データサニタイズ方法

NCSC-TG-025

NCSC-TG-025の消毒方法は、もともと Forest Green Bookで定義されていました。 、レインボーシリーズの一部 かつて米国国家安全保障局（NSA）の一部であったグループであるNational Computer Security Center（NCSC）によって発行されたコンピュータセキュリティガイドラインの概要。

NCSC-TG-025は、NSAのデータサニタイズ標準ではなくなりました。 NSA / CSSストレージデバイス分類解除マニュアル（NSA / CSS SDDM）には、ハードドライブデータをサニタイズするNSA承認の方法として、消磁と焼却による物理的破壊のみが記載されています。 NSA / CSS SDDMはここ（PDF）で読むことができます。

NCSC-TG-025は通常、0、1、、を組み合わせて、次のように実装されます。 ランダムな文字：

• パス1： ゼロを書き込み、書き込みを検証します
• パス2： 1つを書き込み、書き込みを確認します
• パス3： ランダムな文字を書き込み、書き込みを確認します

NCSC-TG-025データサニタイズ方法は、DoD 5220.22-M方法とまったく同じであり、実装方法のバリエーションも同様です。

AFSSI-5020

AFSSI-5020の消毒方法は、元々、米国空軍（USAF）による空軍システムセキュリティ命令5020で定義されていました。 USAFがまだこのデータサニタイズを標準として使用しているかどうかは不明です。

AFSSI-5020データワイプ方式は通常、次の方法で実装されます。

• パス1： ゼロを書き込みます
• パス2： 1つ書く
• パス3： ランダムな文字を書き込み、書き込みを確認します

また、最初のパスに1を書き込み、2番目のパスに0を書き込む反復が表示される場合があります。このメソッドは、最後のパスだけでなく、各パスの後に検証が実装されていることも確認されています。

AR 380-19

AR 380-19の消毒方法は、元々、米陸軍によって発行された陸軍規則380-19で定義されていました。 AR 380-19データサニタイズ仕様は、AR 380-19付録F（PDF）で読むことができます。

2019年4月にリリースされた陸軍省パンフレット25–2–3によると、米国陸軍はソフトウェアベースのデータサニタイズ標準としてAR 380-19を使用しなくなり、代わりにNISTで特定された検証プロセスに依存していることは明らかです。 SP800-88リビジョン1。

AR 380-19データサニタイズ方法は、通常、次の方法で実装されます。

• パス1 —ランダムな文字を書き込みます
• パス2 —指定された文字（ゼロなど）を書き込みます
• パス3 —指定された文字の補数（つまり1つ）を書き込み、書き込みを検証します

このデータサニタイズ方法は、データ破壊プログラムによって誤って使用されることがあるため、最終パスの検証なし、または3回目のパスなしで実装されていることがわかります。

NAVSO P-5239-26

NAVSO P-5239-26の消毒方法は、元々、米国海軍が発行した海軍スタッフオフィス出版物5239モジュール26：情報システムセキュリティプログラムガイドラインで定義されていました。 NAVSO P-5239-26データサニタイズ仕様は、NAVSOPublication5239-26の3.3.c.1および3.3.c.2で読むことができます。米国海軍がまだそれをデータサニタイズ標準として使用しているかどうかは不明です。

NAVSO P-5239-26は通常、次の方法で実装されます。

• パス1 —指定された文字（例：1文字）を書き込みます
• パス2 —指定された文字の補数を書き込みます（例：ゼロ）
• パス3 —ランダムな文字を書き込み、書き込みを検証します

この方法は、ほとんどのデータ破壊プログラムが標準を実装する方法です。ただし、実際の仕様によれば、これはあまり効果的ではない「代替方法」です。 「推奨される方法」には、より複雑な上書きパターンが含まれます。

RCMP TSSIT OPS-II

RCMP TSSIT OPS-IIのサニタイズ方法は、元々付録Ops-II：情報技術の技術的セキュリティ基準のメディアサニテーションで定義されていました。 王立カナダ騎馬警察（RCMP）によって発行された文書。ここからPDFとして入手できます。

ただし、RCMP TSSIT OPS-IIは、カナダ政府のソフトウェアベースのデータサニタイズ標準ではなくなりました。カナダのデータサニタイズ標準は、CSECITSG-06またはSecureEraseを利用するプログラムになりました。

RCMP TSSIT OPS-IIはこれらの方法を組み合わせており、通常は次の方法で実装されます。

• パス1： ゼロを書き込みます
• パス2： 1つ書く
• パス3： ゼロを書き込みます
• パス4： 1つ書く
• パス5： ゼロを書き込みます
• パス6： 1つ書く
• パス7： ランダムな文字を書き込み、書き込みを確認します

このメソッドは通常、上記のように正しく使用されますが、一部のプログラムでは、ゼロ/ワンの繰り返しパスの代わりにランダムな文字を使用して実装されていることも確認しています。

