著者 : Simon Kang, Daniel Chung

PCを再利用、あるいは廃棄する前に、安全で費用効率の高いという理由から多くの機関でオーバーライト基盤のディスク完全消去ソフトウェアが使用されています。世界標準の完全消去アルゴリズムを提供し、様々なハードディスクタイプへの互換性があります。企業用のディスク完全消去ソリューションはリモートプログラムの配布、およびリモート消去、また詳細なログ記録と報告書の管理といった管理機能により一層焦点を合わせ始めました。

CD/USBタイプ

一般的に完全消去プログラムはOSがインストールされたシステムディスクを直接消去することができないため、追加で作業が必要となります。CD/USBタイプと呼ばれるこの方法は、多くの場合完全消去プログラムが搭載されたブート用USBメモリやCDをPCに接続し、BIOSでブート順序を変更して完全消去プログラムが搭載されたUSBメモリやCDでブート後、PCのハードディスクのデータを消去します。

この方法は消去対象のPCがネットワークに接続されていなかったり、ブートができないなど、様々な状況においても効果的に使用することができるため、ディスク完全消去ソリューションのほとんどはこのようなタイプで提供されています。しかし、この方法はBIOS設定と完全消去アルゴリズムの選択など複雑な手順が必要なため一般のユーザーが難しいと感じる可能性があります。このようなタイプのソリューションは、主にシステム管理者がハードディスクを直接消去する場合に使用されます。システム管理者は収集されたPCのディスクデータを消去する前に一定期間PCを別の場所へ保管したり、PC廃棄サービス業者にデータの消去、およびPCの廃棄業務すべてを委託する場合もあります。CD/USBタイプはこのような状況に適合するように作られていますが、データが消去されず残った状態のため、社内での一時保管や委託業者へ運送する過程でセキュリティが脆弱な状態に晒される恐れがあります。

EXEタイプ

近年BlanccoやWipeDrive、Bluestsoftといった業者がexeファイルを利用してディスクを完全消去することのできるソリューションの提供を開始しました、この方法はCD/USBタイプとは異なり、ブートデバイスやBIOS設定が不要なため相対的に使用方法が容易です。
exeファイルをダウンロード後、PCで実行するとハードディスクにISOファイルをコピーし、boot managerにこのISOファイルを登録してPCが再起動される際boot managerで該当のISOファイルでブートできるようにします。結果的にCD/USBタイプのブートデバイスがISOファイルに代替されたものですが、別途デバイスが不要なためシステム管理者がリモートでデータを消去することができます。しかし、このプロセスのためにユーザーにboot managerの使用方法と完全消去アルゴリズムの選択等に関する説明をする必要があり、exeプログラムのダウンロードやインストールの際、Windowsの管理者権限が常に必要になるためこの方式もまた、管理者の手を煩わせる可能性があります。

exeおよびCD/USBタイプ共に主にWindows PEまたはLinuxをブート用OSとして使用します。Windows PEはWindowsで開発された完全消去プログラムをそのまま利用することができる長所はありますが、Microsoftライセンスポリシーでいくつかの機能の制約があります。代表的なものにWindows PEでブートすると72時間ごとにシステムが自動的に再起動されるというものがあります。万一完全消去の作業時間が72時間以上かかる場合、ディスクの完全消去作業が失敗する可能性があります。一方、Linuxは一般ユーザーには不慣れなOSです。またRAID Disk Arrayを認識するにはドライバを手動でインストールする必要もあります。全体的にWindows PEとLinuxの運用体制の制約で完全消去作業の際、不便な点が多くなる恐れがあります。

ネイティブタイプ

SECUDRIVEはネイティブタイプという新たなタイプのディスク完全消去ソリューションの販売を開始しました。ネイティブタイプはCD/USBブートデバイスや、ブート用ISOファイルのインストールが不要でOSを含むすべてのディスクデータを消去することができます。この方式は既存のOSを維持し、Windows32 APIがローディングされる前に、Windows Native APIを利用してディスクを完全に消去します。この方式を使用すると、主に完全消去作業のブート用OSとして使用するWindows PEやLinux OSのライセンスポリシーの影響を受けず、RAID Disk Arrayに対して完全消去作業の際にもディスクドライバの追加インストールが不要でデータを完全に消去することができます。

管理者はユーザーの代わりに会社のセキュリティポリシーに応じて完全消去アルゴリズムを事前に選択することができます。ユーザーは完全消去クライアントプログラムをウェブサイトからダウンロード後、ワンクリックでシステムディスクを含むすべてのディスクを一度に消去することができます。またその他の方法としてADのグループポリシー(GPO)を利用してユーザーPCに完全消去クライアントプログラムをMSIファイル形態でインストール後、管理者がリモートでss完全消去作業を開始することもできます。管理者は作業状況をモニタリングし、PCを外部へ持ち出す前に作業ログを確認し、報告書を予め作成しておくことができます。これにより廃棄のためにPCを外部へ持ち出す前に簡単にPCのハードディスクのデータを一括で消去することができます。

一括廃棄のためにPCを特定の場所へ保管しておく、という伝統的なディスク完全消去プロセスを変更する必要があります。セキュリティの側面からデータが消去されておらず持ち主のいないPCを第三の保管場所へ移動させ、埃をかぶるくらい長期間放っておくのは非常に危険です。しかし、これからはセキュリティ管理者はPCを移動させることなく、椅子に座ったまま数千台のPCのデータをリモートで同時に消去することができます。管理者はオンラインで作業の進行状況をモニタリング後、データ消去プロセスが完了したら作業ログを収集し、報告書を作成することができます。
企業のディスク完全消去にはネイティブタイプが最も安全で、便利な方法だと言えるでしょう。

mautic is open source marketing automation