工場出荷時の状態へのリセット

工場出荷時の状態へのリセット

工場出荷時設定へのリセットを行うと、デバイスに保存されているお客様特有のデータがすべて消去され、デバイスは出荷時の元の設定に復元されます。このプロセスでは、設定、ログファイル、ブート変数、コアファイル、およびクレデンシャル(連邦情報処理標準(FIPS)関連キーも含む)が消去されます。工場出荷時設定へのリセット時に行われるデータ消去は、NIST Special Publication 800-88 Revision 1で規定されている Clear 方式に適合しています。

工場出荷時の状態へのリセットをいつ行うか

工場出荷時の状態へのリセットは、次のシナリオで行う必要があります。

  • デバイスの返品許可(RMA)

    RMA でデバイスをシスコに返す際は、RMA 証明書を取得する前に、お客様固有のすべてのデータを消去します。

  • 侵害されたデバイスの回復

    デバイスに格納されているキーマテリアルまたはクレデンシャルが侵害された場合は、デバイスを工場出荷時の状態にリセットしてから、デバイスを再設定します。

工場出荷時の状態へのリセット時の動作

  1. 初期設定へのリセット時、デバイスはリロードされ、ROMMON モードを開始します。

    初期設定へのリセット後、デバイスは、ソフトウェアの検索とロードに必要な MAC_ADDRESS 変数と SERIAL_NUMBER 変数を含むすべての環境変数を削除します。

  2. ROMMON モードでリセットを実行すると、環境変数は自動的に設定されます。

    BAUD rate 環境変数は、初期設定へのリセット後にデフォルト値に戻ります。BAUD rate と console speed が常に同じであることを確認してください。同じでない場合、コンソールは応答しなくなります。

  3. ROMMON モードでのシステムリセットが完了したら、USB または TFTP を使用して Cisco IOS XE ソフトウェアを追加します。

次の表に、初期設定へのリセットプロセス中に消去および保持されるデータの詳細を示します。

表 1. 初期設定へのリセット時に消去されるデータと保持されるデータ

消去されるデータ

保持されるデータ

すべての Cisco IOS XE ソフトウェアイメージ(現在のブートイメージも含む)

リモート Field-Replaceable Unit(FRU)からのデータ

クラッシュ情報とログ

コンフィギュレーション レジスタの値

ユーザーデータ、スタートアップおよび実行コンフィギュレーション、および Serial Advanced Technology Attachment(SATA)、SSD、USB などのリムーバブル ストレージ デバイスの内容

FIPS 関連キーなどのクレデンシャル

セキュアな固有デバイス識別子(SUDI)証明書、公開キーインフラストラクチャ(PKI)キーなどのクレデンシャル

オンボード障害ロギング(OBFL)ログ

ユーザーが追加した ROMMON 変数

ライセンス

セキュアデータワイプ

デバイスでは、ソフトウェアイメージ、デバイス設定、ソフトウェアログ、および操作履歴が保存されます。これらのエリアにはお客様特有のデータが存在する可能性があり、その情報には、お客様によって実装されたネットワークアーキテクチャおよび設計に関する詳細が含まれていることがあります。

セキュアデータワイプを行う方法

セキュアデータワイプを行うには、factory-reset コマンドで all secure オプションを使用します。これにより、データのサニタイズが行われ、デバイスが安全にリセットされます。デバイスのブートイメージが保持されます。

データのサニタイズが完了すると、デバイスがリロードされ、フラッシュからのイメージを使用してブートしていた場合は、デバイスイメージがフラッシュに保持されます。

セキュアデータワイプの標準

セキュアデータワイプ機能では、NIST SP 800-88 Rev. 1 に記述されているメディアサニタイズ ガイドラインが使用されています。NIST 800-88 は、米国立標準技術研究所(NIST)によって公開されている標準であり、メディアサニタイズに関するガイドラインを提供します。

NIST 800-88 内の PURGE 規格では、実験技術を使用してストレージメディア上のデータを回復不能にする方法が指定されています。NIST 800-88 PURGE 方式を使用してデバイスがサニタイズされていると、単純な非侵害データ復元技術や高度な実験技術ではデータを復元できません。

工場出荷時の状態へのリセットを行うためのガイドライン

  • 工場出荷時の状態へのリセットプロセスを開始する前に、すべてのソフトウェアイメージ(現在のイメージも含む)、設定、および個人データをバックアップします。

  • 工場出荷時設定へのリセットプロセスの進行中に電源が中断されないようにします。

  • 工場出荷時設定へのリセットプロセスを開始する前に、すべての In-Service Software Upgrade(ISSU)の手順を完了しておきます。

  • 工場出荷時設定へのリセットを行うと、インストール済みのソフトウェアパッチは復元されません。

  • VTY セッションを介して factory-reset コマンドが発行された場合、初期設定へのリセットプロセスの完了後にセッションは復元されません。

  • スイッチがスタック構成であるか、または Stackwise Virtual Link(SVL)モードの場合、factory-reset コマンドの config キーワードはサポートされません。

  • 高可用性(HA)モードで構成されているモジュラ型シャーシデバイスの場合は、各スーパーバイザモジュールに工場出荷時設定へのリセットを適用する必要があります。

工場出荷時の状態へのリセット

工場出荷時の状態へのリセットを行うには、次の手順に従います。

手順

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたらパスワードを入力します。

ステップ 2

スイッチ設定に応じて、次のいずれかのコマンドを入力します。

  • スイッチ

    factory-reset {all [secure] [3-pass] | config | boot-vars}

  • スイッチ スタック

    factory-reset {all [secure 3-pass] | config | boot-vars | switch {switch-number | all {all [secure 3-pass] | config | boot-vars}}

例:

Device# factory-reset all
OR
Device# factory-reset all secure

デバイスを出荷時の設定にリセットします。

(注)  

 

factory reset コマンドを使用するために必要なシステム設定はありません。

  • all :NVRAM のすべての内容、現在のブートイメージ、ブート変数、起動設定データと実行設定データ、およびユーザーデータも含めて、すべての イメージを消去します。このオプションを使用することを推奨します。

  • all secure :データのサニタイズを実行し、デバイスを安全にリセットします。

    (注)  

     

    • all secure オプションを使用できるのはスタンドアロンデバイスに対してのみです。

      このオプションは、NIST SP 800-88 Rev. 1 で説明されているメディアサニタイズのガイドラインを実装します。

    • factory-reset all secure コマンドは、データのサニタイズを開始します。デバイスのブートイメージが保持されます。

      データのサニタイズが完了すると、デバイスがリロードされ、フラッシュからのイメージを使用してブートしていた場合は、デバイスイメージがフラッシュに保持されます。

  • secure 3-pass :3-pass 上書きでデバイスからすべての内容を消去します。

    • Pass 1:すべてのアドレス可能な場所を 2 進数のゼロで上書きします。

    • Pass 2:すべてのアドレス可能な場所を 2 進数の 1 で上書きします。

    • Pass 3:すべてのアドレス可能な場所をランダムビットパターンで上書きします。

      (注)  

       

      このオプションは、他のオプションの実行にかかる時間の約 3 倍の時間がかかります。

    • config :スタートアップ コンフィギュレーションをリセットします。

    • boot-vars :ユーザーによって追加されたブート変数を消去します。

    • switch {switch-number | all}

      • switch-number :スイッチ番号を指定します。

      • all :スタック内のすべてのスイッチを選択します。

工場出荷時の状態へのリセットプロセスが正常に完了すると、デバイスがリブートして ROMMON モードになります。