CSEC ITSG-06

CSEC ITSG-06のサニタイズ方法は、元々、 ITセキュリティガイダンス06：電子データストレージデバイスのクリアと分類解除のセクション2.3.2で定義されていました。 、Communication Security Establishment Canada（CSEC）が発行。

CSEC ITSG-06は、カナダのデータサニタイズ標準としてRCMPTSSITOPS-IIに取って代わりました。

通常、次の方法で実装されます。

• パス1： 1または0を書き込みます。
• パス2： 以前に作成した文字の補足を書き込みます（例： one パス1がゼロだった場合 。
• パス3： ランダムな文字を書き込み、書き込みを検証します。

CSECは、SecureEraseをデータをサニタイズするための承認された方法としても認識しています。

HMG IS5

HMG IS5の消毒方法は、元々 HMG IA /IS5保護マーク付き情報または機密情報の安全な消毒で定義されていました。 国家サイバーセキュリティセンター（NCSC）の一部であるCommunications-Electronics Security Group（CESG）によって発行されたドキュメント。

この方法には、HMGIS5ベースラインの2つの類似したバージョンがあります。 およびHMGIS5拡張 。

HMG IS5ベースラインデータサニタイズ方法は通常、次の方法で実装されます。

• パス1： ゼロを書き込みます
• パス2： ランダムな文字を書き込み、書き込みを確認します

HMGIS5Enhancedの通常の動作は次のとおりです。

• パス1： ゼロを書き込みます
• パス2： 1つ書く
• パス3： ランダムな文字を書き込み、書き込みを確認します

VSITR

Verschlusssache IT Richtlinien （VSITR）は、大まかに分類されたITポリシーとして翻訳され、元々はドイツ連邦情報セキュリティ局（BSI）のBundesamtfürSicherheitによって定義されました。 BSIの詳細については、同社のWebサイトを参照してください。

これは、VSITRデータサニタイズ方法が最も頻繁に実装される方法です：

• パス1： ゼロを書き込みます
• パス2： 1つ書く
• パス3： ゼロを書き込みます
• パス4： 1つ書く
• パス5： ゼロを書き込みます
• パス6： 1つ書く
• パス7： ランダムな文字を書き込みます

パスが3つしかないもの、文字を書くものなど、さまざまなVSITRの反復が見られました。 A ランダムな文字の代わりに最後のパスで、そして最後のパスとしてドライブ全体に交互に1と0を書き込むもの。

GOST R 50739-95

実際には、公式のGOSTR50739-95データサニタイズ方法はありませんでした。 GOST R 50739-95文書がありますが、データサニタイズの標​​準や方法論は指定されていません。

とにかく、以下で説明する実装は、ほとんどのデータ破壊プログラムによってGOSTメソッドとしてラベル付けされています。

ГОСТP50739-95は、GOST R 50739-95として翻訳されており、情報への不正アクセスから保護するために設計された、もともとロシアで概説された一連の標準です。 GOST R 50739-5の全文は、ここで（ロシア語で）読むことができます：ГОСТР50739-95。

ГОСТは、государственныйстандартの頭字語で、州の標準を意味します。 。

GOST R 50739-95データサニタイズ方法は、通常、次の2つの方法のいずれかで実装されます。

最初のバージョン：

• パス1： ゼロを書き込みます
• パス2： ランダムな文字を書き込みます

2番目のバージョン：

• パス1： ランダムな文字を書き込みます

他の方法と比較した場合のこのデータ消去方法の大きな違いの1つは、情報が上書きされた後に「検証」パスが必要ではないことです。つまり、ワイプ方式を使用するプログラムは、データが実際に消去されたことを再確認しなくても、GOSTR50739-95を使用したと主張することができます。

ただし、GOST R 50739-95を使用するプログラムは、必要に応じて上書きを確認できます。これは通常、データ破壊プログラムとファイルシュレッダーのオプションです。

ロシアのGOSTR50739-95データサニタイズ規格は、誤ってGOSTp50739-95と呼ばれることがあります。

ガットマン

1996年にPeterGutmannによって開発されたGutmannの方法では、最初の4パスと最後の4パスで、他の手法で使用されるゼロではなくランダムな文字を使用しますが、その後、パス5からパス31までの複雑な上書きパターンを使用します。 。合計35パスを書き込みます。

各パスで使用されるパターンの表を含む、元のGutmannメソッドの長い説明があります。

この方法は1900年代後半に設計されました。当時使用されていたハードドライブは、現在使用しているものとは異なるエンコード方法を使用していたため、この方法で実行されるパスのほとんどは、最新のハードドライブではまったく役に立ちません。各ハードドライブがデータをどのように保存するかを正確に知らなくても、データを消去する最善の方法はランダムなパターンを使用することです。

