SSD 内のデータを完全に消去するのは難しい 97
ストーリー by reo
再インストールだぁ 部門より
再インストールだぁ 部門より
ある Anonymous Coward 曰く、
ライフハッカーにて、「SSD 内のデータを安全に消去する方法」が取り上げられている。元ネタはカルフォルニア大学の Michael Wei 氏らの研究論文とそれを取り上げた Macworld の記事であるが、HDD でデータを完全に消去する際に用いられている手法は SSD に対しては効果がないことがあるという。
SSD で使用されているフラッシュメモリは書き換え回数に上限があるため、データの削除や書き込みの際は特殊なアルゴリズムでできるだけ書き換え回数を減らすように処理を行っている。そのため、データの上書きを行っても実際には上書きは行われなかったり、削除したものがフラッシュメモリ内に残っている可能性がある、という話のようだ。
ということで使用済みの SSD を業者に売ったり廃棄処分する際は、十分に注意しておかないと情報漏洩といった問題が発生する可能性があるため、気をつけた方が良さそうだ。
SECURITY ERASE UNITコマンドの実装に不備 (スコア:4, 参考になる)
最初から…… (スコア:2)
そうなると安全を保つためにはTruecrypt [truecrypt.org]あたりで最初から全領域を暗号化しておく、という方法がベストなんでしょうかね。
#SSD上でのパフォーマンスはどうなんでしょ。
Re:最初から…… (スコア:1)
そうなると安全を保つためにはTruecrypt [truecrypt.org]あたりで最初から全領域を暗号化しておく、という方法がベストなんでしょうかね。
#SSD上でのパフォーマンスはどうなんでしょ。
最初からではなくて廃棄時に暗号化をして全領域使い切ってやればいいんじゃないでしょうか?
こうすれば通常使用時のパフォーマンスには影響しない訳で。
盗難時のリスクは別問題とします。
# でも、それだったら暗号化しないでも全領域書き込みするだけで済みそうなもんだから
# それでも消えないってことか。
# 不良素子発生時用に用意された領域を使い切らないとダメなのかな?
# ・・・って、SSDとしての寿命をほとんど使い切ってからってことですよね・・・
# ・・・物理的破壊と変わらないじゃないか・・・
Re:最初から…… (スコア:1)
SSDの場合代替領域やらウェアレベリングやらのせいでどこまでやれば「全領域使い切ってやれ」たことになるのか
さっぱり分からんという問題が理解できないんですかね?
後から理解した、という書き込みのつもりが・・・(´・ω・`)
Re:最初から…… (スコア:1)
えーっと、それは分かります。
・・・でも、不安になったので次の認識があっているかどうか見ちゃってください。
物理的なデータの管理場所が分からないので、
全領域使い切ったあといくら書き込んでもコントローラが避けて上書きされない場所が
存在する「可能性がある」ということ。
それが無くなるには、不良素子用に確保されている余剰記憶領域を使い果たして
ファイルシステムで管理しているデータ領域が全てむき出しになった時。
その上で、全体にランダムデータを書き込めばコントローラがいくら書き込みをバラしても
生きている素子全部に書き込みされることになるので、消せるかな、と思った次第です。
でも、そうなったらSSDとしての寿命は尽きかけているし
そういう状態にSSDが陥っていると言う事は、外からは判断できないんだろうなぁ、と。
# 元ネタ当たってないので、不良素子化したとこからデータをサルベージできるって話ならごめんなさい
# もしそうなら、始めから暗号化しておかないとアウトですから・・・
Re:最初から…… (スコア:1)
> HDDとは違って代替領域も含めて常にローテーションするので、ここが代替領域と言うブロックは存在しない。
って説明してくれているのに、なんでその直後に
> それが無くなるには、不良素子用に確保されている余剰記憶領域を使い果たして
なんて書けるんだ?
ん?ってことは、SSDは不良ブロックも使い回すの?!
さすがに不良が判明したブロックはパージするでしょ???
・・・・違うの・・・?
