企業がPCを廃棄する際、ストレージのデータ破壊は情報セキュリティの基本だ。HDDであればドリルでプラッターに穴を開ける物理破壊が有効だが、SSDに同じ手法を適用した結果、データがまったく破壊されていなかった事例がRedditに投稿され、話題になっている。
投稿者によると、勤務先のIT担当者が廃棄予定のPCに搭載されたSATA SSDにドリルで穴を開け、データ破壊済みとしてPCを社外に放出したという。使われていたPCはDell Optiplex 7040で、IT担当者はSSDを取り外さず、ケースに装着したままドリルを貫通させた。ところが投稿された写真を見ると、ドリルの穴はSSDの金属ケースだけを貫いており、内部のPCB(プリント基板)にはまったく届いていない。投稿者がSSDを取り出して確認したところ、データは無傷で読み取れる状態だったという。
なぜこうなるのか。2.5インチSATA SSDの内部構造はHDDとまったく異なる。HDDはケース内部をプラッターが占めているため、どこに穴を開けてもデータ記録面に到達する。一方、SATA SSDはケースの中にPCBが1枚入っているだけで、NANDフラッシュチップやコントローラーはPCBの片側に集中している。コンシューマー向けの低容量モデルでは、ケースの半分以上が空洞になっていることも珍しくない。ケースの中央や端にドリルを当てれば、空洞を通り抜けるだけで基板には触れない。
この投稿者のケースでは、同じIT担当者がHDDは取り外して別途処分していたにもかかわらず、SSDはPCに残したままドリルで穴を開けただけだった。さらに別のPCではNVMe M.2 SSDに気づかずそのまま放出したケースや、NVMeにドリルを通した際にマザーボードまで貫通させてしまったケースもあったという。HDDとSSDの物理的な違いを理解しないまま、同じ手順を適用した結果だろう。
SSDのデータを確実に物理破壊するには、開封してNANDチップとコントローラーの位置を確認した上で複数箇所に穴を開けるか、専用のシュレッダーで粉砕する必要がある。ソフトウェアによる方法では、SSDが対応するSecure Eraseコマンドで全セルを一括消去する手段もある。いずれにせよ、HDDの時代に策定された物理破壊手順をSSDにそのまま適用するのは危険だ。ストレージの廃棄手順書を更新していない企業は、同様のリスクを抱えている可能性がある。
The “IT guy” at work drilled through the SSD’s before giving them away(Reddit)