TPM の推奨事項

適用対象

  • Windows 10
  • Windows 11
  • Windows Server 2016以上

このトピックでは、信頼できるプラットフォーム モジュール (TPM) テクノロジに関する推奨事項をWindows。

TPM の基本的な機能の説明については、「トラステッド プラットフォーム モジュール技術概要」をご覧ください。

TPM の設計と実装

従来、TPM はコンピューターのマザーボードに半田付けされたディスクリート チップです。 この実装形態では、コンピューターの OEM (相手先ブランド供給) は TPM をシステムの残りと分離して評価および認証できます。 ディスクリート TPM の実装は一般的です。 ただし、小さいデバイスや低電力消費の統合デバイスでは問題になる可能性があります。 最近は、TPM 機能を他のプラットフォーム コンポーネントと同じチップセット内に統合し、ディスクリート TPM チップと同じような分離を論理的に提供する新しい TPM 実装も登場しています。

TPM は受動的なデバイスであり、コマンドを受信して応答を返します。 TPM のメリットを最大限に活用するには、OEM はシステムのハードウェアおよびファームウェアと TPM を慎重に統合して、TMP にコマンドを送信し、返される応答に対応する必要があります。 TPM は、本来、セキュリティとプライバシーのメリットをプラットフォームの所有者とユーザーに提供するために設計されたものですが、新しいバージョンではセキュリティとプライバシーのメリットをシステム ハードウェア自体に提供できます。 ただし、TPM を高度なシナリオに使用する前に、TPM をプロビジョニングする必要があります。 Windows自動的に TPM をプロビジョニングしますが、ユーザーがオペレーティング システムの再インストールを計画している場合は、Windows が TPM をフルに活用できるよう、再インストールする前に TPM をクリアする必要がある場合があります。

Trusted Computing Group (TCG) は、TPM の仕様を公開し管理している非営利組織です。 TCG は、ベンダーに依存しないグローバルな業界標準を開発、定義、および促進するために存在します。 これらの標準は、相互運用可能な信頼できるコンピューティング プラットフォームに対するハードウェア ベースの信頼のルートをサポートします。 TCGは、国際標準化機構 (ISO) と国際電気標準会議 (IEC) の合同の委員会である JTC 1 が定義する公開仕様書提出プロセスを通じて、TPM 仕様を国際標準 ISO/IEC 11889 としても公開しています。

OEM は、PC、タブレット、携帯電話などの信頼されたコンピューティング プラットフォームに TPM をコンポーネントとして実装します。 信頼されたコンピューティング プラットフォームは、TPM を使用して、ソフトウェアだけでは実現できないプライバシーとセキュリティのシナリオをサポートします。 たとえば、ソフトウェアだけでは、システムの起動プロセス中にマルウェアが存在するかどうかを確実に報告できません。 TPM とプラットフォームの密接な統合により、起動プロセスの透明性が高まり、デバイスを起動するソフトウェアの測定と報告の信頼できる結果に基づいて、デバイスの正常性を評価できるようになります。 信頼されたコンピューティング プラットフォームの一部として TPM を実装すると、ハードウェアに信頼のルートがもたらされます。つまり、ハードウェアが信頼できる方法で動作します。 たとえば、TPM に格納したキーに、そのキーのエクスポートを禁止するプロパティが含まれている場合、そのキーは TPM から出ることはできなくなります。

TCG は、さまざまな顧客セグメントの要件に対応する低コストのマスマーケット用セキュリティ ソリューションとして TPM を設計しています。 顧客セグメントや規制機関ごとにセキュリティ要件が異なるように、TPM の実装ごとにセキュリティ プロパティは異なります。 たとえば、公的調達の場合、TPM に関するセキュリティ要件を明確に定義している政府機関もあれば、そうではない機関もあります。

TPM 1.2 と 2.0 の比較

Microsoft は、業界標準に関しては業界を率先する形で TPM 2.0 への移行と標準化を推進しています。TPM 2.0 には、アルゴリズム、暗号化、階層、ルート キー、承認、NV RAM にわたって数多くの重要なメリットが盛り込まれています。

