第409号コラム:土井 洋 理事(情報セキュリティ大学院大学 情報セキュリティ研究科 教授)
題:「「データ消去」分科会の活動報告」

証拠保全ガイドライン第4版では、インシデントレスポンス時に必要と考えられる資機材等の準備の一つとして、フォーマット済みのクリーンな媒体の準備が求められています。その媒体に対しては、一切のデータが存在しない状態(無データ状態)であることが求められています。「データ消去」分科会は第11期(2014年)に活動を開始し、証拠保全先媒体に対するデータ抹消に関する研究、国内外の文献調査や実態調査、ツール評価等を行ってきました。媒体として様々な候補がありますが、「データ消去」分科会では媒体をHDDとSSDに限定して活動してきました。本分科会活動で学んだことは少なくありませんが、媒体に対するデータ抹消(無データ状態にすること)の困難さはその一つです。また、データ抹消に関する国内外の動向、特に米国の動向などを知ることができた点も大変有益でした。ちなみに、1TBのHDDに対する1回の上書き抹消を行う場合、2時間弱を要するものもあります(ツールによってはさらに時間を要します)。最近のHDDの場合は複数回の上書き抹消を行う必要はないのですが、国内外ともHDDについてはDoDや米国国防総省方式のように複数回の上書き抹消を利用している組織が存在していました。他にも本分科会活動で様々な情報を得ることができました。

4月11日(月)に2年間の活動により得られた証拠保全先媒体のデータ抹消に関する様々な知見をまとめ、8編の報告書として公開させていただきました。先に述べたことも8編の報告書に記載されていますが、これらは執筆者の皆様、分科会登録メンバーの皆様による熱心な議論を経てまとまったものです。4月18日(月)の分科会では、当日出席可能な執筆者の方々による報告の後、参加者の皆様との活発なご議論ができればと考えております。

※「証拠保全先媒体のデータ抹消に関する報告書」は以下URLよりダウンロードして頂けます。
https://digitalforensic.jp/data_report/

【著作権は、土井氏に属します】