M.2 SSDのデータを安全に消すために

先日購入したMinisforumのUN100D が故障して電源が入らなくなってしまい、交換対応のためメーカーに返却しなけばいけなくなった。

返却前にデータを消去しておきたいのだが、M.2規格のSSDでデータ消去は初めてなので苦戦してしまった。

今後のために対応内容をメモしておく。

対象のハードウェア情報

M.2 規格を読み取れる機器を調達

現状、自分が利用できる端末でM.2規格を読み取れる機器が故障した端末のみであったので、そもそもデータの消去云々の前に読み取る手段がない状態であった。

幸い、PCに関しては以前に使用していたデスクトップPCがまだ利用できる状態なので、そちらに接続して作業することは可能。

ただ、マザーボードも古くM.2のインターフェースはない。

M.2を挿せる内蔵カードを買うか、USBタイプのものを買うか悩んだが、今後デスクトップPCを廃棄することを考えると、他の端末でも利用できるUSBタイプのものにした。

UGREEN M.2 SSD 外付けケース

データを安全に消去

考えてみたらSSDのデータを安全に消去するというのは初めてとなる。

様々なサイトで調べつつ、最終的にはNIST SP800-88 rev.1 をIPAが翻訳した「媒体のデータ抹消処理（サニタイズ） に関するガイドライン」を確認の上で判断していく。

※ 個人PCで大したデータも入っていないSSDにここまで考える必要があるかはいったん置いておく

データ抹消には「消去」「除去」「廃棄」の三段階があるが、今回は自分の手元を離れるので「消去」では弱いが、返却する必要があるので「廃棄」もまずい。そのため、「除去」で考える。

先ほどのガイドラインの「表 A-8：フラッシュメモリベースのストレージデバイスのデータ抹消処理」内にある「NVM Express SSD」の項を簡単にまとめる。

• 消去
• ゼロ書き込みなどを最低1回以上
• 除去
• VM Express Format コマンド
• 暗号化消去

「除去」の場合、HDDの時に使用していたcipherコマンドでの書き込みによる消去などは使えないことが分かった。

一方、VM Express Format コマンドについては、調べた限りでは、USB接続では利用できないらしい。

NVMeのSSDは、USB接続でセキュア抹消（Format NVM/ Sanitize/ 暗号化抹消）を行う事はできません。

引用：「SSDの抹消」機能で対応している機器はありますか？ (ark-kakumei.jp)

若干ソースとしては弱いが、他にも無理に実施すると文鎮化するという情報もあったので今回はやめておいた。

そうすると消去法で暗号化消去のみとなる。

暗号化消去の実施

暗号化と言われても…と思ったが、WindowsのBitlockerで良いらしい。

例えば、Windows OSにおいて利用可能なストレージ暗号化方式であるBitLockerの場合、保管している回復キーを確実に廃棄することで実現します。

引用： 安全なデータ・端末の廃棄 | 国民のためのサイバーセキュリティサイト (soumu.go.jp)

確かによく考えてみれば、ディスク単体で盗まれても復元できない技術なので、実質データの安全な消去だ、というのは納得であった。

外付けデバイスに対してBitlocker暗号化を行うためにはProエディション以上が必要になるのだが、幸い、以前利用していたデスクトップはWindows 10 ProなのでBitlockerが利用できる。

USB-M.2変換ケースでデスクトップPCに接続し、Bitlockerでディスク全体を暗号化し、さらにdiskpartのclearコマンドでパーテイション情報をすべて消去した。

※ パーティションの消去は悩んだが、今回は機器返却後にディスクを読み取れないといった無用なトラブルを避けたかったので、Bitlockerがかかったままにするのは避けたかったのでこのようにした

所感

元のPCで故障前に暗号化しておけば、とも思ったが、考えてみるとTPMモジュールにBitlockerのキーが残っている状態でセットで戻してしまうと意味がない。

そうすると、もし今後、同様の現象が発生した場合、暗号化の実施ができる別のPCが必要になってしまう。

しかも、外付けデバイスに対するBitlockerはWindows 11のProエディション以上が必要なので、家族の誰かのPCをProにするか、自分でProの端末を一台キープしておく必要がある、というのが悩ましい。

ひとまずはWindows 10 Proが使えるのでいいのだが、使えなくなった後のことも考えなければいけないのかもしれない。