TPM 2.0 を使う理由

TPM 2.0 の製品やシステムは TPM 1.2 と比較して次の重要なセキュリティ上の利点があります。

  • TPM 1.2 仕様では、RSA と SHA-1 ハッシュ アルゴリズムの使用のみが許可されます。

  • セキュリティ上の理由から、一部のエンティティは SHA-1 の使用を避け始めています。 特に、2014 年現在、NIST は多くの連邦機関に対して SHA-256 への移行を要請しています。Microsoft や Google などのテクノロジ リーダーも、SHA-1 ベースの署名と証明書のサポートを 2017 年に終了することを発表しました。

  • TPM 2.0 は暗号化アルゴリズムをより柔軟にすることで、より高速な暗号化を実現しました。

    • TPM 2.0 では、より新しいアルゴリズムがサポートされており、これにより、署名とキー生成のパフォーマンスを向上させることができます。 サポートされているアルゴリズムの完全な一覧については、「TCG Algorithm Registry」(TCG アルゴリズム レジストリ) をご覧ください。 一部の TPM では、すべてのアルゴリズムがサポートされていません。

    • Windows がプラットフォーム暗号化ストレージ プロバイダーでサポートしているアルゴリズムの一覧については、「CNG Cryptographic Algorithm Providers」(CNG 暗号化アルゴリズム プロバイダー) をご覧ください。

    • TPM 2.0 は、ISO 標準 (ISO/IEC 11889:2015) として承認されました。

    • TPM 2.0 の使用は、OEM において、特定の国や地域のために標準構成に例外を設ける必要をなくすために役立つ場合があります。

  • TPM 2.0 は、異なる実装間でより一貫性のあるエクスペリエンスを実現します。

    • TPM 1.2 の実装では、ポリシー設定に違いがあります。 ロックアウト ポリシーが異なるため、サポートの問題が生じることがあります。

    • TPM 2.0 のロックアウトのポリシーは Windows によって構成され、辞書攻撃からの保護に関して一定した保証を行います。

  • TPM 1.2 パーツは、通常、マザーボード上で半田付けされる個別のシリコン コンポーネントですが、TPM 2.0 は、1 つの半導体パッケージ内の離散******(dTPM)** シリコン コンポーネント、1 つ以上の半導体パッケージに組み込まれた統合コンポーネント、および同じパッケージ内の他のロジック ユニットと組み込まれた統合コンポーネント、および汎用 SoC の信頼できる実行環境 (TEE) で実行されるファームウェア (fTPM) ベースのコンポーネントとして利用できます。

注意

TPM 2.0 は、BIOS のレガシ モードと CSM モードではサポートされていません。 TPM 2.0 のデバイスでは、BIOS モードがネイティブ UEFI としてのみ構成されている必要があります。 従来のサポート モジュールと互換性サポート モジュール (CSM) オプションを無効にする必要があります。 セキュリティを強化するには、セキュア ブート機能を有効にします。

レガシー モードのハードウェアにインストールされているオペレーティング システムは、BIOS モードが UEFI に変更された場合、OS の起動を停止します。 UEFI をサポートするために OS とディスクを準備する BIOS モードを変更する前に、ツール MBR2GPT を使用します。

ディスクリート TPM、統合 TPM、ファームウェア TPM

TPM の実装オプションには次の 3 つがあります。

  • ディスクリート TPM チップ (TPM 独自の半導体パッケージ内にある個別のコンポーネントとして利用できます)

  • 統合 TPM ソリューション (1 つ以上の半導体パッケージに他のコンポーネントと共に統合された専用のハードウェアを使用します。他のコンポーネントと共に組み込まれてはいますが、論理的には個別のコンポーネントです)

  • ファームウェア TPM ソリューション (ファームウェア上で TPM を汎用の計算装置の信頼された実行モードで実行します)

Windows では、互換性のある TPM は同じ方法で使用されます。 Microsoft は、TPM を実装する方法に関する立場を取らないので、利用可能な TPM ソリューションのエコシステムが広がっています。これは、すべてのニーズに合わせて行う必要があります。

消費者にとっての TPM の重要性

エンド コンシューマの場合、TPM は舞台裏に存在しますが、それでも関連性があります。 TPM は、Windows Hello や Windows Hello for Business で使用されており、将来的には、Windows が備えている他の多くの主要なセキュリティ機能のコンポーネントとなる可能性があります。 TPM は、PIN をセキュリティ保護し、パスワードの暗号化に役立ち、セキュリティWindowsの全体的なエクスペリエンス ストーリーを重要な柱として構築します。 TPM が搭載されたシステムで Windows を使用すると、より深く、広い範囲でセキュリティが確保されます。