Re:最初から…… (スコア:1)
話が全く通じていなかった・・・・(´・ω・`)
# ウェアレベリングは十分に知っています・・・
# それがあるために、代替領域が無くなる必要があるという話だったんですが・・・
# ウェアレベリングと代替領域の話をつなげてもらえないでしょうか・・・
Re:最初から…… (スコア:1)
# 長文書いてて消えた・・・しかし一人でこんなに深くまで潜ったのは始めてっ☆
SSDの容量一杯までファイルシステムにデータが詰まっている状況を考えてください。
(話の簡便化のためにファイルシステム側にデータの冗長性はもたせてないとします。)
いくらゴミみたいなデータが入っているかもしれないとは言え
SSDからするとどれも大事なデータ様。
ウェアレベリングがあるとはいえ、全てのブロックが利用されている状況ですよね。
この状況でどこかが不良となれば即データロストです。
しかし、そうはならないようにSSD側も表には見せていない容量というのがあり
その領域を使って、ファイルシステムが詰まってきたときもウェアレベリングの質を落とさないようにしたり
不良素子発生時のデータロストに備えているはずです。
これが冗長性。
で、↑の表に見せていない容量分の不良ブロックが出てきたら
一触即発の状態になって、そうなって始めて全領域を潰せば完全消去になる。
と言うのが今まで説明したかった話でして・・・
「結局、この表には直接見えない領域があるためにデータの完全消去が逆に難しくなってるんだね!」
っていう、気付きの話だったんです・・・・が、もはや何だかよく分からない事になってきてますね。
# 色々難しいです。
# (´・ω・`)
Re:最初から…… (スコア:1)
パフォーマンスが気になるなら最初から暗号化してデータを書き込むSSDを使うとか。 [kingston.com]
EEPROMチップを物理的に抜き取られる対策を考えたら、全領域暗号化位しかないよねぇ・・・
# ちなみに中身は東芝のHG2シリーズ(のFDE有効版)。ThinkPadのFDEタイプも確か同じ。
パフォーマンス低下は、データ圧縮してる系統(SandForce/SF系)だと影響が有るかも。
別の理由でIntel SSDもToolboxが使えなくなるのでパフォーマンスに影響有るかな・・・
Re:最初から…… (スコア:2)
> キーを知っている可能性のある人を消すしかないでしょう。
キーハンター
研究論文(PDF)の要約部分の引用と大体の意味(多分) (スコア:2, 参考になる)
より、
[Abstract]
(略)
Our results lead to three conclusions:
First, built-in commands are effective,
but manufacturers sometimes implement them incorrectly.
→ 1) 組み込みの命令は、きちんと実装されていれば安全に消去できる。
Second, overwriting the entire visible address space
of an SSD twice is usually, but not always,
sufficient to sanitize the drive.
→ 2) ディスク全体を上書きする方法も、たいてい安全に消去できる。
Third, none of the existing hard drive-oriented techniques
for individual file sanitization are effective on SSDs.
→ 3) 個々のファイルを安全に消去する方法は無かった。
(略)
再インストールも無駄 (スコア:1, 参考になる)
場合によっては Non Quick なフォーマットすら安全ではないというのだから
再インストールも無駄ってことでしょう?
磁器ドライブ (スコア:1, おもしろおかしい)
落としたら割れそうだ。
ガラス製の (スコア:2)
HDDプラッタってのはありましたね。
Re: (スコア:0)
Re:磁器ドライブ (スコア:2, おもしろおかしい)
じきに壊れそうだ。
Re: (スコア:0)
#昔の話?
Re:磁器ドライブ (スコア:1)
ウチの職場ではは未だにガラス製プラッタのHDDが現役ですよ。
2.5インチのIDEです。
金属だと思い込んで曲げようとしたら割っちゃいました(苦笑)
☆大きい羊は美しい☆
secure erase (スコア:1, 参考になる)
対応していないSSDも有るから話題になっているのだろうけど
完全に消したいなら (スコア:1)
データを完全に消して廃棄したいなら、リサイクルショップとかで電子レンジを買ってきて、
SSDを軽く水にくぐらせてからレンジでチンすれば良いような気がするんですが、それじゃダメなんですかね?
