データサニタイズ方法とは何ですか？（データワイプ方法）

December 02, 2021
にコンピューター、ラップトップ、タブレットアクセサリーとハードウェア

データサニタイズ方法は、データ破壊プログラムまたファイルシュレッダー上のデータを上書きしますハードドライブまたは他のストレージデバイス。

ほとんどのデータ破壊およびシュレッダープログラムは、使用するデータサニタイズ方法を選択できるように、多くのデータサニタイズ方法をサポートしています。

これらの方法は、しばしば データ消去方法, データワイプ方法, ワイプアルゴリズム、と データワイプ標準. このような用語を見ると、このページに表示されているように、プログラムはデータのサニタイズについて話していることになります。

技術的には、データを破壊する他の方法いいえ ソフトウェアの上書きに基づくことは、データサニタイズ方法とも呼ばれますが、ほとんどの場合、この用語は、データを消去するこれらのソフトウェアベースの方法を指します。

以下は、データ破壊プログラムで使用されるいくつかの一般的なデータサニタイズ方法です。特定の方法、および該当する場合は、組織または個人がそれ。

安全な消去

Secure Eraseは、一連のに付けられた名前です。コマンドから入手可能ファームウェアオン PATA と SATA ベースのハードドライブ（では利用できません SCSI ドライブ）。

セキュア消去を使用してハードドライブからデータを消去することは、アクションが実行されるため、これを行うための最良の方法と見なされることがよくあります。 ドライブ自体から、最初にデータを書き込んだのと同じハードウェア。ハードドライブからデータを削除する他の方法は、データを上書きするより標準的な方法に依存しているため、効果が低い場合があります。

による米国国立標準技術研究所（NIST）特別刊行物800-88、ソフトウェアベースのデータサニテーションの唯一の方法は、ハードドライブのSecureEraseコマンドを利用する方法でなければなりません。

国家安全保障局が磁気センターと協力したことも注目に値しますカリフォルニア大学サンディエゴ校の記録研究（CMMR）、ハードドライブデータの研究衛生。その研究の結果は HDDErase、SecureEraseコマンドを実行することで機能する無料で入手可能なデータ破壊ソフトウェアプログラム。

Secure Eraseデータのサニタイズ方法は、次の方法で実装されます。

パス1： バイナリを1または0で書き込みます

からの書き込みであるため、上書きの検証は必要ありません。 ドライブ内、ドライブの書き込み障害検出がミスを防止することを意味します。これにより、Secure Eraseは他のデータサニタイズ方法と比較して高速になり、間違いなくより効果的になります。

特定のSecureEraseコマンドには次のものがあります。 セキュリティ消去の準備 と セキュリティ消去ユニット. セキュリティの消去 これが議論されているのを見るかもしれない別の方法ですが、おそらく頻繁ではありません。

いくつかのプログラムには言葉があります 安全な消去 彼らの名前でまたは彼らが彼らを宣伝する 安全に消去する ハードドライブからのデータ。しかし、彼らがいない限り 具体的には ハードドライブのSecureEraseコマンドを使用しますが、使用しない可能性が高いことに注意してください。

DoD 5220.22-M

DoD 5220.22-Mの衛生方法は、元々、米国国防総省の国家産業安全保障プログラムによって定義されました。国家産業安全保障プログラム操作マニュアル、およびデータ破壊ソフトウェアで使用される最も一般的なサニタイズ方法の1つです。

DoD 5220.22-Mデータサニタイズ方法は、通常、次の方法で実装されます。

パス1：ゼロを書き込み、書き込みを検証します。
パス2：1を書き込み、書き込みを確認します。
パス3：ランダムな文字を書き込み、書き込みを確認します。

また、DoD 5220.22-M（E）、DoD 5220.22-M（ECE）、さらには他のいくつかのイテレーションに出くわす可能性があります。それぞれがおそらく文字とその補数（1と0のように）とさまざまな頻度の検証を使用します。

