企業でよりセキュリティーを強固にするための仕組み

Windows 11で話題になったTPM 2.0、CTOの選択は必須？

セキュリティーを強固にするTPM

　そもそもTPMとはなんぞや、という話だが、ざっくりいうとセキュリティ機能の提供するためのモジュールで、暗号化キーの生成や格納などをセキュアに行なうためのものだ。例えば、暗号化したときに、それを復号化するための鍵が誰でもアクセスできるような場所に保管されていたら、悪意のある人によるアプリや操作によって、鍵を使われかねない。そのようなことのないよう、簡単にはアクセスできない隔離した場所、つまりTPMの中に保管しておくことで、高いセキュリティを確保できるようになる。

　TPMには1.2と2.0があり、2.0では暗号化アルゴリズムが大幅に追加され、認証形式も増えるなど、より強固な仕様になっている。では、このTPMがWindowsで何に使われているのかというと、いちばんわかりやすいのがドライブごと暗号化する「BitLocker」だ。

ドライブの右クリックメニューにある「BitLocker」を選択すると現れる設定ダイアログ。TPMが利用できないとアラートが表示される

　BitLockerはWindows 10 Proなどビジネス用途向けに用意されている機能で、情報漏えいのリスクを低減する手段の1つ。HDDに保存している時点で暗号化されていることで、たとえデータが抜き出されたとしても復号できなければ中身を読み取ることはできない。　また、マシンが盗まれてHDDだけ抜き出されても、同様に読み取ることはできない。

　なお、Windows 10 HomeでもBitLockerで暗号化されたドライブの読み書きは可能なものの、BitLockerの利用開始はできない。また、TPM以外にもスマートカードなど、他の手段でBitLockerを利用する手段も用意されている。

インテルのPTTやAMDのfTPMでも利用可能

　さて、互換性確認ツールで、要件を満たさないと言われたことが意外と多かったことで、TPMはなにか別途ハードを用意する必要があるのかと思われがちだが、決してそんなことはない。

　以前はTPMの物理的なチップをマザーボード上に搭載する必要があったが、第4世代インテル Coreプロセッサー以降は、TPMのファームウェア化が可能になったことで、UEFI（BIOS）からTPMの設定が行えるようになっている。

　インテルのプラットフォームであれば、チップセットに「Intel PTT(Platform Trust Technology)」が載っていれば、マザーボードのファームウェアと組み合わせてTPM 2.0が利用可能である。CPUではないところに注意したい。なおチップセットが対応しているか否かは、インテルのチップセットのスペックを調べるとわかる。

インテルのサイトでは、チップセットの仕様を確認すると、「高度なテクノロジー」の項目に「インテル プラットフォーム・トラスト・テクノロジー (インテル PTT)」の有無で確認できる

　ちなみに、AMDプラットフォームであればCPUに「fTPM（firmware Trusted Platform Module）」の機能が含まれていれば利用できる。

　これらの設定はオン/オフができるため、互換性確認ツールを実行したときにオフ状態だと要件を満たさなくなる。初期状態でオンかオフか、メーカーによって対応が違ったり、またはファームウェアのアップデートをかけるとオフになったりすることもあるため、UEFIで設定を確認するといい。