Tutorial on Disk Drive Data Sanitization
https://cmrr.ucsd.edu/_files/data-sanitization-tutorial.pdf
Tutorial on Disk Drive Data Sanitization Gordon Hughes, UCSD CMRR (gfhughes@ucsd.edu)
Tom Coughlin, Coughlin Associates (tom@tomcoughlin.com)
概要
コンピュータやストレージ・システムから取り外されたディスク・ドライブにはユーザ・データが残されており、多くのユーザが気づいていないデータ・セキュリティ上の脆弱性を生み出しています。ユーザーデータの安全な消去を求める最近の連邦および州の法律では、企業に25万ドルの罰金、責任者には10年の禁固刑が科せられます。
ユーザーデータをドライブから完全に消去するには、ここからダウンロードできるフリーウェアの「HDDerase」のようなデータ消去ユーティリティーを実行する必要があります。このユーティリティーは、ATA ANSI規格で連邦政府が承認した(NIST 800-88)Secure Eraseコマンドを実行するもので、最近の15〜20GB以上のATAドライブにはすべて実装されています。SCSI ANSI規格の同様のコマンドはオプションで、テストしたドライブにはまだ実装されていません。
通常のSecure Eraseは、30〜60分で完了します。一部のATAドライブには ミリ秒で完了する標準的なEnhanced Secure Eraseコマンドを実装しているものもあります。
はじめに
データ・セキュリティは、コンピュータの専門家にとって最大の関心事の一つとなっています。
ユーザーデータを不正使用から保護したり、法令遵守のために記録を保存・消去(サニタイズ)したりするための法的要件が厳しくなっています。このチュートリアルでは、ユーザーデータのサニタイズと保護に関する懸念事項と開発について説明します。
データストレージ全体のセキュリティには、さまざまなレベルや場所での保護が必要です。
- 静止状態のデータ - ドライブのデータ消去
- ディスクドライブ上の全データブロックの安全な消去
- シングルファイルの消去 -
- ドライブの物理的または磁気的な破壊 - 移動中のデータ -
- 輸送中のデータの暗号化 - 輸送中のデータおよび暗号鍵の保護 -
- ユーザーへの透明性(自動暗号化)。
- ドライブの内部暗号化(データはストレージデバイスによって暗号化される
- ドライブのデータ消去 - ドライブの廃棄または再利用のためのユーザーデータの安全な消去
次の表(表1)は、データ消去(サニタイズ)のためのさまざまなアプローチの実行時間と、データ消去のセキュリティ レベルの比較をまとめたものです。
極秘情報を除くすべての情報を消去する場合、ユーザーは通常、数時間や数日ではなく、数分で消去できる方法を選択します。ユーザーは、合理的な時間枠の中で許容できるレベルのセキュリティを実現する方法を選択します。
データロスが多発
コンピューターのストレージ設計では、ユーザーのデータを全力で保護することが基本的なルールとなっている。
コンピュータシステムの主要な大容量記憶装置であるディスクドライブは、データが誤って消去されないように設計されています。リサイクル」フォルダや「消去」コマンドのようなテクニックは、オペレーティング・システムでは ユーザーのデータが誤って消去されないようにするための一般的な方法です。ファイルポインターの削除は、データの書き込みを高速化するために標準的に行われます。実際にファイルデータを上書きするのははるかに遅いからです。ドライブは精巧なエラー検出・訂正技術を用いて 誤ったユーザーデータを返さないようにするためです。
このように、コンピュータのデータ消去は異常なことなのである。これらの対策は ユーザーデータの保護とアクセスの高速化のために行われたこれらの対策は、データが権限のない人によって回復される危険性があります。脆弱になってしまいます。
以下は、コンピュータの紛失と盗難に関する統計です1 。
- 統計によると、14台のノートパソコンのうち1台が盗まれており、この国では毎日2,000台以上のコンピュータが盗まれています。((Information Week))
- 43秒に1台の割合でコンピュータが盗まれている
- 盗まれたラップトップの98%以上は回収されない。(FBI)
- 企業のIT管理者769人を対象とした調査では、64%がノートパソコンの盗難を経験していることが明らかになった。(Tech Republic)
コンピュータを紛失したり廃棄したりしても、通常、アクティブなデータや廃棄されたデータはハードディスクドライブに保存されたままになります。ユーザーがすべてのファイルを「削除」したとしても、「リサイクル」フォルダやNorton Uneraseなどの特別なユーティリティプログラムを使って復元することができます。
データが復元できないほど消去されていなくても、所有者の物理的な管理下を離れたディスクドライブ上のデータは、他人の手に渡る可能性があり、多くの場合、そうなってしまいます。廃棄されたディスクドライブ、保証修理されたディスクドライブ、再販されたディスクドライブから、少しの努力でデータを復元することができます。廃棄されたディスク・ドライブから復元されたデータについては、多くの報告書が書かれています2,3。毎年、何十万台ものハードディスクドライブが廃棄されていますが、これらのハードディスクドライブの一部は再び市場に出回り、安全に消去されない限り、データを復元することができます。
セキュリティやプライバシーの観点から、引退したコンピュータのハードディスクドライブから確実にデータを消去し、データへのアクセスを防止する機能が緊急に必要とされています。データサニタイズのニーズは、ユーザーの用途に応じて異なる。民生用ドライブであっても、ユーザーのプライバシー保護やDRMの目的でデータサニタイズを行うことがあります。
データサニタイズの法的要件
多くの人は、データの長期保存を義務付ける法令順守の規則を知っていますが、同じ規則には、プライバシーやその他の理由からデータを保護する必要性も明記されています。また、その多くは、データのサニタイズ(消去)に関する条件や要件を定めています。投資家、消費者、環境を保護する厳しい地域、州、連邦の法律では、耐用年数を過ぎたIT機器の廃棄には細心の注意を払わなければならないと定めています。
ハードディスク・ドライブのようなデータ記憶装置のデータ保持とデータ消去には、いくつかの法律や規制があります。米国の要件の一部を以下に示します。
Health Information Portability and Accountability Act (HIPAA)
個人情報保護および電子文書法(PIPEDA
Gramm-Leach-Bliley法(GLBA)
カリフォルニア州上院法案1386号
サーベンス・オクスリー法(SBA)
SEC規則17a 連邦医療保険の相互運用性と説明責任に関する法律(HIPAA)は、医療業界において個人情報を安全に保つための目標を定めています。HIPAAのデータセキュリティ対策に違反した場合、企業は最高25万ドルの罰金、責任者は最高10年の禁固刑に処せられる可能性があります。
これらの法的要件を満たし、さらに厳しい企業や政府の機密保持要件を満たす、承認されたデータサニタイズの方法がいくつかあります。
