データ復元から消去までの豆知識


データ復旧のプロが教えるデータ復元から消去までの豆知識:メールマガジン

================================================================================
 ■■      ■             ■      豆知識  Vol.03-05
■  ■     ■             ■ ■  セキュリティ対策の落し穴
■  ■ ◆■■ ■■■ ■ ■ ■■◆ ■■ ■ ■  ■  ■
■  ■ ■ ■ ■  ■■ ■  ■ ■   ■■  ■■ ■ ■■ ■ ■ ■
■  ■ ■ ■ ■  ■  ■  ■ ■ ■ ■ ■  ■ ■■ ■ ■ ■■■■
 ■■  ■ ■ ■■ ■   ■■◆ ■■ ■ ■ ■  ■ ■■  ■ ■
=============================================================2005.05.19=========

今月は最近採用される様になったセキュリティ対策について一言。

【なぜ、落し穴なのか】

基本的にセキュリティ対策と言われるものは、構成条件の全てが正常に動作している
前提で作られています。 それ故、只一つの条件が欠けても、当然ながらデータへの
アクセスは不能となります。 これを想定をせずに、安易にセキュリティ対策を採ると
とんでもないしっぺ返しを喰らう事になりますので、それなりのシステムを構築し
なければならないでしょう。

 1. 全てのセキュリティ対策は、その条件構成要素の1つでも欠けると全ての
    データを失うものと心得える事。

 2. 電気的な素子、機械的部品のすべては、絶対に欠陥がないということは
    有り得ない。記録媒体、当該の回路素子が壊れたらすべてのデータを
    失うものと心得る事。

なぜなら、別の基板に交換すれば自在にアクセス出来たのでは、セキュリティ機能とは
呼べないでしょう。

当然ながら、全ての機器構成パーツは一定の不良率を持っていますし、この率は製品
自体によっても、使用環境によっても大きく変動するものです。
セキュリティ対策を云々する際、セキュリティ対策の方式検討だけが先行し、その結果
生じるリスクについての検討が行われていないのではないでしょうか。

例えば、HDDでは平均的物理的不良発生率は0.02~0.08%位でしょうか。
これは1ヶ月の発生率ですので、3年の寿命と考えた場合、1~3%のHDDはこの間に
何等かの障害を起こす事になるわけです。 過去の事例では年間でこの率を遥かに超えた
ドライブも存在します。

この点を決してお忘れなきよう。

【HDDのセキュリティ機能】

個人情報保護法以前から、HDD自体にはセキュリティ機能が搭載される様になってきて
いました。 只、これらについては積極的な形で使われるケースは少なく、PCの機能に
精通しておられる方や企業が採用する社外持出しのポータブルPCに使用される程度に
止まっていました。

ところが、個人情報保護法の施行後、セキュリティ機能の装備が付加価値として商品性を
高める道具に使われるようになっています。 一般向けに出荷される外付けHDD装置等
でもこの機能を積極的に使用するようになりました。

HDD自体が備えるセキュリティ機能はこれを使用するか否かを問わず、データ復旧の
機会を殺いでしまいます。 その理由は

 1. 基板に装着されるセキュリティチップ上のメモリーに己のセキュリティ情報を
    記録している。

 2. 合わせて、ドライブ制御の為の情報をこのチップ内に記録している場合がある。

この為、多くのケースでは基板に何等かの障害が起きただけで、ディスク内のデータには
問題はないにも関わらず一切のアクセスが不能となってしまいます。 なぜなら、この
セキュリティチップに書き込まれているデータはユニークなデータとなっており、他の
ものでは代替出来ないからです。 これは取りも直さずHDDの電気的な障害がそのまま
データ喪失に繋がる事を意味します。

積極的にセキュリティ機能を使用した場合、多くのケースでは制約条件を1つ多くして
しまいます。 それは元々付いていたHDDおよびPCの組合せ以外ではデータの取出し
が出来なくなる事を意味するからです。 例え、IDとパスワードがあったとしても。

そしてこの機能は既に複数のHDDメーカーの製品に組み込まれて市場に出ています。
好むと好まざるとに関りなく、既にPCユーザーはこのリスクの一部を負ってしまって
いるのです。