TPM 2.0 コンプライアンス Windows

Windowsエディション (ホーム、Pro、Enterprise、および Education)

  • 2016 年 7 月 28 日以降、すべての新しいデバイス モデル、回線、またはシリーズ (または CPU、グラフィック カードなどのメジャー更新プログラムを使用して既存のモデル、ライン、またはシリーズのハードウェア構成を更新する場合) は、既定の TPM 2.0 (最小ハードウェア要件ページのセクション 3.7 の詳細) を実装して有効にする必要があります。 TPM 2.0 を有効にするための要件は、新しいデバイスの製造にのみ適用されます。 特定の Windows 機能に対する TPM の推奨事項については、「TPM と Windows の機能」をご覧ください。

IoT Core

  • IoT Core では、TPM はオプションです。

Windows Server 2016

  • TPM は、WINDOWS サーバー SKU の場合、SKU がホスト ガーディアン サービス シナリオの他の条件 (AQ) 条件を満たしている場合を超え、TPM 2.0 が必要な場合はオプションです。

TPM と Windows の機能

次の表では、TPM サポートが必要な Windows の機能を定義します。

Windows の機能 TPM 必須 TPM 1.2 をサポート TPM 2.0 をサポート 詳細
メジャー ブート あり あり メジャー ブートには、TPM 1.2 または 2.0 と UEFI セキュア ブートが必要です。 TPM 2.0 は、新しい暗号化アルゴリズムをサポートしています。 TPM 1.2 では、非推奨の SHA-1 アルゴリズムのみをサポートしています。
BitLocker なし あり あり TPM 1.2 または 2.0 はサポートされますが、TPM 2.0 をお勧めします。 デバイスの自動暗号化には、TPM 2.0 サポートを含むモダン スタンバイが必要です
デバイスの暗号化 該当せず デバイスの暗号化ではモダン スタンバイ/コネクト スタンバイの証明書が必要であり、そのために TPM 2.0 が必要です。
Windows Defenderアプリケーション制御 (Device Guard) なし あり あり
Windows DefenderSystem Guard (DRTM) あり なし あり TPM 2.0 および UEFI ファームウェアが必要です。
Credential Guard × あり Windows 10 バージョン 1507 (2017 年 5 月時点でサポート終了) は、Credential Guard 用に TPM 2.0 のみをサポートしていました。 Windows 10 バージョン 1511 以降では、TPM 1.2 と 2.0 がサポートされています。 TPM 2.0 はWindows Defender System Guard と組み合わせ、Credential Guard のセキュリティを強化します。 Windows 11 では、この強化されたセキュリティを顧客に容易に有効にするために、既定で TPM 2.0 が必要です。
デバイス正常性構成証明 あり あり TPM 2.0 は、新しい暗号化アルゴリズムをサポートしています。 TPM 1.2 では、非推奨の SHA-1 アルゴリズムのみをサポートしています。
Windows Hello/Windows Hello for Business × あり Azure AD への参加は TPM の両方のバージョンをサポートしていますが、キーの構成証明のサポート用に、キー付きハッシュ メッセージ認証コード (HMAC) および保証キー (EK) 証明書付きの TPM が必要です。 パフォーマンスとセキュリティを向上させるには、TPM 1.2 よりも TPM 2.0 が推奨されます。 Windows Helloとして使用すると、キーストレージに TPM 2.0 が利用されます。
UEFI セキュア ブート × あり
TPM プラットフォームの暗号化プロバイダー、キー記憶域プロバイダー あり
仮想スマート カード あり
証明書ストア × あり TPM は、証明書が TPM に格納される場合にのみ必要です。
Autopilot なし 該当せず TPM が必要なシナリオ (白いグローブや自己展開モードなど) を展開する場合は、TPM 2.0 と UEFI ファームウェアが必要です。
SecureBIO なし あり TPM 2.0 および UEFI ファームウェアが必要です。

TPM 2.0 システムの OEM ステータスの可用性と認定済みのパーツ

政府関連のお客様や規制のある業界の大企業のお客様は、場合によっては調達基準により一般的に認定済みの TPM パーツを使う必要があります。 このため、デバイスを提供する OEM では、認定済みの TPM コンポーネントだけを使って商用クラスのシステムを構築することが必要になる場合があります。 詳しくは、OEM またはハードウェアの販売元に問い合わせてください。