その多くは、ディスクドライブを物理的に破壊し、将来の使用を防ぐものです。もう一つのデータセキュリティ対策は、ユーザーデータの暗号化です。作成から破棄までの間、データを安全に暗号化することは、機密情報を保護するために、いくつかの規制コンプライアンス法で承認されています。そのセキュリティレベルは、連邦文書FIPS 142-2によって決定されます。
新たに公開されたデータ消去に関する文書NIST 800-88 4によると、許容される方法として、ドライブ内のSecure Eraseコマンドの実行、およびデガウス処理が挙げられています。これらのデータ消去方法は、実験室での高度な技術を用いても復元不可能なデータを消去するものです。このような高度な技術は、特定のドライブ技術の知識と専門的な科学技術機器を使用して、通常のドライブ動作環境の外でデータの復元を試み、データのプライバシーを脅かすものです。これらの技術には、信号処理装置や、特定のドライブ技術の詳細を知っている人員が関与しており、ハードディスク・ドライブから部品を取り外してスピン・スタンド・テストを行うこともあります。
安全な消去は、NIST 800-88において、実験室レベルの攻撃に対して法的なデータ消去要件を満たす効果的で安全な方法であると認められています。
ハードディスクドライブにおけるデータサニタイズ
データ消去のセキュリティレベルには、「弱い消去(ファイルの削除)」、「ブロック消去(外部ソフトウェアによる上書き)」、「通常の安全な消去(現在のドライブ)」、「強化された安全な消去(後述)」の4つの基本レベルがあります。UCSDのCMRRでは、ソフトウェアによるセキュアイレーズのテストプロトコルを確立しています6。
最も一般的に使用されているのはブロック消去です。ブロック消去は、消去しない、ファイルを削除する、ドライブをフォーマットするよりもはるかに優れていますが、マルウェアの影響を受けやすく、すべてのデータブロックを不完全に消去することができません。例えば、ドライブによって再割り当てされたデータ・ブロック、複数のドライブ・パーティション、ホスト保護領域、デバイス構成のオーバーレイ、ドライブ・フォールトなどがあります。
通常の安全な消去は、NIST 800-88により、コンフィデンシャルまでのユーザーデータの合法的なサニタイズが承認されており、それ以上のレベルでは強化された安全な消去が承認されています。強化されたレベルはごく最近実装されたもので、当初はシーゲート社のドライブに搭載されていましたが、これらのドライブはCMRRによって評価されています。
これら4つの消去プロトコルが存在するのは、ユーザーが消去のセキュリティレベルと必要な時間をトレードオフするためです。特殊なソフトウェアを使用し、何日もかけて行う必要がある高セキュリティのプロトコルは、ほとんどのユーザーに敬遠され、ほとんど使用されず、実用的な価値は限られたものになります。例えば、古いデータ上書き文書DoD 5220では、機密データを複数のブロックで上書きすることになっていますが、現在の大容量ドライブでは完了までに1日以上かかることもあります。そのため、ユーザーは、データ消去に要する時間と、次のドライブ・ユーザーが消去の弱いデータを知り、それにアクセスできる回復技術を使用するリスクとの間でトレードオフの関係にあります。図 1 は、さまざまな消去オプションにおけるセキュリティ レベルと消去速度のトレードオフを示しています。
ドライブの物理的破壊
データの復元を積極的に防ぐために、ディスクドライブからディスクを取り出して分解したり、微細に粉砕したりすることができる。特に緊急時には、ディスクを曲げるだけでも効果があります。旧政府文書DoD 5220.22Mでは、シークレット以上の機密データは記憶媒体(磁気ディスク)を物理的に破壊することが義務付けられていました。
物理的破壊といっても、残ったディスクが512バイトのレコードブロック(現在のドライブでは約1/125インチ)より大きければ、絶対に破壊できない。線形やトラックの高密度化に伴い、ディスク片の最大許容サイズはますます小さくなる。 このサイズの破壊されたディスク片はCMRR2で研究されている。記録されたメディアのビットを画像化するには、磁気顕微鏡が使用される。
磁気ディスク・データ・カートリッジ、テープ・カートリッジ、セキュアUSBドライブ、光学メディアなど、ハードディスク・ドライブよりも破壊されやすいストレージ製品もある。
ディスクドライブのデガウス(消磁)
ディスクドライブの磁気データを消去するための装置。高強度の磁界を発生させ、ドライブデータトラックのセクターヘッダー情報(ドライブヘッドの位置決めやデータエラーの回復に必要な情報)を含む、ハードディスクドライブ内のすべての磁気記録を消去します。また、トラックやディスクのモーターの磁石も、デガッサーの磁界によって消去されることが多い。物理的な破壊と同様に、デガウスに成功したディスク・ドライブは、もはや使用できません。
CMRRでは、データサニタイズのために市販のデガッサを評価しています。
ドライブの設計者は、1枚のディスクのデータ記憶容量を増やすために、磁気記録の線密度を継続的に高めている。これにより、ディスクの磁気保磁力(磁気メディアにビットを書き込むために必要な磁場)が上昇する。磁気保磁力が高くなると、記録されたディスクのデータを消去するのに必要な磁場も高くなる。そのため、古いデガッサでは、新しいハードディスクドライブのデータを完全に消去できない場合があります。新しい垂直記録ドライブは、過去の垂直記録ドライブ用に設計された現在のデガッサでは消去できないかもしれません。
将来の磁気記録媒体では、1平方インチあたり500ギガビット以上の面密度を達成するために、非常に高い磁気保磁力のディスクが使用されるかもしれません。これらのドライブは、ディスクドライブの磁気書き込み素子にレーザー光を使用して、磁気媒体上のスポットの温度を上げ、書き込み素子が超高保磁力の磁気媒体にビットを記録できるところまで磁気保磁力を下げる技術を持っているかもしれない。このHAMR/TAMR(Heat or Thermally Assisted Magnetic Recording)技術を使用したディスクドライブでは、室温での消去に必要なデガッサーの磁場が得られない、または実現できない場合があります。この場合、ドライブを物理的に破壊しなければならないことがある。
"ノートブックやラップトップコンピュータでは、ハードディスクドライブの回路基板上にフラッシュメモリの書き込みキャッシュを搭載した「ハイブリッドドライブ」が登場している。このような半導体メモリチップに常駐するデータは、磁気を除去しても影響を受けない。このような不揮発性半導体上のデータは、他の方法でサニタイズする必要がある。このような理由から、ハードディスクドライブ上のすべてのデータを磁気消去することは、今後ますます困難になると考えられます。
非破壊でデータを消去
ハードディスクドライブ上のデータを消去することは、簡単なことではありません。ファイルを削除しても、ディレクトリ構造の特別なディスクセクタからファイル名が削除されるだけです。ユーザーのデータは、新しいデータで上書きされるまで、ドライブのデータ記憶セクタに残り、取り出すことができます。ハードディスクドライブの再フォーマットを行うと、ファイルディレクトリは消去され、ストレージセクタ間のリンクも切断されますが、ユーザーデータは残り、セクタが上書きされるまで復元することができます。個々のデータファイルやハードディスクドライブ全体を上書きするソフトウェアユーティリティーは、エラーや悪意のあるウイルス攻撃の影響を受けやすく、新しいハードウェアや進化するコンピュータのオペレーティングシステムに対応するために常に修正が必要です。
