NIST SP 800-88に基づくデータ消去ガイドライン ― Clear・Purge・Destroyの選び方と実務手順
2019年に発生した神奈川県庁のHDD流出事件は、記憶に新しい方も多いでしょう。廃棄を委託した業者の従業員がHDDを持ち出し、データが復元可能な状態でオークションサイトに出品された事件です。この事件を契機に、総務省はデータ消去に関するガイドラインを見直し、NIST SP 800-88に準拠した消去方法を推奨するようになりました。
「PCを初期化すればデータは消える」「ゴミ箱を空にすれば安全」と考えている方は、大きな認識違いをしています。通常の「初期化」や「フォーマット」では、データの管理情報が消えるだけで、データ本体はストレージ上に残存しています。市販のデータ復元ソフトで容易に復旧可能です。
この記事では、米国国立標準技術研究所(NIST)が発行した**NIST SP 800-88 Rev.1「媒体のサニタイズに関するガイドライン」**を基に、法人PCやサーバーのデータ消去について実務に即した方法を解説します。
NIST SP 800-88とは
NIST SP 800-88は、2006年にNIST(National Institute of Standards and Technology:米国国立標準技術研究所)が発行した記録媒体のデータ消去(サニタイゼーション)に関するガイドラインです。2014年に現行版のRev.1に改訂されました。日本語翻訳版は2021年11月にIPA(情報処理推進機構)から公開されています。
このガイドラインは米国政府・行政機関向けに策定されたものですが、データ消去の国際的な標準基準として広く参照されており、日本の総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」でも準拠が求められています。民間企業にとっても、データ消去の品質基準として活用すべき重要な文書です。
3つの消去レベル:Clear・Purge・Destroy
NIST SP 800-88 Rev.1では、データ消去の方法を3つのレベルに分類しています。それぞれ「どの程度の復元能力に対して安全か」という脅威モデルに基づいて定義されています。
Clear(クリア)
定義: 一般的に利用可能なデータ復元ソフトウェアやツールでは復旧が困難なレベルまでデータを消去する方法です。
具体的な手法: ストレージの全領域に対して、固定値(ゼロ等)で1回以上の上書きを行い、書き込み後に検証を実施します。または、ストレージがサポートしている場合はATAコマンドの「Security Erase Unit」を使用します。
想定される脅威: データ復元ソフト(市販のRecuva、R-Studio等)を使用した復元の試み。
適用場面: 社内でのPC再利用(同一組織内でのリユース)、機密度が低いデータが格納されていた媒体の消去。
注意点: SSD(フラッシュメモリベースのストレージ)の場合、上書き方式ではウェアレベリング(書き込み均等化)の仕組みにより、論理的にアクセスできない領域(リマッピングされた旧ブロック)にデータが残存する可能性があります。SSDのClear処理は、HDD(磁気ディスク)と比較してデータ残存リスクが高いことを認識してください。
Purge(パージ)
定義: 専門的な設備や特殊な技能を持つ攻撃者であっても、データの復元が困難なレベルまで消去する方法です。Clearよりも高い安全性を提供します。
具体的な手法(HDD): 磁気消去(デガウス)による消磁処理。磁気消去後のHDDは再利用不可能になります。
具体的な手法(SSD): ATAコマンドの「Enhanced Security Erase Unit」(拡張セキュアイレース)を使用します。この方法は、ウェアレベリングで再配置された領域を含む、SSD内部のすべてのフラッシュメモリセルを消去対象とします。または、暗号化消去(Cryptographic Erase)も有効です。SSDが自己暗号化機能(SED: Self-Encrypting Drive)を備えている場合、暗号化鍵を破棄することで、暗号化されたデータ全体を復号不可能にします。
想定される脅威: 専門的なデータ復元サービス業者、法的機関レベルの復元技術。
