サニタイズ

ストレージネットワーキング・インダストリ・アソシエーション
テクニカル・ホワイトペーパー
サニタイズ
2015 年 3 月
要約: ISO/IEC 27040:2015(Information technology - Security techniques Storage security)標準には、ストレージ・システムおよびエコシステムを保護する
ための管理および手法に関する詳細な技術的ガイダンスが示されている。本ホワ
イトペーパーでは、本標準の中から HDD メディアに適用されるサニタイズ・ガイダ
ンスの概要について説明し、組織において特定のニーズに合わせたサニタイズ・
プログラムを開発するためのガイダンスを提供する。
使用にあたって
SNIA は本書の使用を、個人に対しては個人的利用に限定して許可し、法人およびその他の事業主体に対して
は社内利用(社内での複製、配布、および掲示を含む)に限定して許可する。ただし、次の要件が満たされている
ことを前提とする。
1.
テキスト、図、チャート、表、または定義を複製する場合は、変更を加えずに全体を複製すること
2.
本書からの資料(または本書の一部)を複製した印刷文書または電子文書は、その資料に対する
SNIA の著作権を表示し、SNIA から再利用の許可を得ていることを明示すること
上記で明示的に規定されている場合を除き、本書の商業的利用、本書の一部または全部の販売、または本書
の第三者への配布を行ってはならない。明示的に付与されていないすべての権利は、明示的に SNIA に留保
されている。
上記以外の目的での本書の使用の許可は、[email protected] に電子メールを送付して要請する。要請する個
人および/または法人の識別情報と、要請する使用の目的、性質、および範囲の簡単な説明を含めること。
この SNIA 文書内のすべてのコード、スクリプト、データ・テーブル、およびサンプル・コードは、次のライセンス
に基づいて利用できる。
BSD 3-Clause Software License
Copyright (c) 2014, The Storage Networking Industry Association.
Redistribution and use in source and binary forms, with or without modification, are permitted provided that
the following conditions are met:
* Redistributions of source code must retain the above copyright notice, this list of conditions and the
following disclaimer.
* Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the
following disclaimer in the documentation and/or other materials provided with the distribution.
* Neither the name of The Storage Networking Industry Association (SNIA) nor the names of its
contributors may be used to endorse or promote products derived from this software without specific prior
written permission.
THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND
ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED
WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE
DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE LIABLE FOR
ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES
(INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON
ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE,
EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
サニタイズ
2015 年 3 月
SNIA テクニカル・ホワイトペーパー
2
免責事項
この文書に含まれる情報は、事前の通知なく変更される場合がある。SNIA はこの仕様書に関していかなる種
類の保証も行わない。これには商品性および特定の目的に対する適合性の暗黙的保証が含まれるが、これら
に限定されない。SNIA は、本書に含まれる誤りあるいはこの仕様書の交付、履行、または使用に関連した偶
発的または結果的損害に対して責任を負わない。
