TPM の推奨事項
この記事では、Windows 用のトラステッド プラットフォーム モジュール (TPM) テクノロジに関する推奨事項について説明します。
TPM の基本的な機能の説明については、「トラステッド プラットフォーム モジュール技術概要」をご覧ください。
TPM の設計と実装
従来、TPM はディスクリート チップであり、コンピューターのマザーボードにはんだ付けされています。 このような実装により、コンピューターの元の機器メーカー (OEM) は、システムの残りの部分とは別に TPM を評価および認定できます。 個別の TPM 実装は一般的です。 ただし、小型または低消費電力の統合デバイスでは問題が発生する可能性があります。 最近は、TPM 機能を他のプラットフォーム コンポーネントと同じチップセット内に統合し、ディスクリート TPM チップと同じような分離を論理的に提供する新しい TPM 実装も登場しています。
TPM は受動的なデバイスであり、コマンドを受信して応答を返します。 TPM のメリットを最大限に活用するには、OEM はシステムのハードウェアおよびファームウェアと TPM を慎重に統合して、TMP にコマンドを送信し、返される応答に対応する必要があります。 TPM はもともと、プラットフォームの所有者とユーザーにセキュリティとプライバシーの利点を提供するように設計されていましたが、新しいバージョンでは、システム ハードウェア自体にセキュリティとプライバシーの利点を提供できます。 ただし、TPM を高度なシナリオに使用する前に、TPM をプロビジョニングする必要があります。 Windows は TPM を自動的にプロビジョニングしますが、ユーザーがオペレーティング システムを再インストールする予定の場合は、Windows が TPM を最大限に活用できるように、再インストールする前に TPM をクリアする必要がある場合があります。
Trusted Computing Group (TCG) は、TPM の仕様を公開し管理している非営利組織です。 TCG は、ベンダーに依存しないグローバルな業界標準を開発、定義、促進するために存在します。 これらの標準では、相互運用可能な信頼されたコンピューティング プラットフォームのハードウェア ベースの信頼ルートがサポートされています。 TCGは、国際標準化機構 (ISO) と国際電気標準会議 (IEC) の合同の委員会である JTC 1 が定義する公開仕様書提出プロセスを通じて、TPM 仕様を国際標準 ISO/IEC 11889 としても公開しています。
OEM は、PC、タブレット、携帯電話などの信頼されたコンピューティング プラットフォームに TPM をコンポーネントとして実装します。 トラステッド コンピューティング プラットフォームでは、TPM を使用して、ソフトウェアだけでは実現できないプライバシーとセキュリティのシナリオをサポートします。 たとえば、ソフトウェアだけでは、システムの起動プロセス中にマルウェアが存在するかどうかを確実に報告することはできません。 TPM とプラットフォームの密接な統合により、起動プロセスの透明性が高まり、デバイスを起動するソフトウェアの測定と報告の信頼できる結果に基づいて、デバイスの正常性を評価できるようになります。 トラステッド コンピューティング プラットフォームの一部としての TPM の実装は、信頼のハードウェア ルートを提供します。つまり、信頼された方法で動作します。 たとえば、TPM に格納されているキーに、キーのエクスポートを禁止するプロパティがある場合、そのキーは TPM を本当に残すことはできません。
TCG は、さまざまな顧客セグメントの要件に対応する低コストのマスマーケット用セキュリティ ソリューションとして TPM を設計しています。 顧客セグメントや規制機関ごとにセキュリティ要件が異なるように、TPM の実装ごとにセキュリティ プロパティは異なります。 たとえば、公共部門の調達では、一部の政府は TPM のセキュリティ要件を明確に定義し、他の政府は定義しません。
TPM 1.2 と 2.0 の比較
業界標準から、Microsoft は TPM 2.0 の移動と標準化の業界リーダーであり、アルゴリズム、暗号、階層、ルート キー、承認、NV RAM の間で多くの重要な利点が実現されています。
TPM 2.0 を使う理由
TPM 2.0 の製品やシステムは TPM 1.2 と比較して次の重要なセキュリティ上の利点があります。
- TPM 1.2 仕様では、RSA と SHA-1 ハッシュ アルゴリズムの使用のみが許可されます。
- セキュリティ上の理由から、一部のエンティティは SHA-1 の使用を避け始めています。 特に、NIST では、多くの連邦政府機関が 2014 年の時点で SHA-256 に移行する必要があり、Microsoft や Google を含むテクノロジ リーダーは、2017 年に SHA-1 ベースの署名または証明書のサポートを削除しました。
