第6回 VAIO Z購入記、買ったからには徹底的に使いこなしてレビューする

企業でよりセキュリティーを強固にするための仕組み

Windows 11で話題になったTPM 2.0、CTOの選択は必須?

文●飯島範久 編集●ASCII.jp編集部

  • この記事をはてなブックマークに追加
  • 本文印刷

セキュリティーを強固にするTPM

 そもそもTPMとはなんぞや、という話だが、ざっくりいうとセキュリティ機能の提供するためのモジュールで、暗号化キーの生成や格納などをセキュアに行なうためのものだ。例えば、暗号化したときに、それを復号化するための鍵が誰でもアクセスできるような場所に保管されていたら、悪意のある人によるアプリや操作によって、鍵を使われかねない。そのようなことのないよう、簡単にはアクセスできない隔離した場所、つまりTPMの中に保管しておくことで、高いセキュリティを確保できるようになる。

 TPMには1.2と2.0があり、2.0では暗号化アルゴリズムが大幅に追加され、認証形式も増えるなど、より強固な仕様になっている。では、このTPMがWindowsで何に使われているのかというと、いちばんわかりやすいのがドライブごと暗号化する「BitLocker」だ。

ドライブの右クリックメニューにある「BitLocker」を選択すると現れる設定ダイアログ。TPMが利用できないとアラートが表示される

 BitLockerはWindows 10 Proなどビジネス用途向けに用意されている機能で、情報漏えいのリスクを低減する手段の1つ。HDDに保存している時点で暗号化されていることで、たとえデータが抜き出されたとしても復号できなければ中身を読み取ることはできない。 また、マシンが盗まれてHDDだけ抜き出されても、同様に読み取ることはできない。

 なお、Windows 10 HomeでもBitLockerで暗号化されたドライブの読み書きは可能なものの、BitLockerの利用開始はできない。また、TPM以外にもスマートカードなど、他の手段でBitLockerを利用する手段も用意されている。

インテルのPTTやAMDのfTPMでも利用可能

 さて、互換性確認ツールで、要件を満たさないと言われたことが意外と多かったことで、TPMはなにか別途ハードを用意する必要があるのかと思われがちだが、決してそんなことはない。

 以前はTPMの物理的なチップをマザーボード上に搭載する必要があったが、第4世代インテル Coreプロセッサー以降は、TPMのファームウェア化が可能になったことで、UEFI(BIOS)からTPMの設定が行えるようになっている。

 インテルのプラットフォームであれば、チップセットに「Intel PTT(Platform Trust Technology)」が載っていれば、マザーボードのファームウェアと組み合わせてTPM 2.0が利用可能である。CPUではないところに注意したい。なおチップセットが対応しているか否かは、インテルのチップセットのスペックを調べるとわかる。

 

インテルのサイトでは、チップセットの仕様を確認すると、「高度なテクノロジー」の項目に「インテル プラットフォーム・トラスト・テクノロジー (インテル PTT)」の有無で確認できる

 ちなみに、AMDプラットフォームであればCPUに「fTPM(firmware Trusted Platform Module)」の機能が含まれていれば利用できる。

 これらの設定はオン/オフができるため、互換性確認ツールを実行したときにオフ状態だと要件を満たさなくなる。初期状態でオンかオフか、メーカーによって対応が違ったり、またはファームウェアのアップデートをかけるとオフになったりすることもあるため、UEFIで設定を確認するといい。

過去記事アーカイブ

2021年
01月
02月
03月
04月
05月
06月
07月
08月
09月
10月
11月
2020年
01月
03月
04月
05月
06月
10月
11月
2019年
01月
02月
03月
04月
05月
06月
07月
08月
09月
11月
12月
2018年
01月
02月
03月
04月
05月
06月
07月
08月
11月
12月
2017年
01月
03月
04月
05月
06月
07月
08月
09月
10月
11月
12月
2016年
01月
02月
03月
04月
05月
07月
08月
10月
11月
12月
2015年
01月
02月
03月
04月
05月
06月
07月
08月
09月
10月
12月
2014年
07月
08月
09月
10月
11月
12月