トラステッド プラットフォーム モジュール技術概要
この記事では、トラステッド プラットフォーム モジュール (TPM) と、Windows がアクセス制御と認証に使用する方法について説明します。
機能の説明
トラステッド プラットフォーム モジュール (TPM) テクノロジは、ハードウェア ベースのセキュリティ関連機能を提供するように設計されています。 TPM チップは、暗号化操作を実行するように設計されたセキュリティで保護された暗号プロセッサです。 このチップには、改ざんを防ぐ複数の物理的なセキュリティ メカニズムが含まれており、悪意のあるソフトウェアは TPM のセキュリティ機能を改ざんできません。 TPM テクノロジを使用する利点の一部は次のとおりです。
- 暗号化キーの生成、格納、使用制限を行う。
- TPM の一意の RSA キーを使用してデバイス認証に使用します。このキーは、チップに書き込まれます。
- ブート プロセスのセキュリティ測定値を取得して格納することで、プラットフォームの整合性を確保するのに役立ちます。
TPM の最も一般的な機能はシステム整合性の測定とキーの作成に使われます。 システムのブート プロセスの実行時、読み込まれたブート コード (ファームウェア、オペレーティング システム コンポーネントを含む) は TPM で測定して記録できます。 整合性の測定値は、システムがどのように起動されたかの証拠として使えます。また、正しいソフトウェアによるシステムの起動にのみ TPM ベースのキーが用いられたことの確認としても使えます。
TPM ベースのキーは、さまざまな方法で構成できます。 たとえば、TPM の外部で使えないように構成できます。 これは、フィッシング攻撃の軽減に効果があります。TPM なしでは、キーをコピーして使えないためです。 また、認証値の使用を求めるように構成することもできます。 不正な承認推測が多すぎる場合、TPM はディクショナリ攻撃ロジックをアクティブ化し、承認値の推測を防ぎます。
TPM のさまざまなバージョンは Trusted Computing Group (TCG) によって策定された仕様で定義されています。 詳細については、 TCG Web サイトを参照してください。
Windows エディションとライセンスに関する要件
次の表に、トラステッド プラットフォーム モジュール (TPM) をサポートする Windows エディションを示します。
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
はい | はい | はい | ○ |
トラステッド プラットフォーム モジュール (TPM) ライセンスエンタイトルメントは、次のライセンスによって付与されます。
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
はい | ○ | ○ | ○ | ○ |
Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。
Windows を使用した TPM の自動初期化
Windows 10 および Windows 11 を起動すると、オペレーティング システムは自動的に初期化され、TPM の所有権を取得します。 つまり、ほとんどの場合で、TPM 管理コンソール (TPM.msc) を通した TPM の構成を行わないことをお勧めします。 ただし例外がいくつかあります。例外の多くは、PC をリセットしたり、PC でクリーン インストールを実行したりする場合に関連します。 詳細については、「TPM のすべてのキーをクリアする」を参照してください。
注
Windows Server 2019 および Windows 10 バージョン 1809 以降の TPM 管理コンソールはアクティブに開発されなくなりました。
Windows 10 バージョン 1507 および 1511 に限定される、特定のエンタープライズ シナリオでは、グループ ポリシーを使用して、TPM 所有者認証値を Active Directory にバックアップする場合があります。 TPM の状態はオペレーティング システムのインストール全体で維持されるため、この TPM の情報は、Active Directory 内でコンピューター オブジェクトとは別の場所に保存されます。
実際の適用例
証明書は、TPM を使っているコンピューターでインストールまたは作成できます。 コンピューターがプロビジョニングされると、証明書の RSA 秘密キーは TPM にバインドされ、エクスポートできません。 TPM は、スマート カードの代わりに使えるため、スマート カードの作成と分配にかかっていたコストが減ります。
TPM での自動プロビジョニングにより、企業で TPM の展開にかかるコストが減ります。 TPM 管理用の新しい API は、ブート プロセスの実行中に TPM の状態変更要求を承認するために、TPM のプロビジョニング アクションにサービス技術者の物理プレゼンスが必要かどうかを決めることができます。
マルウェア対策ソフトウェアは、オペレーティング システムの起動状態のブート測定値を使用して、Windows を実行しているコンピューターの整合性を証明できます。 これらの測定値には、仮想化を使用するデータセンターで信頼されていないハイパーバイザーが実行されていないことをテストするための Hyper-V の起動が含まれます。 BitLocker のネットワーク ロック解除を使うとき、IT 管理者は、コンピューターが PIN の入力を待つことを気にせずに、更新プログラムをプッシュできます。
TPM には、特定のエンタープライズ シナリオで役立つグループ ポリシー設定がいくつかあります。 詳しくは、「TPM グループ ポリシー設定」をご覧ください。
デバイス正常性構成証明
デバイス正常性構成証明によって、企業は管理対象デバイスのハードウェアおよびソフトウェア コンポーネントに基づいて信頼を確立できます。 デバイスの熱構成証明を使用すると、セキュリティで保護されたリソースへのマネージド デバイス アクセスを許可または拒否する正常性構成証明サービスに対してクエリを実行するように MDM サーバーを構成できます。
デバイスでチェックできるセキュリティの問題には、次のようなものがあります。
- データ実行防止がサポートされており、有効になっているか。
- BitLocker ドライブの暗号化はサポートされていますか? また、有効ですか?
- セキュア ブートがサポートされており、有効になっているか。
注
Windows では、TPM 2.0 での Device Health 構成証明がサポートされています。 TPM 2.0 には UEFI ファームウェアが必要です。 レガシ BIOS と TPM 2.0 を搭載したデバイスは、想定どおりに動作しません。
デバイスの正常性構成証明でサポートされているバージョン
TPM バージョン | Windows 11 | Windows 10 | Windows Server 2022 | Windows Server 2019 | Windows Server 2016 |
---|---|---|---|---|---|
TPM 1.2 | >= ver 1607 | はい | >= ver 1607 | ||
TPM 2.0 | あり | ○ | はい | ○ | ○ |