スマートフォンを叩き壊す。海に投げ捨てる。DriveSaversがそれを拾わないことを祈る。

警察に追われていた北カリフォルニアの男性が、自分のスマートフォンを壊して海に投げ捨てた。証拠はもうない、と思っただろうか？しかし、待ってください。警察がスマートフォンを回収したのです。その後、スマートフォンはどこへ行き、そこで何が起こるのか。まるでCSI史上最もオタクチックなエピソードのようです。そして、データ復旧最大手DriveSaversの日々の苦労と成功を垣間見ることができます。

この温厚な外見の裏には

カリフォルニア州ノバトのオフィスパークにある、簡素なベージュ色の建物には、政府機関レベルのクリーンルーム、何重ものセキュリティ、そしてジョージ・ルーカスのサイン入り写真が隠されている。静かな道路沿いの小さな池を見下ろすこの建物は、ほとんどの人が思わず通り過ぎてしまうほどだ。

そこで働く人たちは、まさにそれを好むのです。DriveSavers Data Recoveryでの典型的な一日は、スカイウォーカーランチで壊れたハードドライブを復旧させたり、洗濯してしまったスマートフォンからデータを救出したりすることですが、時には犯罪捜査に使われる可能性のあるデバイスからデータを復旧してほしいという特別な依頼が入ることもあります。これはデータフォレンジックと呼ばれるプロセスの一部で、壊れたカメラから猫の写真を救出するデータ復旧エンジニアと同じようなスキルが求められます。

エンジニアがフォレンジックアナリストになる方法

DriveSaversのフォレンジック分析業務は、あまり広く知られていません。この会社についてよく知られているのは、誤って別のハードドライブを消去してしまったり、ノートパソコンを雨水溝に落としてしまったりした際に、家族写真を救出してくれるサービスでしょう。

DriveSaversの人々は、まさにそう思ってほしいと思っています。データ復旧は結局のところ利益の出るビジネスであり、同社は1985年に外付けハードドライブの所有者がストレージのトラブルから安全にデータを復旧できるよう支援するために設立されました。しかし、その事業は徐々に拡大し、銀行、病院、官公庁なども対象に加わり、今ではDriveSaversは多種多様な機密情報（多くの場合暗号化されている）を復旧しています。通常は病院の患者記録や企業の財務報告書ですが、時にはハッカーのハードドライブが復旧されることもあります。

そのため、DriveSaversのエンジニアは、SymantecのPGPやGuardianEdge、SophosのUltimacoといった暗号化システムのトレーニングプログラムを受講し、データ暗号化の仕組みを理解しています。さらに、暗号化されたドライブを実際に操作し、ドライブのどのセクターに暗号化された情報が保存されているかを正確に特定することで、トレーニングをさらに進めています。DriveSaversのエンジニアは、特定の暗号化プロトコル（例えばPGP）を使用してテストドライブを暗号化し、暗号化前後のドライブの状態を検査して、どのセクターにデータが保存されているかを正確に確認します。

データフォレンジックエンジニアは、暗号化の破損を防ぐために、ハードドライブに保存されている暗号化データをブロックごとに正しい順序で再構成しなければならない場合があります。

このレベルの訓練を受けたデータ復旧エンジニアであっても、秘密鍵やバックドアを使って、熟れすぎたメロンのように暗号化されたドライブを割ることはできません。彼らにできるのは、暗号化されたドライブがデータを復旧不可能にするほど損傷しているかどうかを確認することくらいです。そうでない場合は、エンジニアは特殊な技術（後述）を用いて暗号化されたデータを復旧し、新しいドライブで顧客に提供します。あるいは、法執行機関に引き渡して暗号解読を依頼することになります。

DriveSaversの従業員は、様々な認定とセキュリティクリアランスを維持するために、厳格なセキュリティポリシーの下で業務を行い、毎年リスク評価分析、侵入テスト、第三者によるセキュリティ監査を受けています。これらの年次セキュリティレポートの一部は同社のウェブサイトに掲載されており、ご自身でご確認いただけます。また、全従業員は毎年身元調査を受けています。これは、DriveSaversのエンジニアが日常的に機密性の高いデータを扱っているにもかかわらず、身元詐称をしていないかという顧客の懸念を払拭するためだと考えられます。「身元詐称犯にとって、データ復旧サービスほど適した仕事はありません」と、DriveSaversの最高情報セキュリティ責任者であるマイケル・ホール氏は述べています。「だからこそ、社内の全員に対して定期的に身元調査を実施する必要があるのです。」

デッドドライブを話させる

焼け焦げたハードドライブであれ、犯罪現場から回収された壊れたスマートフォンであれ、DriveSaversに送られるすべてのデバイスは同じ再生プロセスを経ます。まず最初に指定された「トリアージエリア」で、すべてのデバイスはデータエンジニアによる予備検査を受けます。その後、ほとんどのストレージデバイスはクリーンルームに送られ、無塵環境で分解されます。まさに「ほぼ無塵」です。DriveSaversのクリーンルームはISO 5認証を取得しており、室内のろ過空気1立方フィートあたり、0.5マイクロメートルを超える粒子が100個未満であることが保証されています。ちなみに、平均的な都市の空気1立方フィートには、同じサイズの粒子が100万個以上含まれています。