改訂に関する提案は、http://www.snia.org/feedback/まで。
Copyright © 2015 SNIA. All rights reserved. その他の商標または登録商標は、すべて各々の所有者の財産
である。
サニタイズ
2015 年 3 月
SNIA テクニカル・ホワイトペーパー
3
改訂履歴
版
日付
セクション
V1.0 R0
2015 年 3 月 4 日
V1.0 R1
2015 年 3 月 5 日
作成者
備考
全体
Richard Austin
初稿
全体
Richard Austin
最終稿
本書の変更または修正に関する提案は、http://www.snia.org/feedback/まで。
序文
本書は、SNIA セキュリティ技術分科会が ISO/IEC 27040:2015, Information technology – Security
techniques – Storage security 内の重要なトピックの紹介と概要を提供するために作成した一連のホ
ワイトペーパーの 1 つである。これらのホワイトペーパーは、当標準に代わるものではなく、実際の標準
に対する補足的な説明およびガイダンスを提供するものである。
サニタイズ
2015 年 3 月
SNIA テクニカル・ホワイトペーパー
4
要旨
サニタイズは、再利用可能なストレージ・デバイスの登場とともに生じるようになったリスク(ス
トレージ・メディアの再利用や廃棄を通した情報漏洩)に対応するものである。当初は、再利用
や廃棄の前に磁気メディアを確実に消磁するだけで十分であったが、テクノロジーの進歩と新
しいタイプのストレージ・メディアの登場によってサニタイズ・プロセスの複雑さは増しており、
社会全体としても情報を危険にさらすようなデータ管理を許容しない姿勢を強めている。
本書では、ISO/IEC 27040 に記載されたサニタイズ・ガイダンスの概要を示し、組織のニーズ
を満たすサニタイズ・プログラムの開発を支援する。サニタイズの決定は、情報の維持、証拠
保全、およびその他の規制や法律上の問題に影響するため、本書のユーザには、このガイダ
ンスを実施する前に弁護士に相談することを推奨する。本書内のいかなる記述も、法律上の
助言または意見として解釈すべきではない。
1
はじめに
当然ながら、サニタイズの目的はストレージ・メディアをサニタイズすることである。「サニタイズ」
は、所定の労力レベルによるメディア上のデータ回復を不可能にすることを意味する 1。「労力
レベル」は、サニタイズ・プロセスとその実行に関する決定を動機付ける点で重要な概念であ
る。後述するように、情報の価値が高ければ、攻撃者はその回復に費やす労力を増やすため、
組織はサニタイズ手法の選択により慎重になる必要がある。
サニタイズは、次の 4 つの基本的な懸案事項により必要とされる。
1. 多くの法域では、保護された情報を含むメディアが管理不能になることは、その情報
が漏洩したことと同一と見なされる。その場合、違反を通知する必要性が生じ、規制
上の義務またはその他の法的罰則が科されることがある。
2. プライバシー要件(EU における「忘れられる権利」など)の策定では、データを「削除」
するだけでなくサニタイズを行い、回復が困難であることを保証しなければならない場
合がある。
3. サニタイズが必須となる場合もある。国家安全保障情報を扱う軍需請負業者やその
他の仲介業者は、サニタイズに関する規制を順守する必要がある。
4. 電子情報開示の対象となる情報の範囲の制限 -組織の多くは、電子情報開
示要求の対象になり得る情報の量を制限したいと考えている。これは、期限
(維持期間を含む)が到来して保存義務がなくなったデータをすべて確実にサ
1 ISO/IEC 27040, p.5
サニタイズ
2015 年 3 月
SNIA テクニカル・ホワイトペーパー
5
ニタイズすることにより実現できる 2。
これらの懸案事項が貴組織に該当するか否か、またどのように該当するかについては、弁
護士との協議によって判断すべきである。急速に変化し続けている法律分野であるため、こ
の協議は 1 度だけでなく、定期的かつ継続的に行うべきである。
本ホワイトペーパーでは、ディスク・タイプのメディアを中心に説明する。これは、他のストレー
ジ・タイプの重要性が低いことや、他のメディア・タイプに関するガイダンスが ISO/IEC 27040
に示されていないためではなく、読者にとってディスク・タイプのメディアが最も身近であると考
えられるためである。身近なディスク・メディアについてサニタイズの概念を確実に把握すれ
ば、他のストレージ・タイプに対する ISO/IEC 27040 のガイダンスの適用も容易になるだろう。
1.1 歴史
前述したように、サニタイズは、再利用可能なストレージ・メディアが登場した頃から実施され
ている。この問題についての初期(1991 年)の議論においては、「残留磁気(消去後にストレ
ージ・メディア上に残る情報)」の問題が取り上げられた 3。残留磁気は、データの削除を目的
とした操作(ファイル・システムの削除操作など)の後、利害関係者による回復が可能な部分
的データが残っている可能性があることを意味する。Trusted Computer System Evaluation