適用場面: 外部への譲渡・売却を伴うリユース、機密度が高いデータが格納されていた媒体の消去、マイナンバーなどの特に保護が必要な個人情報を含む媒体。
Destroy(デストロイ)
定義: 物理的な破壊により、媒体からのデータ復元を実質的に不可能にする方法です。
具体的な手法: ディスクの裁断(シュレッダー)、ディスクの穴あけ(穿孔)、溶解処理、焼却処理。HDDの場合は磁気消去(デガウス)+穿孔の併用も有効です。
想定される脅威: いかなる復元技術を用いても復元不可能。
適用場面: 最高機密レベルのデータが格納されていた媒体。媒体の再利用を行わない場合(廃棄のみ)。故障して読み書きができない媒体(ソフトウェアによる消去が不可能な場合)。
データの機密度に応じた消去レベルの選択
どの消去レベルを選択するかは、格納されているデータの機密度と、消去後の媒体の行き先によって判断します。
社内でのPC再利用(同一組織内)+ 一般的な業務データ → Clearで十分です。ただしSSDの場合はPurgeを推奨します。
外部への売却・譲渡・リース返却 + 業務データ全般 → Purgeを推奨します。媒体が自社の管理を離れるため、Clearでは不十分です。
個人情報、マイナンバー、顧客の機密情報を含む → Purge以上を必須とします。
最高機密データ、または故障して消去できない媒体 → Destroy(物理破壊)を選択します。
媒体の種類別:推奨消去方法
HDD(磁気ディスク)の場合
Clear: データ消去ソフトウェアによる全領域1回上書き(NIST SP 800-88準拠方式)。かつて標準とされていた米国国防総省(DoD)方式の3回上書きは、現在のHDD(高密度記録)では1回上書きで十分な消去効果が得られるため不要です。
Purge: 磁気消去装置(デガウサー)による消磁処理。消去後のHDDは再利用不可能です。
Destroy: 物理破壊(裁断、穿孔、溶解)。
SSD(フラッシュメモリ)の場合
Clear: 上書き消去は可能ですが、ウェアレベリングにより一部領域にデータが残存する可能性があります。リスクを許容できる場合(社内再利用+低機密データ)のみ使用してください。
Purge(推奨): Enhanced Security Eraseコマンド(拡張セキュアイレース)の実行。または暗号化消去(SED対応SSDの場合)。SSDの消去ではPurgeを標準とすることを推奨します。
Destroy: 物理破壊(裁断、穿孔)。なおHDD用の磁気消去装置はSSDには無効です(SSDは磁気記録ではないため)。
スマートフォン・タブレットの場合
iOS端末はApple独自の暗号化アーキテクチャにより、「設定>一般>リセット>すべてのコンテンツと設定を消去」の操作で暗号化消去(Cryptographic Erase)が実行されます。これはPurgeレベルに相当します。事前にApple Business Managerからのデバイスの関連付け解除とiCloudサインアウトを忘れずに実施してください。
Android端末は「設定>出荷時リセット」を実行します。Android 6.0以降は標準でストレージ暗号化が有効なため、出荷時リセットにより暗号化消去が行われます。ただし、暗号化が有効になっていない旧端末の場合は、データ残存リスクがあります。
消去結果の検証と証明書
検証の重要性
データ消去は「実行しただけ」では不十分です。消去が正しく完了したことを検証するプロセスが必要です。
Clear(上書き消去)の場合: 消去後に全領域を読み取り、期待される値(ゼロ等)が書き込まれていることを確認します。多くのデータ消去ソフトウェアには検証機能が内蔵されています。
Purge(セキュアイレース)の場合: コマンドの正常完了を確認します。一部のデータ消去ツールでは、セキュアイレース後にサンプリング読み取りによる検証を実施します。
Destroy(物理破壊)の場合: 破壊後の媒体の状態を目視確認し、写真記録を残します。
媒体廃棄証明書の作成
NIST SP 800-88 Rev.1では、消去完了後に「媒体廃棄証明書(Certificate of Sanitization)」を作成することが推奨されています。証明書に含めるべき項目は以下の通りです。