ハードディスクドライブに保存されているユーザーデータを外部のソフトウェアで確実に消去することは困難です。
多くの商用ソフトウェアパッケージは、DoD 5220のバリエーションを使用しており、35回もの上書きパスを行っています。しかし、現在のドライブでは、複数回の上書きは1回の上書きよりも効果がありません。オフトラック上書きは、一部のドライブでは効果的かもしれませんが、ソフトウェア・ユーティリティーがヘッドをオフトラックに移動させるようなドライブ外部コマンドはありません。
また、3回の上書きでも、大容量のハードディスクドライブを消去するには1日以上かかります。多忙なIT施設ではそのような時間が取れないことが多く、IT担当者は近道をしてしまいがちです。
DoD 5220の上書きには、本来の容量よりも低く設定できるドライブの最大アドレスまでしか消去しない、再割り当て(エラー)ブロックを消去しない、余分なパーティションを見逃すなどの脆弱性があります。外部からの上書きでは、ほとんどのドライブで再割り当てされたセクタにアクセスできず、一度記録されたデータはそのセクタに残されます。
これらのセクタは、フォレンジックによって復元され、解読される可能性があります。エンタープライズ・クラスのドライブやドライブ・システム(SCSI/FC/SAS/iSCSI)では、ソフトウェア・コマンドを使用して、すべてのユーザー・ブロックの書き込みおよび読み取り能力をテストすることができますが、マス・マーケット・ドライブ(PATA/SATA)では、ユーザーがアクセスできる論理ブロック・アドレスがないため、再割り当てされたブロックの読み取り、書き込み、および検出ができません。
SE(Secure Erase)コマンドは、UCSDのCMRRの要請により、ディスクドライブを管理するオープンなANSI規格に追加されました。ANSI T13.org委員会はATAインターフェース仕様(IDEとも呼ばれる)を統括し、ANSI T10.org委員会はSCSIインターフェース仕様を統括している。
安全な消去は、ハードディスクドライブ自体に組み込まれているため、外部のソフトウェア・ユーティリティに比べて悪意のあるソフトウェアの攻撃を受けにくい。
CMRRのテストによると、SEコマンドは2001年以降に製造されたすべてのATAインターフェースドライブ(容量が15GB以上のドライブ)に実装されている。標準化された内部の安全な消去コマンドは、SCSIドライブにも存在しますが、オプションであり、現在テストしたSCSIドライブには実装されていません。
安全な消去は、積極的で使いやすいデータ破壊コマンドであり、「電子データシュレッダー」に相当する。このコマンドを実行すると、ドライブは内部的に、再割り当てされたディスク・セクタ(ハード・エラーが発生したためにドライブが使用しなくなったセクタ)に読み取れるデータが含まれている可能性のあるg-listレコードを含む、すべての可能なユーザー・データ・レコード領域を上書きで完全に消去します。
SEは、コンピュータのオペレーティングシステムやストレージシステムのソフトウェアに搭載されている既存の「ドライブのフォーマット」コマンドに追加するだけで、ハードディスクドライブにコストをかけることなく利用できます。
また、「完全消去」コマンドはハードディスク内で実行されるため、追加のソフトウェアも必要ありません。
完全消去は、ディスクドライブ上のデータを単一のトラックで消去します。アメリカの国家安全保障局は
米国国家安全保障局は、CMRRでの技術テストの結果、複数回の上書きパスでは追加の消去ができないことが判明したため、シングルパスの上書きについての情報保証承認を発表しました。
安全な消去は、米国国立標準技術研究所(NIST)のコンピュータセキュリティリソースセンター7で承認されています。NISTドキュメント800-88は、SEをNorton Government Wipeのような外部ソフトウェアブロック上書きユーティリティよりも高いセキュリティレベルで承認しており、HIPAA、PIPEDA、GLBA、Sarbanes-Oxleyの法的要件を満たしています。
保護された実行環境(例:RAIDアレイのようなファイルシステムのハードウェア内部や、安全なコンピュータ内部で実行される)で実行されるソフトウェア上書きユーティリティは、NIST 800-88で安全性が検証される可能性があります。最も機密性の高いデータについては、政府はドライブの物理的破壊を要求しています。
今日、ドライブ・メーカーは、ドライブ内のデータ暗号化(下記参照)により、より高いセキュリティの安全な消去(秘密データを含む)を追求しています。
データ暗号化 完全消去
近年、ラップトップコンピューター用の2.5インチハードディスクドライブが登場しました。このハードディスクドライブは、記録前にユーザーデータを暗号化し、内部でデータを完全に暗号化します8,9。このドライブは、ラップトップやドライブの紛失・盗難時にデータを保護し、フォレンジックデータの復元に対しても高い保護機能を備えています。また、これらのドライブは、暗号化キーを安全に廃棄することで、ハードディスク・ドライブ上のデータを瞬時に消去する新しい方法を提供します。
なぜ、データにアクセスするユーザー・アプリケーション・プログラムなどのコンピュータ内ではなく、ドライブ内の静止状態のデータを暗号化するのでしょうか?コンピュータレベルのデータ暗号化は、増分バックアップ、継続的なデータ保護、データ圧縮、重複排除、仮想化、アーカイブ、コンテンツ・アドレサブル・ストレージ、アドバンスト・ルーティング、シン・プロビジョニングなど、多くの重要なデータ管理機能の目的を損なうからです10。これらのオペレーションに敗北すると、企業のストレージ担当者は、データアクセス速度やコスト面で大きなペナルティを受けることになります。これらのオペレーションは、ユーザーデータの構造を利用しており、データの検査が必要です。データが暗号化によってランダム化されている場合、これらの操作は非効率的または機能しません。例えば、データ圧縮率は2:1以上から1:1以下に下がる可能性がある。これは、ランダムなデータを圧縮することで、代わりにデータが拡張されるためである。重複排除では、異なるユーザによって暗号化された同一のデータセットを見つけることはできない。
コンピュータレベルの暗号化は、インドライブの暗号化と一緒に使用することができます。ドライブ内の暗号化は、ラップトップのディスクドライブやテープバックアップのようなリムーバブルストレージに特有の暗号鍵管理の問題を解消することができる。実際、何百万人もの個人情報が記録されたバックアップ用テープリールの紛失が大々的に報じられたことから、2007年までにはハードウェアベースのテープドライブ暗号化が普及する可能性があります11。
Full Disk Encryption (FDE) Enhanced Secure Erase" (FDE-SE)は、ドライブ内部の暗号化キーを安全に変更し、ディスク上の暗号化されたユーザーデータを判読不能にします。この機能は、現在のATA ANSI仕様のEnhanced SEコマンドによって有効になります。
FDE-SEによる暗号化は、高度なフォレンジック分析に対する保護をテストする必要があります。
その結果、消去セキュリティのデータレベル(Confidential、Secret、Top Secret以上)が決定される。米国商務省は、256ビット以上の暗号化のほとんどを海外に輸出することを禁止しており、FDE E-SEの暗号化はAES-128ビットに限定されている(ディスクドライブは世界的な産業であるため)。