ピーター・ガットマン自身が彼の元の論文のエピローグで次のように述べています。

すべてのハードドライブはデータを保存するために1つのエンコード方法のみを使用するため、ここで言われていることは、Gutmannの方法は、すべてが異なるエンコード方法を使用する多くの異なるタイプのハードドライブに非常によく適用される可能性がある一方で、ランダムデータを書き込むことだけが本当に必要なことです行われる。

結論：Gutmannの方法でこれを行うことができますが、他のデータサニタイズ方法でも可能です。

シュナイアー

シュナイアー法はブルースシュナイアーによって作成され、彼の著書 Applied Cryptography：Protocols、Algorithms、and Source Code in C に掲載されました。 （ISBN 978-0471128458）。

これが通常の実装方法です：

• パス1： 1つ書く
• パス2： ゼロを書き込みます
• パス3： ランダムな文字のストリームを書き込みます
• パス4： ランダムな文字のストリームを書き込みます
• パス5： ランダムな文字のストリームを書き込みます
• パス6： ランダムな文字のストリームを書き込みます
• パス7： ランダムな文字のストリームを書き込みます

一部のプログラムでは、最初または最後のパスの後の検証など、わずかなバリエーションでシュナイアー法を使用する場合があります。

フィッツナー

このデータワイプメソッドの作成者であるRoyPfitznerは、データを20回上書きするだけでデータを取得できる可能性があり、ランダムな文字を30回以上書き込むだけで十分であると述べています。ただし、これが正確かどうかは議論の余地があります。

ほとんどのソフトウェアは次の方法でPfitznerメソッドを実装しますが、一部のソフトウェアはそれを変更して、より少ないパス数を使用する場合があります（7つが一般的です）：

パス1-33： ランダムな文字を書く

Pfitzner 33-pass と書かれることもありますが、 、Pfitzner7パス 、 random（x33） またはrandom（x7）。

これに加えて、ほとんどのソフトウェアでは、Pfitznerメソッドを複数回実行できます。したがって、このメソッドを50回実行すると、ソフトウェアはドライブを33回ではなく、1,650回（33x50）上書きします！

一部のデータ破壊アプリケーションは、パスが完了した後にパスを検証する場合もあります。

ランダムデータ

一部のデータサニタイズ方法は、既存のデータを0または1で上書きします。その他には、0と1の両方が含まれますが、ランダムな文字も含まれます。ただし、Random Dataメソッドは、その名前が示すように、ランダムな文字のみを使用します。

データサニタイズ方法はさまざまな方法で実装されます：

パス1-？： ランダムな文字を書く

ランダムデータメソッドを提供するほとんどのデータ破壊ツールは、それを一種の日曜大工のサニタイズメソッドとして使用し、パスの数をカスタマイズできるようにします。したがって、このメソッドは2回のパスで実行されるか、20回または30回以上実行されることがあります。各パスの後に確認するか、最後のパスだけを確認するかを選択することもできます。

一部のソフトウェアプログラムでは、パスの数だけでなく、使用する文字もカスタマイズできます。たとえば、Random Dataメソッドを選択しても、ゼロのみのパスを追加するオプションが与えられます。ただし、プログラムでサニタイズ方法をカスタマイズできる場合でも、上記の説明から大きく外れると、ランダムデータではなくなった方法になります。

書き込みゼロ

Write Zeroデータのサニタイズ方法は、当然のことながら、通常、次の方法で実装されます。

• パス1： ゼロを書き込みます

このメソッドの一部の実装には、最初のパス後の検証が含まれる場合があり、文字を書き込む場合があります。その他 ゼロよりも大きいか、複数のパスでゼロを書き込む可能性がありますが、これらは一般的な方法ではありません。

データを消去するのに十分ですか？

一部のデータサニタイズ方法では、通常の読み取り可能なデータがランダムな文字に置き換えられます。上記のように、Write Zeroは同じことを行いますが、ゼロを使用します。実際には、ハードドライブをゼロでワイプしてから捨てると、それを手にしたランダムなゴミ箱のダイバーは、削除されたデータを復元できなくなります。

それが本当なら、なぜ他のタイプのデータワイプ方法が存在するのか疑問に思うかもしれません。利用可能なすべてのデータワイプ方法で、ゼロフィルユーティリティの目的は何ですか？たとえば、ランダムデータメソッドはランダムを書き込みます ゼロの代わりにドライブに文字を追加しますが、ライトゼロやその他の文字とどのように違うのですか？

1つの側面は、書き込まれている文字だけでなく、メソッドがデータを上書きするのにどれだけ効率的かということです。書き込みパスが1回だけ実行され、ソフトウェアがすべてのデータが消去されたことを確認しない場合、このメソッドは、実行するメソッドほど効果的ではありません。

