PCを買い替え、廃棄、譲渡するときには古いPCのデータを消去しなければそのデータを悪用される恐れがあります。消去したデータでも復元されると悪用につながる可能性があります。PCのデータは単に削除したり初期化したりしただけでは、復元ソフトを使ってデータを読み取ることができてしまいます。本ページでは、「データ消去」と「復元」の関係、および復元されないための実務的な対策を解説します。
PCのデータは削除しただけではデータ本体が削除されるわけではなく、どこにあるかが見えなくなるだけでデータ本体は残っています。完全に削除するためには、新しいデータでデータ本体を上書きする必要があります。
また、PCの初期化も方式によってはユーザーデータ領域が完全に上書きできず、実際のデータが記憶媒体上に保持されたまま残るケースがあります。この状態では無料や市販の復元ソフトでファイルを簡単に復元できてしまうため、削除しただけでは安全とはいえません。
削除されたファイルは管理領域上のデータが消されただけで、データ領域のファイル本体は残っています。PCデータの復元ソフトは、HDDやSSD内に残っているデータを探し出して断片を再構築・復元するものです。削除されていても上書きされていなければ復元できるため、上書きされていないデータが狙われます。画像や顧客リスト、メールデータなどの情報が狙われやすく、これらの情報が漏えいすれば社会的信用が低下してしまいます。
PCをオークションで売却したり、リユース市場に出したり社外持ち出しPCなどを不適切に処分したりすると、復元ソフトでデータを復元する復元攻撃のターゲットになる可能性があります。悪意のある第三者が情報を悪用するリスクがあるため注意が必要です。
PCデータは正しく消去すれば復元することができません。復元されないためにはどのようにデータ消去を行うのが適切か、3つの手段について紹介します。
専用ソフトやコマンドを使用して、記憶領域に乱数やゼロなど意味をなさない数値を複数回上書きして復元できなくする方法です。上書きの回数が多ければ多いほど復元できる可能性が低くなりますが、それだけ時間を要します。
また、SSDとHDDはデータの書き込み方式が異なります。上書き消去の確実性、回数に制限があることに注意が必要です。
重要なデータをデバイスやストレージに保存する際に暗号化すると、アルゴリズムによって暗号テキストに変換されます。データを元に戻すためには暗号鍵が必要ですが、この鍵を消去・破壊するとデータが残っていても実質的に読むことができなくなります。鍵を消去・破壊するだけで済み短時間でデータを読めなくできます。
確実にデータを消去する方法として、物理的にPCを破壊することが挙げられます。HDDやSSDをPCから取り外し、ドリルやハンバーを使って破壊します。他にも破砕したり磁気で破壊する方法もありますが、個人で作業すると怪我をしたり記録面が完全に破壊できなかったりする恐れがあるため専門業者に依頼するのがおすすめです。復元可能性は極めて低くなりますが、再利用はできなくなります。
HDDとSSDは、記録方式が異なるため復元リスクや対策も違ってきます。それぞれの特徴を知り、適切なデータ消去を行うことが求められます。
HDDは磁気ディスクにデータやプログラムを記録しています。セクタ単位で何が記録されているかがはっきりしており、保存されている領域への上書き消去でデータを消去すれば復元リスクを大きく下げることができます。物理破壊や磁気消去も有効なので、複数の方法を組み合わせたデータ消去も実施しやすい記録媒体です。
SSDは半導体(フラッシュメモリ)にデータを記録します。フラッシュメモリには書き込み回数に上限があるため、同じブロックに書き込みが集中しないよう平均的に自動で分散してデータを保存する「ウェアレベリング」という仕組みがあります。データを上書きしても元データが別領域に残ってしまうため、ウェアレベリングを無効にする必要があります。
またSSDはTRIM機能と呼ばれるOSから直接制御できないエリアがあり、この領域を直接指定して書き込みや消去を行うことができないのでデータが残ってしまう恐れがあります。SSDのデータを消去するためには、ベンダーが提供する専用の消去ツール使用、暗号化消去、コマンドベースの消去など適した手段を選ぶ必要があります。
復元リスクを減らすのであれば、データ消去専門業者やIT資産処分業者の利用を検討しましょう。データ消去の対象となるデバイスが大量である、短い期間で消去しなければいけないなど、社内だけでは対応が難しい場合は専門業者に依頼することでコストはかかりますが、専用装置で確実なデータ消去を行ってくれるので情報漏えいによる信用低下や損害賠償リスクを考えると十分投資の価値があります。
専門業者は国際規格に準拠している、消去証明書の発行に対応しているところを選ぶようにしましょう。また、オンサイト対応の業者は専門スタッフが目の前で作業を行ってくれるため、配送中の紛失や盗難など情報漏えいリスクを更に下げることができます。
PCのデータを消去するのであれば、情報漏えいのリスクを考えて「消したつもり」を前提にした運用から、「復元を試されても問題ないレベルまで消す」運用への意識転換が必要です。媒体の種類や台数、社内体制によって、上書き消去/暗号化消去/物理破壊/外部サービスを組み合わせることをおすすめします。
※2022/4時点公式HPより
2022年4月時点で「データ消去」で検索して公式サイトが表示される上位35社をピックアップ。 消去証明書の発行または第三者機関の認定があるデータ消去サービス・販売企業の中から以下の基準で選定
アドバンスデザイン:全ての消去方法に対応。データ復旧会社の消去サービスを提供
ブランコ・ジャパン:消去したデバイス数が最多2.5億台以上(2022年6月公式HPより)
日東造機:物理破壊装置の業界シェアNo1(※)参照元:日東造機(http://nittoh.co.jp/db50pro.html)2022年6月時点
▼スクロールできます▼
| アドバンスデザイン | ブランコ ジャパン |
⽇東造機 | ||
|---|---|---|---|---|
| 販売 | データ消去ソフト | 〇 | 〇 | - |
| 磁気データ消去装置 | 〇 | - | - | |
| 物理破壊装置 | 〇 | - | 〇 | |
| データ消去サービス | オンサイト対応 | 〇 | 〇 | - |
| オフサイト対応 | 〇 | - | - | |
| レンタル | データ消去機器レンタル | 〇 | - | - |
| 公式サイト | ||||