FDEドライブのAES-256ビット暗号化は、やや高いセキュリティレベルでのFDE SEを可能にする。なお、FDE E-SEはAES-128を2倍にしたようなもので、捨てられた鍵で暗号化されたデータが新しい鍵で復号化されるため、AESは対称性のある暗号方式である。ダブルAES-128に対するブルートフォースアタックは、シングルAES-256と同じ計算量を必要とするように見えます。
パラノイドレベルのセキュリティでは、FDEディスクドライブ内のcypt-textは、FDE E-SEの後に行われるNormal OW SEによって排除することができる。
FDEのオープンな業界標準は、Trusted Computing Groupの全体仕様(trustedcomputinggroup.orgのStorage Working Group)で検討されている。TCGのドライブメンバーには、Seagate、HGST、Fujitsu、WDが含まれています。ATAドライブのANSIオープンスタンダード(t13.org)に準拠して、暗号化によるSEが含まれる場合もある。
CMRRはFDE-SEドライブのテストを開始しました。従来のSecure Eraseでは750GBのATAインターフェースHDDを消去するのに1時間以上かかるのに対し、FDE-SEでは15ミリ秒以下でEnhanced SEを完了することができる。
コンピュータ・フォレンジックのデータ復旧
フォレンジックデータリカバリーは、専門家が高度な機器を用いてエキゾチックなデータリカバリー技術を使用します。通常の目的は、故障したハードディスク・ドライブからデータを復旧することと、法的な証拠開示のためです。フォレンジック会社は、電子機器を使用して、ディスクドライブ内の消去されていないが保護されているデータの復元に成功します。しかし、上述の安全な消去コマンドは、物理的なディスクドライブのフォレンジック回復を超えて、ディスクドライブ上のすべてのユーザーデータを消去します。このような攻撃が可能なほど古いドライブは、内蔵されているSecure Eraseコマンドを持つには古すぎます。
実際の磁気ディスク記録の経験がない人が、物理的に破壊されてもデータが回復する可能性があると主張して、仮想的なスキームに基づく被害妄想的な回復懸念を提案することがあります。あるコンピュータ・フォレンジックのデータ復旧会社は、通常のドライブ・エレクトロニクスを使用せずに、ディスクに記録されたビットの磁気イメージからユーザー・データを読み取ることができると主張している12。ドライブから取り出してスピンスタンドでテストしたディスクからトラックを読み出すことは、数十年前には実用的であったが、今日のマイクロインチサイズのトラックではもはや不可能である。
従来の技術では時間がかかること自体がデータ復旧の障害となり、データの安全性を高めている。また、磁気イメージからデータにアクセスするためには、10個近くの連続した磁気記録技術のハードルを乗り越えなければならない。仮にこれらのハードルを乗り越えたとしても、ディスク上の数百万個のデータブロックのうち、1つのユーザーデータブロックを復元するためには、約1時間が必要となる。大容量のデータを数ヶ月以内に復元するためには、データの再生信号を得るためにヘッドを飛ばすことができるように、ディスクが無傷であることが必要であり、これらの技術的ハードルを越えなければならない。ディスクを曲げるだけでも不可能なのに、ドライブに物理的なダメージを与えてディスクを反らせてしまうと、復旧は事実上不可能になる。
また、「専門家」の中には、トラックエッジを消去しなくても、限られた情報は復元できると主張する人もいる。しかし、これはCMRR13でのテストで誤りであることが示されています。また、このような復元は、ドライブの磁気記録設計に関する詳細な技術的知識を前提としています。ChannelScience.comのCharles Sobey氏は、ドライブに依存しないデータ復旧について、これらのハードルがいかに難しいかを示す素晴らしい記事を書いています14。
完全消去の実装と認証
CMRRは、長年にわたり連邦政府のために安全な消去を研究してきました。その研究4では、ユーザーのデータ消去に関する3つの異なるプロトコルが実証されています。
ユーザーがWindowsやLinuxなどの一般的なOSでファイルを削除することによる弱い消去(図1の「通常のコンピュータによる消去」)。これは、ファイルのディレクトリエントリのみを削除するもので、ユーザデータ自体は削除されません。
ブロック上書きユーティリティは、ユーザーがアクセス可能なすべてのブロックを(上書き時に)上書きする。
これは、ファイル消去よりも高いレベルの削除の信頼性を提供し、これらのユーティリティはDoD 5220の連邦政府の要件を満たすと主張している。今日のハードドライブ技術では、この文書は廃止されており、代わりにNIST 800-88を使用する必要があります。
ディスクドライブの完全消去は、ANSI ATAおよびSCSIディスクドライブのインターフェース仕様で定義されたドライブコマンドで、ドライブのハードウェア内部で実行されます。5220ブロック消去の約1/8の時間で完了します。
CMRRは、政府やドライブ企業に対してデータ消去の有効性の検証と認証を行っており、ディスクドライブのデータ消去に関しては世界で最も経験豊富な組織であると言える。また、ドライブ内部の技術について詳しい知識を持つ数少ない公的機関の一つです。CMRRが要求したのは、T13.orgのATA仕様に盛り込まれたSEコマンドである。通常の消去モードでは、SECURITY ERASE UNITコマンドで、ユーザーがアクセス可能なすべてのデータ領域にバイナリゼロを書き込むことが仕様で定められている。
なお、ATAの再割り当てブロックは、ユーザーアドレスを持たないため、ユーザーがアクセスできません。CMRR 検証テストでは、このコマンドを搭載したドライブは、磁気メディアに保存する前にユーザー ビットをランダム化するため、消去のセキュリティは NIST 800-88 の Purge レベルであることが示されています。DoD 5220で要求されている消去の検証(これは忘れられがちですが)は、ドライブ内部の書き込み障害検出ハードウェアを介して行われ、追加の時間はかかりません。このように実行時間が短縮されることで、ユーザーのドライブ消去に対する意欲が高まります。
CMRRで測定されたテスト時間は、DOD 5220では最大で数日かかりましたが、ドライブの通常の完全消去では15~45分で完了します。
実世界でのデータサニタイズ
セキュリティ イレーズ コマンドは、すべてのユーザー、連邦政府、および商用のドライブ消去製品で利用できます15 。2006年の最近の典型的な月には、CMRRのウェブサイト(http://cmrr.ucsd.edu/hughes/SecureErase.html)からフリーウェアのsecure eraseユーティリティーが622件ダウンロードされました。これは、Secure Eraseへの関心が高まったためと考えられます。これは、Secure Eraseへの関心の高まりによるものと思われます(2006年初頭のダウンロード数は、月平均3百台半ばでした)。
海軍省は、ディスクドライブからデータを消去するために、Secure Eraseのライセンスを取得しています。また、Esconce Data Technology社のように、Secure Eraseを使用した製品を販売している企業もあります15。
著者について
UCSD CMRRは、Secure Eraseやその他のデータサニタイズ手順の認証を行っています。