あまり一般的ではありませんが、DoD5220.22-Mの別の変更されたバージョンがあります。 97 ランダムな文字の代わりに最後のパスの間に。

NISPOMは、データのサニタイズに関する米国政府の標準を定義していません。 Cognizant Security Authorityは、データサニタイズ標準に責任があります。 DoD 5220.22-Mメソッドは許可されなくなりました（また、許可されていません） どれか 部門を含むCSAのさまざまなメンバーが使用するためのソフトウェアベースのデータサニタイズ方法）防衛省、エネルギー省、原子力規制委員会、およびセントラルインテリジェンスエージェンシー。

NCSC-TG-025

NCSC-TG-025の衛生方法は、もともと フォレストグリーンブック、の一部 レインボーシリーズ かつて米国国家安全保障局（NSA）の一部であったグループであるNational Computer Security Center（NCSC）によって発行されたコンピュータセキュリティガイドラインの概要。

NCSC-TG-025は、NSAのデータサニタイズ標準ではなくなりました。 NSA / CSSストレージデバイス分類解除マニュアル（NSA / CSS SDDM）には、ハードドライブデータをサニタイズするNSA承認の方法として、消磁と焼却による物理的破壊のみが記載されています。あなたはできるここでNSA / CSSSDDMを読んでください（PDF）。

NCSC-TG-025は通常、0、1、を組み合わせて次のように実装されます。とランダムな文字：

パス1： ゼロを書き込み、書き込みを検証します
パス2： 1を書き込み、書き込みを確認します
パス3： ランダムな文字を書き込み、書き込みを確認します

NCSC-TG-025データサニタイズ方法は、DoD 5220.22-M方法とまったく同じであり、実装方法のバリエーションも同様です。

AFSSI-5020

AFSSI-5020の衛生方法は、元々、米国空軍（USAF）による空軍システムセキュリティ命令5020で定義されていました。 USAFがまだこのデータサニタイズを標準として使用しているかどうかは不明です。

AFSSI-5020データワイプ方式は通常、次の方法で実装されます。

パス1： ゼロを書き込みます
パス2： 1つ書く
パス3： ランダムな文字を書き込み、書き込みを確認します

また、最初のパスに1を書き込み、2番目のパスに0を書き込む反復が表示される場合があります。このメソッドは、最後のパスだけでなく、各パスの後に検証が実装されていることも確認されています。

AR 380-19

AR 380-19の衛生状態化方法は、元々、米国陸軍によって発行された陸軍規則380-19で定義されていました。 AR380-19データサニタイズ仕様はで読むことができます AR380-19付録F （PDF）。

によると陸軍省パンフレット25–2–3、2019年4月にリリースされた、米国陸軍がソフトウェアベースのデータとしてAR380-19を使用しなくなったことは明らかです消毒標準ですが、代わりにNIST SP800-88改訂で特定された検証プロセスに依存しています 1.

AR 380-19データサニタイズ方法は、通常、次の方法で実装されます。

パス1 —ランダムな文字を書き込みます
パス2 —指定された文字（ゼロなど）を書き込みます
パス3 —指定された文字（つまり1つ）の補数を書き込み、書き込みを検証します

このデータサニタイズ方法は、データ破壊プログラムによって誤って使用されることがあるため、最終パスの検証なしで、または3番目のパスがまったくない状態で実装されていることがわかります。

NAVSO P-5239-26

NAVSO P-5239-26の消毒方法は、元々、米国海軍が発行した海軍スタッフオフィス出版物5239モジュール26：情報システムセキュリティプログラムガイドラインで定義されていました。 NAVSO P-5239-26データサニタイズ仕様は、の3.3.c.1および3.3.c.2で読むことができます。 NAVSO Publication 5239-26. アメリカ海軍がまだそれをデータサニタイズ標準として使用しているかどうかは不明です。

NAVSO P-5239-26は通常、次の方法で実装されます。

パス1 —指定された文字（例：1文字）を書き込みます
パス2 —指定された文字の補数を書き込みます（例：ゼロ）
パス3 —ランダムな文字を書き込み、書き込みを検証します

この方法は、ほとんどのデータ破壊プログラムが標準を実装する方法です。ただし、実際の仕様によれば、これはあまり効果的ではない「代替方法」です。「推奨される方法」には、より複雑な上書きパターンが含まれます。

RCMP TSSIT OPS-II

RCMP TSSIT OPS-IIサニタイズ方法は、もともと 付録Ops-II：情報技術の技術的セキュリティ基準のメディアサニテーション 王立カナダ騎馬警察（RCMP）によって発行された文書。これはここでPDFとして入手可能.