荒技的に消去 (スコア:1)
SSDの方がなんだかバラしやすそうだと思うぐらいですが。
HDDの場合、鉄骨釘打ち込んでドラキュラ風に無効化する方法もあるようですが、
ばらすと強力磁石が手に入るという余録がある・・・
Re:荒技的に消去 (スコア:1)
>HDDはやばいけどSSDなら線路の上に置いとけばいいよな…
往来危険罪というのがあってですね。
Re:荒技的に消去 (スコア:1)
>カラスがSSDを求めて人を襲うSFホラー映画を着想した
小さいからといって、列車についての往来危険罪が成立しちゃうらしい。
列車に釘を轢かせていたりする子供のいたずらも、該当するらしいので、
SSDでも、ひっかかるだろう。
北海道あたりだと公道を戦車が走っているらしいので、
それに轢いてもらうのがよいかもしれない。
Re:荒技的に消去 (スコア:1)
>元々戦車の履帯は地面への接地圧を低くするためでもありますし、
かといって、普通の車に轢かれるより痛そうなんですが...www
>更に公道を走るときはゴムを履かせるのでクラッシュ用途には向いてないと思います。
とすると、富士の演習場とかの方がよいかもしれませんね。
Re:荒技的に消去 (スコア:1)
>1kgくらいのハンマーで簡単確実に粉砕出来るのに、北海道まで行けと?
戦車見物という楽しみもあるでしょう。
>ネタで言ってるにしては異常につまらないし、荒らし?
いえいえ、世の中、色々な楽しみ方があるわけで、あなたがそれを知らないのかもしれませんよ。
人類レベルの知材 (スコア:1)
粉砕破棄でも不十分な程の重要な情報ってもしかして人類史レベルの貴重な知的財産なんじゃね?
ってことはむしろ公開した方がいいんじゃね?
とか妄想。
# 乱暴に言えば、大抵の技術や情報は時間が解決してくれる。誰かが思いつかなくても他の誰かが思いつく。
# 例えば今後30年絶対に他社には開発できない価値のある情報が入っているなら
# HDD をミキサーにかけて [willitblend.com]30年間金庫にでも入れておけば良い。
dd if=/dev/urandom of=/dev/ad0 (スコア:0)
Re:dd if=/dev/urandom of=/dev/ad0 (スコア:1, すばらしい洞察)
Re:dd if=/dev/urandom of=/dev/ad0 (スコア:1, すばらしい洞察)
>参照情報を変えているだけですよね。
親コメは「全体に乱数書き込み」と言ってるんで、それに関しては把握した上で「容量を埋め尽くすだけ乱数でfill」って事だと思います。
Re:dd if=/dev/urandom of=/dev/ad0 (スコア:1)
読み取った情報を0と判定するか1と判定するかなんてこともソフトでやってるんだろうから、書き換えソフトを入れれば好きなようにできるんじゃない?
the.ACount
Re:十分に注意して処分する=物理的に破壊して処分する、だよね? (スコア:1, 興味深い)
むかし、フロッピーディスクの数ヶ所に穴をあけるだけのツールや、CD-RのTOC付近に傷を付けるだけのツールが、堂々とセキュリティ対策用品として売られてました。
HDDの物理的な破壊といって、3箇所くらいにドリル等で穴をあけるタイプの装置も売られていますが、それなりのラボでコストをかければ、穴のあいていない部分に書かれているデータは読み取れるでしょう。
また、「最後の瞬間」まで付き添うのは、サルベージされては困るデータが入っているということを示すどころか、どこの会社から出たものなのか知らせるような行為です。担当者が去った後に、破片を拾い集めてくれと言ってるようなものです。
人間の心理的なものなのか、穴を開けるなどの破壊方法に安心を求めるようですが、それは不適切です。
HDDやSSDは、その原理上、高温に晒されるとデータを保持できなくなりますので、加熱処理が正しいです。
Re:十分に注意して処分する=物理的に破壊して処分する、だよね? (スコア:2)
やっぱり、某番組にでてくる、xboxやmacを粉にできるミキサーを使うのが一番では。
環境には悪そうだけど、できた粉は南極海に撒いてあげると、HDDも酬われるかも。
新人。プログラマレベルをポケモンで言うと、コラッタぐらい
Re:十分に注意して処分する=物理的に破壊して処分する、だよね? (スコア:5, 参考になる)
>> 加熱処理が正しいです
> 具体的には何度で?