詳細は、UCSD CMRRのGordon Hughes氏にお問い合わせください。http://cmrr.ucsd.edu/hughes をご覧ください。 Coughlin Associates は、データストレージのコンサルティングや、データストレージ業界の市場および技術分析を行っています。詳しくは www.tomcoughlin.com をご覧いただくか、408-871-8808 までお問い合わせください。
Secure Erase Readme
HDDerase.exe MD5 hash = D708E610BF123C840CC1482E52B22DDF
SHA1 = 27100fbfd1f25fec3d03f94071430c540a935fd0
ハードディスクドライブ上のすべてのデータを消去する、フリーウェアのユーティリティ、バージョン4.0 2008年9月20日
========================================================================
I. はじめに
II. 改訂履歴
III. 起動ディスクの作成
IV. HDDerase.exeの使用方法について
V. よくある質問
I. はじめに
HDDerase.exeは、インテル・アーキテクチャ・コンピュータ(PC)のATAハードディスク・ドライブ上のすべてのデータを安全に消去する「サニタイズ」を行うDOSベースのユーティリティです。 T13技術委員会によるATAの仕様に基づき、ドライブ内部の安全な消去コマンドであるsecurity erase unitを実行するオプションが用意されています。 このユーティリティを実行するには、フロッピーディスク、記録型CD-R、またはUSBのDOS起動ディスクを作成し、HDDerase.exeを起動メディアにコピーします。 フロッピーディスク、CD-R、またはUSBを挿入した状態でコンピュータを再起動し、システムのDOSプロンプトで「hdderase」と入力します。 システムBIOSで、HDDerase.exeを実行するメディアに応じて、フロッピー、CD-R、USBを最初に起動するなど、正しい優先起動順序を設定してください。 HDDerase.exeは、ウィンドウベースのDOSコマンドプロンプト環境ではなく、実際のDOS環境から実行する必要があります。
サポート: 当社のスポンサーである米国国家安全保障局(National Security Agency)は、当社プログラムのサポートを終了したため、問題に対応するサポートスタッフがいません。
プログラムの実行に問題があり、弊社ウェブサイトの readme.txt ファイルをお試しいただいた場合、ドライブを安全に消去する最も簡単な方法は、ドライブを別の PC に接続して hdderase.exe を実行することです。
この方法は、消去するドライブが複数ある場合に特に便利です。
*注:ノートパソコンをお使いの方は、完全消去を実行・完了するのに十分なバッテリー残量があることを確認してください。 大容量のドライブの場合、完全消去には2時間ほどかかることがあります。 完全消去中に電源が切れた場合、ドライブはロック状態となり、すべてのI/Oアクセスができなくなります。 この件に関する詳しい説明は、FAQを参照してください。
II. 改訂履歴
4.0 - 2008 年 9 月 20 日リリース
-
安全な消去コマンド中に現在の時刻をプリントアウトするシステムクロックを追加した。
-
プログラムを終了せずに接続された異なるハードドライブを切り替えるために、オプションメニューに新しい項目を追加しました。
-
HDDErase のパスワードおよびユーザー定義のユーザーまたはマスターパスワードでドライブのロックを解除するための新しい項目をオプションメニューに追加しました。
-
HDDErase は、安全な消去コマンドが発行される前に、ドライブに設定されているパスワードを表示するようになりました。 パスワードのロックが解除されたときにも、メッセージが画面に表示されます。
-
ノートパソコンのバッテリーではなくAC電源でHDDEraseを実行するようにユーザーに知らせる警告メッセージを追加しました。
-
安全な消去コマンドが正常に完了しなかった場合に、リムーバブルメディアにのみ印刷される監査ログ失敗メッセージを追加しました。
-
メニューヘッダの表示を変更しました。
-
MD5ハッシュを更新し、SHA1ハッシュを追加しました。
3.3 - 2007/11/17 リリース
- 強化された安全な消去オプションの不適合ビットを修正しました。 強化された安全な消去のコマンドが正しく発行されるようになりました。
3.2 - 2007年6月7日リリース
-
HDDerase は、(拡張) 完全消去を実行する前に、ユーザー パスワードを "idrive" に設定します。 HDDerase は以前のバージョンのパスワードでドライブのロックを解除しようとします。
-
セキュリティ機能が有効になっていない場合、「デバイス構成セット」を介してセキュリティ機能セットを有効にし、さらに「デバイス構成の復元」を行うようになりました。
-
選択されたドライブがHDDerase以外のパスワードでロックされている場合、ユーザーには以下のオプションが与えられます。 1) ユーザーパスワードによるロック解除、2) マスターパスワードによるロック解除(セキュリティが高い場合)、3) ユーザーパスワードによる安全な消去、4) マスターパスワードによる安全な消去、5) ユーザーパスワードによる拡張安全な消去(サポートされている場合)、6) マスターパスワードによる拡張安全な消去(サポートされている場合)。 オプション3、4、5、6を選択した場合、HPAやDCOの領域はリセットされません。
-
システムBIOSがドライブ検出時に「セキュリティフリーズロック」コマンドを実行する場合、HDDeraseはこれを回避しようとします。 この試みが成功した場合、ハード再起動が必要です。 その後、HDDeraseをもう一度実行し、ドライブがフリーズ状態にならないようにします。 HPAが設定されている場合、HDDeraseはバイパスを試みません。
注:この内部方法は全てのドライブで動作するわけではありません(特に MAXTOR ドライブ)。
また、BIOS のフリーズロックを回避する他の方法については、FAQ を参照してください。 -
非ユーザーアクセス領域(HPa/DCO)の上限は、デバイスコンフィグレーションオーバーレイ機能セットがサポートされている場合は「デバイスコンフィグレーションの識別」のワード3-6、48ビットアドレッシングがサポートされている場合は「read native max address ext」、どちらもサポートされていない場合は「read native max address」となります。
-
48 ビットアドレッシングをサポートしていないドライブに関連するバグを修正しました。
-
デバイス構成オーバーレイをサポートしていないドライブに関連するバグを修正しました。
-
HDDerase.exe バージョン 3.2 の HDDeraseReadMe.txt の md5 ハッシュを更新しました。
3.1 - 2007年1月27日リリース
-
プログラムは、ホスト保護領域やデバイス構成オーバーレイの存在を確認し、そのような領域を削除するオプションを提供するようになりました。 これらの領域の削除を要求すると、後続の「set max address (ext)」および「device configuration restore」コマンドが発行され、最大ユーザースペースが工場出荷時のサイズにリセットされ、安全な消去ですべてのドライブセクターが消去されるようになります。