ただし、RCMP TSSIT OPS-IIは、カナダ政府のソフトウェアベースのデータサニタイズ標準ではなくなりました。カナダのデータサニタイズ標準は、CSECITSG-06またはSecureEraseを利用するプログラムになりました。

RCMP TSSIT OPS-IIはこれらの方法を組み合わせており、通常は次の方法で実装されます。

パス1： ゼロを書き込みます
パス2： 1つ書く
パス3： ゼロを書き込みます
パス4： 1つ書く
パス5： ゼロを書き込みます
パス6： 1つ書く
パス7： ランダムな文字を書き込み、書き込みを確認します

このメソッドは通常、上記のように正しく使用されますが、一部のプログラムでは、ゼロ/ワンの繰り返しパスの代わりにランダムな文字を使用して実装されていることも確認しています。

CSEC ITSG-06

CSEC ITSG-06の衛生化方法は、もともとのセクション2.3.2で定義されていました。 ITセキュリティガイダンス06：電子データストレージデバイスのクリアと分類解除、Communication Security Establishment Canada（CSEC）によって発行されました。

CSEC ITSG-06は、カナダのデータサニタイズ標準としてRCMP TSSITOPS-IIに取って代わりました。

通常、次の方法で実装されます。

パス1： 1または0を書き込みます。
パス2： 以前に書かれた文字の補数を書きます（例：一パス1が零).
パス3： ランダムな文字を書き込み、書き込みを検証します。

CSECはまた、データをサニタイズするための承認された方法としてSecureEraseを認識しています。

HMG IS5

HMG IS5の衛生方法は、もともと HMG IA / IS5保護マーク付き情報または機密情報の安全な消毒 National Cyber SecurityCenterの一部であるCommunications-ElectronicsSecurity Group（CESG）によって発行されたドキュメント（NCSC).

このメソッドには、2つの類似したバージョンがあります。HMGIS5 ベースライン およびHMGIS5 強化された.

HMG IS5ベースラインデータサニタイズ方法は、通常、次の方法で実装されます。

パス1： ゼロを書き込みます
パス2： ランダムな文字を書き込み、書き込みを確認します

これは、HMG IS5Enhancedが通常どのように機能するかです。

パス1： ゼロを書き込みます
パス2： 1つ書く
パス3： ランダムな文字を書き込み、書き込みを確認します

VSITR

Verschlusssache IT Richtlinien （VSITR）は、大まかに分類されたITポリシーとして翻訳され、元々はドイツ連邦情報セキュリティ局であるInformationstechnik（BSI）のBundesamtfürSicherheitによって定義されました。あなたはできる BSIについてもっと読む彼らのウェブサイトで。

これは、VSITRデータサニタイズ方法が最も頻繁に実装される方法です。

パス1： ゼロを書き込みます
パス2： 1つ書く
パス3： ゼロを書き込みます
パス4： 1つ書く
パス5： ゼロを書き込みます
パス6： 1つ書く
パス7： ランダムな文字を書く

パスが3つしかないもの、手紙を書くものなど、さまざまなVSITRの反復を見てきました。 NS ランダムな文字の代わりに最後のパスで、最後のパスとしてドライブ全体に交互に1と0を書き込むもの。

GOST R 50739-95

実際には、公式のGOST R50739-95データサニタイズ方法はありませんでした。 GOST R 50739-95文書がありますが、データサニタイズの標準や方法論は指定されていません。

とにかく、以下で説明する実装は、ほとんどのデータ破壊プログラムによってGOSTメソッドとしてラベル付けされています。

ГОСТP50739-95は、GOST R 50739-95として翻訳されており、情報への不正アクセスから保護するために設計された、もともとロシアで概説された一連の標準です。 GOST R 50739-5の全文は、ここで（ロシア語で）読むことができます。 ГОСТР50739-95.

