BitLocker と TPM を評価する
BitLocker では、トラステッド プラットフォーム モジュール (TPM) チップを使用して、次の方法でスタートアップ プロセスの整合性を確認します。
- 初期ブート ファイルの整合性が維持されていることを確認し、ブート セクター ウイルスやルート キットなど、これらのファイルに悪影響を与えないことを確認する方法を提供します。
- オフラインのソフトウェアベースの攻撃を軽減するための保護の強化。 システムを起動する可能性のある代替ソフトウェアは、Windows オペレーティング システム ボリュームの暗号化解除キーにアクセスできません。
- システムが改ざんされたときにロックする。 監視対象のファイルが改ざんされた場合、システムは起動しません。 これにより、システムが通常どおりに起動しなかったため、ユーザーに改ざんの警告が表示されます。 システムロックアウトが発生した場合、BitLocker は簡単な回復プロセスを提供します。
TPM と組み合わせて、BitLocker は初期スタートアップ コンポーネントの整合性を検証します。 これにより、これらのコンポーネントに悪意のあるコードを挿入しようとするなど、追加のオフライン攻撃を防ぐことができます。 この機能は、コンピューターが起動できるように、スタートアップ プロセスの最も早い部分のコンポーネントを暗号化されていない形式で使用できる必要があるため、重要です。
注:
コンピューターの BIOS で TPM 機能を有効にする必要がある場合があります。
攻撃者がスタートアップ プロセス コンポーネントにアクセスできる場合は、ディスク上のデータが暗号化されていても、これらのコンポーネントのコードを変更し、コンピューターにアクセスできます。 攻撃者は、BitLocker キーやユーザー パスワードなどの機密情報にアクセスすると、BitLocker やその他の Windows セキュリティ保護を回避できます。
BitLocker には TPM は必要ありません。 ただし、TPM を持つコンピューターのみが、事前起動システム整合性検証の追加のセキュリティを提供できます。 コンピューターに TPM バージョン 1.2 チップがあるかどうかを判断するには、次の手順を実行します。
- コントロール パネルを開き、[システムとセキュリティ] を選択し、[BitLocker ドライブ暗号化] を選択します。
- 左下隅にある [ TPM 管理] を選択します。 ローカル コンピューター コンソールの TPM 管理が開きます。 コンピューターに TPM 1.2 チップがない場合は、"互換性のある TPM が見つかりません" というメッセージが表示されます。
注:
TPM 1.2 を持たないコンピューターでは、引き続き BitLocker を使用して Windows オペレーティング システム ボリュームを暗号化できます。 ただし、この実装には TPM は含まれていないので、コンピューターを起動したり休止状態から再開したりするために、USB スタートアップ キーを挿入する必要があります。 また、TPM を操作するときに BitLocker によって提供される事前起動システム整合性検証も提供されません。