注:これらの領域は通常ユーザーデータには使用されませんので、hdderase.exeを使用する最も機密性の高いユーザーのためにのみサニタイズする必要があります。 -
HDDerase.exeバージョン3.1のHDDeraseReadMe.txtのmd5ハッシュを更新しました。
3.0 - 2006年12月12日リリース
-
安全な消去ユニットと強化された安全な消去の2つのオプションのみが利用可能になりました。 他の方法はすべて削除されました。
-
安全な消去ユニットが完了した後の監査証跡を追加しました。安全な消去または強化された安全な消去が正常に完了すると、消去されたドライブのLBAセクター0に消去完了メッセージとタイムスタンプが書き込まれます。 また、可能であれば同じメッセージをログファイル「se_log.log」にも出力します。 ログファイルは、プログラムが正常にセキュリティ消去または拡張セキュリティ消去を完了するたびに修正・更新され、完了したすべての消去のログが作成されます。
-
プログラムは、ホスト保護領域とデバイス構成オーバーレイの存在を確認します。 この2つのうちのいずれかが存在する場合、ホスト保護領域またはデバイス構成オーバーレイ内のセクタ数を警告するメッセージが画面に表示されます。これらの領域は、メーカーによって消去される場合とされない場合があります。 ドライブの構成に変更はありません。
-
安全な消去の後にセキュリティが有効なままの場合、エラーメッセージを追加しました。 これは、プロセスが正常に終了しなかったことを示します。
-
設定されたパスワードは、高セキュリティから最大セキュリティに変更されました。
-
HDDerase.exeのHDDeraseReadMe.txtにmd5ハッシュを追加しました。
2.0b - 2004年10月11日リリース
- 4つのドライブ消去オプション:安全な消去ユニット、高速な消去、シングルパスオーバーライト、マルチパスオーバーライト。
III. 起動ディスクの作成
-
フロッピー DOS ブートディスクの作成 www.bootdisk.com/bootdisk.htm から DOS 6.22 ブートディスクメーカーをダウンロードして実行します。 作成したフロッピーから2つのQbasicファイルを消去して、HDDerase.exeをディスクにコピーするのに十分なスペースを確保します。
-
Windows ME Aドライブにフロッピーディスクを挿入します。デスクトップの「マイコンピュータ」をダブルクリックし、フロッピードライブA:を右クリックして表示されるメニューから「フォーマット」を選択し、「スタート」をクリックします。 フロッピーディスクがフォーマットされたら、C:ドライブをダブルクリックし、WINDOWSフォルダをダブルクリックし、COMMANDフォルダをダブルクリックし、EBDフォルダをダブルクリックし、COMMAND.COMファイルを一度クリックしてハイライトさせ、Ctrlキーを押しながらIO.SYSファイルをクリックしてこのファイルもハイライトさせ、IO.SYSファイルを右クリックして結果メニューからコピーを選択し、フロッピードライブA:を右クリックして結果メニューからペーストを選択します。
-
Windows 2000 Windows 2000 Professional の CD を挿入します。コマンドプロンプトを開き、ドライブレターを入力してエンターキーを押すと、CDに切り替わります。ドライブレターを入力してエンターキーを押します。 フロッピーディスクをフロッピーディスクドライブA:に挿入し、makediskと入力してEnterキーを押します。 ディスクが作成されたら、フロッピー内の不要なファイルを削除して、HDDerase.exeのための十分なスペースを確保します。
-
Windows XP フロッピーディスクをAドライブに挿入します。デスクトップのマイコンピュータをダブルクリックし、フロッピードライブAを右クリックします。
フロッピーディスクドライブAを右クリックして表示されるメニューからフォーマットを選択し、MS-DOS起動ディスクを作成するにチェックを入れてスタートをクリックします。
*ブータブルCD-Rの作成 HDDerase v3.1は、以下のサイトから無料でダウンロードできる「Ultimate Boot CD v4.1.1」に収録されています。
http://www.ultimatebootcd.com/download.html ISOイメージをお好みの録音ソフトで空のCD-Rに書き込みます。
その際、BIOSのブートプライオリティの設定を変更して、CD-ROMドライブから最初に起動するようにしてください。 自分でブータブルCD-Rを作成したい場合は、次のリンクの指示に従ってください: http://www.nu2.nu/bootcd/#cdromsi
*ブータブルUSBドライブの作成 HDDerase v3.1は、以下のサイトから無料でダウンロードできる「Ultimate Boot CD v4.1.1」に収録されています。
http://www.ultimatebootcd.com/download.html Undisker(http://www.undisker.com/)などのフリー/シェアウェアのユーティリティーを使ってISOファイルからファイルをハードドライブのディレクトリに抽出します。 コマンド/シェルウィンドウを使用して、 ˶‾᷄ -̫ ‾᷅˵ ˶‾᷅˵ このコマンドは、USBメモリを完全に消去し、再フォーマットします。 また、BIOSのブートプライオリティーを変更し、USBメモリーから最初に起動するようにしてください。 BIOSがUSBデバイスをブートオプションとしてサポートしていない場合、USBドライブからのブートはできません。
IV. HDDerase.exeの使用方法
*注:ノートパソコンをお使いの方は、完全消去を実行・完了するのに十分なバッテリー残量があることを確認してください。 大容量のドライブの場合、完全消去には2時間ほどかかることがあります。 完全消去中に電源が切れた場合、ドライブはロック状態となり、すべてのI/Oアクセスができなくなります。 この項目については、FAQを参照してください。
ダウンロードしたファイル、HDDerase.exeを、作成したフロッピー/CD-R/USBブート可能なDOSディスクにコピーします。 ブータブルディスクを使って、DOSでコンピュータを起動します。 システムBIOSで正しいブートプライオリティの設定を行ってください。 システム/DOSプロンプトで「hdderase」と入力し、HDDerase.exeを実行します。 メイン・システム・ボードに接続されているすべてのATAハードディスク・ドライブが識別され、その情報が表示されます。 PATAドライブの場合は、ハードディスク・ドライブのジャンパーが正しく設定されていることを確認してください。 ハード ディスク ドライブのジャンパーを CS (ケーブル セレクト) に設定することは避けてください。
ジャンパーの設定は、マスターまたはスレーブが望ましいです。
典型的な、ロックされていないドライブの画面出力例。
| secure erase freeware: あなたのハードディスク・ドライブを完全に消去します。
|バージョン4.0
P0はHitachi HTS722016K9SA00 P1はNONE S0はNONE S1はWD75AA-00BAA0