- TPM 2.0 は暗号化アルゴリズムをより柔軟にすることで、より高速な暗号化を実現しました。
- TPM 2.0 では、より新しいアルゴリズムがサポートされており、これにより、署名とキー生成のパフォーマンスを向上させることができます。 サポートされているアルゴリズムの完全な一覧については、「TCG Algorithm Registry」(TCG アルゴリズム レジストリ) をご覧ください。 一部の TPM では、すべてのアルゴリズムがサポートされていません。
- Windows がプラットフォーム暗号化ストレージ プロバイダーでサポートしているアルゴリズムの一覧については、「CNG Cryptographic Algorithm Providers」(CNG 暗号化アルゴリズム プロバイダー) をご覧ください。
- TPM 2.0 は、ISO 標準 (ISO/IEC 11889:2015) として承認されました。
- TPM 2.0 の使用は、OEM において、特定の国や地域のために標準構成に例外を設ける必要をなくすために役立つ場合があります。
- TPM 2.0 は、異なる実装間でより一貫性のあるエクスペリエンスを実現します。
- TPM 1.2 の実装では、ポリシー設定に違いがあります。 ロックアウト ポリシーが異なるため、サポートの問題が生じることがあります。
- TPM 2.0 のロックアウトのポリシーは Windows によって構成され、辞書攻撃からの保護に関して一定した保証を行います。
- TPM 1.2 パーツは、通常はマザーボードにはんだ付けされるディスクリート シリコン コンポーネントですが、TPM 2.0 は、1 つの半導体パッケージに組み込まれたディスクリート (dTPM) シリコン コンポーネントとして、同じパッケージ内の他のロジック ユニットと共に、汎用 SoC 上の信頼された実行環境 (TEE) で実行されるファームウェア (fTPM) ベースのコンポーネントとして、1 つ以上の半導体パッケージに組み込まれた統合コンポーネントとして使用できます。
注
TPM 2.0 は、BIOS のレガシ モードと CSM モードではサポートされていません。 TPM 2.0 を搭載したデバイスでは、BIOS モードをネイティブ UEFI としてのみ構成する必要があります。 レガシおよび互換性サポート モジュール (CSM) オプションを無効にする必要があります。 セキュリティを強化するためにセキュア ブート機能を有効にします。
レガシ モードのハードウェアにインストールされているオペレーティング システムは、BIOS モードが UEFI に変更されると、OS の起動を停止します。 UEFI をサポートするように OS とディスクを準備する BIOS モードを変更する前に、MBR2GPT ツールを使用します。
個別、統合、またはファームウェア TPM
TPM の実装オプションには次の 3 つがあります。
- 個別の TPM チップは、独自の半導体パッケージ内の別のコンポーネントです。
- 1 つ以上の半導体パッケージと一緒に統合された専用ハードウェアを使用する統合 TPM ソリューション。ただし、他のコンポーネントとは論理的に分離されています。
- 汎用計算ユニットの信頼された実行モードでファームウェアで TPM を実行するファームウェア TPM ソリューション。
Windows では、互換性のある TPM は同じ方法で使用されます。 Microsoft は、TPM を実装する必要がある位置を取るわけではありません。また、使用可能な TPM ソリューションの幅広いエコシステムが用意されており、すべてのニーズに合わせて対応する必要があります。
消費者にとっての TPM の重要性
エンド コンシューマーの場合、TPM はバックグラウンドですが、引き続き関連します。 TPM は、Windows Hello や Windows Hello for Business で使用されており、将来的には、Windows が備えている他の多くの主要なセキュリティ機能のコンポーネントとなる可能性があります。 TPM は PIN をセキュリティで保護し、パスワードの暗号化に役立ち、セキュリティを重要な柱として Windows エクスペリエンスの全体的なストーリーに基づいて構築します。 TPM が搭載されたシステムで Windows を使用すると、より深く、広い範囲でセキュリティが確保されます。
WINDOWS 用 TPM 2.0 コンプライアンス
デスクトップ エディション (Home、Pro、Enterprise、Education) 用の Windows
- 2016 年 7 月 28 日以降、すべての新しいデバイス モデル、回線、またはシリーズ (または CPU、グラフィック カードなどの主要な更新プログラムを使用して既存のモデル、行、またはシリーズのハードウェア構成を更新する場合) は、既定で TPM 2.0 を実装して有効にする必要があります ( 「最小ハードウェア要件 」ページのセクション 3.7 の詳細)。 TPM 2.0 を有効にするための要件は、新しいデバイスの製造にのみ適用されます。 特定の Windows 機能に対する TPM の推奨事項については、「TPM と Windows の機能」をご覧ください。
