上書きパスを検証する

DoD 5220.22-Mデータ・サニタイゼーション手法（DoD 5220.22-M（E））を使用してHDDを消去すると、ハードウェア・ベースの復元手法だけでなく、すべてのソフトウェア・ベースのファイル復元手法でも、ドライブから意味のあるデータを復元できなくなります。

米国国防総省のロングワイプ

2001 年、米国国防総省のメモは、「基準」の一部として受け入れられるようになった追加の上書 きおよび検証方法を指定しました。DoD 5220.22-M ECE 手法は、DoD 5220.22-M の拡張（7回上書き）バージョンです。この「DoDロング・ワイプ」は、DoD 5220.22-M（E）を2回実行し、間に追加パス（DoD 5220.22-M（C））を挟みます。

• パス1：すべてのアドレス可能な場所を2進数のゼロで上書きする。
• パス2：すべてのアドレス可能な場所を2進数の1（上記の補数）で上書きする。
• パス3：全てのアドレス可能な場所をランダムなビットパターンで上書きする。
• 追加パスDoD5220.22-M（C）基準
• パス1：すべてのアドレス可能な場所を2進数のゼロで上書きする。
• パス2：すべてのアドレス可能な場所を2進数の1（上記の補数）で上書きする。
• パス3：全てのアドレス可能な場所をランダムなビットパターンで上書きする。
• 最後の上書きパスを検証する。

今日、米国国防総省はドライブの消去に何を推奨しているのか？

2001年の米国国防総省の最後のメモから20年以上経っています。さらに、米国国防総省のNISPOMポリシーは、少なくとも2006年以降、ハードディスクを消去する際の上書きパターンを指定していません。

DoD 5220.22は、軍事基準から「標準的な慣行」へと移行し、多くの場合、時間と費用を浪費しています。データ消去のために3回上書きを使用するかどうか再評価する必要があります。

リチャード・スティエンノン、IT-Harvest創設者兼チーフ・リサーチ・アナリスト

2021年に行われた最新の更新で、NISP運用マニュアルは連邦規則として発効しました。「NISPOM規則」と呼ばれるこの規則は、米国国防総省の方針として発行されていたNISPOMに代わるもので、やはりデータ・サニタイズの手法は規定されていません。

その代わり、受託事業者には他の政府機関（主務保全官庁、CSA）を紹介しています。

それでもなお、多くの公的機関や民間組織では、3回上書き方式が標準的な慣行となっています。

現在、連邦政府および民間組織は、DoD 5220.22-M方式をどのように使用しているのか？

現在のデータ消去の仕様がないにもかかわらず、古い3回上書きDoD 5220.22-Mのサニタイズ手法は、多くの公共および民間企業のデータ廃棄ポリシーにまだ組み込まれています。

これは、データ破壊ソフトウェアで使用される最も一般的なサニタイズ手法のひとつであり、米国では業界標準として認識されています。

Blancco Drive Eraser を含むほとんどのデータ消去ソフトウェアは、DoD 5220.22-M の 3回上書き方式と 7回上書き方式の両方を含む複数のデータ消去方式をサポートしています。

米国国防総省の歴史的な基準であっても、高い評価と信頼を得ているため、組織の内部ポリシーや情報セキュリティチームは、依然として必要としている場合があります。IT資産管理者やデータ保護のリーダーは、安全で信頼できる最高のデータ消去を求める場合、「軍用グレード」のデータ消去方式を探したり、「DoDワイプ」を求めたりするのが一般的です。一般的な消費者や中小企業は、無料の「DoDワイプ」ソフトウェアを探すことさえあります。

しかし、機密データを完全かつ永久に削除することは非常に重要であるため、ドライブやデバイスを廃棄する際に最適なワイプ基準を知ることが重要です。

米国国防総省のデータ消去方式は、今でもベストなデータ消去方式なのか？

DoD 522.22-Mはデータ消去の選択肢として容易に入手可能ですが、米国国立標準技術研究所（NIST）のSpecial Publication 800-88「Media Sanitization Guidelines（媒体のサニタイズに関するガイドライン）」や電気・電子技術者学会のIEEE Standard for Sanitizing Storage（IEEE 2883）など、他のデータ・サニタイズ手法に取って代わられています。

NIST SP 800-88は、HDDだけでなく、さまざまな形態の媒体からデータをサニタイズするためのガイダンスを示しています。フラッシュベースのドライブ、モバイルデバイスなどを取り上げ、NIST 800-88 ClearおよびNIST 800-88 Purgeレベルのサニタイズ手法を紹介しています。

