米国 NIST SP 800-88 Rev. 2 (初期公開ドラフト) 媒体のサニタイズに関するガイドライン (2025.07.21)
こんにちは、丸山満彦です。
NISTがSP 800-88 Rev. 2 (初期公開ドラフト) 媒体のサニタイズに関するガイドラインを公開し、意見募集をしていますね...
個人情報保護法が施行された当時、データのサニタイズについて、いろいろと議論があったようにも思いますが、改訂に向けての意見募集ということで、参考になることも多いかもですね...
● NIST - ITL
・2025.07.21 NIST SP 800-88 Rev. 2 (Initial Public Draft) Guidelines for Media Sanitization
| NIST SP 800-88 Rev. 2 (Initial Public Draft) Guidelines for Media Sanitization | NIST SP 800-88 Rev. 2 (初期公開ドラフト) 媒体のサニタイズに関するガイドライン |
| Announcement | 発表 |
| Sanitization refers to a process that renders access to target data on the media infeasible for a given level of effort. This guide outlines the important elements of a sanitization program to assist organizations and system owners in making practical sanitization decisions based on the sensitivity of their information. | サニタイズとは、所定の努力では媒体上の対象データへのアクセスを不可能にするプロセスを指す。このガイドは、組織やシステム所有者が情報の機密性に応じて実用的なサニタイズの決定を行う際に役立つ、サニタイズプログラムの重要な要素の概要を説明している。 |
| Important changes in this revision of SP 800-88 include: | SP 800-88 のこの改訂における重要な変更点は次のとおりである。 |
| Focus is shifted to establishing an agency or enterprise media sanitization program | 機関またはエンタープライズ媒体のサニタイズプログラムの確立に重点が移された。 |
| Sanitization technique descriptions are replaced with recommendations to comply with the latest relevant standards | サニタイズ手法の説明は、最新の関連標準に準拠するための推奨事項に置き換えられた。 |
| Security assurance is improved through sanitization validation, which determines the effectiveness of sanitization from a confidentiality and sensitivity perspective | 機密性および機微性の観点からサニタイズの有効性を判断するためのサニタイズの妥当性確認により、セキュリティの保証が強化された。 |
| The concept of logical sanitization is included to consider the presence of storage media in modern computing environments (e.g., the cloud) | 現代のコンピューティング環境(クラウドなど)におけるストレージ媒体の存在を考慮するために、論理的サニタイゼーションの概念が追加された。 |
| References section is updated to include the latest versions of documents and remove obsolete ones | 参考文献セクションが更新され、最新の文書が追加され、廃止された文書が削除された。 |
| The public comment period is open through August 29, 2025. | パブリックコメントの受付期間は 2025 年 8 月 29 日までである。 |
| Abstract | 要約 |
| Media sanitization refers to a process that renders access to target data on the media infeasible for a given level of effort. This guide will assist organizations and system owners in setting up a media sanitization program with proper and applicable techniques and controls for sanitization and disposal based on the sensitivity of their information. | 媒体のサニタイズとは、所定の努力では媒体上の対象データへのアクセスを不可能にするプロセスを指す。このガイドは、組織やシステム所有者が、情報の機密性に応じて、サニタイズおよび廃棄のための適切かつ適用可能な手法と管理手段を備えた媒体のサニタイズプログラムを設定するのに役立つ。 |
・[PDF] NIST.SP.800-88r2.ipd
目次...
| Executive Summary | エグゼクティブサマリー |
| 1. Introduction | 1. 序論 |
| 1.1. Purpose and Scope | 1.1. 目的および適用範囲 |
| 1.2. Audience | 1.2. 対象読者 |
| 1.3. Assumptions | 1.3. 前提 |
| 1.4. Relationship With Other NIST Documents | 1.4. 他の NIST 文書との関係 |
| 1.5. Document Structure | 1.5. 文書の構成 |
| 2. Background | 2. 背景 |
| 2.1. Need for Proper Media Sanitization and Information Disposition | 2.1. 適切な媒体のサニタイズおよび情報の処分に関する必要性 |
| 2.2. Types of Media | 2.2. 媒体の種類 |
| 2.3. Target of Sanitization | 2.3. サニタイズの対象 |
| 2.4. Factors Influencing Sanitization and Disposal Decisions | 2.4. サニタイズと廃棄の決定に影響を与える要因 |
| 3. Summary of Sanitization Methods | 3. サニタイズ方法の概要 |
| 3.1. Sanitization Methods | 3.1. サニタイズ方法 |
| 3.1.1. Clear | 3.1.1. クリア |
| 3.1.2. Purge | 3.1.2. パージ |
| 3.1.3. Destroy | 3.1.3. 破壊 |
| 3.2. Use of Cryptography and Cryptographic Erase | 3.2. 暗号化と暗号化消去の活用 |
| 3.2.1. When Not To Use CE To Purge Media | 3.2.1. CE を使用して媒体を消去しない場合 |
| 3.2.2. When to Consider Using CE | 3.2.2. CE の使用を検討すべき場合 |
| 3.2.3. Additional CE Considerations | 3.2.3. CE に関する追加の考慮事項 |
| 4. Media Sanitization Program | 4. 媒体のサニタイズプログラム |
| 4.1. Storage Sanitization Policy | 4.1. ストレージのサニタイズポリシー |
| 4.2. Sanitization Scope | 4.2. サニタイズの適用範囲 |
| 4.3. Storage Sanitization and Disposition Decision Framework | 4.3. ストレージのサニタイズおよび処分に関する決定の枠組み |
| 4.3.1. Information Decisions in the System Life Cycle | 4.3.1. システムライフサイクルにおける情報に関する決定 |
| 4.3.2. Determination of Security Categorization | 4.3.2. セキュリティ分類の決定 |