オーブン200度で30分 [nikkeibp.co.jp]で復旧不可能になるみたいです。
200度で5分なら復旧可能だし、150度ぐらいなら、冷めればそのまま使える [hakko.co.jp]なんて話も。
Re:十分に注意して処分する=物理的に破壊して処分する、だよね? (スコア:1)
http://ja.wikipedia.org/wiki/%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%BC%E6%B... [wikipedia.org]
ネオジウム磁石だと310℃くらいだそうです。
http://ja.wikipedia.org/wiki/%E3%83%8D%E3%82%AA%E3%82%B8%E3%83%A0%E7%A... [wikipedia.org]
失敗事例 (スコア:2)
SSDのストーリーに磁気ディスクですが、失敗事例 [livedoor.jp]。
Re:失敗事例 (スコア:1, 興味深い)
Re:十分に注意して処分する=物理的に破壊して処分する、だよね? (スコア:2)
SSDならめんどくさい事せず、FlashROMのチップを壊せばいいのでは?
実装したままハンマーなんかでたたき割ったり、基板ごと万力で潰せばOkと思う。
Re:十分に注意して処分する=物理的に破壊して処分する、だよね? (スコア:2)
破片を拾い集めて復元される脅威の話なのだから、チップ断片を集めてSTMの類で当たれば読めそうです。
やはりフローティングゲートの電荷が全部逃げるような温度・電界などの条件を探らなければ。
Re:十分に注意して処分する=物理的に破壊して処分する、だよね? (スコア:1)
PCを使い捨てにできる会社はいいですね。
仕事に応じてWSやDiskをリースで使って、終わったら返却とかしてるとそんなことできなくて。
結局CDでlinux上げて、ddで全域書き込み、Diskが読めなくなってれば桶にしてます。
2011年度からはSDD搭載機も使うはずなんだけど、データ消去はどうしよう。
購入したテープメディアやCDやDiskを処分するときは・・・
引き出して切り刻むとか電磁消去とか色々しますけど、これはこれで人手が必要になるのでなかなしんどいです。
うちの会社の情報なんてそんなに手間掛けてまでサルベージされるようなもんじゃないんだろうし。
#とか言う意識は危ない?
Re:十分に注意して処分する=物理的に破壊して処分する、だよね? (スコア:3, すばらしい洞察)
レンタル/リース会社のメニューに媒体のソフト的消去や物理的破壊オプションを用意させるのが正解なんでしょうねえ。
Re:十分に注意して処分する=物理的に破壊して処分する、だよね? (スコア:1)
そしてまたリース料値上げですね。
安く済ませるなら自前でかぶるしか無いんだよね。
Re:十分に注意して処分する=物理的に破壊して処分する、だよね? (スコア:2, 参考になる)
ウチの職場も返却しないといけないHDDはディスク消去ツールを使用して3回上書きしてるだけです。
廃棄して良いHDDも基本は消去ツール使用ですが、ディスク故障等で上書き出来ない場合、
バラしてプラッタ表面をヤスリかけてます。
(気付かずにガラスのプラッタを雑に扱って割ったなんて失敗も)
素人が自宅でデータを取り出せる状態は論外として、
後はコストや手間、リスクを考えて、どの程度の対策で妥協できるかだと思っています。
☆大きい羊は美しい☆
Re:十分に注意して処分する=物理的に破壊して処分する、だよね? (スコア:1)
うちの場合、故障して読み書きできないDiskは担当のCEさんに頼んでセーフティボックスにロックだかなんだかして納めたうえで工場直送になってるらしいです。
作業報告書を見るとそのような記載がありました。
>後はコストや手間、リスクを考えて、どの程度の対策で妥協できるかだと思っています。
