TPM の推奨事項

このトピックでは、Windows 用のトラステッド プラットフォーム モジュール (TPM) テクノロジに関する推奨事項について説明します。

TPM の基本的な機能の説明については、「トラステッド プラットフォーム モジュール技術概要」をご覧ください。

TPM の設計と実装

従来、TPM はディスクリート チップであり、コンピューターのマザーボードにはんだ付けされています。 このような実装により、コンピューターの元の機器メーカー (OEM) は、システムの残りの部分とは別に TPM を評価および認定できます。 個別の TPM 実装は一般的です。 ただし、小型または低消費電力の統合デバイスでは問題が発生する可能性があります。 最近は、TPM 機能を他のプラットフォーム コンポーネントと同じチップセット内に統合し、ディスクリート TPM チップと同じような分離を論理的に提供する新しい TPM 実装も登場しています。

TPM は受動的なデバイスであり、コマンドを受信して応答を返します。 TPM のメリットを最大限に活用するには、OEM はシステムのハードウェアおよびファームウェアと TPM を慎重に統合して、TMP にコマンドを送信し、返される応答に対応する必要があります。 TPM はもともと、プラットフォームの所有者とユーザーにセキュリティとプライバシーの利点を提供するように設計されていましたが、新しいバージョンでは、システム ハードウェア自体にセキュリティとプライバシーの利点を提供できます。 ただし、TPM を高度なシナリオに使用する前に、TPM をプロビジョニングする必要があります。 Windows は TPM を自動的にプロビジョニングしますが、ユーザーがオペレーティング システムを再インストールする予定の場合は、Windows が TPM を最大限に活用できるように、再インストールする前に TPM をクリアする必要がある場合があります。

Trusted Computing Group (TCG) は、TPM の仕様を公開し管理している非営利組織です。 TCG は、ベンダーに依存しないグローバルな業界標準を開発、定義、促進するために存在します。 これらの標準では、相互運用可能な信頼されたコンピューティング プラットフォームのハードウェア ベースの信頼ルートがサポートされています。 TCGは、国際標準化機構 (ISO) と国際電気標準会議 (IEC) の合同の委員会である JTC 1 が定義する公開仕様書提出プロセスを通じて、TPM 仕様を国際標準 ISO/IEC 11889 としても公開しています。

OEM は、PC、タブレット、携帯電話などの信頼されたコンピューティング プラットフォームに TPM をコンポーネントとして実装します。 信頼されたコンピューティング プラットフォームは、TPM を使用して、ソフトウェアだけでは実現できないプライバシーとセキュリティのシナリオをサポートします。 たとえば、ソフトウェアだけでは、システムの起動プロセス中にマルウェアが存在するかどうかを確実に報告できません。 TPM とプラットフォームの密接な統合により、起動プロセスの透明性が高まり、デバイスを起動するソフトウェアの測定と報告の信頼できる結果に基づいて、デバイスの正常性を評価できるようになります。 トラステッド コンピューティング プラットフォームの一部としての TPM の実装は、信頼のハードウェア ルートを提供します。つまり、信頼された方法で動作します。 たとえば、TPM に格納したキーに、そのキーのエクスポートを禁止するプロパティが含まれている場合、そのキーは TPM から出ることはできなくなります。

TCG は、さまざまな顧客セグメントの要件に対応する低コストのマスマーケット用セキュリティ ソリューションとして TPM を設計しています。 顧客セグメントや規制機関ごとにセキュリティ要件が異なるように、TPM の実装ごとにセキュリティ プロパティは異なります。 たとえば、公的調達の場合、TPM に関するセキュリティ要件を明確に定義している政府機関もあれば、そうではない機関もあります。

TPM 1.2 と 2.0 の比較

Microsoft は、業界標準に関しては業界を率先する形で TPM 2.0 への移行と標準化を推進しています。TPM 2.0 には、アルゴリズム、暗号化、階層、ルート キー、承認、NV RAM にわたって数多くの重要なメリットが盛り込まれています。