| 4.3.3. Reuse of Media | 4.3.3. 媒体の再利用 |
| 4.3.4. Control of Media | 4.3.4. 媒体の管理 |
| 4.3.5. Data Protection Level | 4.3.5. データ保護レベル |
| 4.3.6. Sanitization and Disposal Decision | 4.3.6. サニタイズおよび廃棄の決定 |
| 4.4. Performing Sanitization | 4.4. サニタイズの実施 |
| 4.5. Sanitization Assurance | 4.5. サニタイズの保証 |
| 4.5.1. Sanitization Verification | 4.5.1. サニタイズの検証 |
| 4.5.2. Sanitization Validation | 4.5.2. サニタイズの妥当性確認 |
| 4.6. Documentation | 4.6. 文書化 |
| 4.7. Roles and Responsibilities | 4.7. 役割と責任 |
| 4.7.1. Program Managers/Agency Heads | 4.7.1. プログラムマネージャー/機関長 |
| 4.7.2. Chief Information Officer (CIO) | 4.7.2. 最高情報責任者 (CIO) |
| 4.7.3. Information System Owner | 4.7.3. 情報システム所有者 |
| 4.7.4. Information Owner/Steward | 4.7.4. 情報所有者/管理者 |
| 4.7.5. Senior Agency Information Security Officer (SAISO) | 4.7.5. 上級機関情報セキュリティ責任者 (SAISO) |
| 4.7.6. System Security Manager/Officer | 4.7.6. システムセキュリティマネージャー/オフィサー |
| 4.7.7. Property Management Officer | 4.7.7. 資産管理オフィサー |
| 4.7.8. Records Management Officer | 4.7.8. 記録管理オフィサー |
| 4.7.9. Privacy Officer | 4.7.9. プライバシーオフィサー |
| 4.7.10. Users | 4.7.10. ユーザー |
| References | 参考文献 |
| Appendix A. Glossary | 附属書 A. 用語集 |
| Appendix B. Cryptographic Erase ISM Guidelines | 附属書 B. 暗号化消去 ISM ガイドライン |
| B.1. Cryptographic Erase Considerations | B.1. 暗号化消去に関する考慮事項 |
| B.2. Example Statement of CE Features | B.2. CE 機能の例 |
| Appendix C. Device-Specific Characteristics of Interest | 附属書 C. 注目すべきデバイス固有の特性 |
| Appendix D. Sample "Certificate of Sanitization" Form | 附属書 D. 「サニタイズ証明書」のサンプルフォーム |
| Appendix E. Change Log | 附属書 E. 変更履歴 |
エグゼクティブサマリーと序論...
| Executive Summary | エグゼクティブサマリー |
| The modern storage environment is rapidly evolving. Data may pass through multiple organizations, systems, and storage media in its lifetime. The pervasive nature of data propagation is only increasing as the internet and data storage systems move toward a distributed cloud-based architecture. As a result, more parties are responsible for effectively sanitizing media (i.e., eliminating sensitive data), and the potential is substantial for sensitive data to be collected and retained on the media. This responsibility lies with organizations that are both originators (i.e., sources) and final resting places (e.g., archives) of sensitive data, as well as intermediaries who transiently store or process the information along the way. Efficient and effective information management from origination through disposition is the responsibility of all those who have handled the data. | 現代のストレージ環境は急速に進化している。データは、そのライフサイクルにおいて、複数の組織、システム、およびストレージメディアを通過する場合がある。インターネットおよびデータストレージシステムが分散型クラウドベースのアーキテクチャに移行するにつれて、データの拡散はますます広範化している。その結果、メディアを効果的にサニタイズ(機密データを削除)する責任を担う当事者が増え、機密データがメディアに収集され、保持される可能性も非常に高くなっている。この責任は、機密データの作成者(ソース)および最終的な保管場所(アーカイブなど)である組織、ならびにその過程で一時的に情報を保存または処理する仲介者にある。情報の発生から廃棄に至るまで、効率的かつ効果的な情報管理は、その情報を取り扱ったすべての者の責任である。 |
| Sophisticated access controls and encryption help reduce the likelihood that an attacker can gain direct access to sensitive data. As a result, parties that attempt to obtain sensitive data may focus their efforts on alternative access means, such as retrieving residual data on media that has left an organization without being sufficiently sanitized. Consequently, effective sanitization techniques and the tracking of storage media are critical to ensuring that sensitive data is protected against unauthorized disclosure, whether that information is on paper, optical, electronic or magnetic media, or complex storage systems (e.g., cloud). | 高度なアクセス管理および暗号化により、攻撃者が機密データに直接アクセスする可能性を低減することができる。その結果、機密データを取得しようとする者は、十分にサニタイズされていない組織から持ち出されたメディアに残っているデータを取得するなど、別のアクセス手段に努力を集中する可能性がある。したがって、機密データが紙、光、電子、磁気メディア、または複雑なストレージシステム(クラウドなど)のいずれで保存されているかに関わらず、その情報を不正開示から確実に保護するためには、効果的なサニタイズ手法とストレージメディアの追跡が不可欠だ。 |
