2014年11月14日金曜日

Crucial M500/M550/MX100とSecure Erase

記録したデータのセキュリティに関する要望が多いのか、データを暗号化して保存する「SED(Self Encrypting Drive)」対応のSSDが増加しています。Crucial M500以降や、Intel 730シリーズなどがSEDに対応しています。SED対応のSSDは、Windows 8(Pro/Enterprise)以降で利用すると、Security feature setが「Disable」に設定され、Secure Eraseが行えなくなる場合があることが確認されています。今回は、SED対応SSDを利用していて、Secure Eraseが行えなくなった場合の対処方法を解説したいと思います。

現状、Windows 8以降で利用して、Secure Eraseが行えなくることが確認できているのは、「Crucial M500/M550/MX100」とそのOEM製品です。これらの製品をWindows 8以降で利用すると、Secure Eraseを実行するために必要な機能「Security feature set」の設定が、Windowsによって自動的に「Disable」に設定されます。Crucial M500/M550/MX100のSecurity feature setの工場出荷時の設定は、「Enable」となっていますが、これが「Disable」に設定されると、セキュリティ関係コマンドが利用できなくなり、Secure Eraseが行えなくなります。


Windows 8(Pro/Enterprise)以降では、SED対応製品を検出すると自動的に暗号化機能を有効にする仕様となっており、このモードが有効になると、対応ドライブのSecurity feature setを「Disable(無効)」に設定する仕様となっているようです。

Security feature setがDisableになった状態でも、「Secure Erase」と同等のデータ消去を行う方法はあります。それは、「BLOCK ERASE」を行うことです。BLOCK ERASEは、Secure Eraseと同じデータ消去用のコマンドで、「Sanitize feature set」に対応したSSDが対応しています。現状では、東芝やSandisk、Crucial、Intel、SAMSUNG製SSDの一部、などがこの機能に対応しています。

BLOCK ERASE実行後の状態は、Secure Erase後とほぼ同じ状態になり、実行時間もSecure Erase実行時とほぼ同じです。また、BLOCK ERASEは、Secure Eraseとは異なり、「Security Frozen」状態でも実行できます。ただし、現状では、BLOCK ERASEの実行に対応したツールが入手できません。将来的には、TxBenchでサポートされる可能性はありますが、現状は、未サポートの状態です(要望中です)。

このため、Security feature setがDisableになっているCrucial M500/M550/MX100の速度を工場出荷時に戻すには、Secure Erasega行える状態に戻すSecurity feature setを「Enable」に戻す)しか現状では手がありません。これを行うには、「PSID(Physical Security IDentification) Revert」を行えば良いようです。M500/M550/MX100でPSID Revertを行うためのPSID Revertツールは、ここから入手できます。

実際の実行の仕方は、最初に「msed --scan」と入力して、PSID Revertを行いたいドライブを確認し、その後、 以下のように入力してPSID Revertを実行します。PSID Revert実行時のコマンドラインオプションが異常に長い点に注意してください。また、XXXXXXXXX の部分にはSSDのラベルに記載されている「PSID」をハイフンをとった状態で入力してください。

#msed --scan

Scanning for Opal 2.0 compliant disks
\\.\PhysicalDrive0  No  LITEONIT S100-128                        VA85
\\.\PhysicalDrive1  Yes Crucial_CT256M550SSD1                    MU01
No more disks present ending scan


#msed --yesIreallywanttoERASE*ALL*mydatausingthePSID XXXXXXXXX \\.\PhysicalDrive1
- 20:32:47.000 INFO: revertTper completed successfully


「revertTper completed successfully」と画面に表示されたら作業は完了です。これと異なるメッセージが表示されたときは、入力したPSIDが間違っていたり、入力したPSIDの前後の半角スペースが抜けている可能性があります。PSID Revertが完了すると、Security feature setが「Enable」の状態に戻り、Secure Eraseを実行できるようになります。なお、PSID Revertを行うと、記録されていたデータはすべて消去される点に注意してください。