TPM 2.0 を使う理由

TPM 2.0 の製品やシステムは TPM 1.2 と比較して次の重要なセキュリティ上の利点があります。

  • TPM 1.2 仕様では、RSA と SHA-1 ハッシュ アルゴリズムの使用のみが許可されます。
  • セキュリティ上の理由から、一部のエンティティは SHA-1 の使用を避け始めています。 特に、2014 年現在、NIST は多くの連邦機関に対して SHA-256 への移行を要請しています。Microsoft や Google などのテクノロジ リーダーも、SHA-1 ベースの署名と証明書のサポートを 2017 年に終了することを発表しました。
  • TPM 2.0 は暗号化アルゴリズムをより柔軟にすることで、より高速な暗号化を実現しました。
    • TPM 2.0 では、より新しいアルゴリズムがサポートされており、これにより、署名とキー生成のパフォーマンスを向上させることができます。 サポートされているアルゴリズムの完全な一覧については、「TCG Algorithm Registry」(TCG アルゴリズム レジストリ) をご覧ください。 一部の TPM では、すべてのアルゴリズムがサポートされていません。
    • Windows がプラットフォーム暗号化ストレージ プロバイダーでサポートしているアルゴリズムの一覧については、「CNG Cryptographic Algorithm Providers」(CNG 暗号化アルゴリズム プロバイダー) をご覧ください。
    • TPM 2.0 は、ISO 標準 (ISO/IEC 11889:2015) として承認されました。
    • TPM 2.0 の使用は、OEM において、特定の国や地域のために標準構成に例外を設ける必要をなくすために役立つ場合があります。
  • TPM 2.0 は、異なる実装間でより一貫性のあるエクスペリエンスを実現します。
    • TPM 1.2 の実装では、ポリシー設定に違いがあります。 ロックアウト ポリシーが異なるため、サポートの問題が生じることがあります。
    • TPM 2.0 のロックアウトのポリシーは Windows によって構成され、辞書攻撃からの保護に関して一定した保証を行います。
  • TPM 1.2 パーツは、通常はマザーボードにはんだ付けされるディスクリート シリコン コンポーネントですが、TPM 2.0 は、1 つの半導体パッケージに組み込まれたディスクリート (dTPM) シリコン コンポーネントとして、同じパッケージ内の他のロジック ユニットと共に、汎用 SoC 上の信頼された実行環境 (TEE) で実行されるファームウェア (fTPM) ベースのコンポーネントとして、1 つ以上の半導体パッケージに組み込まれた統合コンポーネントとして使用できます。

TPM 2.0 は、BIOS のレガシ モードと CSM モードではサポートされていません。 TPM 2.0 を搭載したデバイスでは、BIOS モードをネイティブ UEFI としてのみ構成する必要があります。 レガシおよび互換性サポート モジュール (CSM) オプションを無効にする必要があります。 セキュリティを強化するためにセキュア ブート機能を有効にします。

レガシ モードのハードウェアにインストールされているオペレーティング システムは、BIOS モードが UEFI に変更されると、OS の起動を停止します。 UEFI をサポートするように OS とディスクを準備する BIOS モードを変更する前に、MBR2GPT ツールを使用します。

個別、統合、またはファームウェア TPM

TPM の実装オプションには次の 3 つがあります。

  • 個別の TPM チップは、独自の半導体パッケージ内の別のコンポーネントです。
  • 1 つ以上の半導体パッケージと一緒に統合された専用ハードウェアを使用する統合 TPM ソリューション。ただし、他のコンポーネントとは論理的に分離されています。
  • 汎用計算ユニットの信頼された実行モードでファームウェアで TPM を実行するファームウェア TPM ソリューション。

Windows では、互換性のある TPM は同じ方法で使用されます。 Microsoft では、TPM を実装する必要がある方法を特定するわけではありません。また、使用可能な TPM ソリューションの幅広いエコシステムが用意されており、すべてのニーズに合わせて対応する必要があります。

消費者にとっての TPM の重要性

エンド コンシューマーの場合、TPM はバックグラウンドですが、引き続き関連します。 TPM は、Windows Hello や Windows Hello for Business で使用されており、将来的には、Windows が備えている他の多くの主要なセキュリティ機能のコンポーネントとなる可能性があります。 TPM は PIN をセキュリティで保護し、パスワードの暗号化に役立ち、セキュリティを重要な柱として Windows エクスペリエンスの全体的なストーリーに基づいて構築します。 TPM が搭載されたシステムで Windows を使用すると、より深く、広い範囲でセキュリティが確保されます。