つまり、1つのドライブでWrite Zeroを使用し、すべてのデータが上書きされたことを確認すると、同じデータがRandom Dataメソッドで上書きされた場合よりも、情報が復元される可能性が低くなると確信できますが、各セクターがランダムな文字に置き換えられたことを確認しませんでした。

ただし、特定の文字は他の文字よりも優れたプライバシーを提供する場合もあります。ファイル回復プログラムがデータがゼロのみで上書きされたことを知っている場合、プログラムがシュナイアー法のように使用されている文字を知らない場合よりも、存在するデータをふるいにかけるのが非常に簡単になります。

他のすべてのデータワイプ方法のもう1つの理由は、一部の組織が、回復を妨げる可能性が最も高い特定の方法で情報が消去されていることを証明したいため、すべてのデータワイプのニーズに特定のパラメーターを使用して特定のデータサニタイズ方法を使用することです。 。

Write Zeroメソッドは、より正確には、 Single Overwriteと呼ばれることもあります。 方法。 ゼロフィル消去とも呼ばれます。 またはゼロフィル 。

どのデータサニタイズ方法が最適ですか？

1つ以上のファイル、またはハードドライブ全体を1文字で1回だけ上書きすると、ソフトウェアベースのファイル回復方法でハードドライブからデータを回復できなくなります。これはほぼ普遍的に合意されています。

一部の研究者によると ¹ 、データを1回上書きするだけで、ハードドライブから情報を抽出する高度なハードウェアベースの方法でさえも防ぐことができます。つまり、ほとんどのデータサニタイズ方法はやり過ぎです。これはではありません 合意されたとおり。

ほとんどの専門家は、セキュア消去が最高であることに同意しています。 1回のパスでハードドライブ全体を上書きする方法。非常に単純なWriteZeroメソッドは、はるかに低速ですが、基本的に同じことを実行します。

ワイプ方法を使用してデータを消去することは、実際には以前のデータの上に他のデータを書き込むだけで、情報が役に立たないものに置き換えられます。各方法はこのように機能します。新しいデータは基本的にランダムであり、実際には個人情報は含まれていません。そのため、1、0、およびランダムな文字が使用されます。

_{[1] Craig Wright、Dave Kleiman、Shyaam Sundhar R.S.ハードドライブデータの上書き：ここで入手可能な大きなワイピング論争[PDF]。}

1回の上書きで十分な場合、なぜこれほど多くのデータサニタイズ方法があるのでしょうか。

上で述べたように、すべての可能な方法を防ぐソフトウェアベースのデータサニタイズ方法に全員が同意するわけではありません。 データを回復します。

ハードドライブから情報を抽出する高度なハードウェアベースの方法が存在するため、いくつかの政府機関や研究者は、データを上書きする特定の方法を独自に考案しました。彼らの研究によれば、これらの高度な回復方法は機能しません。

「書き込みを確認する」とはどういう意味ですか？

ほとんどのデータサニタイズ方法は検証を実行します データに文字を書き込んだ後、つまり、ドライブをチェックして、内容が実際に上書きされたことを確認します。

言い換えれば、データ書き込み検証は、「私は本当にこれを正しい方法で行ったのか」のようなものです。一種のチェック。何らかの理由で上書きが完了しなかった場合、ソフトウェアは、データが上書きされたことを確認できるまで、その特定のパスをやり直す可能性があります。または、確認が期待どおりに完了しなかったと通知する場合があります。必要に応じて手動で再実行できます。

一部のデータワイプソフトウェアツールでは、ファイルがなくなったことを確認する回数を変更できます。プロセス全体の最後（すべてのパスが完了した後）に1回だけ検証するものもあれば、パスごとに書き込みを検証するものもあります。

パスごとにドライブ全体をチェックしてファイルが削除されていることを確認するには、最後に1回だけチェックするよりも頻繁にチェックする必要があるため、完了するまでにかなり長い時間がかかります。

これらのメソッドをサポートするソフトウェア

この表には、上記のデータサニタイズ方法をサポートするファイルシュレッダープログラムとデータ破壊ツールがあります。どちらを使用するかわからない場合は、ドライブ全体のデータワイププログラムのリストまたはファイルレベルの消去ツールのリストを参照してください。

ほとんどのプログラムでは、必要な上書きパターンとパス数を使用して、独自のデータサニタイズ方法をカスタマイズすることもできます。たとえば、プログラムでは、最初のパスでデータをゼロで上書きし、2番目のパスで1つ、さらに8つのパスでランダムな文字を上書きするように選択できます。

CBLデータシュレッダーを使用すると、カスタムのワイプ方法を作成できます。したがって、技術的には、これらの方法のいずれかでハードドライブをワイプするために使用できます。上記のアスタリスクの付いた項目は、ワイプ方法がサポートされていることは明らかではありませんが、パスを変更して作成できることを意味します。