【ハードウェア・セキュリティ機能】

最近ではポータブルPCや外付けHDD装置など、HDD同様その回路上にセキュリティ
チップを組み込むケースが出て来ています。 ものによってはこのチップを経由し暗号化
してデータを書き込むものもある様です。 ユーザーが設定するパスワード以外の
ユニークなハードウェア情報を使ってキーを生成している場合、キーを格納している部分、
キーの元となる情報を持つ部品に障害が発生すると、これがそのままデータ喪失に
繋がってしまいます。 これらのチップを交換すれば、データをアクセス出来たのでは
セキュリティ対策にはなりませんから。

【暗号化】

一部の旧暗号システムについては解読可能といわれますが、これも一般の環境において
短時間で解読出来るものではありません。 特に最近採用される、AES等最新のもの
については、全く解読の可能性はないといって良いでしょう。 この為、暗号解読キー
の消失に備え、管理システムを備えたものでは、システム管理者権限に相当するキーや
一時使用キーの発行を可能にしたもの、Internet上のサーバーにキーを登録し
要求に応じ、再発行が可能としたものなども存在します。

しかしならが、これらの何れもキーの喪失に対する対応であり、ハードウェアに異常が
発生した際の回復策には繋がりません。

暗号化において問題となるのは、どの層で暗号化を行っているかという点に帰結します。
ハードウェア、デバイスドライバ/BIOSの物理層と論理層の間で暗号化を行う
ハードウェアに障害が起きた場合、データの回収は非常に困難となる(ほぼ不能)
と心得てください。

--------------------------------------------------------------------------------

これらのセキュリティ対策は、使用者にかざされた「ダモレスクの剣」といっても過言
ではありません。 情報漏洩、盗難といった影に怯え、無為にこれらの対策を採用した
際に負うリスクはこれらに遭遇する確率よりも遥かに高いと言ってよいかもしれません。

セキュリティ対策は本来トータルな危機管理プログラムの中で論じられるべきもので、
これだけを一人歩きさせるのは危険です。

私共が提供するデータ復旧サービスにおいては、セキュリティ対策の採用は単にデータ
復旧の機会を確実になくすだけのものにすぎません。 なぜなら、この機能が十全で
あればあるほど、その機器が正常な状態にない限りデータへのアクセスの可能性はない
からです。

--------------------------------------------------------------------------------

現在採用可能なPCのデータ・セキュリティ対策は

1. HDD自体が装備するセキュリティ機能を有効にする。
2. ドライブ全体に対して、物理アクセス層で暗号化を掛ける。
3. ドライブ全体に対して、論理アクセス層で暗号化を掛ける。
4. ドライブ内に暗号化コンテナ(ファイル=論理アクセス層の暗号化)を作る。
5. フォルダ配下を暗号化する。
6. ファイルを暗号化する。

の何れかになります。

データ復旧の側面からみると

1.については - 物理的制御情報を消失するという障害が起きた場合は回収不能
        - セキュリティチップ自体に障害が発生した場合は回収不能
        - これ以外の素子障害でも完全に互換性のある基板もしくは素子、
          ファームウェアが揃わねば回収不能

2.については - ドライブに物理的障害がある場合、そのドライブでコピー操作が
          出来る状態に持ち込まねば、回収は望めない。 ただし、他の
          ドライブに複製したもので上記の状態に持ち込めば、回収可能な
          場合もある。 何れにせよ、その機器のデスクトップ上でしか
          回収の可能性はない。

3.以降の方法をとるものについては、その殆どがパスワード若しくは公開鍵方式を
とっており、ハードウェア情報をそのキー生成に利用しているものは少ない様です。
この種の物は、ディスクの物理的なイメージを取得出来れば、不良セクタがあっても
パスワード/鍵さえあれば復号可能なものが多い様ですので、充分回収の可能性が
残ります。

セキュリティ対策をハードウェア、暗号化によって実現する場合、必ず別のPCまたは
媒体上にバックアップを持つ必要があります。 この環境を整えない限りハードウェア
の持つセキュリティ機能の利用はお勧めできません。

							以上
================================================================================
   A1Data RecoveryServices--
======================================================豆知識===Vol.03-05=END====

※本記事は、A1データ株式会社の前身、株式会社ワイ・イー・データ時代に執筆・記載されたコラムです。