ГОСТはгосударственныйстандартの頭字語です。 州の基準.

GOST R 50739-95データサニタイズ方法は、通常、次の2つの方法のいずれかで実装されます。

最初のバージョン：

パス1： ゼロを書き込みます
パス2： ランダムな文字を書く

2番目のバージョン：

パス1： ランダムな文字を書く

他の方法と比較した場合のこのデータ消去方法の大きな違いの1つは、情報が上書きされた後に「検証」パスが必要ではないことです。つまり、ワイプ方式を使用するプログラムは、データが実際に消去されたことを再確認しなくても、GOST R50739-95を使用したと主張できます。

ただし、GOST R 50739-95を使用するプログラムは、必要に応じて上書きを確認できます。これは通常、データ破壊プログラムやファイルシュレッダーのオプションです。

ロシアのGOSTR 50739-95データサニタイズ規格は、誤ってGOSTp50739-95と呼ばれることがあります。

グットマン

1996年にPeterGutmannによって開発されたGutmannメソッドは、他で使用されているゼロだけでなく、ランダムな文字を使用します。最初の4パスと最後の4パスのテクニックですが、パス5からパスまでの複雑な上書きパターンを使用します 31. 合計35パスを書き込みます。

長いがありますオリジナルのグットマン法の説明、各パスで使用されるパターンの表が含まれています。

この方法は1900年代後半に設計されました。当時使用されていたハードドライブは、現在使用しているものとは異なるエンコード方法を使用していたため、この方法で実行されるパスのほとんどは、最新のハードドライブではまったく役に立ちません。各ハードドライブがデータをどのように保存するかを正確に知らなくても、データを消去する最良の方法はランダムなパターンを使用することです。

ピーター・ガットマン自身エピローグで言った彼の元の論文に：

エンコーディングテクノロジーXを使用するドライブを使用している場合は、Xに固有のパスを実行するだけでよく、35回すべてのパスを実行する必要はありません。現代の...ドライブでは、ランダムスクラブを数回実行するのが最善の方法です。

すべてのハードドライブは、データを格納するために1つのエンコード方法のみを使用するため、ここで言われていることは、Gutmannの方法が非常にうまくいく可能性があるということです。すべてが異なるエンコード方法を使用する多くの異なるタイプのハードドライブに適用され、ランダムデータを書き込むことが本当に必要なすべてです終わり。

結論：Gutmann法はこれを行うことができますが、他のデータサニタイズ法も同様です。

シュナイアー

シュナイアー法はによって作成されましたブルース・シュナイアー彼の本に登場しました 応用暗号化：Cのプロトコル、アルゴリズム、およびソースコード （ISBN 978-0471128458）。

これが通常の実装方法です。

パス1： 1つ書く
パス2： ゼロを書き込みます
パス3： ランダムな文字のストリームを書き込みます
パス4： ランダムな文字のストリームを書き込みます
パス5： ランダムな文字のストリームを書き込みます
パス6： ランダムな文字のストリームを書き込みます
パス7： ランダムな文字のストリームを書き込みます

一部のプログラムでは、最初または最後のパス後の検証など、わずかなバリエーションでシュナイアー法を使用する場合があります。

フィッツナー

このデータワイプメソッドの作成者であるRoyPfitznerは、次の場合にデータを取得できる可能性があると述べています。上書きされるのは20回だけであり、ランダムな文字を30回以上書き込むと十分な。ただし、これが正確かどうかは議論の余地があります。

ほとんどのソフトウェアは次の方法でPfitznerメソッドを実装しますが、一部のソフトウェアはそれを変更して、より少ないパス数を使用する場合があります（7つが一般的です）。

パス1-33： ランダムな文字を書き込みます。

時々次のように書かれます フィッツナー33パス, フィッツナー7パス, ランダム（x33） また ランダム（x7）。

これに加えて、ほとんどのソフトウェアでは、Pfitznerメソッドを複数回実行できます。したがって、このメソッドを50回実行すると、ソフトウェアはドライブを33回ではなく、1,650回（33x50）上書きします。