ドライブを選択してください プライマリ・マスターにはP0を入力 セカンダリ・スレーブにはS1を入力 プログラムを終了するにはEXを入力
PLEASE ENTER YOUR SELECTION: P0
アクティブなHDD:日立 HTS722016K9SA00
| このドライブは、ATA セキュリティ機能セットをサポートしています。
| このドライブは、強化された安全な消去をサポートしています。
オプションメニューを表示しますか?(Y/N) y
| アクティブなHDD:日立HTS722016K9SA00|。
+--------------------------------------------------------+
| 安全な消去を実行するには1を入力してください。
| 強化された安全な消去を実行するには、2 を入力してください。
| アクティブな HDD を変更するには C を入力してください。
| プログラムを終了するには E を入力してください。
選択肢を入力してください。1
+----------------------------------------------------------+
| セキュア・イレーズを実行するには、HDDにパスワードを設定する必要があります。
| 安全な消去を行うためには、HDDにパスワードを設定する必要があります。 |
| 次のパスワードでHDDのセキュリティを設定する:idrive||。
| Set password command: 成功しました。 |
+----------------------------------------------------------+
続行しますか?(Y/N) y
このプロセスの所要時間の目安は 120分
現在、安全な消去が開始されました。Sat Apr 12 12:52:12 Sept 2008 現在の時刻は: 14:50:21 です。
完全消去の完了
監査ログはLBAセクター0に正常に書き込まれました
LBAセクター0の表示を希望しますか?(Y/N)と表示されます。Y このドライブ。シリアル番号 = 070526DP0D00DVG0L9KA, モデル = Hitachi HTS722016K9SA00 は、正常に消去されました...Sat Apr 12 14:50:21 2008
オプションメニューに戻るには、ENTER ... ... を押してください。
HDDerase.exe メニュー 1: Secure Erase これは ATA 内部ドライブの安全な消去コマンドを使用します。 ブロック上書きソフトのユーティリティーよりも高いレベルの安全な消去を行います。 ドライブの容量と速度に応じて、30分から180分かかります。 プロセスが正常に完了すると、ドライブはロック解除され、使用可能な状態になります。
2: 強化された完全消去(ドライブがサポートしている場合
オプションのATA内蔵ドライブの安全な消去コマンドです。 プロセスが正常に完了すると、ドライブはロックされず、使用可能な状態になります。 すべてのATAドライブがこの消去方法に対応しているわけではなく、対応していない場合にはこのオプションは表示されません。
C: Change Active HDD 複数のドライブを切り替えるためのオプションです。
L: Unlock a locked drive (ドライブがロックされている場合)
このオプションは、すべての既知のHDDEraseパスワードを使って、自動的にドライブのロック解除を試みます。 これに失敗した場合は、ドライブの正しいユーザーパスワードまたはマスターパスワードの入力を求められます。 HDDEraseは、指定されたパスワードをユーザーパスワードとマスターパスワードの両方として、ドライブのロックを解除しようとします。 ドライブがロックされていない場合は、このオプションは表示されません。
注意事項 HDDerase.exe は、ドライブが ATA セキュリティ機能セットをサポートするほど新しいかどうかをテストします。 その場合 (約 15 ~ 20 GB 以上のドライブ) は、安全な消去オプションが使用できます。 数年以上前の ATA ドライブ (一般に 15GB 以下) は ATA セキュリティ機能セットをサポートしません。
安全な消去コマンドの実行が完了する前に再起動または電源サイクルによって中断された場合、ドライブはロック状態のままになります。 再起動後にプログラムを再度実行し、安全な消去オプションまたはロック解除オプションを正常に実行して、ドライブのロックを解除してください。 コンピュータのBIOSは、フロッピードライブA:、USBドライブ、CD-ROMドライブのいずれかのメディアタイプから起動し、システムをDOSで起動するように設定する必要があります。 Windowsのディスク管理システムプログラムを使用して、安全に消去されたディスクのパーティション設定とフォーマットを行い、再利用することができます。
V. FAQ
Q: 安全な消去が終了する前にノートパソコンがシャットダウンしてしまいました。 ハードドライブがパスワードでロックされています。 どうすれば解除できますか?
A: 通常、安全な消去手順が完了しなかった場合、HDDeraseを再度実行し、ドライブのロックを解除してから消去手順を完了することができます。 これを確認するために、LBA 0に監査証跡が書き込まれます。 ロック解除オプション(オプションメニューの「U」)を使用すると、HDDEraseで設定したパスワードを自動的に削除することができます。
HDDeraseを再度実行できない場合、HDDerase v3.2に設定されているユーザーパスワードは "idrive "です。 HDDerase v3.1以下のすべてのバージョンに設定されているユーザーパスワードは、次のとおりです。 "xty3fgds2h32j4kd02k9rfgep36435". atapwd (http://www.rockbox.org/lock.html) や MHDD (http://hddguru.com/content/en) など、パスワードがわかっているドライブのロックを解除するためのフリーのユーティリティが多数用意されています。 使用しているバージョンを確認し、適切なパスワードでロックを解除し、同じパスワードで無効にしてください。
Q:Secure EraseとEnhanced Secure Eraseの違いは何ですか?
A:Secure Eraseは、すべてのユーザーデータ領域をバイナリゼロで上書きします。 Enhanced secure eraseは、再配置により使用されなくなったセクターを含むすべてのユーザーデータ領域に、メーカーが設定した所定のデータパターンを書き込みます。***注:強化された安全な消去オプションは、すべてのATAドライブでサポートされているわけではありません。
Q: このプログラムでデータが復元できないほど消去されるという確証はありますか?
A: Center for Magnetic Recording Research (CMRR)において、何十台ものハードディスク・ドライブの安全な消去コマンドの機能がテストされました。 安全な消去機能をサポートすることが確認されたすべてのハードディスク・ドライブは、すべてのユーザーLBAをバイナリ・ゼロに上書きします。
Q: サーベンス・オクスリー法(Sarbanes-Oxley)、医療情報の相互運用性と説明責任に関する法律(HIPAA)、個人情報保護および電子文書に関する法律(PIPEDA)、グラム・リーチ・ブライリー法(GLBA)、カリフォルニア州上院法案1386など、現在の連邦および州の法律に適合する、政府による安全な消去の承認はありますか?