| An organization may choose to dispose of media by charitable donation, internal or external transfer, or recycling if that media is obsolete or no longer usable. Even internal transfers require increased scrutiny in compliance with legal and regulatory obligations for sensitive data, such as personally identifiable information (PII). Regardless of the media’s final intended destination, organizations should use approved sanitization methods and techniques to ensure that no re-constructible residual representation of the sensitive data is stored on media that has left the control of the organization. | 組織は、メディアが陳腐化したり使用できなくなった場合、慈善団体への寄付、社内外への譲渡、またはリサイクルによってメディアを処分することを選択することができる。社内の譲渡であっても、個人を特定できる情報(PII)などの機密データに関する法的および規制上の義務を遵守するため、より厳格な審査が必要となる。メディアの最終的な仕向先にかかわらず、組織は、承認されたサニタイズ手法および技術を使用して、組織の管理下から離れたメディアに、機密データの再構築可能な残余表現が保存されないようにすべきだ。 |
| Sanitization refers to a process that renders access to target data on the media infeasible for a given level of effort. This guide outlines the important elements of a sanitization program to assist organizations and system owners in making practical sanitization decisions based on the sensitivity of their information. While this document does not and cannot specifically address all known types of media, the described sanitization decision process can be applied universally. | サニタイズとは、一定の努力ではメディア上の対象データへのアクセスを不可能にするプロセスを指す。このガイドでは、組織やシステム所有者が情報の機密性に応じて実用的なサニタイズに関する決定を行う際に役立つ、サニタイズプログラムの重要な要素について概要を説明する。この文書では、既知のすべての種類のメディアについて具体的に取り上げることは不可能だが、ここで説明するサニタイズに関する決定プロセスは、あらゆるメディアに普遍的に適用することができる。 |
| 1. Introduction | 1. 序論 |
| 1.1. Purpose and Scope | 1.1. 目的および適用範囲 |
| The information security concern regarding disposal and sanitization revolves around the recorded data rather than the media itself. The media used on an information system should be assumed to contain information commensurate with the security categorization of the system’s confidentiality. If not handled properly, the release of such media could lead to the unauthorized disclosure of information. Categorizing an information technology (IT) system in accordance with Federal Information Processing Standards (FIPS) Publication 199, Standards for Security Categorization of Federal Information and Information Systems [2], is the critical first step in understanding and managing system information and media. | 廃棄およびサニタイズに関する情報セキュリティ上の懸念は、メディア自体ではなく、記録されたデータに関するものである。情報システムで使用されるメディアには、そのシステムの機密性分類に見合った情報が含まれていると想定すべきである。このようなメディアを適切に処理しないと、そのメディアの流出により、情報が不正に開示されるおそれがある。連邦情報処理規格(FIPS)出版物 199「連邦情報および情報システムのセキュリティ分類に関する標準」[2] に従って情報技術(IT)システムを分類することは、システム情報およびメディアを理解し、管理するための重要な第一歩である。 |
| Based on the results of categorization, the system owner should refer to NIST Special Publication (SP) 800-53r5 (Revision 5), Security and Privacy Controls for Information Systems and Organizations [6], which states: | 分類の結果に基づき、システム所有者は、NIST 特別刊行物 (SP) 800-53r5 (改訂 5)、情報システムおよび組織のためのセキュリティおよびプライバシー管理 [6] を参照すべきだ。 |
| …the organization sanitizes information system digital media using approved equipment, techniques, and procedures. The organization tracks, documents, and verifies media sanitization and destruction actions and periodically tests sanitization equipment/procedures to ensure correct performance. The organization sanitizes or destroys information system digital media before its disposal or release for reuse outside the organization, to prevent unauthorized individuals from gaining access to and using the data contained on the media. | …組織は、承認された機器、手法、および手順を使用して、情報システムのデジタルメディアをサニタイズする。組織は、メディアのサニタイズおよび破棄の措置を追跡、文書化し、検証するとともに、サニタイズ機器/手順を定期的にテストして、その性能が適切であることを確認する。組織は、情報システムのデジタルメディアを廃棄または組織外での再利用のために放出する前に、そのメディアに保存されているデータに不正な者がアクセスして使用することを防止するため、そのメディアをサニタイズまたは破棄する。 |
| This document will assist organizations in implementing a media sanitization program for media that require disposal or reuse or that will be leaving the effective control of an organization. Proper and applicable techniques and controls for sanitization and disposal decisions consider the security categorization of the associated system’s confidentiality. Organizations should develop and use a media sanitization program that is aligned with these guidelines to make effective, risk-based decisions on the ultimate sanitization and/or disposition of media and data throughout the system life cycle. | この文書は、廃棄または再利用が必要なメディア、あるいは組織の有効な管理下から離れるメディアについて、メディアのサニタイズプログラムの実施において組織を支援する。サニタイズおよび廃棄の決定に関する適切かつ適用可能な手法および管理は、関連するシステムの機密性のセキュリティ分類を考慮したものとする。組織は、システムライフサイクルを通じて、メディアおよびデータの最終的なサニタイズおよび/または処分について、リスクに基づいた効果的な決定を行うため、本ガイドラインに沿ったメディアのサニタイズプログラムを開発し、使用すべきだ。 |