IEEE 2883はサニタイズをさらに進め、ISO/IEC 27040:2024と緊密に連携し、NVMeのような最新のドライブに対応しています。

今日の企業はHDDとSSDの両方を使用しています。企業データのサニタイズには、DoDワイプ以上のものが必要です：最新のベストプラクティスをご覧ください。

DoD消去方式の基本データ

DoD消去方式が時代遅れとされる理由はいくつかありますが、そのうちのいくつかは、データの完全消去のために別のデータ消去方式の採用を検討することに影響するかもしれません：

• 米国国防総省は、安全なHDDの消去方法としてDoD 5220.22-Mを参照しなくなりました。
• 1995年版の国家産業保全計画実施マニュアル（NISPOM DoD 5220.22-M）にあった3回上書き・サニタイズ規定は、2001年のメモで削除されました。重要なことは、3回上書き手法は最重要機密を保持した媒体には許可されなかったことです。
  o NISPOM（現在は規則）は、データ・サニタイズに関する米国政府の基準を定義していません。その代わり、米国政府機関が選択したグループである主務保全官庁（CSA）がサニタイズ手法を確立することが認められています。
  o CSA は、それぞれの機関およびその管轄下にある組織のデータ・サニタイズ手法に責任を負います。さまざまな CSA メンバーは、DoD 5220.22-M 手法の使用をもはや許可していないのです。
• ドライブのテクノロジーは、3回上書きおよび7回上書き方式が導入されて以来、劇的に変化しています。例えば、DoD 5220.22-Mプロセスをソリッド・ステート・ドライブ（SSD）に適用することは困難であり、保存されたデータを完全かつ永久に消去する必要がある場合には、異なる問題が発生します。
• 現在、多くの世界的な法規制や認証プログラム（特に政府部門）は、DoDの “基準 “ではなく、NIST SP 800-88の媒体消去ガイドラインを引用しています。先進技術のIEEEの出現により、この状況はまた変わるかもしれません。
• 複数の上書きパスは必ずしも必要ではありません。DoD 5220.22-M手法が最初に公表されて以来、技術の進歩により、1回の上書きパスで十分な場合が多く、効果的なデータ・サニタイズに必要な時間とエネルギーを削減できるでしょう。
• 米国国防総省は自国の機密データについて、ワイプ、デゴーイング、物理的破壊の組み合わせを要求しています。
• 米国国防総省の “基準 “に沿った上書き手法は確かに可能ですが、”米国国防総省の承認済み “というのは誤解を招くがあります。

IT資産処理（ITAD）の分野では、事業者や顧客はしばしば「DoD認証」を引き合いに出すが、現実にはそのような認証は存在しません。

代わりに、米国国防総省は NIST 800-88 を遵守しています。ただし、これはガイドラインであり、認証ではありません（データ消去の認証と第三者検証の重要性については、「データ消去認証と第三者検証はなぜ重要なのか」を参照）。また、前述したように、現在、ほとんどの政府やその他の規制および認証プログラムは、DoD 5220.22-Mではなく、NIST SP 800-88の媒体消去ガイドラインを引用しています。

NIST媒体のサニタイズ・ガイドラインへの注目

ここ数年、NIST Special Publication 800-88が米国におけるデータ消去の基準となっています。当初は2006年に発行され、2014年12月に改訂されたこの文書は、米国国防総省のプロセスでは考慮されていなかったフラッシュベースのストレージとモバイルデバイスに対応しています。NIST 800-88は、ハードドライブ、周辺機器、磁気および光学ストレージ、その他のストレージ媒体に対するデータ消去について、付録Aの「Minimum Sanitization Recommendations（最小限の消去に関する推奨事項）」に望ましい手法を概説しています。これらの手法には、ハード・ドライブに組み込まれたプロトコルである上書きおよびセキュア消去が含まれています。

NISTは、意図せずにデータにアクセスされるのを防ぐための3つの方法を説明しています。

• NIST Clear。この手法は、論理的な技法を用いて、ユーザーがアドレス指定可能なすべての記憶領域のデータをサニタイズします。通常、ストレージ・デバイスへの標準的な読み取りおよび書き込みコマンドを通じて適用されます。
• NIST Purge。この手法は、高度なラボ技術を使用したデータ復元を防止する物理的または論理的な技術を適用しています。
• NIST Destory。この手法は、データの復元を防ぐために最先端の技術を用いた物理破壊に頼るものであるが、媒体がデータ保存用に再利用されることも防いでいます。