IoT Core
- IoT Core では、TPM はオプションです。
Windows Server 2016
- WINDOWS Server SKU の TPM は、ホスト ガーディアン サービス シナリオで TPM 2.0 が必要な場合に、SKU が他の修飾 (AQ) 条件を満たしていない限り、省略可能です。
TPM と Windows の機能
次の表では、TPM サポートが必要な Windows の機能を定義します。
| Windows の機能 | TPM 必須 | TPM 1.2 をサポート | TPM 2.0 をサポート | 詳細 |
|---|---|---|---|---|
| メジャー ブート | ○ | はい | ○ | 測定ブートには、TPM 1.2 または 2.0 と UEFI セキュア ブートが必要です。 TPM 2.0 は、新しい暗号化アルゴリズムをサポートしているため、推奨されます。 TPM 1.2 では SHA-1 アルゴリズムのみがサポートされています。これは非推奨になっています。 |
| BitLocker | なし | ○ | ○ | TPM 1.2 または 2.0 はサポートされていますが、TPM 2.0 をお勧めします。 デバイス暗号化には 、TPM 2.0 サポートを含むモダン スタンバイが必要です |
| デバイスの暗号化 | ○ | 該当せず | ○ | デバイスの暗号化ではモダン スタンバイ/コネクト スタンバイの証明書が必要であり、そのために TPM 2.0 が必要です。 |
| Windows Defender アプリケーションコントロール (Device Guard) | なし | はい | はい | |
| System Guard (DRTM) | ○ | なし | はい | TPM 2.0 と UEFI ファームウェアが必要です。 |
| Credential Guard | × | ○ | ○ | Windows 10 バージョン 1507 (2017 年 5 月時点でサポート終了) は、Credential Guard 用に TPM 2.0 のみをサポートしていました。 Windows 10 バージョン 1511 以降では、TPM 1.2 と 2.0 がサポートされています。 System Guard と組み合わせられた TPM 2.0 では、Credential Guard のセキュリティが強化されています。 Windows 11 では、この強化されたセキュリティを容易に有効にするために、既定で TPM 2.0 が必要です。 |
| デバイス正常性構成証明 | ○ | はい | はい | TPM 2.0 は、新しい暗号化アルゴリズムをサポートしているため、推奨されます。 TPM 1.2 では SHA-1 アルゴリズムのみがサポートされています。これは非推奨になっています。 |
| Windows Hello/Windows Hello for Business | × | ○ | はい | Microsoft Entra join では両方のバージョンの TPM がサポートされていますが、キー構成証明のサポートには、キー付きハッシュ メッセージ認証コード (HMAC) と保証キー (EK) 証明書を含む TPM が必要です。 パフォーマンスとセキュリティを向上させるには、TPM 1.2 よりも TPM 2.0 をお勧めします。 FIDO プラットフォーム認証システムとしての Windows Hello は、キー ストレージに TPM 2.0 を利用します。 |
| UEFI セキュア ブート | × | はい | ○ | |
| TPM プラットフォームの暗号化プロバイダー、キー記憶域プロバイダー | ○ | はい | ○ | |
| 仮想スマート カード | ○ | はい | ○ | |
| 証明書ストア | × | ○ | ○ | TPM は、証明書が TPM に格納される場合にのみ必要です。 |
| オートパイロット | なし | 該当せず | ○ | TPM (ホワイト グローブや自己展開モードなど) が必要なシナリオを展開する場合は、TPM 2.0 と UEFI ファームウェアが必要です。 |
| SecureBIO | はい | なし | ○ | TPM 2.0 と UEFI ファームウェアが必要です。 |
TPM 2.0 システムの OEM ステータスの可用性と認定済みのパーツ
政府関連のお客様や規制のある業界の大企業のお客様は、場合によっては調達基準により一般的に認定済みの TPM パーツを使う必要があります。 このため、デバイスを提供する OEM では、認定済みの TPM コンポーネントだけを使って商用クラスのシステムを構築することが必要になる場合があります。 詳しくは、OEM またはハードウェアの販売元に問い合わせてください。