一部のデータ破壊アプリケーションは、パスが完了した後にパスを検証する場合もあります。

ランダムデータ

一部のデータサニタイズ方法は、既存のデータを0または1で上書きします。その他には、0と1の両方が含まれますが、ランダムな文字も含まれます。ただし、Random Dataメソッドは、その名前が示すように、ランダムな文字のみを使用します。

データサニタイズ方法は、さまざまな方法で実装されます。

パス1- ？： ランダムな文字を書き込みます。

ランダムデータメソッドを提供するほとんどのデータ破壊ツールは、それを一種の日曜大工のサニタイズメソッドとして使用し、パスの数をカスタマイズできるようにします。したがって、このメソッドは2回のパスで実行される場合もあれば、20回または30回以上のパスで実行される場合もあります。各パスの後に検証するか、最後のパスだけを検証するかを選択することもできます。

一部のソフトウェアプログラムでは、パスの数だけでなく、使用する文字もカスタマイズできます。たとえば、ランダムデータ方式を選択しても、ゼロのみのパスを追加するオプションが与えられます。ただし、プログラムでサニタイズ方法をカスタマイズできる場合でも、上記の説明から大きく外れると、ランダムデータではなくなった方法になります。

ゼロを書く

Write Zeroデータのサニタイズ方法は、当然のことながら、通常、次の方法で実装されます。

パス1： ゼロを書き込む

このメソッドの一部の実装には、最初のパス後の検証が含まれる場合があり、文字を書き込む場合があります他のゼロよりも大きいか、複数のパスでゼロを書き込む可能性がありますが、これらは一般的な方法ではありません。

データを消去するのに十分ですか？

一部のデータサニタイズ方法では、通常の読み取り可能なデータがランダムな文字に置き換えられます。上で述べたように、Write Zeroは同じことをしますが、よく使用します... ゼロ。実際には、ハードドライブをゼロでワイプしてから捨てると、それを手にしたランダムなゴミ釣り人は、削除したデータを復元できなくなります。

それが本当なら、なぜ他のタイプのデータワイプ方法が存在するのか疑問に思うかもしれません。利用可能なすべてのデータワイプ方法で、ゼロフィルユーティリティの目的は何ですか？たとえば、ランダムデータメソッドは次のように書き込みます ランダム ゼロの代わりにドライブに文字を入力します。それでは、ライトゼロやその他の文字とどのように違うのでしょうか。

1つの側面は、書き込まれている文字だけでなく、メソッドがデータを上書きするのにどれだけ効率的かということです。書き込みパスが1回だけ実行され、ソフトウェアがすべてのデータが消去されたことを確認しない場合、このメソッドは、次のメソッドほど効果的ではありません。 NS。

つまり、1つのドライブでWrite Zeroを使用し、すべてのデータが上書きされたことを確認すると、情報が次のようになっていることを確信できます。同じデータがランダムデータ方式で上書きされたが、各セクターがランダムに置き換えられたことを確認しなかった場合よりも、回復される可能性は低くなります。文字。

ただし、特定の文字は他の文字よりも優れたプライバシーを提供する場合もあります。ファイル回復プログラムがデータがゼロのみで上書きされたことを知っている場合、それは非常に簡単になりますシュナイアーの文字のように、プログラムが使用されている文字を知らない場合よりも、存在するデータをふるいにかける方法。

他のすべてのデータワイプ方法のもう1つの理由は、一部の組織が特定の情報が消去されていることを証明したいということです。リカバリを妨げる可能性が最も高い方法であるため、すべてのデータワイプに特定のパラメータを使用して特定のデータサニタイズ方法を使用しますニーズ。

Write Zeroメソッドは、より正確には、 単一の上書き 方法。それはまた呼ばれるかもしれません ゼロフィル消去 また ゼロフィル.

