SSDからデータを確実に消去する

ストレージメディアからデータを確実に消去すること（メディアを消毒すること）は、安全なデータ管理の重要な要素です。フラッシュベースのソリッドステートドライブ（SSD）は、データを保存するための技術（フラッシュチップ対磁気ディスク）と、そのデータを管理およびアクセスするためのアルゴリズムの両方でハードディスクとは異なります。 SSDは、コンピューターシステムがデータにアクセスするために使用する論理ブロックアドレスと、物理的なストレージを識別するための生のフラッシュアドレスとの間に間接層を維持します。この間接層は、フラッシュメモリの特殊なインターフェースを隠し、その限られた寿命を管理することでSSDの性能と信頼性を向上させます。ただし、これはユーザーには見えないが洗練された攻撃者によって回復可能なデータのコピーを生成する可能性もあります。そのため、メディアを完全に消去することは非常に重要です。

1. ドライブ全体のサニタイズ

SSD全体を消去するには4つの異なる手法があります。

• ビルトインのサニタイズコマンドを発行する
• 通常のIO操作を使用してドライブに繰り返し書き込む
• 高電圧発生器を使用してドライブを電気的に破壊する
• 暗号を利用する

1.1 み込みのサニタイズコマンド

最新のドライブの多くに、オンボードファームウェアに対してドライブ上でサニタイゼーションプロトコルを実行するよう指示する組み込みのサニタイズコマンドが備わっています。従来、ATAセキュリティコマンドセットには「ERASE UNIT」というコマンドがあり、これはドライブ上のすべてのユーザーアクセス可能な領域をすべてバイナリのゼロまたはワンで書き込むことによって消去します。拡張された「ERASE UNIT ENH」というコマンドもあり、これはベンダーが定義したパターンを書き込みます。たとえば、0x55のコンテンツを持つ1MBのバイナリファイルです。ACS-2/ACS-3仕様では、「BLOCK ERASE」というコマンドがあり、これはそのSANITIZE機能セットの一部です。これは、ユーザーデータを含むすべてのメモリブロックに対してブロック消去を実行するようドライブに指示します。SP Industrial SSDはACS-2/ACS-3仕様をサポートし、4-way interleave multi block erase機能を提供して、効果的にドライブ全体を消去します。たとえば、1TB SSD（SP010TSSD301RW0）またはpSLC 512GB SSD（SP512GISSD501RW0）は、5ピンのフィーチャーコネクタを介してトリガーでき、約10秒で全体のドライブの消去を完了できます。

1.2 ドライブへの反復書き込み

第二の消去方法は、通常のIOコマンドを使用してドライブ上の各論理ブロックアドレスを上書きすることです。ソフトウェアによる上書きの繰り返しは、多くのディスク消去の標準でありツールの中心にあります。私たちが調査したすべての標準とツールは、類似のアプローチを使用しています。つまり、1から35ビットのパターンでドライブ全体を順次上書きします。米国空軍のAFSSI-5020が良い例です。まず、ドライブをバイナリゼロで満たし、次にバイナリワン、最後に任意の文字で上書きします。次に、データを読み戻して任意の文字だけが存在することを確認します。さまざまなビットパターンは、ドライブ上の物理ビットをできるだけ多く切り替えることを目的としているため、アナログ手段によるデータの回復がより困難になります。ビットパターンはSSDにとっても重要かもしれませんが、その理由は異なります。一部のSSDはデータを保存する前に圧縮するため、データが高度に圧縮可能な場合はフラッシュに書き込むビット数が少なくなります。したがって、最大の効果を得るためには、SSDの上書き手順はランダムデータを使用する必要があります。SSD FTLの複雑性から、上書きのパスの前に使用された履歴がこの技術の効果に影響を与える可能性があります。これを考慮して、私たちはデータの最初のパスを順次またはランダムに書き込むようにSSDをテストしました。その後、20回の連続上書きを実行しました。ランダム書き込みでは、擬似ランダムな順序ですべての LBAに1回だけ書き込みました。ほとんどの場合、ドライブの以前の状態に関係なく、ディスク全体を2回上書きするだけでディスクを消去するには十分でした。 ただし、この方法でドライブ全体の消去を完了するには、多くの時間がかかります。

1.3 高電圧発生器によるドライブの電気的破壊

消磁はディスクの低レベルのフォーマットを (すべてのデータとともに) 削除し、ドライブのモーターを損傷するため、ハードドライブを破壊する迅速かつ効果的な手段です。ただし、フラッシュ メモリがデータの保存に使用するメカニズムは磁気ベースではないため、消磁器がフラッシュ セルを直接消去することは期待できません。代わりに、高電圧発生器とSSD内のコントローラを備えた特別な設計によりNANDフラッシュを物理的に破壊できます。ただし、これはSSDの通常の設計ではありません。SP Industrial SSDは、統合された産業用グレードのアクティブ PMU (電源管理ユニット) が装備されており、従来のディスクリート回路と比較して電源の信頼性が高くなります。 また、OVP、OCP、サージ除去、入出力短絡保護による完全な保護機能も備えており、従来のヒューズ設計と比較してより高いレベルの保護を提供します。 したがって、ドライブ全体のサニタイズにこの手法を実装することはお勧めしません。

1.4 暗号化の活用

SP Industrial SSDの自己暗号化ドライブ（SED）は、AES-256 暗号エンジンを搭載しており、SSDのパフォーマンスを損なわずハードウェアベースの安全なデータ暗号化を提供します。このSEDは、信頼できるペリフェラルのTCG/Opal仕様に従っています。データの暗号化は常に実行されています。ただし、暗号化キーは管理されず、TCG/Opal または ATA セキュリティ機能セットが有効になるまでデータは安全ではありません。暗号化キーを削除すると理論上、 ドライブ上のデータが回復不能になります。