hdparm -Iコマンド深掘り!「security」セクションで分かるSSD/HDDの秘密

Linux

Linuxでストレージデバイスの診断やセキュリティ設定を行う際、hdparm -I /dev/sdXコマンドは非常に強力な味方となります。このコマンドの出力は膨大で専門的ですが、その中でも特に注目すべき、そしてSSDのSecure Eraseに関連して理解しておくべきセクションが「security」です。

今回は、このhdparm -Iコマンドが出力する「security」セクションに焦点を当て、そこに書かれている情報が何を意味するのか、どのように読み解けばよいのかを詳細に解説します。あなたのSSD/HDDが持つ秘密を解き明かし、より安全で確実なデータ管理を実現しましょう!

1. hdparm -I /dev/sdXコマンドの「security」セクションとは?

hdparm -I /dev/sdXコマンドは、指定したストレージデバイスからATA IDENTIFY DEVICEデータという生の情報ブロックを読み出し、それを人間が読める形式に解析して表示します。このデータには、ドライブのモデル、ファームウェア、容量といった基本的な情報から、サポートしている機能(DMA、SMARTなど)まで、非常に多くの情報が含まれています。

その中に「security」というセクションがあり、これはドライブがATA Security Feature Setという規格に準拠したセキュリティ機能(主にパスワードロックやSecure Erase)をサポートしているかどうか、そしてその現在の状態を示しています。

このセクションの情報は、特にSecure Eraseを実行する際に、ドライブが正しくコマンドを受け付けられる状態にあるか、あるいはすでにロックされていないかなどを判断するために不可欠です。

2. 「security」セクションの主要な項目とその意味

以下に、hdparm -I /dev/sdXの出力に含まれる「security」セクションの主要な項目と、それぞれの意味を解説します。実際の出力はドライブやファームウェアのバージョンによって多少異なる場合がありますが、基本的な概念は共通です。

 

       security:  supported
                enabled
                locked
                frozen
                password_set
                master_password_ID: xxxx
                supported: enhanced erase
                2min for SECURITY_ERASE.
                2min for ENHANCED_SECURITY_ERASE.

 

a) security: supported

  • 意味: このドライブがATA Security Feature Set(ATAセキュリティ機能セット)をサポートしていることを示します。
  • 重要性: これが表示されていなければ、パスワードロック機能やSecure Erase機能は利用できません。

b) enabled

  • 意味: ATAセキュリティ機能が有効になっていることを示します。
  • 重要性: ドライブにパスワードが設定されている場合に表示されます。Secure Eraseを実行する際は、この状態が「not enabled」であることが望ましいです。もし「enabled」の場合、パスワードが設定されているため、Secure Eraseの前にそのパスワードを解除するか、設定されたパスワードでSecure Eraseを実行する必要があります。

c) locked

  • 意味: ドライブがロックされている状態にあることを示します。パスワードが設定されており、かつロック状態にあることを意味します。
  • 重要性: この状態では、ドライブへのアクセスが制限され、Secure Eraseも実行できません。ロックを解除するには正しいパスワードを入力する必要があります。Secure Eraseを実行する際は、この状態が「not locked」であることを確認してください。

d) frozen

  • 意味: ドライブのATAセキュリティコマンドが、システムのBIOS/UEFIによってフリーズ(凍結)されていることを示します。
  • 重要性: Secure Eraseを実行できない最も一般的な原因の一つです。 この状態では、--security-set-pass--security-eraseといったコマンドを受け付けません。
    • 解除方法: PCの電源を数秒間完全に抜き差しする(物理的なリセット)、PCをサスペンド(スリープ)状態にしてからすぐに復帰させる、またはPCのUEFI/BIOS設定で「Secure Boot」を無効にし、「CSM/Legacy Mode」を有効にするなどが有効な場合があります。多くの場合は、Liveメディアから起動した後にPCの電源を一旦抜いてみるのが一番簡単です。

e) password_set

  • 意味: ドライブにユーザーパスワードが設定されていることを示します。
  • 重要性:enabled」とほぼ同じ意味合いで使われますが、より直接的にパスワード設定の有無を伝えます。Secure Erase実行時には、この状態が「not password_set」であることが理想です。

f) master_password_ID: xxxx

  • 意味: ドライブが認識しているマスターパスワードのIDを示します。
  • 重要性: 通常のユーザー操作ではあまり関係ありませんが、特定の復旧ツールやドライブメーカーが提供するマスターパスワードでドライブを解除する際に参照されることがあります。

g) supported: enhanced erase

  • 意味: ドライブが通常のSecure Eraseよりも強力な「拡張セキュアイレース(Enhanced Secure Erase)」をサポートしていることを示します。
  • 重要性: 拡張セキュアイレースは、NANDフラッシュメモリの予備領域(オーバープロビジョニング領域)なども含めて、より確実にデータを消去するとされています。より高いセキュリティレベルを求める場合に利用を検討できます。

h) Xmin for SECURITY_ERASE.

i) Ymin for ENHANCED_SECURITY_ERASE.

  • 意味: それぞれのSecure Eraseコマンドが完了するまでに必要な推定時間を示します。
  • 重要性: ドライブが報告するこの推定時間は非常に参考になります。SSDの場合、多くは0min(実際には数秒から数十秒)と表示されますが、HDDの場合は数十分から数時間かかることがあります。

3. Secure Erase実行前の「security」セクション理想的な状態

hdparm --security-eraseコマンドを問題なく実行するために、hdparm -I /dev/sdX | grep "security"の出力で確認すべき理想的な状態は以下の通りです。

 

       security:  supported
                not  enabled
                not  locked
                not  frozen
                not  password_set
                supported: enhanced erase  <-- これはあってもなくてもOK
                Xmin for SECURITY_ERASE.
                Ymin for ENHANCED_SECURITY_ERASE.

 

  • 特に、「not enabled」、「not locked」、「not frozen」、「not password_set」が全て表示されていることが重要です。

4. まとめ:hdparm -Iの「security」でドライブの状態を把握しよう!

hdparm -I /dev/sdXコマンドの「security」セクションは、ストレージデバイスのパスワードロック機能やSecure Erase機能のサポート状況、そして現在の状態を詳細に把握するための貴重な情報源です。

特にSecure Eraseを行う際は、このセクションの「frozen」や「locked」の状態を必ず確認し、必要に応じて解除操作を行うことが、成功への鍵となります。

これらの情報を読み解くことで、あなたはSSD/HDDの隠されたセキュリティ機能を完全に理解し、より安全で確実なデータ消去や管理を実現できるでしょう。ぜひ、実際にコマンドを試して、あなたのドライブの「security」セクションを覗いてみてください!