でしょうね。
ほんとにキビシイ機密が必要な場合だと徹底的に粉砕するとか色々やりそう。
どっかの国の会社と契約して仕事してた部署だと、その仕事をしている部屋自体電磁的に隔離したうえ。
そこの部屋の機材含めた一切合切の記録をその部屋から持ち出せないように管理してました。
記録した事のあるCDとかのメディアを廃棄するときも一回その部屋の中で破壊してからバラバラに外に出していたらしい。
Re:十分に注意して処分する=物理的に破壊して処分する、だよね? (スコア:1)
ウチの職場でも以前はHDDは全て目の前でセイフティボックスに仕舞っていたのすが、
いつの間にかセイフティボックスの存在が無くなり、再利用されるように。
(セイフティボックスに収納すると再利用不可だと聞いてます)
セイフティボックス使用していた頃からデータ消去を行っていたので問題ありませんでしたが、
せめてユーザ告知くらいはして欲しかったと思います。
確かに国家機密なんかを扱う会社は上書き回数が何回でもNGと聞いたことが。
シュレッダーみたいな裁断機でプラッターを細かく裁断したり、粉砕したり完膚なきまでに破壊してるのかもしれません。
スペースシャトルコロンビア号から回収されたHDDからデータサルベージに成功した事例を見て、
更に対応が厳しくなったりしてるかもしれないですね。
☆大きい羊は美しい☆
Re:十分に注意して処分する=物理的に破壊して処分する、だよね? (スコア:2)
いまいちよくわからないのが、暗号化が免罪符にならないという業界の共通認識です。
立ち上げから全領域AES256で暗号化して起動するソフトとかいっぱいあるのに
HDD破壊とかあほだなーとおもっています。
まあルールだから従っていますけど・・・
生起確率からいったら内部犯がどうにかして盗み出すほうがよほど可能性が高いのに
まったく無駄なコストでしかないという。
Re:十分に注意して処分する=物理的に破壊して処分する、だよね? (スコア:1)
>生起確率からいったら内部犯がどうにかして盗み出すほうがよほど可能性が高いのに
たぶんその通りですね。
お金ちらつかせたらどうにでもできそう。
言われて見るとうちでも暗号化ってあまりしてないです。
私自身は普段全く暗号化ってしていないので、やり方すらよく知らない。
一度ファイルのやりとりにUSBメモリを使ったときだけ付属の暗号化ソフトを使ったくらいかな。
会社では毎月一・二回セキュリティチェックされますけど、現実に即していない内容もいくつかありますね。
正直に答えると「問題が出ないよう回答して」と何故か怒られたりするし。
その問題をあぶり出すためにチェックしてるんだと思ってたけどどうも違うようです。
Re:十分に注意して処分する=物理的に破壊して処分する、だよね? (スコア:1)
Re:十分に注意して処分する=物理的に破壊して処分する、だよね? (スコア:1)
そうですね。
営業とか他社との提携時に「セキュリティ対策を適宜行って」いないと話にならないこともありますから。
毎月セキュリティチェックをして、その結果を残したり(捏造・改竄しても解らないと思うけど)色々やってるのもありますから。
それでも「事故」は時々あるみたいだけど。
Re:十分に注意して処分する=物理的に破壊して処分する、だよね? (スコア:1)
ファイルアクセス速度がボトルネックになっているところがSSDを使ってみたいそうです。
SSDも色々チューニングしないと帰って遅くなったりするみたいで、まだ評価続けてるようですけど。
巷でやってること全てにおいて取り扱うデータがどんどん巨大化していくので。
CPU処理速度だけじゃなくてファイルシステムやネットも更に増速しないとシステムとしてのパフォーマンスがついて行けなくなりそうです。
#入ってくるモノや出て行くモノの面倒みてるだけだからまだ気楽かな。
Re:十分に注意して処分する=物理的に破壊して処分する、だよね? (スコア:1)