| Before applying any sanitization efforts to media, information system owners are strongly advised to consult with designated officials with privacy responsibilities (e.g., privacy officers), Freedom of Information Act (FOIA) officers, and/or local records retention offices to ensure compliance with record retention regulations and requirements in the Federal Records Act. Organizational management should also be consulted to ensure that historical information is 186 captured and maintained as required by business needs. Controls may need to be adjusted as the system and its environment of operation change. | メディアにサニタイズ作業を行う前に、情報システムの所有者は、プライバシーに関する責任を有する指定担当者(プライバシー担当者など)、情報公開法(FOIA)担当者、および/または地域の記録保存担当者に相談し、連邦記録法における記録保存に関する規制および要件を確実に遵守するよう強くお勧めする。また、業務上の必要性に応じて、履歴情報が確実に収集、維持されるように、組織の経営陣にも相談すべきだ。システムおよびその運用環境の変化に応じて、管理措置を調整する必要がある場合もある。 |
| 1.2. Audience | 1.2. 対象読者 |
| Protecting the confidentiality of information should be a concern for everyone, from federal agencies and businesses to home users. Interconnections and information exchange are critical to the delivery of government services, and these guidelines can inform decisions regarding sanitization and disposal processes. | 情報の機密性の保護は、連邦政府機関や企業からホームユーザーに至るまで、すべての人にとって関心事であるべきだ。相互接続と情報交換は、政府サービスの提供に不可欠であり、このガイドラインは、サニタイズおよび廃棄プロセスに関する意思決定の参考となる。 |
| 1.3. Assumptions | 1.3. 前提 |
| This document presumes that organizations can correctly identify appropriate information categories, confidentiality impact levels, and information locations. Ideally, this activity is accomplished in the earliest phase of the system life cycle [9]. This critical initial step is outside of the scope of this document, but without this identification, the organization will likely lose control of some media containing sensitive data. | この文書は、組織が適切な情報カテゴリー、機密性影響レベル、および情報の場所を正しく識別できることを前提としている。理想的には、この活動は、システムライフサイクルの最も早い段階で実施されるべきである [9]。この重要な最初のステップは、この文書の範囲外ですが、この識別を行わないと、組織は機密データを含む一部のメディアの管理を失う可能性が高くなります。 |
| This guide does not claim to cover all possible media that an organization could use to store data, nor does it attempt to forecast future media that may be developed. Organizations and users are expected to make sanitization and disposal decisions based on the security categorization of the data contained in the media. | このガイドは、組織がデータの保存に使用する可能性のあるすべてのメディアを網羅しているわけではなく、将来開発される可能性のあるメディアを予測するものでもありません。組織およびユーザーは、メディアに含まれるデータのセキュリティ分類に基づいて、サニタイズおよび廃棄の決定を行うことが期待されている。 |
| 1.4. Relationship With Other NIST Documents | 1.4. 他の NIST 文書との関係 |
| The following NIST documents, including FIPS and Special Publications, are directly related to this document: | FIPS および特別刊行物を含む、以下の NIST 文書は、この文書と直接関連している。 |
| • FIPS 199 [2] and SP 800-60r2, Guide for Mapping Types of Information and Information Systems to Security Categories [8], provide guidance for establishing the security categorization for a system’s confidentiality. This categorization will impact the level of assurance that an organization should require when making sanitization decisions. | • FIPS 199 [2] および SP 800-60r2、「情報および情報システムのセキュリティカテゴリへのマッピングガイド [8]」は、システムの機密性に関するセキュリティ分類を確立するためのガイダンスを提供している。この分類は、組織がサニタイズに関する決定を行う際に要求すべき保証のレベルに影響を与える。 |
| • FIPS 200, Minimum Security Requirements for Federal Information and Information Systems [3], establishes baseline security requirements for organizations to have a media sanitization program. | • FIPS 200、連邦情報および情報システムの最低セキュリティ要件 [3] は、組織がメディアのサニタイズプログラムを導入するための基本的なセキュリティ要件を規定している。 |
| • FIPS 140-3, Security Requirements for Cryptographic Modules [1], establishes a standard for cryptographic modules used by the U.S. Government. | • FIPS 140-3、暗号モジュールのセキュリティ要件 [1] は、米国政府で使用される暗号モジュールの標準を規定している。 |
| • SP 800-53r5 [6] provides minimum recommended security controls, including sanitization, for federal systems based on their overall system security categorization. | • SP 800-53r5 [6] は、連邦システムの全体的なシステムセキュリティ分類に基づいて、サニタイズを含む、推奨される最低限のセキュリティ管理措置を規定している。 |
