トラステッド プラットフォーム モジュール テクノロジの概要

IT 担当者向けのこのトピックでは、トラステッド プラットフォーム モジュール (TPM) について、また、Windows でのアクセス制御と認証へのその使い方について説明します。このトピックでは、TPM に関するその他のリソースへのリンクも示します。

機能の説明

トラステッド プラットフォーム モジュール (TPM) テクノロジは、ハードウェア ベースのセキュリティ関連機能を提供します。TPM チップは、暗号化操作を実行するように設計されたセキュアな暗号プロセッサです。このチップには、改ざんに強い複数の物理セキュリティ メカニズムが搭載されており、そのセキュリティ機能により、悪意のあるソフトウェアによる改ざんを防げます。TPM テクノロジを使う主な利点は次のとおりです。

  • 暗号化キーの生成、格納、使用制限を行う。

  • TPM 自体に書き込まれた一意の RSA キーを使うことで、TPM テクノロジを使ってプラットフォーム デバイスを認証する。

  • セキュリティ対策を取得して格納することで、プラットフォームの整合性を保つ。

TPM の最も一般的な機能はシステム整合性の測定とキーの作成に使われます。システムのブート プロセスの実行時、読み込まれたブート コード (ファームウェア、オペレーティング システム コンポーネントを含む) は TPM で測定して記録できます。整合性の測定値は、システムがどのように起動されたかの証拠として使えます。また、正しいソフトウェアによるシステムの起動にのみ TPM ベースのキーが用いられたことの確認としても使えます。

TPM ベースのキーは、さまざまな方法で構成できます。たとえば、TPM の外部で使えないように構成できます。これは、フィッシング攻撃の軽減に効果があります。TPM なしでは、キーをコピーして使えないためです。また、認証値の使用を求めるように構成することもできます。誤った認証値の推測があまりにも多い場合、TPM はその辞書攻撃ロジックをアクティブ化し、さらなる認証値の推測を防ぎます。

TPM のさまざまなバージョンは Trusted Computing Group (TCG) による仕様で定義されています。詳しくは、TCG の Web サイト (http://www.trustedcomputinggroup.org/developers/trusted_platform_module) をご覧ください。

Windows では、TPM のプロビジョニングと管理を自動化できます。グループ ポリシー設定は、TPM 所有者認証値が Active Directory にバックアップされるかどうかを制御するように構成できます。TPM の状態はオペレーティング システムのインストール全体で持続するため、TPM の情報は、Active Directory 内でコンピューター オブジェクトとは別の場所に格納されます。企業のセキュリティの目標に応じて、グループ ポリシーは、ローカルの管理者に対して TPM の辞書攻撃ロジックのリセットを許可または禁止するように構成できます。標準ユーザーは TPM を使えますが、グループ ポリシーの制御により、標準ユーザーによる認証試行の失敗回数を制限できます。その結果、1 人のユーザーのせいで他のユーザーや管理者が TPM を使えなくなるのを防げます。TPM テクノロジは、セキュアな証明書を格納するための仮想スマート カードとして使うこともできます。BitLocker のネットワーク ロック解除を使うとき、ドメインに参加しているコンピューターは BitLocker PIN の入力を求められなくなります。

実際の適用例

証明書は、TPM を使っているコンピューターでインストールまたは作成できます。コンピューターのプロビジョニング後、証明書の RSA 秘密キーは TPM にバインドされ、エクスポートできなくなります。TPM は、スマート カードの代わりに使えるため、スマート カードの作成と分配にかかっていたコストが減ります。

TPM での自動プロビジョニングにより、企業で TPM の展開にかかるコストが減ります。TPM 管理用の新しい API は、ブート プロセスの実行中に TPM の状態変更要求を承認するために、TPM のプロビジョニング アクションにサービス技術者の物理プレゼンスが必要かどうかを決めることができます。

マルウェア対策ソフトウェアは、オペレーティング システムの開始状態のブート測定値を使って、Windows 10、Windows 8.1、Windows 8、Windows Server 2012 R2、または Windows Server 2012 を実行しているコンピューターの整合性を調べることができます。これらの測定値は、Hyper-V の起動もかかわっており、仮想化を行うデータ センターが信頼されていないハイパーバイザーを実行していないことのテストにも使えます。BitLocker のネットワーク ロック解除を使うとき、IT 管理者は、コンピューターが PIN の入力を待つことを気にせずに、更新プログラムをプッシュできます。

TPM には、その使われ方を管理するための、いくつかのグループ ポリシー設定があります。これらの設定を使って、所有者認証値、ブロックされる TPM コマンド、標準ユーザーのロックアウト、AD DS への TPM のバックアップを管理できます。詳しくは、「トラステッド プラットフォーム モジュール サービスのグループ ポリシー設定」をご覧ください。

新機能と変更された機能

Windows 10 のトラステッド プラットフォーム モジュールの新機能と変更された機能について詳しくは、「トラステッド プラットフォーム モジュールの新機能」をご覧ください。

デバイスの正常性の認証

デバイスの正常性の認証によって、企業は管理対象デバイスのハードウェアおよびソフトウェア コンポーネントに基づいて信頼を確立できます。デバイスの正常性の認証を使って、管理対象のデバイスにセキュリティで保護されたリソースへのアクセスを許可または拒否する正常性の認証サービスに照会するよう MDM サーバーを構成できます。

デバイスについて次のようなことを確認できます。

  • データ実行防止がサポートされており、有効になっているか。
  • BitLocker ドライブ暗号化がサポートされており、有効になっているか。
  • セキュア ブートがサポートされており、有効になっているか。

  デバイスは、Windows 10 を実行している必要があり、TPM 2.0 以上をサポートしている必要があります。

 

サポートされているバージョン

TPM バージョン Windows 10 Windows Server 2012 R2、Windows 8.1、Windows RT Windows Server 2012、Windows 8、Windows RT Windows Server 2008 R2、Windows 7

TPM 1.2

TPM 2.0

 

その他の資料

TPM の基本事項

TPM グループ ポリシー設定

Windows PowerShell の TPM コマンドレット

TPM バックアップをサポートするための AD DS スキーマ拡張機能

BitLocker に向けた組織の準備: 計画とポリシー - TPM の構成