Criteria(TCSEC)は、すでに新たな基準に置き換えられているものの、サニタイズ手法に関
する多数の専門用語が初めて使われた文書である。
1993 年に Peter Gutmann 氏によって、データを残留磁気から再構成する方法と、サニタイズ
の効果的な手法についての著名な研究が行われた 4。Gutmann 氏は、磁気力顕微鏡法など
の高度な実験的データ回復手法に触れ、それに対抗するためにメディアをサニタイズする
Gutmann アルゴリズムを開発した。様々なデータ・パターンを使用して何回も上書きするこの
手法は、多くのサニタイズ製品の推奨ガイダンスとなり、1995 年版の NISP Operating
Manual や DoD 5220.22-M などの必須ガイダンスに組み込まれた。ただし、Gutmann 氏が
原論文のエピローグで述べているように、その後のテクノロジーの進歩により多くのケースで
多重上書きのニーズが変化している。
2 前述したように、サニタイズは単純な削除操作を超えるものであり、ある程度の労力レベルに耐えることがで
きる。
3 Trusted Computer System Evaluation Criteria, A Guide to Understanding Data Remanence in
Automated Information Systems, the “forest green” book. http://fas.org/irp/nsa/rainbow/tg025-2.htm (ア
クセス日:2015 年 1 月 30 日)
4 Peter Gutmann, Secure Deletion of Data from Magnetic and Solid-State Memory, Sixth USENIX
Security Symposium. https://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html(アクセス日:2015
年 1 月 30 日)
サニタイズ
2015 年 3 月
SNIA テクニカル・ホワイトペーパー
6
サニタイズは国家安全保障組織や軍事組織の懸案事項だったが、民間企業や個人はその必
要性を十分に理解していなかった。これが大きく変化したのは、Simpson Garfinkel 氏が大量
の使用済みディスク・ドライブを購入し、そこから容易に取り出されたデータの調査を行ったこ
とによる 5。Garfinkel 氏は、診療記録や財務記録など、膨大な機密データを取り出した。
ディスク・サニタイズの近年の重要な研究としては、2007 年にカリフォルニア大学サンディエゴ
校の Center for Magnetic Recording Research(CMRR)で行われたものがある 6。この研究
は、サニタイズの様々な要件についての適切な概説と、ディスク・メディアをサニタイズするた
めの効果的手法を示している。また、サニタイズ機能を提供する近年のドライブにおける新た
なデバイス・コマンドを扱い、サニタイズされたディスク・メディアからデータを回復する可能性
についての誇張された主張を否定している。さらに、ストレージ・デバイスにおけるソリッド・ス
テート・メモリの使用(および磁気ストレージ・デバイスにおける性能向上キャッシュとしての使
用)の増加による、サニタイズ手法としての消磁の限界を明らかにした点でも注目されている。
NIST の Special Publication 800-88, Guidelines for Media Sanitization(2014 年 12 月改
訂)は、ディスクから紙媒体に至るまで多様なメディア形態のサニタイズに関する詳細なガイダ
ンスを示している。このガイダンスは米国連邦政府関係機関にのみ適用されるが、民間組織
にとっても有用な参考文書である。
ISO/IEC 27040 は、ストレージのセキュリティ全般に関する幅広いガイダンスを示し、サニタイ
ズも主要トピックの 1 つとして含まれている。その規範(何をすべきかを示す)文書である
『Annex A: Media Sanitization』は、組織のリスク特性に基づいて多数のタイプのストレージを
適切にサニタイズする方法に関して、詳細なガイダンスを示している。
1.2 プロセスとしてのサニタイズの実施
サニタイズは 1 度限りの作業ではなく、情報管理プロセスにおける標準業務として実施すべき
である。プロセスの実施には、監査要件を満たすため、また電子情報開示要求の対象外とな
ることを裏付けるため、サニタイズ実施の適切な証明を含める(例えば、ワークステーションの
ディスクが退職後 30 日以内に自動的にサニタイズされる場合、退職後 60 日経ってから提起
された訴訟では、その社員のワークステーションの情報を保存・提出する法的義務はない 7)。
5 Simpson Garfinkel and Abhi Shelat, Remembrance of Data Passed: A Study of Disk Sanitization
Practices. IEEE Security & Privacy, January/February 2003. pp. 17-27.
