TPM(Trusted Platform Module)とは?
TPMは、コンピューティングデバイスに追加の暗号化、セキュリティ、プライバシーを提供する暗号化モジュールです。 主な目的は、TPMに保存されている資格情報と秘密鍵なしに、攻撃者が機密データファイルにアクセスすることを防ぐことです。 Trusted Computing Group(TCG)は、TPMの仕様と国際標準を管理する組織です。 現在、TCGはTPMの最新バージョンであるTPM 2.0をリリースしています。 TPMの目的は、ソフトウェアベースのセキュリティが脆弱なコンピューターセキュリティを統合し強化することです。 ソフトウェア単独では、データ侵害やシステム起動中のハードウェア改ざんを特定することはできません。 TPMはマザーボードに物理的に実装されることで、これらの問題を解決します。 TPM 2.0とIoTとの関係について詳しく知りたい場合は、こちらをご覧ください。
|
TPMの機能 |
説明 |
|
プラットフォームの暗号ストレージ |
認証情報と秘密鍵はブートドライブではなくTPMに保存されます。これにより、デバイスから鍵をコピー/エクスポートする不正アクセスが防止されます。 |
|
BitLocker (キー暗号化) |
Bitlockerは、適切なブート時にのみロック解除されるパスワードとキーを暗号化します。ハードウェアの改ざんや、別のハードドライブからの起動を試みるなどのオフライン攻撃では、Bitlockerはロック解除されず、オペレーティングシステムは読み取り不能になります。 |
|
Credential Guard |
コンピューターが侵害された場合に、攻撃者が追加のコンピューターにアクセスするのを防ぐための二次防御システムです。 |
|
メジャーブート |
コンピューターのハードウェアが改ざんされていないことを確認するために、コンピューターのハードウェアを分析する起動プロセスです。 |
|
デバイス暗号化 |
デバイスに保存されている不揮発性データを暗号化し、保護します。 |
dTPMとは?fTPMとは?
ディスクリートTPM、またはdTPMは、ハードウェアベースの暗号化を提供するためにマザーボードに物理的に接続される独立したコンポーネントです。fTPMはファームウェア・トラステッド・プラットフォーム・モジュールの略で、半導体チップセットに実装されています。AMDやIntelのような主要な半導体メーカーは、最新世代のチップセット内にfTPMを提供しており、追加の保護と利便性を実現し、別の物理モジュールを必要としません。
dTPMとfTPMの違いは?
dTPMとfTPMはどちらも、追加の暗号化と機密データの保護という同じ目的を持っています。ただし、dTPMはTCG認定またはFIPS認定を必要とする企業および産業用アプリケーションで通常使用されます。一方、fTPMは、特定の認定を必要としない一般消費者や企業向けの汎用用途に傾倒しています。さらに、主要なチップセットメーカーは、独自のfTPMを開発しており、IntelのPTT(Platform Trust Technology)とAMDのfTPMの両方で、dTPMが必要な場合にfTPMを無効にしてマザーボードのBIOSからdTPMへのアクセスを有効にするオプションを提供しています。要するに、dTPMは組織内の特定の要件に対する認定を受けているのに対し、fTPMは汎用です。
Intel PTTとは?AMD fTPMとは?違いは何ですか?
主要な半導体メーカーであるIntelとAMDは、悪意のある攻撃に対するさらなる保護とセキュリティを提供するために、独自のTPMを開発しました。Intel PTT(Platform Trust Technology)とAMD fTPMはどちらもファームウェアベースのトラストプラットフォームモジュールであり、物理的なTPM 2.0の代替品です。IntelとAMDの主な目標は、エンドユーザーが別のモジュールを購入することなく、独自のチップセット内で追加のセキュリティ層を持つことができるようにすることです。Intel PTTとAMD fTPMの間にはほとんど違いがありません。両社の巨大企業はTCG標準と同じ原則とガイドラインに従っているからです。
Windows 11 TPM 2.0の要件 – Intel PTTとAMD fTPMの利点
Microsoftは、最新のオペレーティングシステムであるWindows 11を利用するには、TPMとセキュアブートが必須となることを発表しました。多くのユーザーにとっては不満で混乱するものではありますが、Microsoftはシステムのハッキングがより一般的になっているため、データ整合性を確保するための予防措置を講じています。混乱の理由は、特定のCPU、主に旧世代のCPUがWindows 11の要件と互換性がないことです。これがIntel PTTとAMD fTPMが導入された理由の1つです。Intel PTTまたはAMD fTPMを搭載したIntelまたはAMDのCPUは、TPM 2.0の要件を満たしており、最新のオペレーティングシステムに手間なくアップグレードできます。Intel PTTまたはAMD fTPMを搭載していない旧世代のCPUは、Windows 11にアップグレードするための要件を満たすために、別のdTPMをマザーボードに接続する必要があります。幸いなことに、MicrosoftはPC Health Checkアプリケーションを使用して、Windows 11にアップグレードできるかどうかをユーザーに非常に簡単かつ明確に知らせています。
FAQ
Windows 11のTPM 2.0では、fTPMとdTPMのどちらが良いですか?
fTPMとdTPMはどちらもWindows 11のTPM 2.0で満足のいくものです。両者は同様のパフォーマンスを発揮し、Bitlockerやディスク暗号化などのほぼ同じ機能を備えています。前述のように、唯一の違いは、dTPMがFIPS認定を受けていることであり、これは超機密データを扱う特定の組織で必要となる場合があります。
Windows 11でTPM 2.0が有効になっているか確認するには?
TPM 2.0が有効になっているかどうかは、スタートメニューを開き、「tpm.msc」と入力してOKを押すことで確認できます。ステータスセクションには「TPMは使用可能です」と表示され、TPM製造元情報には仕様バージョン「2.0」と表示されているはずです。これは、TPM 2.0が有効になっており、Windows 11のインストール要件を満たしていることを意味します。お使いのコンピューターがTPM 2.0を認識していないと表示された場合は、お使いのCPUがfTPMをサポートしているかどうかを確認するのが賢明です。そうすれば、UEFI BIOS内で有効にすることができ、dTPMを購入する必要がなくなります。ただし、ディスクリートTPMはFIPS認定を受けており、特定の操作に必要であることに注意してください。ファームウェアベースのTPMにはこれらの認定はなく、dTPMの標準に沿った状態を保つように努めています。
TPM 2.0はパフォーマンスに影響しますか?
いいえ、fTPMとdTPMの両方ともパフォーマンスには全く影響しません。コンピューターの起動プロトコルが完了し、すべてがチェックされると、TPMはアイドル状態になります。TPM 2.0を有効にすることによるデメリットはほとんどなく、システムの全体的なデータセキュリティを大幅に向上させます。
情報源:
Intel
(https://www.intel.com/content/www/us/en/business/enterprise-computers/resources/trusted-platform-module.html)
Microsoft
(https://learn.microsoft.com/en-us/windows/security/information-protection/tpm/how-windows-uses-the-tpm)
(https://www.microsoft.com/en-us/windows/windows-11-specifications?r=1)
(https://learn.microsoft.com/en-us/windows/security/information-protection/tpm/how-windows-uses-the-tpm)