企業でPCの入れ替えを行う場合には、廃棄したPCから情報漏洩が起こってしまうリスクを避けるために、データ消去をしっかりと行うことが必要です。この記事では、データ消去方法の一つであるNIST方式について紹介します。
このページでわかること
現代のPC環境に不可欠な「NIST方式」によるデータ消去の重要性と、企業がリプレイス時に導入すべき具体的なメリットを紐解きます。
NIST方式とは、NIST(National Institute of Standards and Technology:アメリカ国立標準技術研究所)が推奨する、「NIST800-88」に準拠した、SSDなどフラッシュメディアを消去する方式です。
「NIST SP800-88」とは、NISTが発行したIT機器のデータ消去に関するガイドラインであり、2014年に現行のバージョンである「Rev.1」に改訂が行われています。このNIST SP800-88 Rev.1では、データ消去の手法として、「Clear(消去)」「Purge(抹消)」「Destroy(破壊)」という3種類が示されていますが、それぞれの違いは下記の通りとなっています。
NIST方式のデータ消去では、まずディスク全体の領域を乱数で上書きした後、さらにゼロ(0x00)で上書きをおこない復元が困難な状態にすることでデータを消去します。
また、SSDとHDDについては消去方法が異なります。SSDはフラッシュメモリを記憶媒体にしているので、媒体の寿命を伸ばすためにウェアレベリングと呼ばれる書き込み制御技術が用いられていて、意図せずデータが残存する可能性があります。NIST SP800-88 Rev.1では「有効性が確認されている1回以上の上書きを行った後、書き込み検証を行う」または、デバイスがサポートしている場合には「ATAコマンドを使用する」と記述されています(Clearレベルの場合)。対してHDDの場合、2006年に発表されたNIST SP800-88では、「2001年以降に製造が行われた15GB以上のHDDについては、1回の上書きによってデータの完全消去が効果的に実行される」と記述されています。
次に、「暗号化消去」と呼ばれる方法について紹介します。この方法は、データそのものを暗号化して、復号鍵のみを消去する方法です。データ全体の消去を行うのではなく、復号鍵を破棄することにより記録データの復元が事実上不可能になります。
ここまで紹介してきたNIST方式は、企業においてPCの買い替えを行う際などに、ぜひ利用したい方法です。この方法がおすすめである理由を、「法令・規制対応としての安心感」「高度な復元技術にも耐える信頼性」「消去作業の検証と証明が可能な点」という3つのポイントから解説していきます。
米国連邦政府機関の情報セキュリティ基準として確立された経緯から、NIST方式は国際的にも高い信頼性を持つ消去ガイドラインとして広く認められています。NIST方式によって推奨されている消去方法を適切に行い、上書き後に検証を行うことによって、一般的な手法によるデータ復元は極めて困難になると考えられています。
NIST方式では、データの消去方式として機密レベルに応じて「Clear(消去)」、「Purge(除去)」、「Destroy(破壊)」の3つのレベルを定義しています。中でも「Purge」は研究所レベルのツールでも復元不可能な状態を指しています。
NIST方式では消去作業の検証と証明をおこなうことができます。消去後に検証と証明書発行がおこなえるので、消去の信頼性や客観性を確保できます。検証を通じてデータの復元ができないこと保証することで、情報漏洩リスクを低減できます。
こちらの記事では、データ消去方式の一つである「NIST方式」について解説を行ってきました。企業においてPC等の機器をの入れ替えを行う際にはデータ消去をしっかりと行う必要があります。不安なく次のIT環境を導入するためにも、PCの処分やリユースを行う際のリスク回避について知っておくことが大切です。
A. はい、NIST方式はSSDなどのフラッシュメディアを前提に設計されたガイドラインであり、適切に実施すれば高い確実性でデータを消去できます。特にNIST SP800-88 Rev.1では、SSD特有の書き込み制御(ウェアレベリング)を考慮した消去方法が示されています。
単純な上書きだけでなく、デバイスが対応している場合はATAコマンドの利用や暗号化消去を組み合わせることで、復元リスクを極めて低い水準まで抑えることが可能です。
A. 使い分けのポイントは「記憶媒体の種類」です。DoD方式はHDD向けに設計された方式であるのに対し、NIST方式はSSDやHDDを含めた幅広い媒体を想定した最新のガイドラインです。
HDDのみを対象とし、従来からの実績を重視する場合はDoD方式、SSDを含む環境や最新の国際基準に沿った運用を行いたい場合はNIST方式を選択すると、安全性と合理性の両立がしやすくなります。
A. 選択すべきレベルは、データの機密性とPCの処分方法によって異なります。一般的な社内データや再利用を前提とする場合は「Clear」、高度な機密情報を扱っていた場合は「Purge」が推奨されます。
一方、再利用せず完全廃棄する場合や、最高レベルの安全性が求められるケースでは「Destroy(物理破壊)」が選択されます。用途・リスクレベルに応じて段階的に選べる点が、NIST方式の特長です。
A. 専用の消去ソフトや専門業者を利用した場合、NIST方式に準拠したデータ消去証明書を発行できるケースが一般的です。証明書には、消去方式、対象機器、実施日時、検証結果などが記載されます。
この証明書は、監査対応や取引先からの確認、社内コンプライアンスの説明資料として有効であり、企業の情報管理体制を客観的に示す重要な証跡となります。
A. 法的に必須とされているわけではありませんが、SSD搭載PCが主流となった現在では、NIST方式は非常に合理的で推奨度の高い消去方法です。特に個人情報や機密情報を扱う企業では、NIST方式を採用することで情報漏えいリスクを大幅に低減できます。
PC買い替え時はデータ消去体制を見直す好機でもあるため、将来のリスク回避と説明責任を見据えた標準方式として、NIST方式を取り入れる企業が増えています。
※2022/4時点公式HPより
2022年4月時点で「データ消去」で検索して公式サイトが表示される上位35社をピックアップ。 消去証明書の発行または第三者機関の認定があるデータ消去サービス・販売企業の中から以下の基準で選定
アドバンスデザイン:全ての消去方法に対応。データ復旧会社の消去サービスを提供
ブランコ・ジャパン:消去したデバイス数が最多2.5億台以上(2022年6月公式HPより)
日東造機:物理破壊装置の業界シェアNo1(※)参照元:日東造機(http://nittoh.co.jp/db50pro.html)2022年6月時点
▼スクロールできます▼
| アドバンスデザイン | ブランコ ジャパン |
⽇東造機 | ||
|---|---|---|---|---|
| 販売 | データ消去ソフト | 〇 | 〇 | - |
| 磁気データ消去装置 | 〇 | - | - | |
| 物理破壊装置 | 〇 | - | 〇 | |
| データ消去サービス | オンサイト対応 | 〇 | 〇 | - |
| オフサイト対応 | 〇 | - | - | |
| レンタル | データ消去機器レンタル | 〇 | - | - |
| 公式サイト | ||||