| • SP 800-53Ar1, Guide for Assessing the Security Controls in Federal Information Systems and Organizations: Building Effective Security Assessment Plans [7], provides guidelines for assessing security controls, including sanitization, for federal systems based on their overall system security categorization. | • SP 800-53Ar1、連邦情報システムおよび組織におけるセキュリティ管理の評価ガイド:効果的なセキュリティアセスメント計画の策定 [7] は、連邦システムの全体的なシステムセキュリティ分類に基づいて、サニタイズを含むセキュリティ管理の評価に関するガイドラインを規定している。 |
| • SP 800-111, Guide to Storage Encryption Technologies for End User Devices [11], provides guidelines for selecting and using storage encryption technologies. | • SP 800-111、エンドユーザーデバイス用ストレージ暗号化技術ガイド [11] は、ストレージ暗号化技術の選択および使用に関するガイドラインを規定している。 |
| • SP 800-122, Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) [12], provides guidelines for protecting the confidentiality of PII in information systems. | • SP 800-122、個人を特定できる情報(PII)の機密性を保護するためのガイド [12] は、情報システムにおける PII の機密性を保護するためのガイドラインを規定している。 |
| 1.5. Document Structure | 1.5. 文書の構成 |
| The guide is divided into the following sections and appendices: | このガイドは、以下のセクションおよび附属書で構成されている。 |
| • Section 1 describes this document’s authority, purpose, scope, audience, assumptions, relationship to other NIST documents, and structure. | • セクション1 では、この文書の権限、目的、適用範囲、対象読者、前提条件、他の NIST 文書との関係、および構成について説明する。 |
| • Section 2 presents an overview of the need for sanitization and the basic types of information, sanitization, and media. | • セクション2 では、サニタイズの必要性、および情報の基本的な種類、サニタイズ、メディアの概要を説明する。 |
| • Section 3 provides an overview of sanitization methods. | • セクション3 では、サニタイズ手法の概要を説明する。 |
| • Section 4 summarizes a general media sanitization program. | • セクション4 では、一般的なメディアサニタイズプログラムの概要を説明する。 |
| • The References section provides a detailed list of citations. | • 「参考文献」セクションには、詳細な引用リストが掲載されている。 |
| • Appendix A defines important terms used in this document. | • 附属書 A では、この文書で使用される重要な用語を定義している。 |
| • Appendix B describes considerations for selecting a storage device that implements cryptographic erase. | • 附属書 B では、暗号化消去を実装するストレージデバイスを選択する際の考慮事項について説明している。 |
| • Appendix C identifies a set of device-specific characteristics of interest that users should request from storage device vendors. | • 附属書 C では、ユーザーがストレージデバイスベンダーに要求すべき、デバイス固有の重要な特性のセットを識別している。 |
| • Appendix D provides a sample Certificate of Sanitization form for documenting an organization’s sanitization activities. | • 附属書 D では、組織のサニタイズ活動を文書化するための、サニタイズ証明書フォームのサンプルを提示している。 |
サニタイズ方法...
| 3.1. Sanitization Methods | 3.1. サニタイズ方法 |
| Several different methods can be used to sanitize media, including clear (see Sec. 3.1.1), purge (see Sec. 3.1.2), and destroy (see Sec. 3.1.3). One or more sanitization techniques may be available for each method. | メディアをサニタイズするには、クリア(3.1.1 節を参照)、パージ(3.1.2 節を参照)、および破壊(3.1.3 節を参照)など、いくつかの異なる方法を使用できる。各方法には、1 つ以上のサニタイズ手法が利用可能である場合がある。 |
| ISM sanitization techniques take one of the following forms: | ISM のサニタイズ手法は、以下のいずれかの形式をとる。 |
| • Logical techniques. Software or other tools are used over an interface to replace data in a systematic manner, issue specific commands to cause data to be eliminated, or eliminate access to the data. The confidentiality protection can vary significantly, depending on the specific technique. Logical sanitization leaves the ISM in a usable state. | • 論理的手法。ソフトウェアまたはその他のツールをインターフェースを介して使用して、体系的な方法でデータを置き換え、特定のコマンドを発行してデータを消去、またはデータへのアクセスを排除する。機密性の保護は、具体的な手法によって大きく異なる。論理的サニタイズでは、ISM は使用可能な状態のまま残る。 |
| • Physical techniques. External physical measures are applied to eliminate data or the ISM. With few exceptions, physical techniques typically involve some form of destruction. | • 物理的手法。外部からの物理的な手段を適用して、データまたは ISM を消去する。ごく一部の例外を除き、物理的手法には通常、何らかの形の破壊が伴う。 |
| Technology-specific sanitization techniques are out of scope for this document. | 技術固有のサニタイズ手法については、この文書の対象外とする。 |
| 3.1.1. Clear | 3.1.1. クリア |