6 Gordon Hughes and Tom Coughlin, Tutorial on Disk Drive Sanitization, 2007.
http://cmrr.ucsd.edu/people/Hughes/documents/DataSanitizationTutorial.pdf(アクセス日:2015 年 1 月 6 日)
7 きわめて単純化された例である。従業員が退職して 30 日経つまでに訴訟が起こされることを組織が合理
的に予想できた場合は、訴訟が起こる前に保存の義務が発生することがある。これは、サニタイズの決定と
プロセスに関する弁護士との定期的な協議を要する法的問題である。
サニタイズ
2015 年 3 月
SNIA テクニカル・ホワイトペーパー
7
1.2.1
法的考慮
前述したように、サニタイズのプロセスは維持期間(法律、規制、または政策による義務に関
わらず)と保存義務の両方を順守する必要がある。特定の種類の情報(役員の電子メールな
ど)を一定期間維持しなければならない場合、維持期限が切れるまで、その情報をサニタイ
ズ・プロセスから除外する必要がある。
保存義務は、訴訟に関連する情報を保存する訴訟当事者の責任に関わるものである。関連し
得る情報が通常のサニタイズのプロセスで破損する可能性については「善意の行為」として一
般的に許容されるが、訴訟が提起されている場合や訴訟の発生が合理的に予想される場合
は、サニタイズを保留する義務がある。これは、組織の法務担当者がサニタイズ実行の保留
を要求し、適時に保留できる手段を確保しておく必要があることを意味する。
これは活発に変化し続けている法律分野であり、弁護士との定期的な協議を要する。
2
手法
2.1 手法を選択する際の考慮事項
サニタイズ手法を選択する際は、情報の価値と攻撃者 8 の能力および意思とのバランスを考
慮し、対象メディアに適した最終的処分方法を決定する必要がある。
多くの民間組織は国家安全保障組織による厳密な情報区分の対象でないため、情報の評価
が難しい場合がある。民間組織は、特定の種類の情報に対して一定レベルの保護を必要と
する、契約上、法律上、および規制上の要求(支払カード情報に関する PCI DSS、保護され
た健康情報に関する HIPAA、個人識別が可能な情報に関する個人情報保護要件など)とい
う観点から考慮することが多い。新しい製品や重要な発明などに関する情報にも、保護すべ
き直接的な価値が含まれている。情報が評価された場合でも、該当する種類の情報を保持し
ているストレージ・メディアの特定が困難な場合がある。この状況では、残念ながら、含まれて
いる可能性がある最も保護すべき情報に適したレベルでストレージをサニタイズする必要が
生じる。
8 「攻撃者」という言葉は、サイバー犯罪者、国家情報機関の諜報員、ネット活動家を含む、価値ある情報への
違法なアクセスを望む者の総称として使用されている。
サニタイズ
2015 年 3 月
SNIA テクニカル・ホワイトペーパー
8
攻撃者の目的や能力にもばらつきがある。サイバー犯罪者は、盗んだ支払カード情報を、不
正な支払を行うことによって直接的に、あるいは不正な支払を試みる者に販売することによっ
て間接的に現金化しようとする。国家の場合は、盗んだ知的財産を競争優位性の確保に利用
できる。能力は、単純な削除解除ユーティリティの利用から、最新の犯罪ツール、十分な資金
と設備を擁する研究施設でのみ実行可能な手段にまで及ぶ。
メディアの最終処分の重要性は、サニタイズされたメディアが組織の管理下に置かれるのか、
あるいは販売、リサイクル 9、ベンダーなどへの返却が実施されるかによる。
多くの要素が関係し、その状況が不明確なことも多いが、サニタイズ手法の選択は次の 2 つ
の単純な質問に集約される。
1. サニタイズ後も組織でメディアの管理を継続するか?
2. 潜在的な攻撃者が持っている技術的能力のレベルはどの程度か?
