ディスクシュレッダー再入門(7) : ディスクシュレッダー

消去方式の選択

その昔、オーディオテープに音楽を録音して聞いていた頃、テープが古くなったりすると、新しい曲を録音しても、前に録音していた曲の一部がかすかに聞こえてきたことがありませんでしたか?

ハードディスクへのデータの書き込みもこれと同じで、新しいデータを上書きしても、状況によっては、その前のデータの痕跡が完全には消えない場合があります。具体的には、以前のデータが0だったか1だったかにより、ごくわずかですが、ディスクの磁気面の状態が異なる可能性があります。プログラムからHDDをアクセスするという通常のディスクアクセスを考えれば、 0か1かをデジタル的に判断するだけですので、 1回の上書きだけでそれ以前のデータを読むことはできなくなり、これで十分なデータ消去ができます。しかしながら、ディスクを分解して磁気面を取り出し、その中の磁気残留値などをアナログ的に読み出すことができれば、以前に書かれていたデータの痕跡 (たとえば最新データが上書きされる前のデータが0だったのか1だったのか) も予想できる可能性があります。

この可能性は極めて低いものですし、このような方法で以前のデータを取り出すには多大な手間がかかります。しかし、データ復元の可能性を少しでも減らすためには、何度もデータを上書きする方が安心ですし、 0のような単一データを書くよりも乱数を書き込む方が、さらに安心です。最初のたとえ話に戻ると、前に録音してあった曲が何だか分からないようにしたいのであれば、単調な音を1回上書きするよりも、ランダムで滅茶苦茶な音を何度も上書きする方が効果が高いというわけです。

一方、上書きの回数が増えれば、それに比例して処理時間も増加します。そこで、消去対象HDDのセキュリティレベルに応じて、最適な上書き方法や回数を選べると便利です。これが消去方式の選択機能であり、「ディスクシュレッダー3・スタンダード」の場合は乱数1〜5回の書込みおよびNSA推奨方式(乱数2回の後0を書き込む)の6通りから選択できます。「ディスクシュレッダー3・スーパー」の場合はさらに多くの消去方式から選択できます。一方、エコノミー版の「ディスクシュレッダー3・ライト」の場合は、消去方式が1つ(標準では乱数1回)に固定されています。

上書き回数を多くするほど安心というのは、次のようなたとえ話でも説明できます。紙 (HDDの磁気面に相当) の上に以前から鉛筆で書いたあった古い文字 (抹消したい過去のデータに相当) を消しゴムで消して、鉛筆で新しい文字(上書きされるデータに相当)を書きます。そうすると、普通の読み方をする限り、読めるのは新しい文字のみで、古い文字は読めなくなります。しかし、光のあて方を工夫したり、紙を光に透かせてみたりすれば、以前に鉛筆で書いてあった古い文字の痕跡が少し分かるかもしれません。すなわち、普通の読み方では読めませんが、いろいろと手間をかけて工夫すれば、読める可能性が残っているということです。この「古い文字の痕跡」というのが、本章の最初の方で説明した「ディスクの磁気面の状態」「アナログ的に読み出す磁気残留値」に相当します。

ここで、上書きの回数を増やせば、すなわち新しい文字を再度消しゴムで消して別の文字を書くということを繰り返せば、最初に書いてあった古い文字の痕跡と何度か書き直した文字の痕跡が混ざって、最初の古い文字(つまり抹消したい過去のデータ)の解読がますます困難になります。また、この場合に、常に同じ文字を上書きするよりは、乱数などを使った予測不可能な文字を書く方が効果的です。 HDD上のデータ消去もこれと同じで、乱数による上書きデータを使って上書きの回数を増やせば、より安心度が増すというわけです。

ただ、実際問題として、消しゴムで消された古い文字を読むこと、すなわち「磁気残留値」をアナログ的に読み出して過去のデータを推定することは、かなり難しいです。それが読めるような装置が市販されているのか、どこから買えるのかといったご質問を受けることもありますが、一般市販されるようなものではありません。また、磁気残留値が読めたとしても、過去に記録されたデータの手掛かりを与えるだけで、過去のデータを簡単に復元できるわけではありません。設備の整った実験室で、知識のある人が相当な時間をかけて高度な分析作業を行う必要がありますが、そこまでの手間をかけたとしても、上書き以前に記録されていたデータを解読できる確率は極めて低いものです。

実際にディスクシュレッダーをご利用いただく際、どの消去方式を選べば良いのかというご質問を受けることもありますが、通常のケースでは、乱数1回の書込みで十分な場合が多いでしょう。それ以上の上書き回数やNSA推奨方式を指定した方が良いのは、万一機密が漏れた場合の被害が極めて大きい場合ということになります。より具体的に言えば、相手側が相当な悪意とコスト (実験室を借りて分析する程度のコスト) を支払ってもペイする程度の重大な機密が含まれていた場合、と言えるでしょう。

とはいえ、このあたりの話は、利用者の属する組織のセキュリティ管理に対する方針に依存しますし、処理時間が延びることさえ我慢できれば、上書き回数を増やして少しでも安心度を高めるのが良いことも確かですので、結局はケースバイケースだと思います。

≫個人情報復元実験レポート

Home
ディスクシュレッダー再入門