どのデータサニタイズ方法が最適ですか？

1つ以上のファイル、またはハードドライブ全体を、1文字で1回だけ上書きすると、ソフトウェアベースのファイル回復方法ハードドライブからデータを回復することから。これはほぼ普遍的に合意されています。

一部の研究者によると¹、データを1回上書きするだけで、ハードドライブから情報を抽出する高度なハードウェアベースの方法でさえも防ぐことができます。つまり、ほとんどのデータサニタイズ方法はやり過ぎです。これは いいえ 合意されたとおり。

ほとんどの専門家は、セキュア消去が一番 1回のパスでハードドライブ全体を上書きする方法。非常に単純なWriteZeroメソッドは、はるかに低速ですが、基本的に同じことを実行します。

ワイプ方法を使用してデータを消去することは、実際には以前のデータの上に他のデータを書き込むだけで、情報が役に立たないものに置き換えられます。各方法はこのように機能します。新しいデータは基本的にランダムであり、実際には個人情報は含まれていません。そのため、1、0、およびランダムな文字が使用されます。

_{[1] Craig Wright、Dave Kleiman、Shyaam Sundhar R.S. ハードドライブデータの上書き：利用可能な大きなワイピング論争ここ [PDF]。}

1回の上書きで十分な場合、なぜこれほど多くのデータサニタイズ方法があるのでしょうか。

上で述べたように、ソフトウェアベースのデータサニタイズ方法に全員が同意するわけではありません。 可能なすべての方法 データを回復する。

ハードドライブから情報を抽出する高度なハードウェアベースの方法が存在するため、いくつかの政府機関や研究者は彼らの研究によれば、これらの高度な回復方法を防ぐはずのデータを上書きする特定の方法を独自に考案しました働く。

「書き込みを確認する」とはどういう意味ですか？

ほとんどのデータサニタイズ方法は、検証データに文字を書き込んだ後、つまり、ドライブをチェックして、内容が実際に上書きされたことを確認します。

言い換えれば、データ書き込み検証は「私は本当にこれを正しい方法で行ったのか」のようなものです。一種のチェック。何らかの理由で上書きが完了しなかった場合、ソフトウェアは、データが上書きされているか、検証が期待どおりに完了しなかったため、手動で再実行できるようになっている可能性があります。欲しいです。

一部のデータ消去ソフトウェアツールでは、ファイルがなくなったことを確認する回数を変更できます。プロセス全体の最後（すべてのパスが完了した後）に一度だけ検証するものもあれば、すべてのパスの後に書き込みを検証するものもあります。

すべてのパスの後にドライブ全体をチェックして、ファイルが削除されていることを確認するには、一度に一度だけではなく頻繁にチェックする必要があるため、完了するまでにはるかに長い時間がかかります。終わり。

これらの方法をサポートするソフトウェア

この表には、上記のデータサニタイズ方法をサポートするファイルシュレッダープログラムとデータ破壊ツールがあります。どちらを使用すればよいかわからない場合は、こちらを参照してくださいドライブ全体のデータワイププログラムのリストまたは私たちのファイルレベルの消去ツールのリスト.

DBAN	HDDErase	CBL	WinUtil	消しゴム	カタラーノ
AFSSI-5020	はい*	はい	はい
AR 380-19	はい*	はい	はい
CSEC ITSG-06	はい*
DoD 5220.22-M	はい	はい	はい	はい	はい
GOST R 50739-95	はい*	はい	はい
グットマン	はい	はい	はい	はい	はい
HMG IS5	はい*	はい
NAVSO P-5239-26	はい*	はい
NCSC-TG-025	はい*	はい
フィッツナー	はい	はい
ランダムデータ	はい	はい*	はい	はい
RCMP TSSIT OPS-II	はい	はい*	はい
安全な消去	はい	はい*
シュナイアー	はい	はい	はい
VSITR	はい	はい
ゼロを書く	はい	はい*	はい

ほとんどのプログラムでは、必要な上書きパターンとパス数を使用して、独自のデータサニタイズ方法をカスタマイズすることもできます。たとえば、プログラムでは、最初のパスでゼロ、2番目のパスで1、さらに8つのパスでランダムな文字でデータを上書きすることを選択できます。

CBLデータシュレッダーを使用すると、カスタムのワイプ方法を作成できます。したがって、技術的には、これらの方法のいずれかでハードドライブをワイプするために使用できます。上記のアスタリスクの付いた項目は、ワイプ方法がサポートされているかどうかが明らかでないことを意味しますが、パスを変更して作成することができます。

データサニタイズ方法とは何ですか？ （データワイプ方法）