WINDOWS 用 TPM 2.0 コンプライアンス

デスクトップ エディション (Home、Pro、Enterprise、Education) 用の Windows

  • 2016 年 7 月 28 日以降、すべての新しいデバイス モデル、回線、またはシリーズ (または CPU、グラフィック カードなどの主要な更新プログラムを使用して既存のモデル、行、またはシリーズのハードウェア構成を更新する場合) は、既定で TPM 2.0 を実装して有効にする必要があります ( 「最小ハードウェア要件 」ページのセクション 3.7 の詳細)。 TPM 2.0 を有効にするための要件は、新しいデバイスの製造にのみ適用されます。 特定の Windows 機能に対する TPM の推奨事項については、「TPM と Windows の機能」をご覧ください。

IoT Core

  • IoT Core では、TPM はオプションです。

Windows Server 2016

  • WINDOWS Server SKU の TPM は、ホスト ガーディアン サービス シナリオで TPM 2.0 が必要な場合に、SKU が他の修飾 (AQ) 条件を満たしていない限り、省略可能です。

TPM と Windows の機能

次の表では、TPM サポートが必要な Windows の機能を定義します。

Windows の機能 TPM 必須 TPM 1.2 をサポート TPM 2.0 をサポート 詳細
メジャー ブート はい 測定ブートには、TPM 1.2 または 2.0 と UEFI セキュア ブートが必要です。 TPM 2.0 は、新しい暗号化アルゴリズムをサポートしているため、推奨されます。 TPM 1.2 では、非推奨となる SHA-1 アルゴリズムのみがサポートされています。
BitLocker なし はい TPM 1.2 または 2.0 はサポートされていますが、TPM 2.0 をお勧めします。 デバイス暗号化には 、TPM 2.0 サポートを含むモダン スタンバイが必要です
デバイスの暗号化 該当せず デバイスの暗号化ではモダン スタンバイ/コネクト スタンバイの証明書が必要であり、そのために TPM 2.0 が必要です。
Windows Defender アプリケーション制御 (Device Guard) なし はい はい
Windows Defender System Guard (DRTM) はい なし TPM 2.0 と UEFI ファームウェアが必要です。
Credential Guard × はい Windows 10 バージョン 1507 (2017 年 5 月時点でサポート終了) は、Credential Guard 用に TPM 2.0 のみをサポートしていました。 Windows 10 バージョン 1511 以降では、TPM 1.2 と 2.0 がサポートされています。 tpm 2.0 は、Windows Defender System Guardと組み合わせて、Credential Guard のセキュリティを強化します。 Windows 11では、TPM 2.0 が既定で必要です。これにより、お客様に対するこの強化されたセキュリティの有効化が容易になります。
デバイス正常性構成証明 はい はい TPM 2.0 は、新しい暗号化アルゴリズムをサポートしているため、推奨されます。 TPM 1.2 では、非推奨となる SHA-1 アルゴリズムのみがサポートされています。
Windows Hello/Windows Hello for Business × はい Microsoft Entra参加では両方のバージョンの TPM がサポートされていますが、キー構成証明のサポートには、キーハッシュ メッセージ認証コード (HMAC) と保証キー (EK) 証明書を含む TPM が必要です。 パフォーマンスとセキュリティを向上させるには、TPM 1.2 よりも TPM 2.0 をお勧めします。 FIDO プラットフォーム認証システムとしてのWindows Helloは、キー ストレージに TPM 2.0 を利用します。
UEFI セキュア ブート ×
TPM プラットフォームの暗号化プロバイダー、キー記憶域プロバイダー はい
仮想スマート カード はい
証明書ストア × TPM は、証明書が TPM に格納される場合にのみ必要です。
自動 操縦 なし 該当せず TPM (ホワイト グローブや自己展開モードなど) を必要とするシナリオを展開する場合は、TPM 2.0 と UEFI ファームウェアが必要です。
SecureBIO はい なし TPM 2.0 と UEFI ファームウェアが必要です。

TPM 2.0 システムの OEM ステータスの可用性と認定済みのパーツ

政府関連のお客様や規制のある業界の大企業のお客様は、場合によっては調達基準により一般的に認定済みの TPM パーツを使う必要があります。 このため、デバイスを提供する OEM では、認定済みの TPM コンポーネントだけを使って商用クラスのシステムを構築することが必要になる場合があります。 詳しくは、OEM またはハードウェアの販売元に問い合わせてください。