2.1.1
管理の継続
組織内部でメディアを再利用する場合、部外者への露出は限定的である。想定されるリスクは、
高度な技術的専門知識と能力を備えたサイバー犯罪者集団ではなく、詮索を試みる従業員や
請負業者である。このような場合、容易に実行できるサニタイズ手法が適しているだろう。
一方、サニタイズしたメディアを組織内で管理できない場合、誰が情報を取り出そうとするか
分からない。金融機関で使用済みとなったハード・ドライブは、支払カードやその他の価値あ
る金融情報の回復を目論むサイバー犯罪者の興味を引く可能性がある。同様に、軍需請負
業者で使用済みとなったメディアは、スパイ活動を行う国家の興味を引くだろう。
見過ごされがちなケースとして、製品保証やサービス契約によってベンダーに渡されるメディ
アがある。この場合、ベンダーに送られる時点でデバイスが動作していないことがあるため、
状況が複雑化する。
組織の管理下を離れるメディアには、より厳重なサニタイズ方法が必要である。
2.1.2
攻撃者の能力
サニタイズされたメディアからデータを回復しようとする試みは、論理的手法と物理的手法(高
度なラボ攻撃など)という 2 つの基本的カテゴリに分類できる。
論理的手法は、ファイル復元ユーティリティの使用から一般的なデジタル犯罪ツールまで
9 ストレージ・デバイスには多くの有益な資源(希土類元素など)が含まれており、設備が整ったリサイクル・セ
ンターで回収できる。
サニタイズ
2015 年 3 月
SNIA テクニカル・ホワイトペーパー
9
多様である。これらのツールは、容易に入手可能であり、あらゆる攻撃者が使用できると考え
てよい。
物理的手法は無限に存在し、攻撃者の技術的専門知識および費やそうとする労力次第であ
らゆる手法が考えられる。前述したように、Gutmann 氏は、磁気ディスクからデータを取り出
すための磁気力顕微鏡法の利用について示した(ただし、この手法は現在のドライブでは機
能しない)。現代的な手法としては、レーザー・ドリルを使って論理チップの内部回路にアクセ
スし、ロジック・アナライザによりその処理をデコードする例が挙げられる 10。こうした攻撃は、
ウェアレベリングによって重要な情報がストレージ・コントローラ下のハードウェア・レベルに残
る可能性があるソリッド・ステート・ストレージにおいて、特に注意が必要である。
攻撃者の能力が高く、情報に高度な能力を費やすだけの価値がある場合、メディアは最も厳
重なサニタイズ方法を採るべきべきである。
“Physical”
device seen by
host
図 1:ストレージ・エコシステムの仮想化レベル
10 ラボ攻撃の詳細については、Ross Anderson の Security Engineering: A Guide to Building Dependable
Distributed Systems (2nd ed)(2008 年)の第 16 章を参照のこと。
サニタイズ
2015 年 3 月
SNIA テクニカル・ホワイトペーパー
10
2.2 論理サニタイズとメディアアラインドサニタイズの比較
近年のストレージ・エコシステムは、ホストに 1 つのディスク・デバイスであるように見せるため
に複数の仮想化レイヤーを実装した複雑な環境になっていることがある。図 1 の最上部は、
ホストにストレージ LUN として提供されるブロックの集合である。その下にはストレージ・ブロ
ックの塊(複数の独立したデバイス上に存在する場合もある)を結び付けるコントローラがあり、
ホストに見える LUN を構成している。このようなデバイスの 1 つ(左側のもの)がソリッド・ステ
ート・ドライブであることが考えられ、したがって物理的「デバイス」は実際には仮想的なもので
あり、(ウェアレベリングなどのため)下位のコントローラによって管理されたブロックの集合体
で構成されていることがあり得る。
サニタイズは、これらすべてのレベルに適用することが可能であり、ISO/IEC 27040 ではそ
れらを区別するために論理とメディアアラインドという用語が使用されている。仮想ドライブ
(LUN)をサニタイズした場合、それは論理サニタイズである。仮想ドライブを作成するために
コントローラが使用している下位のデバイスを特定し、それをサニタイズした場合は、メディア
アラインドサニタイズである。
上位層にスペースを提供する物理デバイス上のストレージ・ブロックを特定するより、特定の
ホストが専用利用する仮想デバイスを特定してアクセスする方が容易であるため、論理サニタ