A: 連邦政府のデータ消去に関する文書NIST 800-88によると、許容される方法は、ドライブ内のSecure Eraseコマンドの実行、ドライブのデガウス処理、物理的破壊などです。
Q: "This drive is in frozen status" と "!!" が表示されます。ATA Security Feature Set is prohibited by the system BIOS chip !!!"というメッセージが表示されました。 これは何を意味しているのでしょうか?
A: BIOSチップの中には、安全な消去オプションを禁止しているものがあります(ドライブの起動時にSecurity Freeze Lockコマンドを発行します)。 これは、OSがロードされた後にマルウェアによってATAパスワードが悪意を持って設定されるのを防ぐためのものです。 HDDeraseはこれを回避しようとしますが、HDDeraseが失敗した場合、セキュリティフリーズロックを回避する他の3つの方法があります(次の質問を参照)。
Q: どうすればセキュリティフリーズロックを回避できますか?
A: 3つの異なる方法でBIOSのセキュリティフリーズロックを回避することができます。
-
- 最も望ましい方法。 他のコンピュータが利用できる場合は、他のコンピュータからドライブを起動します。 フリーズロックはBIOSに依存しているため、他のコンピュータのBIOSではドライブをフリーズロックできない場合があります。
-
- 2つ目の方法。 例えば、ドライブをセカンダリーマスターS0からセカンダリースレーブS1に切り替えたり、その逆を行ったりします。 一部のBIOSでは、すべてのチャンネルのマスター/スレーブポジションにフリーズロックコマンドを送信しません。
-
最も好ましくない方法 **この方法ではドライブに危険が伴いますので、ご自身の責任で行ってください。 ハードドライブの4線式電源ケーブルを抜き、信号ケーブルは接続したままにする。 ESDの危険性を排除するために、電源コードを取り外す際には必ず接地してください。 システムの電源を入れ、DOS起動ディスクでDOSを起動する。 DOSが起動してコマンドライン・インターフェースになったら、ハードドライブの電源コードを再び差し込みます。 HDDerase.exeを実行する。 この方法の論理は、BIOSでドライブが検出されないようにするためで、これはフリーズロックコマンドが発行されるときです。
Q: HDDerase.exeは、オンボードまたは外部接続(USBなど)のSATAドライブの消去に使用できますか?
A: はい。ただし、BIOSの設定が必要な場合があります。 HDDerase.exeは、プライマリおよびセカンダリのIDEチャンネル(ポート01F0-01F7および0170-0177)上のドライブしか検出しないため、BIOSを設定して、SATAドライブがこれらのチャンネルの1つとして検出されるようにする必要があります。 オンボードのSATAドライブの場合、BIOSでSATAドライブを「拡張モード」から「互換モード」に切り替えることで実現できます(互換モードは「ネイティブモード」または「IDEモード」と呼ばれることもあります)。 例:BIOS >> IDE configuration >> onboard IDE operate mode >> compatibility mode。 注-すべてのBIOSがこの機能をサポートしているわけではありません。
Q: hdderase.exeは、SCSIやUSBドライブの消去に使用できますか?
A: いいえ。Hdderase.exeは、SATA/ATAドライブのみに使用することを目的としており、SCSIやUSBドライブでは動作しません。
SCSIを含むあらゆるドライブのデータ消去を行う「データシュレッダー」マシンを製造している商用企業が少なくとも1社 (http://www.deadondemand.com/ または http://ensconcedata.com) あります。
Q:HPAとDCOエリアとは何ですか?
A: HPAはHost Protected Areaの頭文字をとったものです。 HPAとは、ハードドライブの端にある、ユーザーがアクセスできないセクタの部分のことです。 通常、この領域には、ハードドライブの診断や復旧用のソフトウェアが格納されていますが、あらゆる種類のデータを格納することができます。 DCOは、Device Configuration Overlayの頭文字をとったものです。 HPAと同様に、DCOはハードドライブの端にある、ユーザーがアドレス指定できない部分を表します。 これらの領域は、Windowsフォーマット、セキュア/エンハンスドイレーズ、その他の上書き方法を実行しても上書きされません。 これらの領域を消去するためには、まずこれらの領域を削除し、その後で初めてドライブ全体を消去することができます(次の質問を参照)。
***注:当社のテストでは、安全な消去を行った際にHPAを上書きするドライブもありますが、ほとんどのドライブでは安全な消去を行ってもこの領域は消去されません。CMRRは、HPAにはユーザーデータが保存されていないため、HPAの消去は必須ではないと主張していますが、HDDeraseは、消去のセキュリティを最大限に高めるために、両方の領域を消去することができます。
Q: hdderase.exeは、ホスト保護領域(HPA)やデバイス構成オーバレイ領域(DCO)を消去できますか?
A: はい。 選択したドライブにHPAやDCOが存在する場合は、メッセージが表示され、消去するかどうかをユーザーに尋ねます。 承諾すると、set max address (ext)コマンドとdevice configuration restoreコマンドによって、HPAまたはDCOが削除されます。 その後、安全な消去を行うと、ドライブ全体が消去されます。 辞退すると、HPAおよび/またはDCOはそのまま残され、その後の安全な消去では、メーカーによってHPA/DCOが消去される場合とされない場合があります。 CMRRの完全消去プロトコルでは、ユーザーがアクセス可能なすべての記録のみを消去する必要があります。
ドライブがHDDerase以外のパスワードでロックされていて、オプション3、4、5、6のいずれかを選択した場合、HPAやDCOは検出されず、リセットされません。
***注意:デバイス構成の復元コマンドは、デバイス構成の設定コマンドによって以前に行われた設定を無効にし、それによってドライブを工場出荷時の状態にします。
Q: HDDerase.exeは、Windows XPで動作しますか?
A: 通常はできませんが、カーネル・モード・ドライバを使えば可能です。 カーネルモードドライバは、Windows NT/XP環境では通常アクセスできないIDE I/Oポートに直接アクセスすることができます(その方法については次の質問を参照)。 Windows NT/XP環境でHDDerase.exeを実行することは、ポートを開く際にコンフリクトが発生する可能性があるため、お勧めできません。 望ましい方法は、真のDOS環境でシステムを起動してからHDDerase.exeを実行することです。
Q: IDE I/Oポートにアクセスするためのカーネルモードドライバはどこにありますか?
A: http://www.embeddedtronics.com/design&ideas.html >> UserPort.zipです。 インストールの指示に従って、使用したいIDEチャンネルのI/Oポートを追加してください。 通常、プライマリチャンネルのI/Oポートは 1F0-1F7、3F6-3F6、セカンダリーチャンネルのI/Oポートは以下の通りです。 170-177と376-376です。 システムのIDEポートを確認するには、 >> マイコンピュータ >> プロパティ >> ハードウェアタブ >> デバイスマネージャ >> IDE ATA/ATAPIコントローラ >> プライマリ/セカンダリIDEチャネル >> プロパティ >> リソース を選択します。