| Clear is a method of sanitization that applies logical techniques to sanitize data in all useraddressable storage locations for protection against simple, non-invasive data recovery techniques using the same interface that is available to the user (e.g., host interface). The clear sanitization method is not appropriate for hard copy under any conditions but may be appropriate for ISM. | クリアは、論理的手法を適用して、ユーザーがアクセス可能なすべてのストレージの場所にあるデータをサニタイズし、ユーザーが利用できる同じインターフェース(ホストインターフェースなど)を使用した、単純で非侵襲的なデータ復旧手法からデータを保護するサニタイズ手法だ。クリアサニタイズ手法は、いかなる状況においてもハードコピーには適していないが、ISM には適している場合がある。 |
| Clear is typically applied through the standard read and write commands to the ISM, such as by rewriting with a new value or using a menu option to reset the device to the factory state if rewriting is not supported. Clear sanitization operations typically have no impact on the usability of the ISM. | クリアは通常、ISM に対する標準的な読み取りおよび書き込みコマンドによって適用される。例えば、新しい値で書き換える、または書き換えがサポートされていない場合はメニューオプションを使用してデバイスを工場出荷時の状態にリセットする、などである。クリアサニタイズ操作は通常、ISM の使用性に影響を与えない。 |
| One approach to clear is to use software or hardware products to overwrite user-addressable storage space on the ISM with non-sensitive data using the standard read and write commands for the device. This process may include overwriting both the logical storage location of a file (e.g., file allocation table) and all user-addressable locations. The security goal of the overwriting process is to replace target data with non-sensitive data. Overwriting typically hinders the recovery of data even if state-of-the-art laboratory techniques are applied to attempt to retrieve the data. | クリアの一つのアプローチは、デバイス用の標準の読み取りおよび書き込みコマンドを使用して、ISM 上のユーザーアドレス指定可能な記憶空間を、機密性のないデータで上書きするソフトウェアまたはハードウェア製品を使用することだ。このプロセスには、ファイルの論理記憶位置(ファイル割り当てテーブルなど)と、すべてのユーザーアドレス指定可能な位置の両方の上書きが含まれる場合がある。上書きプロセスのセキュリティ目標は、対象データを機密性のないデータに置き換えることだ。上書きは、最先端のラボ技術を使用してデータを回復しようとしても、データの回復を妨げる傾向がある。 |
| In the past, hard drives were often erased using multiple overwrite passes (e.g., based on DoD 5220.22-M [21]) with specific binary patterns (e.g., a pattern of all zeros). The number of passes ranged from a single pass to as high as 39. The binary pattern could change for each pass, and there could be verification after some or all of the overwrite passes. Such practices should be avoided as very little confidentiality protection is achieved. Instead, a more secure sanitization method in the form of purge (see Sec. 3.1.2) or destroy (see Sec. 3.1.3) should be used. | 過去には、ハードドライブは、特定のバイナリパターン(例:すべてゼロのパターン)を使用した複数回の上書きパス(例:DoD 5220.22-M [21] に基づく)で消去されることが多かった。上書きの回数は 1 回から 39 回までと幅があった。バイナリパターンは上書きの回数ごとに変更でき、上書きの回数の一部またはすべて終了後に検証を行うこともできた。このような方法は、機密性の保護がほとんど達成されないため、避けるべきだ。代わりに、パージ(3.1.2 節を参照)または破壊(3.1.3 節を参照)という、より安全なサニタイズ手法を使用すべきだ。 |
| Overwriting cannot be used for damaged or non-rewriteable ISM and may not address all areas of the device where sensitive data may be retained. The ISM’s type and size may also influence whether overwriting is a suitable sanitization method. For example, flash memory-based storage devices may contain spare cells and perform wear levelling, making it infeasible for a user to sanitize all previous data using this approach because the device may not support directly addressing all areas in which sensitive data has been stored using the native read and write interface. | 上書きは、損傷したまたは再書き込み不可のISMには使用できず、デバイス内の機密データが保持される可能性があるすべての領域に対応できない場合がある。ISM の種類やサイズも、上書きが適切なサニタイズ方法であるかどうかに影響する。たとえば、フラッシュメモリベースのストレージデバイスには予備セルが含まれており、ウェアレベリングが実行される場合がある。この場合、デバイスは、ネイティブの読み取りおよび書き込みインターフェースを使用して、機密データが保存されているすべての領域を直接アドレス指定できないため、このアプローチを使用して以前のデータをすべてサニタイズすることは不可能だ。 |
| Users who have become accustomed to relying on overwrite techniques on magnetic ISM and who have continued to apply these techniques as ISM types evolved (e.g., to flash memorybased devices) may be exposing their data to increased risk of unintentional disclosure. Although the host interface may be the same or very similar across devices with varying underlying ISM types, sanitization techniques must be carefully matched to the ISM. | 磁気 ISM の上書き手法に慣れているユーザーで、ISM の種類が進化しても(フラッシュメモリベースのデバイスなど)この手法を使い続けているユーザーは、意図しない開示のリスクにデータをさらしている可能性がある。ホストインターフェースは、基盤となる ISM の種類が異なるデバイス間で同じまたは非常に類似している場合があるが、サニタイズ手法は ISM に慎重に合わせる必要がある。 |
