トラステッド プラットフォーム モジュール技術概要

適用対象

  • Windows 11
  • Windows 10
  • Windows Server 2016
  • Windows Server 2019

IT 担当者向けのこのトピックでは、トラステッド プラットフォーム モジュール (TPM) について説明し、Windows がアクセス制御や認証に TPM を使用する方法についても説明します。

機能の説明

        [トラステッド プラットフォーム モジュール (TPM)](/windows/security/information-protection/tpm/trusted-platform-module-top-node) テクノロジは、ハードウェア ベースのセキュリティ関連機能を提供するように設計されています。 TPM チップは、暗号化操作を実行するように設計されたセキュリティで保護された暗号プロセッサです。 このチップには、改ざんを防ぐ複数の物理的なセキュリティ メカニズムが含まれており、悪意のあるソフトウェアは TPM のセキュリティ機能を改ざんできません。 TPM テクノロジを使う主な利点は次のとおりです。
  • 暗号化キーの生成、格納、使用制限を行う。

  • TPM 自体に書き込まれた一意の RSA キーを使うことで、TPM テクノロジを使ってプラットフォーム デバイスを認証する。

  • セキュリティ対策を取得して格納することで、プラットフォームの整合性を保つ。

TPM の最も一般的な機能はシステム整合性の測定とキーの作成に使われます。 システムのブート プロセスの実行時、読み込まれたブート コード (ファームウェア、オペレーティング システム コンポーネントを含む) は TPM で測定して記録できます。 整合性の測定値は、システムがどのように起動されたかの証拠として使えます。また、正しいソフトウェアによるシステムの起動にのみ TPM ベースのキーが用いられたことの確認としても使えます。

TPM ベースのキーは、さまざまな方法で構成できます。 たとえば、TPM の外部で使えないように構成できます。 これは、フィッシング攻撃の軽減に効果があります。TPM なしでは、キーをコピーして使えないためです。 また、認証値の使用を求めるように構成することもできます。 誤った認証値の推測があまりにも多い場合、TPM はその辞書攻撃ロジックをアクティブ化し、さらなる認証値の推測を防ぎます。

TPM のさまざまなバージョンは Trusted Computing Group (TCG) によって策定された仕様で定義されています。 詳細については、TCG Web サイトをご覧ください。

Windows を使用した TPM の自動初期化

Windows 10 および Windows 11 を起動すると、オペレーティング システムは自動的に初期化され、TPM の所有権を取得します。 つまり、ほとんどの場合で、TPM 管理コンソール (TPM.msc) を通した TPM の構成を行わないことをお勧めします。 ただし例外がいくつかあります。例外の多くは、PC をリセットしたり、PC でクリーン インストールを実行したりする場合に関連します。 詳細については、「TPM のすべてのキーをクリアする」を参照してください。 Windows Server 2019 および Windows 10 バージョン 1809 以降の TPM 管理コンソールはアクティブに開発されなくなりました

Windows 10 バージョン 1507 および 1511 に限定される、特定のエンタープライズ シナリオでは、グループ ポリシーを使用して、TPM 所有者認証値を Active Directory にバックアップする場合があります。 TPM の状態はオペレーティング システムのインストール全体で維持されるため、この TPM の情報は、Active Directory 内でコンピューター オブジェクトとは別の場所に保存されます。

実際の適用例

証明書は、TPM を使っているコンピューターでインストールまたは作成できます。 コンピューターのプロビジョニング後、証明書の RSA 秘密キーは TPM にバインドされ、エクスポートできなくなります。 TPM は、スマート カードの代わりに使えるため、スマート カードの作成と分配にかかっていたコストが減ります。

TPM での自動プロビジョニングにより、企業で TPM の展開にかかるコストが減ります。 TPM 管理用の新しい API は、ブート プロセスの実行中に TPM の状態変更要求を承認するために、TPM のプロビジョニング アクションにサービス技術者の物理プレゼンスが必要かどうかを決めることができます。

マルウェア対策ソフトウェアは、オペレーティング システム起動状態のブート測定値を使用して、Windows 10、Windows 11、または Windows Server 2016 を実行しているコンピューターの整合性を証明できます。 これらの測定値には、Hyper-V を起動して仮想化を使用するデータセンターが信頼されていないハイパーバイザーを実行していないことのテストも含まれます。 BitLocker のネットワーク ロック解除を使うとき、IT 管理者は、コンピューターが PIN の入力を待つことを気にせずに、更新プログラムをプッシュできます。

TPM には、特定のエンタープライズ シナリオで役立つグループ ポリシー設定がいくつかあります。 詳しくは、「TPM グループ ポリシー設定」をご覧ください。

新機能と変更された機能

トラステッド プラットフォーム モジュールの新機能と変更された機能の詳細については、「トラステッド プラットフォーム モジュールの新機能とは」を参照してください。

デバイス正常性構成証明

デバイス正常性構成証明によって、企業は管理対象デバイスのハードウェアおよびソフトウェア コンポーネントに基づいて信頼を確立できます。 デバイスの正常性の認証を使って、管理対象のデバイスにセキュリティで保護されたリソースへのアクセスを許可または拒否する正常性の認証サービスに照会するよう MDM サーバーを構成できます。

デバイスについて次のようなことを確認できます。

  • データ実行防止がサポートされており、有効になっているか。

  • BitLocker ドライブの暗号化はサポートされていますか? また、有効ですか?

  • SecureBoot はサポートされていて、有効化されていますか?

注意

Windows 11、Windows 10、Windows Server 2016、Windows サーバー 2019 は、TPM 2.0 を使用したデバイス正常性構成証明をサポートします。 TPM 1.2 のサポートは、バージョン 1607 (RS1) Windows 以降で追加されました。 TPM 2.0 には UEFI ファームウェアが必要です。 従来の BIOS と TPM 2.0 を使用するコンピューターは期待どおりに動作しなくなります。

デバイスの正常性構成証明でサポートされているバージョン

TPM バージョン Windows 11 Windows 10 Windows Server 2016 Windows Server 2019
TPM 1.2 >= ver 1607 >= ver 1607 あり
TPM 2.0 あり あり あり