イズがより一般的に行われている。
2.3 用語
サニタイズ手法は、クリア、パージ、破壊の 3 つに大別される。クリアが最も厳格性が低く、
当然ながら破壊が最も厳重である。クリアまたはパージ後のメディアは再利用できるが、破
壊後は再利用できない。
2.3.1
クリア
ISO/IEC 27040 において、クリアは「すべてのユーザがアドレス指定できる記憶場所にあるデ
ータを、ユーザが使用できるものと同じインタフェースを使用した単純な非侵襲的データ回復
手段から保護するために論理的手段を使用するサニタイズ」と定義されている。多くの場合、
クリア処理はすべてのユーザがアドレス指定できるデバイスのブロックを非機密データ(二進
数の 0 など)で埋める上書きプロセスを使用して実装される。前述したように、近年の磁気ディ
スクにおいては、1 回の上書きパスで十分である。
クリアは、論理的攻撃に耐える必要があるものの物理的攻撃には晒されないメディアに適し
ている。これは、ユーザがアドレス指定できる部分のみを上書きするという手法による制約
サニタイズ
2015 年 3 月
SNIA テクニカル・ホワイトペーパー
11
がベースとなっている。この方法では、メディア上の予約領域およびスペアリング処理によっ
て利用可能領域から削除された領域が上書き対象から除外されるためである。
また、クリア処理はソリッド・ステート・ドライブにも適していない。ウェアレベリングなどの技術
的機能は論理的にアクセスできるデータを異なる物理的位置に(ホスト・レベルで)透過的に
移動させ、元の位置にあった情報がそのまま残るためである。
少し複雑になるが、組織によっては、パージ処理(後述)に適すると考えられているデバイス固
有コマンド(場合によっては暗号的消去)を使用したクリア処理が好ましい場合がある。こうし
た手段は上書きプロセスより速い動作が可能で、利便性が高いためである。念のために説明
すれば、こうした手段がクリア処理で利用されるのは便宜上の理由からであり、パージ処理の
場合はその有効性の高さから利用されている。
2.3.2
パージ
ISO/IEC 27040 において、パージは「最先端の実験的手段を用いて回復を不可能にするが、
ストレージ・メディアを再利用し得る状態に保つ物理的手段を使用するサニタイズ」と定義され
ている。パージ処理の主な特徴は、ユーザがアドレス指定できる記憶場所とアドレス指定でき
ない記憶場所の両方をサニタイズすることである。これは、特別なデバイス・コマンドまたは消
磁(磁気メディアの場合)により実現できる。
パージ処理は、メディアが組織の管理外に置かれる(リサイクル、譲渡、再販)場合に適してい
る。こうした場合、潜在的な攻撃者がそのメディアに残っている可能性のある情報を取り出す
ために費やす労力レベルを把握できないためである。
暗号的消去
メディアが巨大化しているため、また、ソリッド・ステート・ストレージなどの新しいテクノロジー
が広く使われるようになったため、サニタイズ・コマンドを備えたデバイス上においてもサニタ
イズに要する時間を最小化しようとする動きがある。保存データの暗号化の使用が増えたこ
とにより、暗号的消去をきわめて高速で行う手段が提供されるようになった。暗号的消去は、
基本的にデータの暗号鍵を破壊するため、攻撃者がサニタイズされたデータにアクセスする
には暗号化技術自体を攻撃するしかない。暗号的消去のもう 1 つのメリットは、粒度の高さ
である。例えば、ランダムなキーで暗号化した後でそのキーをただちにサニタイズすることに
より、理論的にはデータベースの 1 つのフィールドのみを暗号的に消去することができる。
また暗号的消去は、一部のタイプのメディア(フラッシュ・ベースのソリッド・ステート・ストレー
ジなど)にとっては唯一の有効的なサニタイズ手段である。
サニタイズ
2015 年 3 月
SNIA テクニカル・ホワイトペーパー
12
この方式は実装が容易そうに見え、速度も非常に魅力的だが、次のような重要な要件が挙げ
られる。
暗号化は、一切のデータをドライブに書き込む前に適用しなければならない。つまり、メディア
上に平文のデータが存在しないことを保証する必要がある。
信頼性の高い暗号化が必須である。そのためには、暗号化アルゴリズム自体とその実装が
信頼できる必要がある。通常この要件は、FIPS140-2(または同等の)認定を満たすような十
分に検査された暗号化実装を使用する場合にのみ満たされる。これは、攻撃者が暗号化さ
れた情報に容易にアクセスできるような脆弱性がないことを保証するためである。