| Alternatively, the ISM may support dedicated sanitize commands that address all storage areas more effectively. The use of such commands results in a trade-off because they require trust and assurance from the vendor that the commands have been implemented as expected. | あるいは、ISM が、すべての記憶領域をより効果的に処理する専用のサニタイズコマンドをサポートしている場合もある。このようなコマンドを使用すると、コマンドが期待どおりに実装されていることをベンダーが信頼および保証する必要があるため、トレードオフが生じる。 |
| The clear operation may vary contextually for ISM other than dedicated storage devices, where the device (e.g., a basic cell phone, a piece of office equipment) only provides the ability to return the device to its factory state (e.g., deleting the file pointers) and does not directly support the ability to rewrite or apply ISM-specific techniques to the non-volatile storage contents. If rewriting is not supported, manufacturer resets and procedures that do not include rewriting may be the only option to clear the device and associated ISM. These still meet the definition for clear as long as the device interface available to the user does not facilitate retrieval of the cleared data. | クリア操作は、専用のストレージデバイス以外の ISM では、デバイス(基本的な携帯電話、事務機器など)がデバイスを工場出荷時の状態に戻す機能(ファイルポインタの削除など)しか提供せず、不揮発性ストレージの内容に ISM 特定の手法を書き換えたり適用したりする機能を直接サポートしていない場合、状況に応じて異なる場合がある。書き換えがサポートされていない場合、デバイスおよび関連する ISM を消去する唯一の選択肢は、製造事業者によるリセットおよび書き換えを含まない手順となる場合がある。これらは、ユーザーが利用可能なデバイス・インターフェースが、消去されたデータの取得を容易にしていない限り、消去の定義を満たしている。 |
| 3.1.2. Purge | 3.1.2. パージ |
| Purge applies physical or logical techniques that make the recovery of target data infeasible using state-of-the-art laboratory techniques but preserves the ISM in a potentially reusable state. The purge sanitization method is not appropriate for hard copy under any conditions but may be appropriate for ISM. | パージは、最先端の実験室技術では対象データの復元を不可能にする物理的または論理的手法を採用するが、ISM は再利用可能な状態で保存されます。消去によるサニタイズ方法は、いかなる状況においてもハードコピーには適していないが、ISM には適している場合がある。 |
| Logical purging techniques can vary by ISM and include overwrite, block erase, and cryptographic erase (see Sec. 3.2) through the use of dedicated, standardized device sanitize commands that apply ISM-specific techniques to bypass the abstraction inherent in typical read and write commands. Careful selection of the purge technique increases the likelihood of preserving the storage device in a usable state. | 論理的パージ手法は ISM によって異なり、ISM 専用の標準化されたデバイスサニタイズコマンドを使用して、一般的な読み取りおよび書き込みコマンドに固有の抽象化をバイパスする ISM 特定の手法(3.2 節を参照)による上書き、ブロック消去、暗号化消去などがある。パージ手法を慎重に選択することで、ストレージデバイスを使用可能な状態で保存できる可能性が高まる。 |
| Physical purging techniques traditionally included degaussing, which has become more complicated as magnetic ISM evolves, and some emerging variations of magnetic recording technologies incorporate ISM with higher coercivity (i.e., magnetic force) [19]. As a result, existing degaussers [20] may not have sufficient force to effectively degauss such ISMs. Additionally, degaussing may only damage some types of ISM, rendering them inoperable, but fail to sanitize the target data. Other physical purging techniques may also exist. | 物理的パージ技術には伝統的に消磁処理が含まれていたが、磁気ISMの進化に伴い複雑化しており、一部の磁気記録技術の新たなバリエーションでは、より高い coercivity(磁気力)を有するISMが組み込まれている[19]。その結果、既存の消磁装置 [20] では、このような ISM を効果的に消磁するのに十分な力がない可能性がある。さらに、消磁は、一部のタイプの ISM を損傷して動作不能にするだけで、対象データのサニタイズには失敗する場合もある。その他の物理的な消去手法も存在する可能性がある。 |
| Degaussing renders a legacy magnetic device purged when the strength of the degausser is carefully matched to the ISM coercivity. Coercivity may be difficult to determine based only on information provided on the label. Therefore, refer to the device manufacturer for coercivity details. Degaussing should never be solely relied upon for flash memory-based storage devices or magnetic storage devices that also contain non-volatile, non-magnetic storage. Degaussing renders many types of devices unusable, making it a potential destruction technique. | 消磁は、消磁装置の強度が ISM の保磁力に慎重に合わせられている場合、レガシー磁気デバイスを消去する。保磁力は、ラベルに記載されている情報だけでは判断が難しい場合がある。そのため、保磁力の詳細については、デバイスの製造事業者に問い合わせること。フラッシュメモリベースのストレージデバイス、または不揮発性、非磁気のストレージも搭載している磁気ストレージデバイスについては、消磁のみに依存してはならない。消磁は多くの種類のデバイスを使用不能にするため、破壊技術として潜在的なリスクがある。 |