媒体の識別情報(メーカー、モデル、シリアル番号)、消去方法(Clear / Purge / Destroy および具体的な手法)、使用したツールまたは装置の名称とバージョン、消去実施日時、消去実施者の氏名と所属、検証方法と結果、消去後の媒体の処分先(再利用 / 廃棄 / 返却 等)です。
証明書は、個人情報保護法のガイドラインでも「個人データが記録された機器、電子媒体等を廃棄した際は、削除または廃棄した記録を保存すること」が重要とされており、法的な証跡としても機能します。
外部業者への委託時の注意点
データ消去を外部の廃棄業者やリサイクル業者に委託する場合、以下の点を必ず確認してください。
自社での消去を優先する: 可能であれば、自社内でデータ消去を完了させた上で、消去済みの媒体を業者に引き渡すのが最も安全です。神奈川県庁の事件のように、消去を業者に一任した結果、従業員による持ち出しが発生するリスクがあります。
業者の信頼性を確認する: ADEC(データ適正消去実行証明協議会)の認証を取得している業者、またはISMS(ISO 27001)認証を取得している業者を選定してください。
消去作業への立ち会い: 機密度の高いデータを含む媒体の消去では、自社担当者が作業に立ち会うことを推奨します。特にDestroy(物理破壊)の場合は、破壊の現場を確認してください。
消去証明書の取得: 消去完了後に、上記の項目を含む消去証明書を必ず取得してください。「消去しました」という口頭の報告だけでは、万一の情報漏洩時に適切な管理を行っていたことを証明できません。
契約書への明記: 委託契約書に、消去方法(NIST SP 800-88準拠のPurgeまたはDestroy)、消去証明書の発行義務、立ち会い権の確保を明記してください。
中小企業向け:データ消去の実務フロー
ステップ1:IT資産台帳で廃棄対象を特定
廃棄・リース返却・リプレース対象のPC・サーバーをIT資産台帳から抽出し、格納されているデータの機密度を分類します。
ステップ2:消去レベルを決定
データの機密度と消去後の媒体の行き先に基づいて、Clear / Purge / Destroyを決定します。迷った場合はPurgeを選択してください。Clearより安全で、Destroyのように媒体を使い捨てにする必要がありません。
ステップ3:消去を実行
自社内で実行する場合は、NIST SP 800-88対応のデータ消去ソフトウェアを使用します。消去ソフトの例として、TRUSTWIPE(ワンビ)、DiskDeleter、DESTROY(ブランコ・ジャパン)などがあります。外部委託する場合は、上記の「外部業者への委託時の注意点」に従ってください。
ステップ4:検証と証明書の作成・保管
消去結果を検証し、消去証明書を作成します。証明書はIT資産台帳と紐付けて保管してください。
ステップ5:媒体の処分
消去済みの媒体を、リユース(社内再利用 / 外部売却)または廃棄します。廃棄の場合は、廃棄業者から廃棄証明書を別途取得してください。
よくある誤解と正しい理解
「Windowsの初期化で十分では?」 → Windowsの「このPCをリセット」では、OSが管理するファイル領域のみが対象で、隠し領域やリマッピング領域にデータが残存する可能性があります。NIST基準ではClearレベルにも満たない場合があります。
「HDDは3回上書きが必要では?」 → これは旧DoD規格(DoD 5220.22-M)の名残です。現在のHDDは記録密度が高いため、NIST SP 800-88 Rev.1では1回の上書きで十分とされています。3回上書きは時間がかかるだけで、セキュリティ上のメリットはありません。
「SSDは上書き消去で大丈夫では?」 → SSDはウェアレベリングにより、上書き消去ではすべてのデータを確実に消去できません。SSDにはPurge(セキュアイレースまたは暗号化消去)を使用してください。
「物理破壊すれば証明書は不要では?」 → 物理破壊を行っても、「いつ・誰が・どの媒体を・どのように破壊したか」の記録は必要です。証明書なしでは、監査時に適切な管理を証明できません。
情シス365では、NIST SP 800-88に準拠したデータ消去フローの策定、消去証明書テンプレートの作成、廃棄業者の選定アドバイスまで支援しています。「退職者PCのデータ消去が属人化していて不安」という方は、無料相談からお気軽にどうぞ。