NIST Special Publication 800-88は、電子媒体をサニタイズするためのガイドラインを提供することを意図して発行されたものであり、付録Aの表「媒体のサニタイズの決定マトリクス」は、データ破壊のさまざまな選択肢を検討する企業などに非常に役立つでしょう。

しかし、NIST SP 800-88 Rev.1は、規格、要件、または仕様を提供していません。2022年8月現在、このギャップは、さらに新しい規格であるIEEE 2883（ストレージのサニタイズに関するIEEE規格）によって埋められつつあります。採用は初期段階にあります。最新技術に対応した最新のグローバル・サニタイズ基準についてご紹介します：技術ギャップを埋める新しいIEEEデータ消去方式

物理的破壊とデータ消去の比較

ドライブが不要になったり、機能しなくなったりした場合、データのサニタイズを実現するもう1つの手法は、溶解、破砕、焼却、破砕機による物理破壊です。しかし、この手法も必ずしも絶対ではありません。破壊後にディスクの破片が十分な大きさで残っている場合（特にSSDの場合）、復元可能な情報が含まれている可能性があります。また、廃棄後、破壊が行われる前の保管や輸送の段階において、データが脆弱になる可能性があります。しかしながら、データ消去ソフトウエアは、廃棄の時点で消去を実行できるため、資産の廃棄時にデータ漏えいのリスクを排除することができます。また、このプロセスは、データが残されていないことを検証し、デバイスが安全に再利用できることを証明します。

最高レベルのセキュリティ環境では、ソフトウェアベースのデータ消去と物理破壊を組み合わせることができます。この手法では、可能な限り早い段階でデータが完全に削除されるため、移行中のデバイスや断片からデータが復元される可能性はまったくありません。

物理破壊かデータ消去ソフトウエアか、あるいはその両方か、いずれの手法を選択するにしても、組織は、まず、サーバ、PC、リムーバブル・メディアなど、その他のIT資産のドライブ廃棄とデータ消去を管理するポリシーを策定する必要があります。これらのポリシーには、従業員がデータを危険から遠ざけるための実証済みの手順を踏めるよう、従業員向けのトレーニングも含まれている必要があります。

どのデータ破壊方法が適切か？

DoDの手法は、もはやベストプラクティスとは言えませんが、特定の組織のポリシーや法規制によって要求される可能性があります。現在、ほとんどの組織は、データを安全に消去し、ストレージ・デバイスへの不正アクセスを防止するために、NIST 800-88のサニタイズ手法に依存しています。

NIST 800-88は依然として広く使用されていますが、高密度ドライブの課題に対処するための強化された機能を提供しており、多くの組織がIEEE 2883に移行しています。この移行は、複雑化する最新のストレージ技術に対応する、より高度な規格のニーズを反映しています。

IEEE 2883が最新のストレージ技術の需要にどのように対応できるか、興味がありますか？包括的なリソースをご覧ください。

媒体の完全かつ恒久的なサニタイズの確保

Blancco のデータ消去ソリューションは、DoD 5220.22-M、NIST 800-88 Clear もしくは Purge、IEEE 2883 など主要なデータ 消去方式をサポートしており、他のどの消去ソフトウェアよりも多くのグローバルな認証を取得しています。Blancco は、実際に、あらゆる政府機関や企業のストレージ デバイスに対して、HDDやSSDにデータを残さず、安全かつコンプライアンスに準拠したデータ消去を実現します。

NIST 800-88 Clear もしくは Purge、IEEE 2883、DoD 5220.22-M、またはその他の代表的なデータ消去手法のいずれであっても、Blancco は事実上あらゆるデータ ストレージ デバイスにおいて、安全かつコンプライアンスに準拠したデータ消去を実現する最も認証されたソリューションを提供します。

この資料は、法規制の変更を反映するために定期的に見直されており、直近では2025年1月27日に更新され、データ・サニタイズ基準に関する最新情報が含まれています。

あなたは次のことに興味があるかもしれません:

データ抹消の具体的な活用事例徹底紹介！​（地方自治体編）

消えろ、データ！消えろ！

ライフサイクルが終了したデータの持続可能性のコスト

遠く離れたデータの管理