クリーンルームの無塵環境は非常に重要です。エンジニアは、ドライブが分解する前に開ける機会が一度しかないかもしれません。そのチャンスを環境中のゴミによって台無しにしてしまうリスクを冒すわけにはいきません。

ドライブが分解されると、エンジニアたちはデータを正常に動作するコンピュータにコピーするためにあらゆる手段を講じます。古いWestern Digital製ハードドライブのスピンドルモーターを交換してプラッターを再び回転させるといった単純な作業もあれば、認定エンジニアがまるでフランケンシュタイン博士のように小さなはんだごてを取り出し、15本の極小のリード線を繋ぎ直したり、再構築したりして、壊れたフラッシュドライブをDriveSaversのリカバリPCに接続できるようにすることもあります。壊れたドライブのデータはすべてDriveSaversの施設にある予備のドライブにコピーされ、その後、エンジニアたちは（慎重に）元のドライブを脇に置き、コピー作業に集中します。

次に、コピーからデータがDriveSaversネットワークに複製されます。DriveSaversネットワークは複数の冗長バックアップを備え、毎年第三者機関によるセキュリティ監査で検証されたセキュアなCisco Self-Defending Network環境によって保護されています。このセキュリティレベルは、DriveSaversサーバーをハッキングしようとするハッカーにとって非常に困難なものですが、ほとんどのデータは定期的にネットワークから消去されます。

壊れたドライブからデータが救出された後、エンジニアはハードウェアレベルの暗号化を再現しようと試みながら、新しいドライブにデータを慎重に、時には少しずつ再構築します。

生データがDriveSaversネットワークに安全に保管されると、エンジニアたちはそれを機械可読な形式に再構成する作業に取り掛かります。エンジニアたちは、誤って削除されたデータやその他の理由で復元しなければならないことが多いため、ドライブ内に散在するデータの断片を再構成して動作するファイルにするには、ある程度の慎重な調査作業が必要です。データが暗号化されている場合、DriveSaversのエンジニアは元のストレージボリュームをブロックごとに再構築することで、暗号化を解除することなく再構成できます。

DriveSaversのエンジニアリングディレクター、マイク・コブ氏によると、エンジニアの多くは経験を積むにつれて独自の専門性を獲得していくそうです。ファームウェアの達人もあれば、壊れたスマートフォンから壊れたストレージメディアを取り出すという繊細な肉体作業に向いている人もいます。中にはさらに難解な人もいます。マイケル・ホール氏はエンタープライズ向け製品開発の責任者を自称し、ジョセフ氏（セキュリティ上の理由から姓は伏せています）はストレージアレイのRAID構造を視覚化する天性の才能を持っています。これはまるでネオがマトリックスを視覚化するのと似ていますが、コンピューターコードではなく、12台のハードドライブに広がるデータのストライプを視覚化しているのです。

これは想像以上に役に立つ才能です。数年前、ノースカロライナ州のショー空軍基地で、ミッションクリティカルな飛行準備報告書と検査記録を保存していた12ドライブのRAID 0アレイが壊滅的な故障に見舞われたとき、このデータエンジニアたちはそれを再建し、多くの空軍新兵が訓練をやり直す必要から救うことができました。

かつてはデータ復旧といえば外付けドライブが主流でしたが、最近では多くの人が大切な思い出をスマートフォンに保存しています。データ復旧エンジニアもそれに合わせて進化しています。

デジタルフォレンジックもほぼ同じ仕組みです。警察に追われていた北カリフォルニアの男性が、自分のスマートフォンを破壊して海に投げ捨てました。残っていたスマートフォンは、刑事捜査の一環としてDriveSaversのエンジニアに引き渡されました。

回収されたスマートフォンが歌う

ところで、あの壊れたスマートフォンはどうなったのでしょう？エンジニアたちはクリーンルームで、基本的に上記と同じプロセスを使ってスマートフォンを復元しました。内蔵メモリからすべてのデータを復旧させ、その中にはスマートフォンの所有者が大胆な強盗に関与していたことを示す写真も含まれていました。このデータは後に法廷で証拠として提出され、スマートフォンを破壊した犯人の訴追に使用されました。これは、データ復旧の少し怖い側面を浮き彫りにする、素敵な話です。熟練したエンジニアは、私たちが苦労して破壊したデータでも、復旧させてくれることがあるのです。

DriveSaversでの経験から学んだことの一つは、私たちのデータは私たちが思っているよりもずっと永続的だということです。ですから、モバイルセキュリティが万全かどうかや、Snapchatの写真が本当にプライベートなものかどうかなど、あまり心配する必要はありません。もし誰かがあなたのプライベートデータ（暗号化されているか、削除されているか、あるいはその他の状態）が入ったストレージメディアを手に入れたとしても、十分な努力さえすれば、データを復旧できる可能性は十分にあります。ですから、論理的な予防策を講じ、データを暗号化し、安全なバックアップ戦略を採用することで、高額なデータ復旧サービスに費用を費やす必要がなくなります。