| For an ISM that takes the form of logical/virtual storage (e.g., cloud storage), cryptographic erase (see Sec. 3.2) may be the only viable option. Typically, the underlying physical ISM is abstracted such that the data owner has no direct access to the physical ISM, and sanitization on them is impossible and/or practical. As such, organizations should clearly understand their purge options and the effectiveness of the technique prior to storing sensitive data on such ISMs. | 論理/仮想ストレージ(例:クラウドストレージ)の形式をとる ISM に対しては、暗号化消去(セクション 3.2 参照)が唯一の現実的なオプションとなる可能性がある。通常、基礎となる物理的な ISM は、データ所有者が物理的な ISM に直接アクセスできないように抽象化されており、そのサニタイズは不可能かつ/または現実的ではない。そのため、組織は、このような ISM に機密データを保存する前に、その消去オプションと手法の有効性を明確に理解しておく必要がある。 |
| 3.1.3. Destroy | 3.1.3. 破壊 |
| Destroy renders target data recovery infeasible using state-of-the-art laboratory techniques and results in the subsequent inability to use the ISM for the storage of data. The destroy sanitization method is appropriate for all hard copy and most ISM, except for logical/virtual storage. | 破壊は、最先端の実験室技術を使用しても対象データの復元を不可能にし、その結果、ISM をデータの保存に使用できなくする。破壊によるサニタイズ方法は、論理/仮想ストレージを除く、すべてのハードコピーおよびほとんどの ISM に適している。 |
| There are many different types, techniques, and procedures for media destruction. While some techniques may render the target data infeasible to retrieve through the device interface and unable to be used for subsequent storage of data, the device is not considered destroyed unless target data access or recovery is infeasible using state-of-the-art laboratory techniques. The application of destructive techniques may be the only option when the ISM fails and other clear or purge techniques cannot be effectively applied to the ISM. | メディアの破壊には、さまざまな種類、手法、手順がある。一部の技術は、デバイスインターフェース経由でのターゲットデータの復元を不可能にし、その後のデータ保存に使用不能にするが、ターゲットデータへのアクセスまたは復元が最先端のラボラトリー技術を使用して不可能でない限り、デバイスは破壊されたとはみなされない。ISMが故障し、他のクリアまたはパージ技術がISMに効果的に適用できない場合、破壊技術の使用が唯一の選択肢となる可能性がある。 |
| The following physical destructive techniques are commonly associated with the destroy sanitization method: | 破壊サニタイズ手法には、一般的に以下の物理的破壊手法が用いられる。 |
| • Disintegrate. Process that completely destroys the media by breaking, separating, or decomposing (e.g., dissolving with acid) media into its constituent elements, parts, or small particles such that there is nothing or very little of it that is recognizable after the process. | • 分解。メディアを破壊、分離、または分解(酸による溶解など)して、その構成要素、部品、または小さな粒子に分解し、処理後に認識できるものがほとんどまたはまったく残らないように、メディアを完全に破壊するプロセス。 |
| • Incinerate. Process that completely destroys the media by burning it to ash. | • 焼却。メディアを灰に焼却して、完全に破壊するプロセス。 |
| • Melt. Process that completely destroys the media by liquefying it (i.e., loses intactness or solidness), generally through the application of extreme heat. | • 溶融。極端な熱を加えるなどして、メディアを液化(完全な形状や固さを失う)させるプロセス。 |
| • Pulverize. Process that completely destroys the media by reducing it to a fine powder or dust through crushing, grinding, or other mechanical means. | • 粉砕。破砕、研磨、その他の機械的手段により、メディアを微細な粉末や塵に還元するプロセス。 |
| • Shred. Process that completely destroys the media by cutting or tearing it into small particles. | • 破砕。メディアを切断または引き裂いて小さな粒子に分割するプロセス。 |
| Techniques like bending, cutting, or some emergency procedures (e.g., using a firearm to shoot a hole through a storage device) may only partly damage the ISM, leaving portions of it accessible using advanced laboratory techniques. | 曲げ、切断、または一部の緊急措置(銃を使用してストレージデバイスに穴を開けるなど)などの手法では、ISM が部分的に損傷するだけで、高度な実験室技術を使用すればその一部にアクセスできるままになる場合がある。 |
| As the density of data and the hardness of the component materials increase on an ISM, certain destructive techniques may become ineffective. Pulverize and shred techniques for ISM should be avoided for anything but the lowest security categories of data. | ISM のデータ密度および構成材料の硬度が向上すると、特定の破壊手法が効果を失う場合がある。ISM に対する粉砕および細断の手法は、セキュリティカテゴリーが最も低いデータ以外には使用しないこと。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2025.07.24 米国 NIST SP 1334( 初期公開ドラフト) OT 環境における可搬保管媒体のサイバーセキュリティリスクの軽減 (2025.07.15)
・2020.01.24 媒体の廃棄に関して
Comments