Skip to content

NIST SP 800-88 Explained: Clear / Purge / Destroy (Media Sanitization)

Published on 2025年12月13日 ブログ

NIST SP 800-88 Explained: Clear / Purge / Destroy (Media Sanitization)

One of the most common causes of post-disposal incidents is simple: data that was “deleted” can still be recovered.
A widely referenced guideline for preventing this is NIST SP 800-88, published by NIST (the U.S. National Institute of Standards and Technology).

What you’ll learn (Key takeaways)

  • What “media sanitization” means in NIST SP 800-88
  • The 3 levels: Clear, Purge, Destroy — and how they differ
  • How to choose the right level for reuse, transfer, or disposal
  • What evidence/logging you should keep for audits and compliance

What is NIST SP 800-88?

NIST SP 800-88 is a guideline for sanitizing storage media (HDD/SSD/mobile devices/removable media, etc.)
in a way that matches your threat model and device characteristics.
The key point is that “factory reset” or “file deletion” is not the same as being unrecoverable.

The three sanitization levels

1) Clear

A logical approach intended to reduce the likelihood of recovery using typical software tools.
Examples include full-area overwriting and using OS-provided secure erase functions where appropriate.

  • Best for: Internal reuse, low-to-medium sensitivity data
  • Note: The correct method depends on the media type (especially SSDs)

2) Purge

A stronger level intended to address more capable adversaries and media-specific behavior.
For SSDs, this may include device-specific commands (e.g., Secure Erase) or cryptographic erasure.

  • Best for: External transfer/sale, data containing personal or sensitive information
  • Note: Choosing the wrong approach can create a “false sense of erasure”

3) Destroy

Physical destruction where the media is not intended to be reused.
This is considered when the goal is to practically eliminate recovery by destroying the storage medium.

  • Best for: Final disposal, extremely high sensitivity scenarios
  • Note: Operational controls (chain-of-custody, witness, records) matter as much as the act itself

How to choose the right level

  • Data type: personal data, customer records, contracts, trade secrets
  • Disposition: reuse internally vs. transfer outside vs. disposal
  • Media: HDD/SSD/mobile/tablet/external/server
  • Evidence requirements: do you need proof for audits or partners?

Audit-ready evidence: what to record

For audits and incident response, the most important question is: “What happened, to which device, how, and with what result?”
Having consistent records makes compliance and partner communication much easier.

  • Execution logs (device identifier, method, result, errors)
  • Operator/location tracking and asset ledger linkage
  • Erasure certificates when required (e.g., PDF)

FAQ

Q. Isn’t factory reset / deletion enough?

In general, deletion or reset does not guarantee unrecoverability.
The proper method depends on the threat model and the type of media.

Q. Is overwriting always safe for SSDs?

SSD behavior differs from HDDs due to wear leveling and internal mapping.
Media-specific approaches such as Secure Erase or cryptographic erasure should be considered.

Next steps

If you need help designing an erasure process that matches your devices, workflow, and evidence requirements,
start by listing your media types, volumes, return/disposal flow, and proof needs.
See Pricing and Contact for next actions.

データ消去の国際規格 NIST SP 800-88 をわかりやすく解説(Clear / Purge / Destroy)

端末の廃棄・返却・売却のたびに問題になるのが「消したつもりのデータが復元される」リスクです。
そこで参照される代表的なガイドラインが、米国国立標準技術研究所(NIST)の NIST SP 800-88(Media Sanitization)です。

この記事でわかること(要点)

  • NIST SP 800-88 が示す「媒体のサニタイゼーション」の考え方
  • 3つのレベル(Clear / Purge / Destroy)の違いと選び方
  • 社内再利用・社外譲渡・廃棄の各シーンでの判断軸
  • 監査・コンプライアンスのために残すべき記録(ログ/証明)

NIST SP 800-88 とは

NIST SP 800-88 は、HDD/SSD/モバイル端末/リムーバブル媒体などの「保存媒体」を、
目的に応じて安全に無害化(サニタイゼーション)するためのガイドラインです。
重要なのは、単に「初期化した」「削除した」ではなく、脅威モデル(誰がどの程度復元できるか)
媒体特性(HDD/SSD/暗号化の有無)に基づいて手段を選ぶ点です。

3つの消去レベル(Clear / Purge / Destroy)

1) Clear(クリア)

論理的な方法で、一般的なソフトウェア復元の可能性を下げるレベルです。
例としては、全領域の上書きや、OSが提供する安全消去機能の活用が含まれます。

  • 向くシーン: 社内での再利用、機密度が低〜中のデータ
  • 注意点: SSD/暗号化の状態など、媒体によって適切な手段が変わります

2) Purge(パージ)

より強い復元能力(高度な解析)を想定し、媒体特性に適した方法で復元可能性をさらに下げるレベルです。
SSDでは Secure Erase 等の媒体固有コマンドや、暗号化消去(Cryptographic Erase)が判断材料になります。

  • 向くシーン: 社外への譲渡・売却、個人情報や機微情報を含むデータ
  • 注意点: 手段の選定を誤ると「消したつもり」になりやすい領域です

3) Destroy(デストロイ)

物理破壊などにより、媒体そのものの再利用を前提にしないレベルです。
最終廃棄で、復元可能性を実務上ゼロに寄せたい場合に検討されます。

  • 向くシーン: 再利用しない廃棄、極めて高い機密性が求められるケース
  • 注意点: 物理破壊の運用(回収・証跡・立会い等)も含めて設計が必要です

企業が消去レベルを選ぶための判断軸

  • データの性質: 個人情報・顧客情報・契約情報・営業秘密など
  • 持ち出し範囲: 社内再利用か、社外譲渡/委託先返却か
  • 媒体: HDD/SSD/スマートフォン/タブレット/外付け/サーバー
  • 証跡要件: 監査・取引先要求・社内規程で「証明」が必要か

監査・コンプライアンスで重要になる「証跡」

何を、いつ、誰が、どの機器に対して、どの方法で実行し、結果がどうだったか。
この情報が整理されているほど、監査対応・トラブル対応・取引先説明がスムーズになります。

  • 実行ログ(対象識別子/方式/結果/エラー)
  • 作業者・作業場所・台帳との紐付け
  • 必要に応じた消去証明書(PDF等)

よくある質問(FAQ)

Q. 初期化や削除では不十分ですか?

一般に、通常の削除や初期化は「復元できないこと」を保証しません。
目的と媒体に応じて、適切な消去方式と検証・記録が必要です。

Q. SSDは上書きすれば安全ですか?

SSDは書き込み制御の特性がHDDと異なるため、上書きだけで意図通りに全領域へ反映されないケースがあります。
Secure Erase や暗号化消去など、媒体特性に沿った方法の検討が重要です。

次のアクション

運用に合わせた消去方式・証跡設計が必要な場合は、まず要件(媒体/台数/返却フロー/証明要否)を整理してください。
料金や導入の流れは、料金プランお問い合わせ から確認できます。