有効な鍵管理が必須である。暗号的消去を実行するには、関連鍵のすべてのコピー(エスク
ローや集中型鍵管理ソリューション内のものを含む)をサニタイズする必要がある 11。
暗号化の証拠が必須である。暗号的消去がサニタイズ手法として認められるためには、デー
タが最初から適切に暗号化されたことを確実に文書化する必要がある。
これらの要件を満たせば、潜在的な攻撃者は、暗号化されたデータに対して総当たり攻撃を
試みるか、アルゴリズムまたはその実装の脆弱性を見つける(十分に検査された実装にお
いては起こり難い)しかないことが確実となる。
2.3.3
破壊
ISO/IEC 27040 において、破壊は「最先端の実験的手段を用いて回復を不可能にすることで、
そのメディアによる保存が不可能になる物理的手段を使用するサニタイズ」と定義されている。
通常、破壊は焼却や破砕などの手段によって実施される。
この方式は、一見単純そうに見える(楽しそうでもある)が、データ漏洩のリスクに合った適切
な手法を慎重に選択する必要がある。ディスクに弾丸を撃ち込むような手っ取り早い方法では、
ディスクをサーバに戻してデータを読み取ることは防止できると考えられるが、資金が豊富で
技術的に熟達した攻撃者にとって有益なデータが、破損した円盤に残っている可能性がある。
どの手法を選択するにしても、メディアの処分方法(埋め立てなど)による環境への影響や
焼却中に発生する有毒ガスなども考慮すべきである。
11
詳細については、本シリーズのホワイトペーパー『Encryption/Key Management(暗号化/鍵管理)』を
参照のこと。
サニタイズ
2015 年 3 月
SNIA テクニカル・ホワイトペーパー
13
2.3.4
サマリー
情報セキュリティにおける他の多くの決定と同様、サニタイズ手法の選択はリスクに基づいて行
われる。表 1 は、それぞれの手法がどのような場合に適切かをまとめたものである。
メディアの最終状態
手法
攻撃者リスクのレベル
クリア
再利用できる
低~中
パージ
再利用できる可能性がある 高
破壊
再利用不可能
非常に高
表 1 手法と攻撃者リスク
攻撃者リスクには、メディアの所在(組織の管理下/外)、コンテンツ情報の価値、および攻撃者
の能力が反映されている。
適切な手法の選択後、ISO/IEC 27040 の Annex A で該当するタイプのメディアに適した手段
の選択に関するガイダンスを参照すること。
3 まとめ
サニタイズは、ストレージが再利用、リサイクル、または廃棄されたときに情報が意図せずに
漏洩しないことを確実にする、情報ライフサイクル管理の重要な構成要素である。ISO/IEC
27040 は、様々なタイプのストレージに関して、組織のリスク特性に基づき手法および手段を
選択するための幅広いガイダンスを示している。
4 謝辞
4.1 執筆者について
Richard Austin は、35 年以上 IT 業界に携わり、ソフトウェア開発者からセキュリティ・アーキテクトま
で幅広い職歴を持つ。現在は、HP Cyber Security の Technology Office でセキュリティ・アーキテクト
として働いている。IEEE および ACM のシニア・メンバーであり、CISSP 認定を取得している。SNIA
のセキュリティ技術分科会に積極的に参加しつつ、INCITS/CS1 を通して国際的な標準化活動にも参
加している。
サニタイズ
2015 年 3 月
SNIA テクニカル・ホワイトペーパー
14
4.2 査閲者と貢献者
セキュリティ TWG は、本ホワイトペーパーに貢献した次の方々に感謝の意を表する。
Eric Hibbard, CISSP, CISA
Hitachi Data Systems
Walt Hubis
Hubis Technical Associates
Dr. Alan Yoder
Huawei Technologies Co. Ltd.
Wayne Adams
EMC Corporation
5 追加情報
セキュリティ TWG を含む SNIA のセキュリティ活動に関する追加情報については、
http://www.snia.org/security を参照のこと。
改訂に関する提案は、http://www.snia.org/feedback/まで。
ISO/IEC 27040 標準は、http://www.iso.org で購入できる。
サニタイズ
2015 年 3 月
SNIA テクニカル・ホワイトペーパー
15